第4章 数据库安全性.ppt

1、1,数据库系统,计算机系统的三类安全性问题,1. 技术安全类 2. 管理安全类 3. 政策法律,4.1 安全性概述,数据库的安全性问题：保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。即：使未经授权的人员不能访问、改变和破坏数据，也就是数据库的存取控制。,技术安全: 指计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护，当计算机系统受到无意或恶意的攻击时仍能保证系统正常运行，保证系统内的数据不增加、不丢失、不泄露,管理安全: 软硬件意外故障、场地的意外事故、管理不善导致的计算机设备和数据介质的物理破坏、丢失等安全问题。 政策法律: 政府部门建立的有关计

2、算机犯罪、数据安全保密的法律道德准则和政策法规、法令。,安全标准简介： TCSEC：美国国防部在1985年提出的可信计算机系统评估准则。 CC：1993年，各个局部组织联合起来建立了通用的准则，称为CC标准。,可信计算机系统的概念应运而生。,6,两方面的含义,拒绝非法人员访问 拒绝程序或操作错误所造成的非法存取,7,在计算机系统中，安全策略是层层设置安全措施的，其安全控制模型如图：,4.2数据库安全性控制,8,4.2数据库安全性控制,1. 用户标识和鉴别 是系统提供的最外层安全保护措施，用于鉴别用户身份，确认是否为合法用户。 通常采取自报家门和口令核实相结合的方法。,9,自报家门：系统用一个标

3、识符来标明用户身份（称为用户名），系统内部记录着所有合法用户的标识及身份特征。当要进入系统时，用户要先输入自己的用户名，告诉系统你是谁。系统确认存在该用户时转入下一步进一步核实。 口令证实：用户输入自己的身份特征（这里是密码）供系统核对，系统确认是你吗？,10,说明： 用户名是公开的（便于通信），一般不作更改；口令是保密的，用户可自己修改。系统应定期提醒用户改变口令。 为防止口令被窃，系统对口令自动加密（一般不可逆），系统存储加了密的口令。 为进一步加强口令保护，可将一个计算过程或函数作为口令，系统每次都提供一个随机数，用户以该随机数为参数计算函数后将结果告诉系统。 口令设防可层层进行。 还可

4、用指纹、声音、IC卡、使用条件（时间、地点等）,11,2. 数据存取控制 数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限，同时保证未被授权的人员无法存取数据。 当前大型DBMS支持的存取控制主要有自主存取控制和强制存取控制两种。,12,定义用户权限 定义了用户在那些对象上具有那些类型的操作。系统将用户权限登记在数据字典中。 合法权限检查 每当用户发出存取数据的操作请求后，系统根据数据字典及安全规则，检查用户是否具有相应的权限，若不具有，则拒绝存取。,自主存取控制,SQL语句提供Grant语句和Revoke语句。,SQL语句的数据控制指的是控制用户对数据的存储权利，是由DBA

5、来决定的。 一、权限与角色 1、权限 系统权限 对象权限,13,系统权限：用户对DB进行某种特定操作的权力。如创建基本表的权力。该项权利由DBA授予。 对象权限：用户对特定数据库对象进行某种特定操作的权力。该项权利由对象的创建者授予。如增、删、改、查等操作。,14,2、角色 角色是多种权限的集合（可以手动创建），可以把角色授予给其他用户和角色。 当要为一个用户同时授予多项权限时，可以把这些权限定义为一个角色，并对这个角色进行操作。,15,二、权限（角色)的授予与收回 可以分为系统权限（角色）以及对象权限（角色）的授予和收回。 通过GRANT和REVORK将授权通知系统，并存入系统。 当用户提出

6、操作数据库的请求时，根据授权情况检查是否允许操作请求执行。,16,17,权限（角色）的授予的语法： GRANT |,|. ON TO | | ,|. WITH GRANT OPTION;,PUBLIC代表所有用户。,允许该用户将权限再授给其他用户。,授予对象权限时使用。,权限（角色）的收回的语法： REVOKE | ,|. FROM | ,|. CASCADE | RESTRICT；,18,收回用户权限时，同时收回他直接或间接转授的权限。,如果该用户还转授了该权限则拒绝执行。,例1：把创建表的权限授予用户U1。 GRANT CREATE TABLE TO U1; 收回U1所拥有的创建表权限。

7、REVOKE CREATE TABLE FROM U1;,例2：把查询和更新学生表的权限授予所有用户。 GRANT SELECT,UPDATE ON TABLE 学生 TO PUBLIC;,例3：把对学生表和课程表的全部权限授予用户U2和U3。 GRANT ALL PRIVILIGES ON TABLE 学生, 课程 TO U2, U3;,20,例4：把修改学生学号的权限授给用户U4。 GRANT UPDATE(学号) ON TABLE 学生 TO U4;,例5：收回所有用户对学生表的查询权限。 REVOKE SELECT ON TABLE 学生 FROM PUBLIC; 例6： 收回用户U5

8、对选修表的INSERT权限。 REVOKE INSERT ON TABLE 选修 FROM U5 CASCADE;,21,例8：收回U4对学生表学号列的修改权限。 REVOKE UPDATE（学号） ON TABLE 学生 FROM U4；,22,例7：把对选修表的INSERT权限授予U5用户，并允许他再将此权限授予其他用户。 GRANT INSERT ON TABLE 选修 TO U5 WITH GRANT OPTION;,23,此时，U5还可以继续传播此权限！,假设现在以U5身份操作，则 GRANT INSERT ON TABLE 选修 TO U6 WITH GRANT OPTION;/U

9、6还可以向U7授权,24,GRANT INSERT ON TABLE 选修 TO U7; /U7不能再传播此权限。 选修表的属主(或DBA)U5U6U7。,SQL灵活的授权机制 DBA拥有对数据库中所有对象的所有权限，并可以根据应用的需要将不同的权限授予不同的用户。 用户对自己建立的基本表和视图拥有全部的操作权限，并且可以用GRANT语句把其中某些权限授予其他用户。,25,被授权的用户如果有“继续授权”的许可，还可以把获得的权限再授予其他用户。 所有授予出去的权力在必要时又都可以用REVOKE语句收回。,26, 自主存取控制存在“无意泄露”的问题。 问题关键在与自主存取控制仅仅控制了用户的存取

10、权限，没有控制对数据的安全性。,强制存取控制,将DBMS中的实体分为两类,主体：具有主动操纵能力的用户或进程 客体：被操纵的数据对象，如表、视图，索引等,强制存取控制中，DBMS为每个主体或客体的实例指派一个敏感度标记，对于主体，称作许可证级别，对于客体，称作密级。敏感度标记分为绝密、机密、可信和公开等。 主体只有具有合法的许可证级别时才能访问客体。,主体存取客体的原则 (1) 仅当主体的许可证级别大于或等于客体的密级时，主体才能读取客体； (2) 仅当主体的许可证级别等于（小于）客体的密级时，主体才能写客体。,31,3.视图机制 利用视图机制，限制用户在一定的范围内使用数据，把要保密的数据通

11、过视图机制对无权存取的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。,学号 姓名 性别 出生 住址 入伍 津贴,基本表,学号 政治 英语 数据库,基本表,教务部视图,财务处视图,学号 姓名 性别 政治 英语 数据库,学号 姓名 性别 入伍 津贴,32,4.审计 不管采取何种安全措施，系统的安全性都是相对的，审计技术用于事后追查突破存取控制的情况。 用户对数据库的所有操作自动记录下来放入审计日志，发生安全事故后，DBA可以利用审计跟踪信息。 审计的开销很大，因此一般允许用户有选择地打开或关闭审计功能，主要用于安全要求较高的部门。,33,审计,系统级审计： 由DBA设置，主要监测系统登录、

12、授权操作等。,用户级审计： 任何用户均可对自己创建的对象设置审计，主要监测对数据的访问情况。,例：对修改SC表结构及数据的操作进行审计 AUDIT ALTER，UPDATE ON TABLE SC； 撤消对SC表的上述审计 NOAUDIT ALTER，UPDATE ON TABLE SC；,34,5 . 数据加密 对保密级别较高的数据，可以以密文的形式存储在数据库中，从而防止数据在存储和传输中失密的情况发生。这种技术对防止存储设备丢失和线路传输中的窃听非常有效。,35,加密的基本思想是：对于写数据库请求，DBMS根据一定的算法将明文数据转换成不可直接识别的数据后写入数据库；对于读数据请求，DB

13、MS从数据库读出数据后，按一定的算法将密文还原成明文，然后交给请求提出者。,36,数据加/解密由密钥和算法两部分组成，如果能由加密密钥推出解密密钥(或反向)，称为对称密钥，否则为非对称密钥。一般密钥是保密的，算法是公开的。 只拥有读（解密）密钥的人只能读出数据并还原为明文，同时拥有读、写（加密）密钥的人可以读出数据-还原为明文-修改-加密为密文-系统检查，合法后存储之。,37,加密方法： 替换方法：使用密钥（Encryption Key）将明文中的每一个字符转换为密文中的一个字符 置换方法：将明文的字符按不同的顺序重新排列 混合方法：美国1977年制定的官方加密标准：数据加密标准（Data E

14、ncryption Standard，简称DES),其它的一些方法 统计数据库 数据污染,统计数据库的特点： 1）允许用户查询聚集类型的信息（例如合计、平均值等） 2）不允许查询单个记录信息 例：允许查询“程序员的平均工资是多少？” 不允许查询“程序员张勇的工资？”,统计数据库中特殊的安全性问题： 1）隐蔽的信息通道 2）从合法的查询中推导出不合法的信息,例1：下面两个查询都是合法的： 1本公司共有多少女高级程序员 2本公司女高级程序员的工资总额是多少？ 如果第一个查询的结果是“1”， 那么第二个查询的结果显然就是这个程序员的工资数。,规则1：任何查询至少要涉及N(N足够大)个以上的记录,例2：用户A发出下面两个合法查询： 1用户A和其他N个程序员的工资总额是多少？