信息系统安全理论与技术-课件 信息系统安全8 数据库系统安全

《信息系统安全理论与技术》

第8章数据库系统安全本章内容8.2一般安全机制8.3

SQLServer安全机制8.1数据库安全概述8.1数据库安全概述•数据库由数据库管理系统提供统一的数据保护功能来保证数据的安全可靠和正确有效•数据库的安全性保护数据库以防止不合法使用所造成的数据泄露、更改或破坏

8.1数据库安全概述•安全性问题不是数据库系统所独有的所有计算机系统都存在不安全因素，只是在数据库系统中由于大量数据集中存放、众多用户直接共享，从而使安全性问题

更加突出

安全特性（1）数据独立性物理独立性：用户的应用程序与存储在磁盘上的数据库中的数据是相互独立的逻辑独立性：用户的应用程序与数据库的逻辑结构是相互独立的（2）数据安全性比较完整的数据库通常对数据安全性采取以下措施①将数据库中需要保护的部分与其他部分相隔②采用授权规则，如账户、口令和权限控制等访问控制方法③对数据进行加密后存储于数据库8.1数据库安全概述安全特性（3）数据完整性正确性：数据的输入值与数据表对应域的类型一致有效性：数据库中的理论数值满足现实应用中对该数值段的约束一致性：不同用户使用的数据库中的数据应该是一样的（4）并发控制如果一个用户取出数据进行修改，在将修改后的数据存入

数据库之前有其他用户再取此数据，那么读出的数据就是不

正确的管理员需要对这种并发操作进行控制，排除和避免这种问题的发生，保证数据的正确性8.1数据库安全概述安全特性（5）故障恢复由数据库管理系统提供一套方法，用于及时发现故障和

修复故障，从而防止数据被破坏。数据库系统能尽快修复运行时出现的物理上或者逻辑上的故障与错误（6）安全策略在进行数据库安全配置之前，管理员首先必须对操作系统进行安全配置，保证操作系统处于安全状态；然后对待使用的数据库

软件进行必要的安全审核，以消除基于数据库的Web应用常出现的安全隐患8.1数据库安全概述安全威胁授权用户的非故意错误操作

由于不慎而造成意外删除或泄漏，非故意地规避安全策略非授权用户的恶意存取和破坏

攻击者在授权用户访问数据库时猎取用户名和用户口令，

然后假冒合法用户重要或敏感的数据泄露潜在的威胁或非授权用户的入侵行为造成的重要数据泄露42安全环境的脆弱性

操作系统安全的脆弱、网络协议安全保障的不足等都会造成数据库安全性的破坏138.1数据库安全概述安全标准：TCSEC/TDI标准定义了在数据库管理系统的设计与实现中需满足和用以

进行安全性级别评估的标准，从4个方面描述安全性级别划分的指标，即安全策略、责任、保证和文档从下到上，可靠程度或可信程度逐渐增高8.1数据库安全概述安全标准：信息技术安全评价通用准则（CC）将对信息的安全要求分为安全功能要求和安全保证要求安全功能要求用以规范产品和系统的安全行为安全保证要求解决如何正确有效地实施这些功能数字按保证程度逐渐增高8.1数据库安全概述8.2一般安全机制在一般计算机系统中，安全措施是一级一级设置的：用户要求进入计算机系统时，系统首先根据输入的用户标识进行

用户身份认证，只有合法的用户才准许进入计算机系统对于已经进入系统的用户，数据库管理系统还要进行访问控制，只允许用户执行合法操作；操作系统也会有自己的保护措施数据最后还可以进行加密，以密文形式存储到数据库中8.2一般安全机制安全机制主要包括用户身份认证、访问控制、审计、视图和数据加密等技术。8.2一般安全机制用户标识与认证访问控制数据库加密数据库审计备份与恢复用户标识与认证•用户标识每个用户在系统中都有一个用户标识，由用户名和用户标识号（UID）两部分组成UID在系统的整个生命周期内是唯一的•透明性要求数据库用户安全等级不同，需建立严格认证机制，确保权限分配与行为责任可追溯•认证方法一些实体认证的新技术在数据库系统集成中得到应用，

常用的方法有口令认证、数字证书认证、智能卡认证和生物特征识别等

8.2一般安全机制访问控制访问控制的目的是确保用户对数据库只能进行经过授权的有关操作数据库安全中最重要的就是确保只授权给有资格的用户访问数据库的权限，同时令所有未被授权的用户无法接近数据C2级的数据库管理系统支持自主访问控制（DAC），B1级的数据库管理系统支持强制访问控制（MAC）定义用户权限：数据库管理系统提供适当的语言来定义用户权限，这些定义经过编译后存储在数据字典中，被称为安全规则或授权

规则合法权限检查：每当用户发出存取数据库的操作请求后，数据库

管理系统就查找数据字典，根据安全规则进行合法权限检查8.2一般安全机制自主访问控制用户权限由数据库对象和操作类型两个要素组成定义一个用户的存取权限（授权）就是要定义这个用户可以在哪些数据库对象上进行哪些类型的操作非关系数据库中，用户只能对数据进行操作，访问控制的数据库

对象也仅限于数据本身关系数据库中，对象与操作类型如下表所示8.2一般安全机制强制访问控制数据库管理系统所管理的全部实体被分为主体和客体两大类主体是系统中的活动实体，既包括数据库管理系统所管理的实际

用户，也包括代表用户的各进程。敏感度标记为许可证级别客体是系统中的被动实体，是受主体操纵的，包括文件、基本表、索引、视图等。敏感度标记为密级绝密（TS）≥机密（S）≥可信（C）≥公开（P）主体对客体的访问规则：①仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体②仅当主体的许可证级别小于或等于客体的密级时，该主体才能写相应的客体8.2一般安全机制强制访问控制较高级别的安全保护要包含较低级别的所有保护在实现强制访问控制时首先要实现自主访问控制，即MAC与DAC共同构成数据库管理系统的安全机制8.2一般安全机制数据库加密数据库加密是防止数据库数据在存储和传输中失密的有效手段加密的基本思想是根据一定的算法将原始数据变换为不可直接识别的格式，从而使不知道解密算法的人无法获知数据的内容对数据库加密必然会带来数据存储与索引、密钥分配与管理等一系列问题，同时加密也会显著地降低数据库的访问与运行效率保密性与可用性之间不可避免地存在冲突，需要妥善解决二者之间的矛盾8.2一般安全机制数据库加密机制（1）库内加密：库内加密在数据库管理系统内核层实现加密，加密/解密过程对用户与应用透明，数据在物理存取之前完成加密/解密

工作

加密功能强，并且加密功能集成为数据库管理系统的功能，可以实现加密功能与数据库管理系统之间的无缝耦合对数据库应用来说，库内加密方式是完全透明的（2）库外加密：加密/解密过程发生在数据库管理系统之外，由数据库管理系统管理密文。加密/解密过程大多在客户端实现，有的由

专门的加密服务器或硬件完成在新兴的外包数据库服务模式中，数据库服务器由非可信的第三方提供，仅用来运行标准的数据库管理系统，要求加密/解密操作都在客户端完成8.2一般安全机制加密粒度（1）表加密：表加密的对象是整个表类似于操作系统中文件加密的方法，即每个表与不同的表密钥

运算，形成密文后存储较为简单，但因为对表中任何记录或数据项的访问都需要将其

所在表的所有数据快速解密，因而执行效率很低，浪费了大量的

系统资源（2）属性加密：属性加密又称域加密或字段加密，即以表中的列为单位进行加密在一般而言，属性的个数少于记录的条数，需要的密钥数相对较少如果只有少数属性需要加密，那么属性加密是可选的方法8.2一般安全机制加密粒度（3）记录加密：将表中的一条记录作为加密的单位当数据库中需要加密的记录数比较少时，采用这种方法是比较

好的（4）数据元素加密：以记录中每个字段的值为单位进行加密，数据元素是数据库中最小的加密粒度系统的安全性与灵活性最高，但是实现技术也最为复杂抗攻击能力得到提高，但是需要引入大量的密钥一般需要周密设计自动生成密钥的算法，密钥管理的复杂度大大

增加，同时系统效率也受到影响目前采用最多的加密粒度是数据元素，加密后还应当允许用户以

不同的粒度进行访问8.2一般安全机制加密算法（1）对称密钥算法：解密密钥和加密密钥相同，或解密密钥由加密密钥推出序列算法：一次只对明文中的单个位或字节运算，如RC4分组算法（数据库加密一般采取）：对明文分组后以组为单位

进行运算，如DES运算速度比非对称密钥算法快很多，二者相差2～3个数量级（2）非对称密钥算法（公开密钥算法）：解密密钥不同于加密密钥，并且从解密密钥推出加密密钥在计算上是不可行的加密密钥公开，解密密钥是由用户秘密保管的私有密钥，如RSA每个用户有自己的密钥对，而作为数据库加密的密钥如果因人而异，将产生异常庞大的数据存储量8.2一般安全机制密钥管理（1）集中密钥管理设立密钥管理中心，在建立数据库时，密钥管理中心负责产生

密钥并对数据加密，形成一张密钥表方便用户使用和管理，但密钥一般由数据库管理人员控制，权限过于集中（2）多级密钥管理机制以加密粒度为数据元素的三级密钥管理机制为例，整个系统的密钥由一个主密钥、每个表上的表密钥及各个数据元素密钥组成表密钥被主密钥加密后以密文形式保存在数据字典中，数据元素

密钥由主密钥及数据元素所在行、列通过某种函数自动生成，一般不需要保存根据加密粒度的不同，系统所产生的密钥数量也不同加密粒度越小，所产生的密钥数量越多，密钥管理也就越复杂8.2一般安全机制数据库审计数据库审计是指监视和记录用户对数据库所施加的各种操作的机制按照TCSEC/TDI标准，审计功能是数据库系统达到C2以上安全

级别后必不可少的一项指标•审计分类语句审计、特权审计、模式对象审计和资源审计•策略库数据库本身可选的审计规则和管理员设计的触发策略机制•粒度与对象一般必须审计到对数据库记录与字段一级的访问，需要消耗大量的存储空间，同时会使系统的响应速度降低，给系统运行效率

带来影响8.2一般安全机制数据库审计（1）审计事件服务器事件：审计数据库服务器发生的事件，包含数据库服务器的启动、停止、数据库服务器配置文件的重新加载系统权限：对系统拥有的结构或模式对象进行操作的审计，要求该操作的权限是通过系统权限获得的语句事件：对SQL语句及数据控制语言语句的审计模式对象事件：对特定模式对象进行select或数据操作作的审计（2）审计功能提供多种审计查阅方式提供多套审计规则提供审计分析和报表功能提供审计日志管理功能提供查询审计设置及审计记录信息的专门视图8.2一般安全机制数据库备份（1）冷备份即脱机备份：没有终端用户访问数据库时关闭数据库并将其备份在保持数据完整性方面显然最有保障，但不适合全天候运行（2）热备份即联机备份：当数据库正在运行时进行的备份在备份时，日志文件将需要进行数据更新的指令“堆起来”，并不进行真正的物理更新，因此数据库能被完整地备份备份结束后，进行真正的物理更新（3）逻辑备份从数据库中导出数据并写入一个输出文件，该文件的格式一般与原数据库的文件格式不同，是原数据库中数据内容的一个映像一般用于增量备份，即备份那些在上次备份以后改变的数据8.2一般安全机制数据库恢复（1）基于备份的恢复周期性地备份数据库当数据库失效时，可用最近一次的数据库备份来恢复数据库（2）基于运行时日志的恢复运行时日志文件用来记录对数据库每一次更新的文件重新装入数据库副本，系统自动正向扫描日志文件（3）基于镜像数据库的恢复数据库镜像是在另一个磁盘上复制数据库作为实时副本当主数据库更新时，数据库管理系统自动将更新后的数据复制到镜像数据库，始终使镜像数据和主数据保持一致由于数据镜像通过复制数据实现，频繁的复制操作会降低系统

运行效率，因此一般在对效率要求满足的情况下使用8.2一般安全机制8.3SQLServer安全机制SQLServer数据库是Microsoft开发设计的一个关系数据库管理系统（RDBMS），是主流数据库之一SQLServer安全涉及4个方面：平台、身份认证、对象（包括数据）及访问系统的应用程序平台包括物理硬件，将客户端连接到数据库服务器的联网系统，以及用于处理数据库请求的二进制文件。身份认证通常需要用户提供用户名和对应的密码，一个用户登录成功就是有效的，就可以访问服务器。主体是指获得SQLServer访问权限的个体、组和进程，安全对象是服务器、数据库和数据库包含的对象。应用程序安全性包括客户端程序、WindowsDefender应用程序控制（WDAC）等数据库环境安全（1）物理网络安全性实现物理网络安全首先要防止未经授权的用户访问网络数据库主机应置于受物理保护的场所（如上锁的机房），定期备份数据并存储在安全位置不得将SQLServer直接连接到Internet（2）操作系统安全性减少外围应用：停止或禁用未使用的组件，限制SQLServer以“最小权限”运行使用防火墙隔离逻辑网络通信，配置为强制执行数据安全性策略8.3SQLServer安全机制数据库环境安全（3）文件安全性使用操作系统文件进行操作和数据存储SQLServer实例的程序文件和数据文件无法安装在可移动磁盘、压缩文件系统或系统文件目录安装防病毒软件时需排除SQLServer文件夹和文件类型系统数据库和用户数据库可选择SMB文件服务器作为存储器。（4）网络安全性SQLServer2022支持TDS8.0和TLS1.3TDS协议用于客户端连接，TLS加密传输数据TDS8.0强制加密，与HTTPS协议一致8.3SQLServer安全机制身份认证SQLServer支持两种模式：Windows身份认证模式，Windows身份认证和SQLServer身份认证混合模式身份认证负责对登录到SQLServer数据库引擎的单个用户账户进行身份认证SQLServer数据库支持基于Windows身份认证的登录名和基于SQLServer身份认证的登录名Windows身份认证模式会启用

Windows身份认证并禁用

SQLServer身份认证混合模式会同时启用Windows身份认证和SQLServer身份认证8.3SQLServer安全机制Windows身份认证当用户通过Windows用户账户连接时，SQLServer使用操作系统中的Windows主体验证账户名和密码。用户身份由Windows进行确认，SQLServer不要求提供密码，也不执行身份认证使用Kerberos

安全协议，支持密码复杂性、账户锁定和密码过期通过域级别管理访问，推荐作为默认模式连接称为“可信连接”，依赖Windows系统完成身份验证8.3SQLServer安全机制SQLServer身份认证选择混合模式时，Windows身份认证和SQLServer身份认证将同时被启用使用SQLServer身份认证时，系统会基于Windows用户账户在SQLServer中创建SQLServer登录名SQLServer身份认证要求所有SQLServer账户的密码为强密码，并且提供了3种可供SQLServer登录时选择使用的密码策略（1）用户在下次登录时必须更改密码（2）强制密码过期策略（3）强制实施密码策略8.3SQLServer安全机制访问控制完成身份认证后，用户会连接到角色。角色是被授权的主体，权限管理系统会将权限添加到角色数据库引擎中的权限在服务器级别和数据库级别分别进行管理授权管理系统通过安全主体和安全对象实现主体是可以请求SQLServer资源的实体。与SQLServer授权

模型的其他组件相同，主体也可以按层次结构排列为Windows、服务器和数据库，并且同一个层次的主体还分为可分割主体和不可分割主体主体的概念并不局限于用户，还涉及一些仅供内部系统使用的实体8.3SQLServer安全机制服务器级角色SQLServer提供服务器级角色以帮助用户管理服务器上的权限8.3SQLServer安全机制数据库级角色SQLServer提供了若干数据库级角色来管理数据库中的权限8.3SQLServer安全机制安全对象安全对象是SQLServer数据库引擎授权系统控制对其进行访问的资源安全对象范围有服务器、数据库和架构服务器安全对象包含：可用性组、端点、登录、服务器角色、数据库数据库安全对象包含：应用程序角色、Assembly（程序集）、非对称密钥、证书、合约、全文目录、全文非索引子表、消息类型、远程服务绑定、数据库角色、路由、架构、搜索属性

列表、服务、对称密钥和用户架构安全对象包含：类型、XML架构集合、对象类。

对象类又包含以下成员：聚合、函数、过程、队列、同义词、表、查看、外部表8.3SQLServer安全机制权限与权限层次结构每个SQLServer安全对象都有可以授予主体的关联权限数据库引擎分配登录名和服务器角色的服务器级别，并对分配的数据库用户和数据库角色的数据库级别进行权限管理SQLServer2019（15.x）的权限总数是

248个，这些权限包括了针对各种安全对象的各种操作GRANTSELECTONSCHEMA::HumanResourcesTOrole_HumanResourcesDept;REVOKESELECTONSCHEMA::HumanResourcesTOrole_HumanResourcesDept;被授权主体是角色role_HumanResourcesDept，授予权限是模式HumanResources的查找权限第一句就是权限授予，第二句则是权限撤销8.3SQLServer安全机制权限涉及的具体操作（1）CONTROL（2）ALTER（3）ALTERANY<服务器安全对象>（4）ALTERANY<数据库安全对象>（5）TAKEOWNERSHIP（6）IMPERSONATE<登录名>（7）IMPERSONATE<用户>（8）CREATE<服务器安全对象>（9）CREATE<数据库安全对象>（10）CREATE<架构包含的安全对象>（11）VIEWDEFINITION（12）REFERENCES8.3SQLServer安全机制权限检查算法权限检查算法包括重叠的组成员关系和所有权链接、显式和隐式

权限，并且会受包含安全实体的安全类的权限影响算法包含3个基本元素：安全上下文、权限空间和必需的权限具体步骤如下：（1）如果登录名是sysadmin，固定服务器角色的成员或用户是当前数据库中的dbo

用户，则绕过权限检查（2）如果所有权链接适用且以前针对链中对象的访问权限检查通过，则允许访问（3）聚合与调用方关联的服务器级、数据库级和已签名模块的标识，以创建安全上下文（4）对于该安全上下文，收集为权限空间授予或拒绝的所有权限（5）标识必需的权限（6）如果对于权限空间中的对象，直接或隐式拒绝授予安全上下文中任何

标识必需的权限，则权限检查失败（7）如果所需权限未被拒绝，并且所需权限包含GRANT或GRANTWITHGRANT权限，则传递权限检查8.3SQLServer安全机制数据库加密加密是指通过使用密钥或密码对数据进行处理的过程如果数据库主机配置有误且攻击者获取了敏感数据，但加密数据被盗可能会毫无影响虽然加密是确保安全性的有力工具，但它并不适用于所有数据或连接在决定是否实现加密时，需要考虑用户访问数据的方式如果用户通过公共网络访问数据，则需要使用数据加密以增强安全性；如果所有访问都具有某项安全Intranet配置，则不需要加密任何时候使用加密时，还应包括密钥、密钥和证书的维护策略8.3SQLServer安全机制加密层次结构用户SQLServer用分层加密和密钥管理基础结构来加密数据每层都使用证书、非对称密钥和对称密钥的组合对它下一层进行加密8.3SQLServer安全机制加密机制-Transact-SQL函数通过使用TripleDES算法及128密钥位长度的通行短语进行加密以下为加密参数8.3SQLServer安全机制加密机制-证书公钥证书（通常只称为证书）是一个数字签名语句，它将公钥的值绑定到拥有对应私钥的人员、设备或服务的标识上证书是由认证中心（CA）颁发和签名的8.3SQLServer安全机制其他加密机制•对称密钥对称密钥是加密和解密都使用的一个密钥使用对称密钥进行加密和解密非常快，适用于对数据库中敏感

数据的日常使用•非对称密钥非对称密钥由私钥和公钥组成非对称加密和解密相对来说消耗的资源较多，可用于加密对称

密钥，以便存储在数据库中•透明数据加密TDE是使用对称密钥进行加密的一种特殊情况使用称为数据库加密密钥的对称密钥加密整个数据库数据库加密密钥受由数据库主密钥或存储在EKM模块中的非

对称密钥保护的其他密钥或证书保护8.3SQLServer安全机制加密算法选择加密算法定义了未经授权的用户无法轻松逆转的数据转换在使用SQLServer时，一般考虑以下因素（1）通常比较弱的加密占用更多的CPU资源（2）长密钥通常会比短密钥生成更强的加密（3）非对称加密比对称加密速度慢（4）如果密钥仅存储在本地，通常推荐使用对称加密；如果需要

无线共享密钥，则推荐使用非对称加密（5）如果加密大量数据，应使用对称密钥来加密数据，并使用非

对称密钥来加密该对称密钥（6）不能压缩已加密的数据，但可以加密已压缩的数据。如果使用压缩，则应在加密前压缩数据8.3SQLServer安全机制透明数据加密TDE对数据和日志文件进行实时I/O加密和解密将TDE与SQLDatabase一起使用时，SQL数据库会自动创建存储在数据库中的服务器master

级证书若要在SQL数据库上移动TDE数据库，无须为移动操作解密数据库8.3SQLServer安全机制数据库加密密钥首次启动SQLServer实例时，SQLServer在初始化期间创建对称

密钥，用于加密存储在SQLServer中的敏感数据公钥和私钥由操作系统创建，用于保护对称密钥•服务主密钥（ServiceMasterKey,SMK）由SQLServer实例生成，是加密层次结构的根通过Windows数据保护API加密，依赖服务账户或计算机凭据解密功能：加密数据库主密钥（DMK）、链接服务器密码和凭据•数据库主密钥（DatabaseMasterKey,DMK）用于保护数据库中证书私钥和非对称密钥的对称密钥使用SMK加密副本存储在数据库和master系统数据库中必须使用OPENMASTERKEY语句和密码打开未使用SMK进行加密的DMK8.3SQLServer安全机制数据库加密密钥使用SQLServer中包含的工具管理对称密钥（1）备份服务器和数据库密钥的副本，以便使用这些密钥来恢复服务器安装，或作为计划迁移的一部分（2）将以前保存的密钥还原到数据库（3）当不能再访问加密数据时，删除数据库中的加密数据（4）当密钥的安全性受到威胁时，重新创建密钥并重新对数据进行加密作为安全性方面的最佳做法，应定期重新创建密钥以保护服务器，使其

能够抵御试图解开密钥的攻击（5）在服务器扩展部署（多个服务器同时共享单个数据库，以及为该

数据库提供可逆加密的密钥）中，添加或删除服务器实例8.3SQLServer安全机制数据库审计组件SQLServer审计的组件组合生成的输出称为SQLServer审计，如同

报表定义与图形和数据元素组合生成报表一样•服务器审计规范对象属于SQLServer审计收集许多由扩展事件功能引发的服务器级操作组审计操作组是预定义的操作组，它们是数据库引擎中发生的原子事件这些操作将被发送给审计事件，审计事件将它们记录到目标中•数据库审计规范对象属于SQLServer审计收集由扩展事件功能引发的数据库级审计操作审计操作组是预定义的操作组，它们都位于SQLServer数据库作用域这些操作将被发送给审计事件，审计事件将它们记录到目标中8.3SQLServer安全机制使用SQLServer审计可以使用SQLServerManagementStudio或Transact-SQL定义

审计创建和使用审计的一般过程如下（1）创建审计并定义目标（2）创建映射到审计的服务器审计规范或数据库审计规范，并启用审计规范（3）启用审计（4）通过使用Windows的事件查看器、日志文件查看器或fn_get_audit_file

函数来读取审计事件8.3SQLServer安全机制使用Transact-SQL创建和管理审计使用DDL语句、动态管理视图和函数及目录视图来实现SQLServer审计