数据库原理第四章数据库安全性

1

数据库原理第四章数据库安全性24.1

计算机安全性概论

计算机系统安全性是指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件和数据，防止因偶然或恶意的原因是系统遭到破环，数据遭到更改和泄露等。计算机系统三类安全性问题：技术安全类管理安全类政策法律类3安全标准简介

在20世纪70年代，DavidBell和LeonardLaPadula开发了一个安全计算机的操作模型。该模型是基于政府概念的各种级别分类信息（一般、秘密、机密、绝密）和各种许可级别。如果主体的许可级别高于文件（客体）的分类级别，则主体能访问客体。如果主体的许可级别低于文件（客体）的分类级别，则主体不能访问客体。4这个模型的概念进一步发展，于1985年导出了美国国防部标准5200.28——可信计算机系统评估准则（theTrustedComputingSystemEvaluationCriteria，TCSEC），即桔皮书。5欧洲四国（荷兰、法国、英国、德国）在吸收了TCSEC的成功经验基础上，于1989年联合提出了信息技术安全评估准则（InformationTechnologySecurityEvaluationCriteria，ITSEC），俗称白皮书，其中首次提出了信息安全的机密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度。6之后，由美国国家标准技术研究所（NIST）、国家安全局（NSA）、欧洲四国以及加拿大等6国7方联合提出了通用安全评估准则（CommandCriteriaforITSecurityEvaluation,CC）。它的基础是欧洲的白皮书ITSEC、美国的（包括桔皮书TCSEC在内的）信息技术安全联邦标准（FC）草案、加拿大的CTCPEC以及国际标准化组织的ISO的安全评估标准。71991年4月美国NCSC颁发了可信计算机系统评估标准关于可信数据库系统的解释，简称TDI，即紫皮书，将TCSEC扩展到数据库管理系统。教材P132—P134的内容同学们课后阅读。8计算机系统安全性的属性1.机密性机密性是指保证信息与信息系统不被非授权者所获取与使用，主要防范措施是密码技术。2.完整性完整性是指信息是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改，主要防范措施是校验与认证技术。3.可用性可用性是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。9各种安全威胁（1）阻断攻击阻断攻击使系统的资产被破坏，无法提供用户使用，这是一种针对可用性的攻击。例如，破坏硬盘之类的硬件，切断通信线路，使文件管理系统失效等。10（2）截取攻击截取攻击可使非授权者得到资产的访问，这是一种针对机密性的攻击。非授权者可以是一个人、一个程序或一台计算机，例如，通过窃听获取网上数据以及非授权的复制文件和程序。（3）篡改攻击篡改攻击是非授权者不仅访问资产，而且能修改信息，这是一种针对完整性的攻击。例如，改变数据文件的值，修改程序以及在网上正在传送的报文内容。11（4）伪造攻击伪造攻击是非授权者在系统中插入伪造的信息。例如在文件中加入一些伪造的记录。12各种安全威胁的示意图13最后我们看一下数据库的安全性：数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄密、更改或破坏。144.2

数据库安全性控制

在一般计算机系统中，安全措施是一级一级层层设置的。

安全模型

用户DBMSOSDB用户标识和鉴别数据库安全保护操作系统安全保护数据密码存储154.2.1用户的标识与鉴别方法：利用只有用户知道的信息鉴别用户（知识因子）

用户名，口令利用只有用户具有的物品鉴别用户（拥有因子） 物品（钥匙、智能卡）利用用户的个人特征鉴别用户（生物因子） 特征（签名、指纹、DNA）16

组合使用上面的方法会更有效，如将口令和智能卡结合使用，通常称为双因子身份鉴别。因为每一种身份鉴别方法本身有它自身的弱点，采用双因子鉴别可互相取长补短，因而更有效。174.2.2视图机制

作用:定义用户的外模式，限制用户的访问范围。

例： 雇员表：EMP(no,name,sex,age,dept,salary,address,telno)

顾客可以查询雇员信息，但考虑到雇员的隐私问题，可以建立以下视图：

CREATEVIEWEMP_VIEWASSELECTno,name,sex,age,deptFROMEMP

让顾客查询此视图，这样可以避免雇员隐私泄露。

184.2.3数据加密

1)原因

(1)窃取存储设备（光盘、软盘等）

(2)通过通讯线路窃听

2)方法

(1)替换法，使用密钥

(2)置换法

3)缺点

(1)增加了系统开销

(2)降低了数据库的性能

4)场合 只在保密性要求很高时采用

19密码学的基本概念：密码学是以研究数据保密为目的，对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。被变换的信息称为明文（plaintext）,它可以是一段有意义的文字或者数据；变换过后的形式称为密文ciphertext），密文应该是一串杂乱排列的数据，从字面上没有任何含义。20从明文到密文的变换过程称为加密encryption,变换本身是一个以加密密钥k为参数的函数，记作Ek(P)。密文经过通信信道的传输到达目的地后需要还原成有意义的明文才能被通信接收方理解，将密文C还原为明文P的变换过程称为解密或者脱密decryption,该变换是以解密密钥k′为参数的函数，记作Dk′(C)。214.2.4审计1)定义(1)是一种监视措施(2)跟踪记录某些保密数据的访问活动(3)报告有窃密企图的操作(4)由DBA和数据所有者控制2)跟踪审查内容(1)操作类型(2)操作终端标识(3)操作者标识(4)操作日期(5)操作数据223)作用

(1)找出非法操作者

(2)恢复数据4)AUDIT和NOAUDIT语句234.2.5存取控制

数据库系统的存取控制机制可以确保只授权给有资格的用户访问数据库的权限，同时使所有未被授权的人员无法接近数据。存取控制的机制：定义用户权限，并将用户权限登记到数据字典中合法权限检查这两个部分一起组成了数据库管理系统的安全子系统24一自主存取控制(DAC)方法（设置用户权限）用户对于不同的数据对象有不同的存取权限，不同的用户对于同一数据对象也有不同的权限，而且用户可以将其拥有的存取权限转授给其他用户。用户权限由两部分组成：数据库对象和操作类型。数据库系统中，定义存取权限称为授权。在关系数据库系统中，存取控制的对象不仅有数据本身，还有数据库模式。参见教材P137表4.3。自主存取控制主要通过SQL的GRANT语句和REVOKE语句来实现。

25

权限的授予与收回

授权：GRANT<权限>[，<权限>]… [ON<对象类型><对象名>] TO<用户>[,<用户>]… [WITHGRANTOPTION]；注：1.发出该语句的是DBA或数据库对象创建者，也可以是已经拥有该权限的用户。2.PUBLIC可代替所有用户。3.[WITHGRANTOPTION]：获得某种权限的用户可以把该权限转授予其他用户。26权限收回：REVOKE<权限>[，<权限>]…

[ON<对象类型><对象名>][，<对象类型><对象名>]… FROM<用户>[,<用户>]…[CASCADE/RESTRICT]；27

用户可以“自主”地决定将数据的存取权限授予何人、决定是否也将“授权”的权限授予别人，因此称之为自主存取控制。28

创建数据库模式的权限

对数据库模式的授权由DBA在创建用户时实现。CREATEUSER<username>[WITH][DBA|RESOURCE|CONNECT]；对此语句的说明参见教材P141。29数据库角色

数据库角色是被命名的一组与数据库操作相关的权限，角色是权限的集合。角色的创建：CREATEROLE<角色名>

给角色授权：CREATE<权限>[，<权限>]…ON<对象类型>对象名TO<角色>[，<角色>]…

将一个角色授予其他的角色或用户：30GRANT<角色1>[，<角色2>]…[WITHADMINOPTION]注：1.授予者或者是角色的创建者，或者拥有在这个角色上的ADMINOPTION。2.如果指定了WITHADMINOPTION子句，则获得某种权限的角色或用户还可以把这种权限再授予其他的角色。3.一个角色包含的权限包括直接授予这个角色的全部权限加上其他角色授予这个角色的全部权限。31

角色权限的收回：REVOKE<权限>[，<权限>]…ON<对象类型><对象名>FROM<角色>[，<角色>]…

注：REVOKE动作的执行者或者是角色的创建者，或者拥有在这个角色上的ADMINOPTION。32自主存取控制方法的缺点：仅仅通过对数据的存取权限进行安全控制，数据本身并无安全性标记。

33二强制存取控制(MAC)方法

系统为了保证更高的安全性所采取的强制存取检查手段，不是用户所能直接感知或进行控制的，适用于军事或政府等保密要求高的部门。强制存取控制方法的原理：

DBMS管理的全部实体被分为主体和客体。主体是系统中的活动实体，包括实际用户和代表用户的各进程；客体是系统中的被动实体，受主体操纵，包括文件、基本表、索引、视图等对于所有的主体和客体，数据库管理系统为它们指派一个敏感度标记。对于主体，其称为许可证级别；对于客体，其称为密级敏感度标记被分为若干级别，如绝密、机密、可信、公开等

34

当某一用户注册进入系统时，系统要求它对任何客体的存取必须遵循以下原则：1.仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体。2.仅当主