第七章数据库的安全性与完整性

1、7.1概述，7.2数据库安全控制，第7章数据库安全和完整性，7.3数据库完整性控制，7.4触发器，本章摘要，案例，7.1基本概念，数据库是一个计算机系统中存储大量数据的地方，它保存了长期积累的信息资源。如何保护这些宝贵的财富不受外部破坏和非法使用，是数据库管理系统的一项重要任务。数据库中的数据保护是多方面的，包括计算机外部的保护：环境保护，如加强社会保护的警惕性，防火防盗，如制定各种法律法规，设备保护，例如，及时的设备检查和维护也包括计算机内部的保护：网络数据传输过程中的数据保护，计算机系统中的数据保护，操作系统中的数据保护，数据库系统中的数据保护和应用系统中的数据保护，7.1基本概念，1。安

2、全和完整性的基本概念(1)安全和完整性计算机系统的可靠性通常指系统正常和无故障运行的概率。数据库可靠性的概念是指数据库的安全性和完整性。安全性是指对数据库的安全控制，以保护数据库免受非法使用造成的数据泄露、更改或破坏。完整性是指数据的正确性、有效性和兼容性，即完整性保证数据的准确性和一致性，使数据库中的数据随时有效。防止非法用户和非法操作的安全措施，防止无效数据的完整性措施。7.1基本概念，(2)数据库安全性和安全性数据库中的数据是一种重要的共享资源，必须在数据库系统中建立一套完整的使用规范。只有当用户按照规则访问数据库并接受数据库管理系统的各种检查时，他们才能最终获得访问权限。访问数据库有多

3、种规格，不同的规格适用于不同的应用。过去，由于共享区域狭窄，单机模式下的数据库标准比较宽松；但是，在网络模式下，特别是在互联网模式下，由于数据共享范围广，规范严格，所以数据库的安全性根据不同的应用需求分为不同的级别。那些能够满足网络环境安全要求的数据库称为安全数据库或可信数据库。目前，国内使用的许多数据库管理系统不能满足安全数据库的要求，在互联网上使用存在安全隐患。因此，推广使用安全数据库势在必行。7.1基本概念、(3)可信计算基础(TCB)是实现数据库安全的所有实现策略和机制的集合，是实现、检查和监督数据库安全的组织，这是数据库安全中的一个基本概念。(4)主客体：数据库中的数据及其载体主体：

4、数据访问者、进程、线程等。在数据库中，7.1基本概念，(5)自主访问控制和强制访问控制自主访问控制数模转换器是一种基于访问矩阵的模型，由主体、对象和存储/提取操作组成矩阵。矩阵的列表示主题，行表示对象，矩阵中的元素是保存/提取操作。在自主访问控制中，主体可以通过授权的形式改变一些操作权限。访问控制受主体主观随意性的影响很大，其安全性不够。强制访问控制是主体访问对象的强制安全控制方法。标记主体/客体：一个是安全等级标记，另一个是安全范围标记。前者是一个指定主体和客体安全级别的数字。访问时，只有在主体层和客体层满足一定的比较关系时，才允许访问。在强制访问控制中，主客体标志由专门的安全管理员设置，任

5、何主体都无权设置和授权。7.1基本概念，(6)当主体访问对象时，通常通过正常路径访问隐藏通道，因此TCB可以在访问路径中进行检查。然而，事实上，经常有各种异常的访问路径，这些路径是隐藏的，并且逃避了TCB的检查，并且被称为隐藏通道。(7)数据库安全形式化：由于数据库安全在整个系统中的重要性，有必要建立一个有效的形式化系统来保证其正确性，发现并填补安全漏洞，防止隐藏通道，为进一步研究数据安全提供理论基础。因此，数据库安全的形式化已经成为高层次数据库安全的必要条件。7.1基本概念，(8)审计不仅使用访问检查，还使用辅助跟踪和审计手段，随时记录主体对客体的访问轨迹，并进行分析以供参考。同时，它可以在

6、发生非法访问时立即提供初始记录以供进一步处理，这就是数据库安全审计。审计的功能是立即记录主体对对象的访问，包括访问时间、访问类型、访问对象名称、成功或失败等。(9)访问监视器的上述功能还需要一个独立的、防篡改的和足够小的系统实体来实现数据安全，即访问监视器。访问监视器在功能上仲裁所有主体对对象的访问，具有扩展的审计功能，并提供系统恢复机制。它是一个独立的物理组织，由一定的软件和硬件组合而成。7.1基本概念，2。数据库安全标准计算机系统安全可分为三类：(1)技术安全，(2)管理安全，(3)政策和法律，7.1基本概念，a .数据库安全标准1985年由美国国防部发布的国防部可信计算机系统评估标准，简

7、称TCSEC，也称为Orange Book。本标准的主要目的如下：(1)为用户评估其计算机系统中敏感信息安全运行的可信度提供标准。(2)为计算机行业的制造商提供可遵循的指导原则，以便他们的产品能够更好地满足敏感应用的安全要求。1991年，NCSC(国家计算机安全中心)发布了可信计算机系统评估标准中对可信数据库系统的解释，简称TDI，又称紫书。TDI定义了在设计和实现数据库管理系统时应该满足的标准，并用来评估安全级别。1996年，国际标准化组织发布了信息技术安全技术评估标准。目前，美国标准TCSEC(TDI)在世界范围内得到广泛应用。7.1基本概念，数据安全在TCSEC(TDI)中分为四组七个级

8、别。安全等级划分如下： (常用的数据库安全等级有C2、B1和B2)，7.1基本概念，各等级介绍：(1)D级标准基本上是一个没有安全保护的系统。(2)C1标准达到这一水平的系统必须具有以下功能：主体、客体和主客体分离；识别和认证；数据完整性；自主访问控制。它的核心是自主访问控制。C1级适用于单机操作。7.1基本概念，(3)满足3)C2标准水平的系统必须具有以下功能：满足C1标准水平的所有功能；审计的核心是审计。C2级别适合您点击工作的方式。C2级别实际上是最低级别的安全产品，提供受控访问保护，即进一步完善C1级别的DAC，注册为个人，并实施审计和资源隔离。(4)B1标准符合此级别的系统必须具有以

9、下功能：满足C2标准的所有功能；强制访问控制的核心是强制访问控制。B1类适合网络的工作方式。7.1基本概念，(5)满足5)B2标准水平的系统必须具有以下功能：满足B1标准水平的所有功能；防止隐藏通道；数据库安全形式化的核心是防止隐藏通道和安全形式化。适合网络的工作方式。目前，国内外还没有符合这一标准的系统，主要困难是数据库安全性的形式化表示。(6)B3标准满足此级别的系统必须具有以下功能：满足B2标准的所有功能；访问监控的核心是访问监控。适合网络的工作方式。国内外没有符合这一标准的产品。7.1基本概念，(7)符合A级标准的系统必须具备以下功能：符合B3标准的所有功能；更高的形式要求，如安全验证

10、，是最高的安全级别，应该有完善的形式要求，目前还不能实现，只是一个理想化的级别。中国国家标准1999年，我国政府颁布了计算机信息系统评估指南。为了与国际标准保持一致，其基本结构类似于TCSEC。中国的标准分为五个层次：7.1基本概念，数据库管理系统安全模型一个通用的数据库管理系统安全模型：只有当用户成功登录时，他们才能成为数据库的合法用户并与数据库建立连接。角色通常指组织内的一个职位或一组任务。为了方便起见，用户可以属于不同的角色，并对不同的角色拥有不同的授权。数据库对象包括表、视图、索引、列、字段等。对数据库对象的访问控制主要是通过授权机制实现的。7.2数据库安全控制，1。用户识别和认证使用

11、用户识别来指示用户的身份，并且系统检查密码以进一步认证身份，并且使用用户拥有的各种自然特征来识别他自己并提供认证的基础。使用用户持有的证书。使用密码。一些方法可以用来保持密码的秘密：(1)扩大密码集和密码长度。(2)规定密码的有效时间，定期或不定期更换密码；(3)建立多层密码系统。(4)设置动态密码。访问控制方法数据库管理系统的安全子系统主要包括两个部分：定义用户权限和在数据字典中注册用户权限。合法许可检查。如果用户的操作请求超出了定义的权限，系统将拒绝执行此操作。用户权限的构成：数据对象和操作类型。在数据库系统中，定义访问权限称为授权。(1)自主访问控制用户对不同的数据对象有不同的访问权限，

12、不同的用户对同一对象有不同的权限，用户也可以将自己的访问权限委托给其他用户。因此，自主访问控制非常灵活。7.2数据库安全控制(2)强制访问控制在强制访问控制方法中，每个数据对象都标有一定的安全级别，并且每个用户还被授予一定级别的许可证。对于任何对象，只有拥有合法许可证的用户才能访问它。因此，强制访问控制相对严格。MAC适用于数据分类严格且固定的部门。主题：指数据访问者，(用户，数据库管理员)进程，线程等。并且是系统中的活动实体。对象：指数据库中的数据及其载体(表、视图、索引、存储过程等)。)，并且是系统中的被动实体。7.2数据库安全控制，对于主体和对象，数据库管理系统为每个实例(值)分配一个敏

13、感度标签。敏感性标记分为几个级别，如绝密、机密、可信、公开等。主体的敏感度标记称为许可级别。一个物体的敏感度标记叫做分类。对象子集，主题子集，7.2数据库安全控制，媒体访问控制机制是通过比较主题的标签和对象的标签来确定主题是否可以访问对象。当一个主体在系统中注册有标签时，系统要求他对任何对象的访问必须遵循以下规则：只有当主体的许可级别大于或等于对象的安全级别时，主体才能读取相应的对象；只有当主体的许可级别小于或等于对象的秘密级别时，主体才能写入相应的对象。这两个规则的共同之处在于，它们都禁止许可级别高的主体更新秘密级别低的数据对象，从而防止敏感数据的泄露。2.如何实现访问控制？(1)用户分类和

14、权限一般分为四类：数据对象的系统用户(或数据库管理员)所有者、一般用户、公共用户、SQL Server、系统管理员、数据库管理员、数据库对象用户和数据库访问用户。(2)有几种常见的权限，如数据访问权限、读取、插入、修改和删除权限、数据库模式修改权限(数据库管理权限):索引权限、资源权限、修改权限和删除权限、7.2数据库安全控制，(3)授权GRANT语句向用户授予操作权限的一般格式是：GRANT，ON TO，带有授权选项。语义是：对指定操作数的指定操作。您可以委派此权限，并且您对不同类型的操作对象有不同的操作权限：例如，7.2数据库安全控制，授予用户U2和U4(或全部)查找表SC和修改他们的学生

15、编号的权限。将表SC上的选择、更新(Sno)授权给U2、U4；示例：将表SC的INSERT权限授予用户U5，并允许将此权限授予其他用户。表SC至U5中带有授权选项的授权插页；U5也可以将此权限授予U6:将表SC上的插入权限授予U6；或：PUBLIC；U6能再次传播这个权利吗？例如，7.2数据库安全控制， DBA授予用户U1在DB1数据库中创建表的权限。授予U1创建DB1数据库的权限；GRANT语句可以：一次授权一个用户；一次授权多个用户；允许一次传播多个相同类型的对象；您可以一次授权不同的对象，如基本表、视图和属性列。撤销许可：级联：(但系统只撤销从某处直接或间接获得的许可)，联合，联合，联合

16、撤销，U1暗示许可？7.2数据库安全控制，3 .视图机制通过视图机制对无权访问的用户隐藏了需要保密的数据，从而自动为数据提供了一定程度的安全保护。视图机制间接实现了支持访问谓词的用户权限的定义。通过为不同的用户定义不同的视图，您可以限制每个用户的访问范围。例如：只有一个用户可以查询男生记录。从性别=男性的学生中选择*创建学生_男性视图；7.2数据库安全控制，4。数据加密对于高度敏感的数据，如金融数据、军事数据和国家机密，除上述安全措施外，还可以采用数据加密技术以密文形式存储和传输数据。这样，即使你试图通过异常通道获取数据，你也只能看到一些无法识别的二进制代码。数据加密基本上有三种方法：信息编码、信息替换和信息替换。常用的加密方法有DES、公钥加密等。由于数据加密和解密是一项耗时的操作，并且数据加密和解密程序会占用大量系统资源，增加系统开销并降低数据库的效率，因此数据加密和解密功能通常是一项可选功能。7.2数据库安全控制，5。跟踪审计跟踪审计是一种监控措施。当数据库运行时，数据库管理系统跟踪用户对某些敏感数据的访问活动，跟踪结果记录在审计文件中。一旦发现有人试图窃取数据，一些数据库管理系统就会发出警报信息。虽然大多数数据库管理系统没有报警功能，但它也