第章 數(shù)據(jù)庫安全性

《第章 數(shù)據(jù)庫安全性》由會員分享，可在線閱讀，更多相關(guān)《第章 數(shù)據(jù)庫安全性（140頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、數(shù)據(jù)庫系統(tǒng)概論數(shù)據(jù)庫系統(tǒng)概論An Introduction to Database System第九章第九章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性第九章第九章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性n 問題的提出n數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享n但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題n數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例：軍事秘密、 國家機密、 新產(chǎn)品實驗數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、 醫(yī)療檔案、 銀行儲蓄數(shù)據(jù)數(shù)據(jù)庫安全性（續(xù)）數(shù)據(jù)庫安全性（續(xù)）n數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴(yán)格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù)n數(shù)據(jù)庫系統(tǒng)的安全保護(hù)措施是否有效是

2、數(shù)據(jù)庫系統(tǒng)主要的性能指標(biāo)之一數(shù)據(jù)庫安全性（續(xù)）數(shù)據(jù)庫安全性（續(xù)）n什么是數(shù)據(jù)庫的安全性n數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。n什么是數(shù)據(jù)的保密n數(shù)據(jù)保密是指用戶合法地訪問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。n通過制訂法律道德準(zhǔn)則和政策法規(guī)來保證。第九章第九章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性9.1 計算機安全性概論9.2 數(shù)據(jù)庫安全性控制9.3 統(tǒng)計數(shù)據(jù)庫安全性9.4 Oracle數(shù)據(jù)庫的安全性措施9.5 小結(jié)第九章第九章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性9.1 計算機安全性概論9.2 數(shù)據(jù)庫安全性控制9.3 統(tǒng)計數(shù)據(jù)庫安全性9.4 Oracle數(shù)據(jù)庫的安全性措施9.5

3、 小結(jié)9.1 計算機安全性概論計算機安全性概論9.1 計算機安全性概論計算機安全性概論 n什么是計算機系統(tǒng)安全性n為計算機系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。計算機系統(tǒng)的三類安全性問題（續(xù)）計算機系統(tǒng)的三類安全性問題（續(xù)） n計算機安全涉及問題n計算機系統(tǒng)本身的技術(shù)問題n計算機安全理論與策略n計算機安全技術(shù)n管理問題n安全管理n安全評價n安全產(chǎn)品計算機系統(tǒng)的三類安全性問題（續(xù)）計算機系統(tǒng)的三類安全性問題（續(xù)） n計算機安全涉及問題(續(xù))n法學(xué)n計算機安全法律n犯罪學(xué)n計算機犯罪與偵察n安全監(jiān)察n心

4、理學(xué)計算機系統(tǒng)的三類安全性問題（續(xù)）計算機系統(tǒng)的三類安全性問題（續(xù)） n三類計算機系統(tǒng)安全性問題n技術(shù)安全類n管理安全類n政策法律類計算機系統(tǒng)的三類安全性問題（續(xù)）計算機系統(tǒng)的三類安全性問題（續(xù)） n技術(shù)安全n指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。計算機系統(tǒng)的三類安全性問題（續(xù)）計算機系統(tǒng)的三類安全性問題（續(xù)） n管理安全n軟硬件意外故障、場地的意外事故、管理不善導(dǎo)致的計算機設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題計算機系統(tǒng)的三類安全性問題（續(xù)）計算機

5、系統(tǒng)的三類安全性問題（續(xù)） n政策法律類n政府部門建立的有關(guān)計算機犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令9.1 計算機安全性概論計算機安全性概論n為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn)nTCSEC (桔皮書)nTDI (紫皮書)可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）n1985年美國國防部（DoD）正式頒布 DoD可信計算機系統(tǒng)評估標(biāo)準(zhǔn)（簡稱TCSEC或DoD85）nTCSEC又稱桔皮書nTCSEC標(biāo)準(zhǔn)的目的n提供一種標(biāo)準(zhǔn)，使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。n給計算機行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好

6、地滿足敏感應(yīng)用的安全需求?？尚庞嬎銠C系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）n1991年4月美國NCSC（國家計算機安全中心）頒布了可信計算機系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋（ Trusted Database Interpretation 簡稱TDI）nTDI又稱紫皮書。它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)。nTDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需滿足和用以進(jìn)行安全性級別評估的標(biāo)準(zhǔn)?？尚庞嬎銠C系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）nTDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容nTDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標(biāo)n安全策略n責(zé)任n保證n文檔可信計算機系統(tǒng)評測

7、標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）nR1 安全策略（Security Policy） R1.1 自主存取控制 （Discretionary Access Control，簡記為DAC） R1.2 客體重用（Object Reuse） R1.3 標(biāo)記（Labels） R1.4 強制存取控制（Mandatory Access Control，簡記為MAC）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）nR2 責(zé)任（Accountability） R2.1 標(biāo)識與鑒別（Identification & Authentication） R2.2 審計（Audit）nR3 保證（Assur

8、ance） R3.1 操作保證（Operational Assurance） R3.2 生命周期保證（Life Cycle Assurance）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）nR4 文檔（Documentation） R4.1 安全特性用戶指南（Security Features Users Guide） R4.2 可信設(shè)施手冊（Trusted Facility Manual） R4.3 測試文檔（Test Documentation） R4.4 設(shè)計文檔（Design Documentation）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)） nTCSEC

9、/TDI安全級別劃分安安 全全 級級 別別 定定 義義A1驗證設(shè)計（驗證設(shè)計（Verified Design） B3安全域（安全域（Security Domains） B2結(jié)構(gòu)化保護(hù)（結(jié)構(gòu)化保護(hù)（Structural Protection） B1標(biāo)記安全保護(hù)（標(biāo)記安全保護(hù)（Labeled Security Protection） C2受控的存取保護(hù)受控的存取保護(hù)（Controlled Access Protection） C1自主安全保護(hù)自主安全保護(hù)（Discretionary Security Protection） D最小保護(hù)（最小保護(hù)（Minimal Protection）可信計算機系統(tǒng)

10、評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）n四組(division)七個等級n Dn C（C1，C2）n B（B1，B2，B3）n A（A1）n按系統(tǒng)可靠或可信程度逐漸增高n各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù)要求，同時提供更多或更完善的保護(hù)能力?？尚庞嬎銠C系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）nD級n將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組n典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng)n DOS在安全性方面幾乎沒有什么專門的機制來保障可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）nC1級n非常初級的自主安全保護(hù)n能夠?qū)崿F(xiàn)對

11、用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播?？尚庞嬎銠C系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）nC2級n安全產(chǎn)品的最低檔次n提供受控的存取保護(hù)，將C1級的DAC進(jìn)一步細(xì)化，以個人身份注冊負(fù)責(zé)，并實施審計和資源隔離n達(dá)到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）n典型例子n 操作系統(tǒng)nMicrosoft的Windows NT 3.5，n數(shù)字設(shè)備公司的n 數(shù)據(jù)庫nOracle公司的Oracle 7可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）nB1級n標(biāo)記安全保護(hù)。“安全”

12、(Security)或“可信的”(Trusted)產(chǎn)品。n對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客體實施強制存取控制（MAC）、審計等安全機制可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）n典型例子n 操作系統(tǒng)n數(shù)字設(shè)備公司的SEVMS VAX Version 6.0n 數(shù)據(jù)庫nOracle公司的Trusted Oracle 7nInformix公司的Incorporated INFORMIX-OnLine / Secure 5.0可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）nB2級n結(jié)構(gòu)化保護(hù)n建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC。n經(jīng)過認(rèn)

13、證的B2級以上的安全系統(tǒng)非常稀少可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）n典型例子n 操作系統(tǒng)n只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品n 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品n只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品n 數(shù)據(jù)庫n沒有符合B2標(biāo)準(zhǔn)的產(chǎn)品可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）nB3級n安全域。n該級的TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強，并提供系統(tǒng)恢復(fù)過程?？尚庞嬎銠C系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）nA1級n驗證設(shè)計，即提供B3級保

14、護(hù)的同時給出系統(tǒng)的形式化設(shè)計說明和驗證以確信各安全保護(hù)真正實現(xiàn)?？尚庞嬎銠C系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）nB2以上的系統(tǒng)n還處于理論研究階段n應(yīng)用多限于一些特殊的部門如軍隊等n美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)?？尚庞嬎銠C系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)） 表示該級不提供對該指標(biāo)的支持； 表示該級新增的對該指標(biāo)的支持； 表示該級對該指標(biāo)的支持與相鄰低一級的 等級一樣； 表示該級對該指標(biāo)的支持較下一級有所增 加或改動。第九章第九章 數(shù)據(jù)庫

15、安全性數(shù)據(jù)庫安全性9.1 計算機安全性概論9.2 數(shù)據(jù)庫安全性控制9.3 統(tǒng)計數(shù)據(jù)庫安全性9.4 Oracle數(shù)據(jù)庫的安全性措施9.5 小結(jié)9.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制n非法使用數(shù)據(jù)庫的情況n用戶編寫一段合法的程序繞過DBMS及其授權(quán)機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)；n直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作；數(shù)據(jù)庫安全性控制概述（續(xù)）數(shù)據(jù)庫安全性控制概述（續(xù)）n通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù) 例：某數(shù)據(jù)庫應(yīng)用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內(nèi)的一組人的平均工資 然后查用自己替換張

16、三后這組人的平均工資 從而推導(dǎo)出張三的工資n破壞安全性的行為可能是無意的，故意的，惡意的。計算機系統(tǒng)中的安全模型計算機系統(tǒng)中的安全模型 應(yīng)用應(yīng)用DBMSOS DB 低低 高高安全性控制層次安全性控制層次 方法：方法： 用戶標(biāo)識用戶標(biāo)識和鑒定和鑒定 存取控制存取控制審計審計視圖視圖 操作系統(tǒng)操作系統(tǒng) 安全保護(hù)安全保護(hù) 密碼存儲密碼存儲 數(shù)據(jù)庫安全性控制概述（續(xù)）數(shù)據(jù)庫安全性控制概述（續(xù)）n數(shù)據(jù)庫安全性控制的常用方法n用戶標(biāo)識和鑒定n存取控制n視圖n審計n密碼存儲9.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制n用戶標(biāo)識與鑒別（Identification & Authentication）n系統(tǒng)提供的最

17、外層安全保護(hù)措施基本方法n系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份；n系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識；n每次用戶要求進(jìn)入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標(biāo)識；n通過鑒定后才提供機器使用權(quán)。n用戶標(biāo)識和鑒定可以重復(fù)多次用戶標(biāo)識自己的名字或身份用戶標(biāo)識自己的名字或身份n用戶名/口令n簡單易行，容易被人竊取n每個用戶預(yù)先約定好一個計算過程或者函數(shù)n系統(tǒng)提供一個隨機數(shù)n用戶根據(jù)自己預(yù)先約定的計算過程或者函數(shù)進(jìn)行計算n系統(tǒng)根據(jù)用戶計算結(jié)果是否正確鑒定用戶身份9.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制n存取控制機制的功能n存取控制機制的組成n 定義存取權(quán)限n 檢查存取權(quán)限用戶權(quán)限定義和合法權(quán)檢查機制一

18、起組成了DBMS的安全子系統(tǒng)存取控制（續(xù)）存取控制（續(xù)）n定義存取權(quán)限n在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對每個用戶定義存取權(quán)限。n檢查存取權(quán)限n對于通過鑒定獲得上機權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對他的各種操作請求進(jìn)行控制，確保他只執(zhí)行合法操作。存取控制（續(xù)）存取控制（續(xù)）n常用存取控制方法n自主存取控制（Discretionary Access Control ，簡稱DAC）n C2級n 靈活n強制存取控制（Mandatory Access Control，簡稱 MAC）n B1級n嚴(yán)格自主存取控制方法自主存取控制方法n同一用戶對于不同的數(shù)據(jù)對象

19、有不同的存取權(quán)限n不同的用戶對同一對象也有不同的權(quán)限n用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶強制存取控制方法強制存取控制方法n每一個數(shù)據(jù)對象被標(biāo)以一定的密級n每一個用戶也被授予某一個級別的許可證n對于任意一個對象，只有具有合法許可證的用戶才可以存取9.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制n定義存取權(quán)限n存取權(quán)限n 存取權(quán)限由兩個要素組成n數(shù)據(jù)對象n操作類型自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n關(guān)系系統(tǒng)中的存取權(quán)限n類型 數(shù)據(jù)對象操作類型模 式 模 式建立、修改、刪除、檢索外模式 建立、修改、刪除、檢索 內(nèi)模式建立、刪除、檢索數(shù) 據(jù) 表查找、插入、修改、刪除屬性列查找、插入、修改、刪除

20、自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n關(guān)系系統(tǒng)中的存取權(quán)限(續(xù))n定義方法nGRANT/REVOKE自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n關(guān)系系統(tǒng)中的存取權(quán)限(續(xù))n例: 一張授權(quán)表 用戶名 數(shù)據(jù)對象名 允許的操作類型 王 平 關(guān)系Student SELECT 張明霞 關(guān)系Student UPDATE 張明霞 關(guān)系Course ALL 張明霞 SC. Grade UPDATE 張明霞 SC. Sno SELECT 張明霞 SC. Cno SELECT自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n檢查存取權(quán)限n對于獲得上機權(quán)后又進(jìn)一步發(fā)出存取數(shù)據(jù)庫操作的用戶nDBMS查找數(shù)據(jù)字典

21、，根據(jù)其存取權(quán)限對操作的合法性進(jìn)行檢查n若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n 授權(quán)粒度n授權(quán)粒度是指可以定義的數(shù)據(jù)對象的范圍n它是衡量授權(quán)機制是否靈活的一個重要指標(biāo)。n授權(quán)定義中數(shù)據(jù)對象的粒度越細(xì)，即可以定義的數(shù)據(jù)對象的范圍越小，授權(quán)子系統(tǒng)就越靈活。自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n關(guān)系數(shù)據(jù)庫中授權(quán)的數(shù)據(jù)對象粒度n 數(shù)據(jù)庫n 表n 屬性列n 行n能否提供與數(shù)據(jù)值有關(guān)的授權(quán)反映了授權(quán)子系統(tǒng)精巧程度自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n實現(xiàn)與數(shù)據(jù)值有關(guān)的授權(quán)n利用存取謂詞n存取謂詞可以很復(fù)雜n可以引用系統(tǒng)變量，如終

22、端設(shè)備號，系統(tǒng)時鐘等，實現(xiàn)與時間地點有關(guān)的存取權(quán)限，這樣用戶只能在某段時間內(nèi)，某臺終端上存取有關(guān)數(shù)據(jù) 例：規(guī)定“教師只能在每年1月份和7月份星期一至星期五上午8點到下午5點處理學(xué)生成績數(shù)據(jù)”。自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）例：擴充后的授權(quán)表 用戶名 數(shù)據(jù)對象名 允許的操作類型 存取謂詞王平 關(guān)系Student SELECT Sdept=CS張明霞 關(guān)系Student UPDATE Sname=張明霞張明霞 關(guān)系 Course ALL 空自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n自主存取控制小結(jié)n定義存取權(quán)限n用戶n檢查存取權(quán)限nDBMS自主存取控制方法（續(xù)）自主存取控制方法（

23、續(xù)）n自主存取控制小結(jié)(續(xù))n授權(quán)粒度n數(shù)據(jù)對象粒度：數(shù)據(jù)庫、表、屬性列、行n數(shù)據(jù)值粒度：存取謂詞n授權(quán)粒度越細(xì)，授權(quán)子系統(tǒng)就越靈活，能夠提供的安全性就越完善。但另一方面，因數(shù)據(jù)字典變大變復(fù)雜，系統(tǒng)定義與檢查權(quán)限的開銷也會相應(yīng)地增大。自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n自主存取控制小結(jié)(續(xù))n優(yōu)點n能夠通過授權(quán)機制有效地控制其他用戶對敏感數(shù)據(jù)的存取自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n自主存取控制小結(jié)(續(xù))n缺點n可能存在數(shù)據(jù)的“無意泄露”n原因：這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記。 n解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略9

24、.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制n什么是強制存取控制n強制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強制存取檢查手段。nMAC不是用戶能直接感知或進(jìn)行控制的。nMAC適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門n 軍事部門n 政府部門強制存取控制方法（續(xù)）強制存取控制方法（續(xù)）n主體與客體n在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類n主體是系統(tǒng)中的活動實體n DBMS所管理的實際用戶n 代表用戶的各進(jìn)程n客體是系統(tǒng)中的被動實體，是受主體操縱的n 文件n 基表n 索引n 視圖強制存取控制方法（續(xù)）強制存取控制方法（續(xù)）n

25、敏感度標(biāo)記n 對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標(biāo)記（Label）n 敏感度標(biāo)記分成若干級別n 絕密（Top Secret）n 機密（Secret）n 可信（Confidential）n 公開（Public）強制存取控制方法（續(xù)）強制存取控制方法（續(xù)）n主體的敏感度標(biāo)記稱為許可證級別（Clearance Level）n客體的敏感度標(biāo)記稱為密級（Classification Level）nMAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體強制存取控制方法（續(xù)）強制存取控制方法（續(xù)）n 強制存取控制規(guī)則n當(dāng)某一用戶（或某一主體）以標(biāo)記la

26、bel注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則：（1）僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體；（2）僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體。強制存取控制方法（續(xù)）強制存取控制方法（續(xù)）n修正規(guī)則：n主體的許可證級別 得到的利益第九章第九章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性9.1 計算機安全性概論9.2 數(shù)據(jù)庫安全性控制9.3 統(tǒng)計數(shù)據(jù)庫安全性9.4 Oracle數(shù)據(jù)庫的安全性措施9.5 小結(jié)9.4 Oracle數(shù)據(jù)庫的安全性措施數(shù)據(jù)庫的安全性措施nORACLE的安全措施:n用戶標(biāo)識和鑒定n授權(quán)和檢查機制n審計技術(shù)n用戶通過觸發(fā)器靈

27、活定義自己的安全性措施一、一、ORACLE的用戶標(biāo)識和鑒定的用戶標(biāo)識和鑒定nORACLE允許用戶重復(fù)標(biāo)識三次n如果三次仍未通過，系統(tǒng)自動退出二、二、ORACLE的授權(quán)與檢查機制的授權(quán)與檢查機制nORACLE授權(quán)和檢查機制的特色nORACLE的權(quán)限包括系統(tǒng)權(quán)限和數(shù)據(jù)庫對象的權(quán)限n采用非集中式的授權(quán)機制n每個用戶授予與回收自己創(chuàng)建的數(shù)據(jù)庫對象的權(quán)限nDBA負(fù)責(zé)授予與回收系統(tǒng)權(quán)限，也可以授予與回收所有數(shù)據(jù)庫對象的權(quán)限n允許重復(fù)授權(quán)，即可將某一權(quán)限多次授予同一用戶，系統(tǒng)不會出錯n允許無效回收，即用戶不具有某權(quán)限，但回收此權(quán)限的操作仍是成功的。1.系統(tǒng)權(quán)限系統(tǒng)權(quán)限80多種系統(tǒng)權(quán)限n 創(chuàng)建會話n 創(chuàng)建表n

28、 創(chuàng)建視圖n 創(chuàng)建用戶系統(tǒng)權(quán)限（續(xù)）系統(tǒng)權(quán)限（續(xù)）nDBA在創(chuàng)建一個用戶時需要將其中的一些權(quán)限授予該用戶n角色n一組系統(tǒng)權(quán)限的集合，目的在于簡化權(quán)限管理。nORACLE允許DBA定義角色nORACLE提供的預(yù)定義角色n CONNECTn RESOURCEn DBA系統(tǒng)權(quán)限（續(xù)）系統(tǒng)權(quán)限（續(xù)）nCONNECT角色n允許用戶登錄數(shù)據(jù)庫并執(zhí)行數(shù)據(jù)查詢和操縱n ALTER TABLEn CREATE VIEW / INDEX n DROP TABLE / VIEW / INDEXn GRANT, REVOKEn INSERT, UPDATE, DELETEn SELETEn AUDIT / NOAUD

29、IT系統(tǒng)權(quán)限（續(xù)）系統(tǒng)權(quán)限（續(xù)）nRESOURCE角色n允許用戶建表，即執(zhí)行CREATE TABLE操作n由于創(chuàng)建表的用戶將擁有該表，因此他具有對該表的任何權(quán)限系統(tǒng)權(quán)限（續(xù)）系統(tǒng)權(quán)限（續(xù)）nDBA角色n允許用戶執(zhí)行授權(quán)命令，建表，對任何表的數(shù)據(jù)進(jìn)行操縱。nDBA角色涵蓋了前兩種角色，此外還可以執(zhí)行一些管理操作。nDBA角色擁有最高級別的權(quán)限。系統(tǒng)權(quán)限（續(xù)）系統(tǒng)權(quán)限（續(xù)）例：DBA建立一用戶U12后，欲將ALTER TABLE、CREATE VIEW、CREATE INDEX、DROP TABLE、DROP VIEW、DROP INDEX, GRANT,REVOKE、INSERT 、SELETE

30、、UPDATE、DELETE、AUDIT、NOAUDIT等系統(tǒng)權(quán)限授予U12 GRANT CONNECT TO U12; 這樣就可以省略十幾條GRANT語句ORACLE的授權(quán)與檢查機制（續(xù)）的授權(quán)與檢查機制（續(xù)）nORACLE的權(quán)限n 系統(tǒng)權(quán)限n 數(shù)據(jù)庫對象的權(quán)限2.數(shù)據(jù)庫對象的權(quán)限數(shù)據(jù)庫對象的權(quán)限ORACLE可以授權(quán)的數(shù)據(jù)庫對象n 基本表n 視圖n 序列n 同義詞n 存儲過程n 函數(shù)數(shù)據(jù)庫對象的權(quán)限（續(xù)）數(shù)據(jù)庫對象的權(quán)限（續(xù)）n基本表的安全性級別n 表級n 行級n 列級數(shù)據(jù)庫對象的權(quán)限（續(xù)）數(shù)據(jù)庫對象的權(quán)限（續(xù)）n表級權(quán)限n ALTER： 修改表定義n DELETE：刪除表記錄n INDEX

31、： 在表上建索引n INSERT： 向表中插入數(shù)據(jù)記錄n SELECT：查找表中記錄n UPDATE：修改表中的數(shù)據(jù)n ALL：上述所有權(quán)限數(shù)據(jù)庫對象的權(quán)限（續(xù)）數(shù)據(jù)庫對象的權(quán)限（續(xù)）n 表級授權(quán)使用GRANTREVOKE語句 例： GRANT SELECT ON SC TO U12;數(shù)據(jù)庫對象的權(quán)限（續(xù)）數(shù)據(jù)庫對象的權(quán)限（續(xù)）n行級安全性n ORACLE行級安全性由視圖間接實現(xiàn)數(shù)據(jù)庫對象的權(quán)限（續(xù)）數(shù)據(jù)庫對象的權(quán)限（續(xù)）例：用戶U1只允許用戶U12查看自己創(chuàng)建的Student表中有關(guān)信息系學(xué)生的信息，則首先創(chuàng)建視圖信息系學(xué)生視圖S_IS： CREATE VIEW S_IS AS SELECT

32、 Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept=IS; 然后將關(guān)于該視圖的SELECT權(quán)限授予U12用戶： GRANT SELECT ON S_IS TO U12;數(shù)據(jù)庫對象的權(quán)限（續(xù)）數(shù)據(jù)庫對象的權(quán)限（續(xù)）n列級安全性n 實現(xiàn)方法n 由視圖間接實現(xiàn)n 直接在基本表上定義數(shù)據(jù)庫對象的權(quán)限（續(xù)）數(shù)據(jù)庫對象的權(quán)限（續(xù)）n列級安全性(續(xù))n借助視圖實現(xiàn)列級安全性CREATE VIEW S_V AS SELECT Sno.Sname FROM Student； GRANT SELECT ON S_V TO U12;數(shù)據(jù)庫對象的權(quán)限（續(xù)）數(shù)據(jù)庫對象

33、的權(quán)限（續(xù)）n列級安全性(續(xù))n 直接在基本表上定義列級安全性 例：GRANT UPDATE(Sno,Cno) ON SC TO U12;數(shù)據(jù)庫對象的權(quán)限（續(xù)）數(shù)據(jù)庫對象的權(quán)限（續(xù)）n上一級對象的權(quán)限制約下一級對象的權(quán)限 例：當(dāng)一個用戶擁有了對某個表的UPDATE權(quán)限 相當(dāng)于在表的所有列了都擁有 UPDATE 權(quán)限數(shù)據(jù)庫對象的權(quán)限（續(xù)）數(shù)據(jù)庫對象的權(quán)限（續(xù)）ORACLE對數(shù)據(jù)庫對象的權(quán)限采用分散控制方式n允許具有WITH GRANT OPTION的用戶把相應(yīng)權(quán)限或其子集傳遞授予其他用戶ORACLE不允許循環(huán)授權(quán) U1 U2 U3 U4 ORACLE的授權(quán)與檢查機制（續(xù)）的授權(quán)與檢查機制（續(xù)）n

34、ORACLE的權(quán)限信息記錄在數(shù)據(jù)字典中n當(dāng)用戶進(jìn)行數(shù)據(jù)庫操作時nORACLE首先根據(jù)數(shù)據(jù)字典中的權(quán)限信息，檢查操作的合法性9.4 Oracle數(shù)據(jù)庫的安全性措施數(shù)據(jù)庫的安全性措施nORACLE的安全措施:n用戶標(biāo)識和鑒定n授權(quán)和檢查機制n審計技術(shù)n用戶通過觸發(fā)器靈活定義自己的安全性措施三、三、ORACLE的審計技術(shù)的審計技術(shù)n審計分類n用戶級審計n系統(tǒng)級審計三、三、ORACLE的審計技術(shù)的審計技術(shù)n 用戶級審計n由用戶設(shè)置n用戶針對自己創(chuàng)建的數(shù)據(jù)庫表或視圖進(jìn)行審計n審計內(nèi)容n所有用戶對這些表或視圖的一切成功和或不成功的訪問要求n所有用戶對這些表或視圖的各類SQL操作ORACLE的審計技術(shù)的審計

35、技術(shù)(續(xù)續(xù))n系統(tǒng)級審計nDBA設(shè)置n審計對象和內(nèi)容n成功或失敗的登錄要求nGRANT和REVOKE操作n其他數(shù)據(jù)庫級權(quán)限下的操作ORACLE的的審計設(shè)置審計設(shè)置 可以自由設(shè)置nAUDIT：設(shè)置審計功能 例： AUDIT ALTER,UPDATE ON SC;n NOAUDIT：取消審計功能 例： NOAUDIT ALL ON SC;n 對哪些表進(jìn)行審計n 對哪些操作進(jìn)行審計ORACLE的審計技術(shù)（續(xù)）的審計技術(shù)（續(xù)）n與審計功能有關(guān)的數(shù)據(jù)字典表n SYS.TABLES：審計設(shè)置n SYS.AUDIT_TRAIL：審計內(nèi)容nSYSTEM.AUDIT_ACTIONORACLE的審計技術(shù)（續(xù)）的審

36、計技術(shù)（續(xù)）n SYS.TABLES：nTAB$NAME: 表名；nTAB$OWNER：表的擁有者（即創(chuàng)建者）TAB$AUDIT： 審計設(shè)置9.4 Oracle數(shù)據(jù)庫的安全性措施數(shù)據(jù)庫的安全性措施nORACLE的安全措施:n用戶標(biāo)識和鑒定n授權(quán)和檢查機制n審計技術(shù)n用戶通過觸發(fā)器靈活定義自己的安全性措施四、用戶定義的安全性措施四、用戶定義的安全性措施n用數(shù)據(jù)庫級觸發(fā)器定義用戶級安全性例：規(guī)定只能在工作時間內(nèi)更新Student表 可以定義如下觸發(fā)器： 用戶定義的安全性措施（續(xù)）用戶定義的安全性措施（續(xù)）CREATE OR REPLACE TRIGGER secure_studentBEFORE

37、INSERT OR UPDATE OR DELETE ON Student BEGIN IF (TO_CHAR(sysdate,DY) IN (SAT,SUN) OR (TO_NUMBER(sysdate,HH24) NOT BETWEEN 8 AND 17) THEN RAISE_APPLICATION_ERROR(-20506, You may only change data during normal business hours.) END IF;END; 用戶定義的安全性措施（續(xù)）用戶定義的安全性措施（續(xù)）n觸發(fā)器存放在數(shù)據(jù)字典中n用戶每次對Student表執(zhí)行INSERT、UPD

38、ATE或DELETE自動觸發(fā)該觸發(fā)器n系統(tǒng)檢查當(dāng)時的系統(tǒng)時間，如是周六或周日，或者不是8點至17點，系統(tǒng)會拒絕執(zhí)行用戶的更新操作，并提示出錯信息。用戶定義的安全性措施（續(xù)）用戶定義的安全性措施（續(xù)）n利用觸發(fā)器進(jìn)一步細(xì)化審計規(guī)則，使審計操作的粒度更細(xì)第九章第九章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性9.1 計算機安全性概論9.2 數(shù)據(jù)庫安全性控制9.3 統(tǒng)計數(shù)據(jù)庫安全性9.4 Oracle數(shù)據(jù)庫的安全性措施9.5 小結(jié)9.5 小結(jié)小結(jié)n隨著計算機網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)的共享日益加強，數(shù)據(jù)的安全保密越來越重要nDBMS是管理數(shù)據(jù)的核心，因而其自身必須具有一整套完整而有效的安全性機制。小結(jié)（續(xù)）小結(jié)（續(xù)）n可信計算機系統(tǒng)評測標(biāo)準(zhǔn)TCSEC/TDI是目前各國所引用或制定的一系列安全標(biāo)準(zhǔn)中最重要的一個。 nCSEC/TDI從安全策略、責(zé)任、保證和文檔四個方面描述了安全性級別的指標(biāo)小結(jié)（續(xù)）小結(jié)（續(xù)）n實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性的技術(shù)和方法有多種，最重要的是存取控制技術(shù)和審計技術(shù)。n目前許多大型DBMS 達(dá)到了C2級，其安全版本達(dá)到了B1nC2級的DBMS必須具有自主存取控制功能和初步的審計功能nB1級的DBMS必須具有強制存取控制和增強的審計功能n自主存取控制功能一般是通過SQL 的GRANT語句和REVOKE語句來實現(xiàn)的 下課了。下課了。休息一會兒。休息一會兒。