《數(shù)據(jù)庫安全性》PPT課件

《《數(shù)據(jù)庫安全性》PPT課件》由會員分享，可在線閱讀，更多相關(guān)《《數(shù)據(jù)庫安全性》PPT課件（54頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、數(shù)據(jù)庫安全性,第九章,,數(shù)據(jù)庫安全性和完整性,數(shù)據(jù)庫安全性 保護數(shù)據(jù)庫防止惡意破壞和非法的存取 防范對象是非法用戶和非法操作 數(shù)據(jù)庫完整性 防止錯誤信息的輸入和輸出所造成的無效操作和錯誤結(jié)果 防范對象是不合語義的數(shù)據(jù) 兩者密切相關(guān),,數(shù)據(jù)庫安全性,要點 數(shù)據(jù)庫安全性的概念 數(shù)據(jù)庫安全性控制技術(shù),,9.1 計算機安全性概論,問題的提出 數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享，但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題 數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享是在DBMS統(tǒng)一的嚴(yán)格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù) 數(shù)據(jù)庫系統(tǒng)的安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標(biāo)之一 數(shù)據(jù)庫的安全性和計

2、算機系統(tǒng)的安全是緊密聯(lián)系、互相支持的,,數(shù)據(jù)庫安全性,什么是數(shù)據(jù)庫的安全性 數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。 什么是數(shù)據(jù)的保密 數(shù)據(jù)保密是指用戶合法地訪問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。 通過制訂法律道德準(zhǔn)則和政策法規(guī)來保證。,,計算機系統(tǒng)安全性,計算機系統(tǒng)安全性 為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等 三類安全性問題 技術(shù)安全類 管理安全類 政策法律類,,計算機系統(tǒng)的三類安全性問題,技術(shù)安全類 指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)

3、對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護，當(dāng)計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。,,計算機系統(tǒng)的三類安全性問題,管理安全 軟硬件意外故障、場地的意外事故、管理不善導(dǎo)致的計算機設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題 政策法律類 政府部門建立的有關(guān)計算機犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令,,計算機安全涉及問題,計算機系統(tǒng)本身的技術(shù)問題 計算機安全理論與策略，計算機安全技術(shù) 管理問題 安全管理，安全評價，安全產(chǎn)品 法學(xué) 計算機安全法律 犯罪學(xué) 計算機犯罪與偵察，安全監(jiān)察 心理學(xué),,可信計算機系統(tǒng)評測標(biāo)準(zhǔn),為降低進而消除對系統(tǒng)的安全攻

4、擊，各國引用或制定了一系列安全標(biāo)準(zhǔn) TCSEC (桔皮書) TDI (紫皮書),,Trusted Computer System Evaluation Criteria,1985年美國國防部（DoD）正式頒布 DoD可信計算機系統(tǒng)評估標(biāo)準(zhǔn) 簡稱TCSEC或DoD85，TCSEC又稱桔皮書 TCSEC標(biāo)準(zhǔn)的目的 提供一種標(biāo)準(zhǔn)，使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。 給計算機行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。,,Trusted Database Interpretation,1991年4月美國NCSC（國家計算機安全中心）頒布了可信

5、計算機系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋 簡稱TDI，又稱紫皮書 它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng) 定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需滿足和用以進行安全性級別評估的標(biāo)準(zhǔn),,TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容,TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標(biāo) 安全策略 責(zé)任 保證 文檔 每個方面又細(xì)分為若干項 教材P284,,TCSEC/TDI安全級別劃分,四組七個等級 按系統(tǒng)可靠或可信程度逐漸增高 各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。,,等級說明：D，C1,D級 將一切不符合更高標(biāo)

6、準(zhǔn)的系統(tǒng)均歸于D組 典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的機制來保障 C1級 非常初級的自主安全保護 能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控制（DAC），保護或限制用戶權(quán)限的傳播。,,等級說明：C2,C2級 安全產(chǎn)品的最低檔次 提供受控的存取保護，將C1級的DAC進一步細(xì)化，以個人身份注冊負(fù)責(zé)，并實施審計和資源隔離 達到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色 典型例子 操作系統(tǒng)：Microsoft的Windows NT 3.5，數(shù)字設(shè)備公司的Open VMS VAX 6.0和6.1 數(shù)據(jù)庫：Oracle公司的Oracle

7、 7，Sybase公司的 SQL Server 11.0.6,,等級說明：B1,B1級 標(biāo)記安全保護?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。 對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客體實施強制存取控制（MAC）、審計等安全機制 典型例子 操作系統(tǒng)：數(shù)字設(shè)備公司的SEVMS VAX Version 6.0，惠普公司的HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫：Oracle公司的Trusted Oracle 7，Sybase公司的Secure SQL Server version 11.0.6，Informix公司的Incorporated INFORMIX-

8、OnLine / Secure 5.0,,等級說明：B2,B2級 結(jié)構(gòu)化保護 建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC。 經(jīng)過認(rèn)證的B2級以上的安全系統(tǒng)非常稀少 典型例子 操作系統(tǒng)：只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品：只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品 數(shù)據(jù)庫：沒有符合B2標(biāo)準(zhǔn)的產(chǎn)品,,等級說明：B3，A1,B3級 安全域 該級的TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強，并提供系統(tǒng)恢復(fù)過程。 A1級 驗證設(shè)計，即提供B3

9、級保護的同時給出系統(tǒng)的形式化設(shè)計說明和驗證以確信各安全保護真正實現(xiàn),,說明,B2以上的系統(tǒng) 還處于理論研究階段 應(yīng)用多限于一些特殊的部門如軍隊等 美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。,,不同安全級別對安全指標(biāo)的支持,,,,,不支持,新增支持,支持同相鄰低一級,支持較下一級有增加或改動,,,9.2 數(shù)據(jù)庫安全性控制,計算機系統(tǒng)的安全模型,,,,,應(yīng)用,DBMS,OS,DB,,,,低,高,安全性控制層次,方法：,用戶標(biāo)識 和鑒定,存取控制 審計 視圖,操作系統(tǒng) 安全保護,密碼存儲,,非法使用數(shù)據(jù)庫的情況,用戶編寫一段合法的

10、程序繞過DBMS及其授權(quán)機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)； 直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作； 通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù) 例：某數(shù)據(jù)庫應(yīng)用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他? 破壞安全性的行為可能是無意的，故意的，惡意的,,數(shù)據(jù)庫安全性控制的常用方法,用戶標(biāo)識和鑒定 存取控制 視圖 審計 密碼存儲,,用戶標(biāo)識與鑒別,Identification & Authentication, 系統(tǒng)提供的最外層安全保護措施 基本方法 系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份； 系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識；

11、每次用戶要求進入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標(biāo)識； 通過鑒定后才提供機器使用權(quán)。 用戶標(biāo)識和鑒定可以重復(fù)多次,,用戶標(biāo)識自己的名字或身份,常用方法 用戶名/口令 簡單易行，容易被人竊取 每個用戶預(yù)先約定好一個計算過程或者函數(shù) 系統(tǒng)提供一個隨機數(shù) 用戶根據(jù)自己預(yù)先約定的計算過程或者函數(shù)進行計算 系統(tǒng)根據(jù)用戶計算結(jié)果是否正確鑒定用戶身份,,存取控制,存取控制機制的功能 確保只授權(quán)給有資格的用戶訪問DB的權(quán)限，同時令所有未被授權(quán)的人員無法接近數(shù)據(jù) 存取控制機制的組成 定義存取權(quán)限 檢查存取權(quán)限 用戶權(quán)限定義和合法權(quán)檢查機制一起組成了DBMS的安全子系統(tǒng),,存取控制,定義存取權(quán)限 在數(shù)據(jù)庫系統(tǒng)中，

12、為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對每個用戶定義存取權(quán)限。 檢查存取權(quán)限 對于通過鑒定獲得上機權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對他的各種操作請求進行控制，確保他只執(zhí)行合法操作。,,常用存取控制方法,自主存取控制 DAC （Discretionary Access Control ）， C2級， 靈活 同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限，不同的用戶對同一對象也有不同的權(quán)限，用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶 強制存取控制 MAC（Mandatory Access Control）， B1級，嚴(yán)格 每一個數(shù)據(jù)對象被標(biāo)以一定的密級，每一個用戶也被授予某一個級

13、別的許可證，對于任意一個對象，只有具有合法許可證的用戶才可以存取,,自主存取控制方法,定義存取權(quán)限 存取權(quán)限： 存取權(quán)限由兩個要素組成（數(shù)據(jù)對象，操作類型） 關(guān)系系統(tǒng)中的存取權(quán)限：類型,,定義方法,定義方法：GRANT/REVOKE,例: 一張授權(quán)表 用戶名 數(shù)據(jù)對象名 允許的操作類型 王 平 關(guān)系Student SELECT 張明霞 關(guān)系Student UPDATE 張明霞 關(guān)系Course ALL 張明霞 SC. Grade UPDATE 張明霞 SC. Sno SELECT 張明霞 SC. Cno SELECT,,檢查存取權(quán)限,檢查存取權(quán)限 對于獲得

14、上機權(quán)后又進一步發(fā)出存取數(shù)據(jù)庫操作的用戶 DBMS查找數(shù)據(jù)字典，根據(jù)其存取權(quán)限對操作的合法性進行檢查 若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作,,授權(quán)粒度,授權(quán)粒度：指可以定義的數(shù)據(jù)對象的范圍 它是衡量授權(quán)機制是否靈活的一個重要指標(biāo) 授權(quán)定義中數(shù)據(jù)對象的粒度越細(xì)，即可以定義的數(shù)據(jù)對象的范圍越小，授權(quán)子系統(tǒng)就越靈活，但系統(tǒng)定義與檢查權(quán)限的開銷會相應(yīng)增大 能否提供與數(shù)據(jù)值有關(guān)的授權(quán)反映了授權(quán)子系統(tǒng)精巧程度 關(guān)系數(shù)據(jù)庫中授權(quán)的數(shù)據(jù)對象粒度 數(shù)據(jù)庫， 表， 屬性列， 行,,實現(xiàn)與數(shù)據(jù)值有關(guān)的授權(quán),實現(xiàn)與數(shù)據(jù)值有關(guān)的授權(quán) 利用存取謂詞 存取謂詞可以很復(fù)雜 可以引用系統(tǒng)變量，如終端設(shè)備號，系

15、統(tǒng)時鐘等，實現(xiàn)與時間地點有關(guān)的存取權(quán)限，這樣用戶只能在某段時間內(nèi)，某臺終端上存取有關(guān)數(shù)據(jù) 例：規(guī)定“教師只能在每年1月份和7月份星期一至星期五上午8點到下午5點處理學(xué)生成績數(shù)據(jù)”。,,自主存取控制方法,例：擴充后的授權(quán)表 用戶名 數(shù)據(jù)對象名 允許的操作類型 存取謂詞 王平 關(guān)系Student SELECT Sdept=CS 張明霞 關(guān)系Student UPDATE Sname=張明霞 張明霞 關(guān)系 Course ALL 空,,,,,,,,自主存取控制小結(jié),機制： 定義存取權(quán)限：用戶 檢查存取權(quán)限：DBMS 優(yōu)點：能夠通過授權(quán)機制有效地控制其他用戶對敏感數(shù)據(jù)的存取 缺點

16、：可能存在數(shù)據(jù)的“無意泄露” 原因：這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來進行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記。 解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略,,強制存取控制方法,強制存取控制(MAC)： 指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強制存取檢查手段 MAC不是用戶能直接感知或進行控制的 MAC適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門 軍事部門， 政府部門,,主體與客體,在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類 主體是系統(tǒng)中的活動實體 DBMS所管理的實際用戶 代表用戶的各進程 客體是系統(tǒng)中的被動實體，是受主體操縱的

17、文件， 基表， 索引， 視圖,,敏感度標(biāo)記（Label）,對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標(biāo)記 若干敏感度標(biāo)記級別：絕密，機密， 可信，公開 主體的敏感度標(biāo)記稱為許可證級別，客體的敏感度標(biāo)記稱為密級 MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體,,強制存取控制規(guī)則,當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則： （1）僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體； （2）僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體。,,修正規(guī)則,修

18、正規(guī)則： 主體的許可證級別 <=客體的密級，主體能寫客體 用戶可為寫入的數(shù)據(jù)對象賦予高于自己的許可證級別的密級 一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對象了 規(guī)則的共同點 禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象，從而防止了敏感數(shù)據(jù)的泄密,,強制存取控制的特點,MAC是對數(shù)據(jù)本身進行密級標(biāo)記 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個不可分的整體 只有符合密級標(biāo)記要求的用戶才可以操縱數(shù)據(jù) 從而提供了更高級別的安全性,,MAC與DAC,DAC與MAC共同構(gòu)成DBMS的安全機制 原因：較高安全性級別提供的安全保護要包含較低級別的所有保護 先進行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進行M

19、AC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。,,視圖機制,視圖機制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來， 視圖機制更主要的功能在于提供數(shù)據(jù)獨立性，其安全保護功能太不精細(xì)，往往遠(yuǎn)不能達到應(yīng)用系統(tǒng)的要求,,視圖機制與授權(quán)機制配合使用,方法 首先用視圖機制屏蔽掉一部分保密數(shù)據(jù) 視圖上面再進一步定義存取權(quán)限 間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義,例：王平只能檢索計算機系學(xué)生的信息：先建立計算機系學(xué)生的視圖CS_Student，在視圖上進一步定義存取權(quán)限,GRANT SELECT ON CS_Student TO 王平 ；,CREATE VIEW CS_Student AS SELECT

20、FROM Student WHERE Sdept=CS；,,審計,審計：Audit 啟用一個專用的審計日志（Audit Log）， 將用戶對數(shù)據(jù)庫的所有操作記錄在上面 DBA可以利用審計日志中的追蹤信息，找出非法存取數(shù)據(jù)的人 C2以上安全級別的DBMS必須具有審計功能 審計功能的可選性 審計很費時間和空間 DBA可以根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉審計功能,,數(shù)據(jù)加密,數(shù)據(jù)加密 防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段 加密的基本思想 根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，Plain text）變換為不可直接識別的格式（術(shù)語為密文，Cipher text） 不知道解密算法的人無法獲

21、知數(shù)據(jù)的內(nèi)容,,加密方法,替換方法 使用密鑰（Encryption Key）將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符 置換方法 將明文的字符按不同的順序重新排列 混合方法 美國1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，簡稱DES）,,數(shù)據(jù)加密（續(xù)）,DBMS中的數(shù)據(jù)加密 有些數(shù)據(jù)庫產(chǎn)品提供了數(shù)據(jù)加密例行程序 有些數(shù)據(jù)庫產(chǎn)品本身未提供加密程序，但提供了接口 數(shù)據(jù)加密功能通常也作為可選特征，允許用戶自由選擇 數(shù)據(jù)加密與解密是比較費時的操作 數(shù)據(jù)加密與解密程序會占用大量系統(tǒng)資源 應(yīng)該只對高度機密的數(shù)據(jù)加密,,9.3 統(tǒng)計數(shù)據(jù)庫安全性,統(tǒng)計數(shù)據(jù)庫的

22、特點 允許用戶查詢聚集類型的信息（例如合計、平均值等） 不允許查詢單個記錄信息 例：允許查詢“程序員的平均工資是多少？”,不允許查詢“程序員張勇的工資？” 統(tǒng)計數(shù)據(jù)庫中特殊的安全性問題 隱蔽的信息通道 從合法的查詢中推導(dǎo)出不合法的信息,,統(tǒng)計數(shù)據(jù)庫安全性,例1：下面兩個查詢都是合法的： 1本公司共有多少女高級程序員？ 2本公司女高級程序員的工資總額是多少？ 如果第一個查詢的結(jié)果是“1”， 那么第二個查詢的結(jié)果顯然就是這個程序員的工資數(shù)。 規(guī)則1：任何查詢至少要涉及N(N足夠大)個以上的記錄,,統(tǒng)計數(shù)據(jù)庫安全性,例2：用戶A發(fā)出下面兩個合法查詢： 1用戶A和其他N個程序員的工資總額是多少？ 2用

23、戶B和其他N個程序員的工資總額是多少？ 若第一個查詢的結(jié)果是X，第二個查詢的結(jié)果是Y， 由于用戶A知道自己的工資是Z， 那么他可以計算出用戶B的工資=Y-(X-Z)。 原因：兩個查詢之間有很多重復(fù)的數(shù)據(jù)項 規(guī)則2：任意兩個查詢的相交數(shù)據(jù)項不能超過M個,,統(tǒng)計數(shù)據(jù)庫安全性（續(xù)）,可以證明，在上述兩條規(guī)定下，如果想獲知用戶B的工資額, A至少需要進行1+(N-2)/M次查詢 規(guī)則3：任一用戶的查詢次數(shù)不能超過1+(N-2)/M 如果兩個用戶合作查詢就可以使這一規(guī)定失效 數(shù)據(jù)庫安全機制的設(shè)計目標(biāo)： 試圖破壞安全的人所花費的代價 得到的利益,,小結(jié),實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性的技術(shù)和方法有多種，最重要的是存取控制技術(shù)和審計技術(shù)。 目前許多大型DBMS 達到了C2級，其安全版本達到了B1 C2級的DBMS必須具有自主存取控制功能和初步的審計功能 B1級的DBMS必須具有強制存取控制和增強的審計功能 自主存取控制功能一般是通過SQL 的GRANT語句和REVOKE語句來實現(xiàn)的,,