《數(shù)據(jù)庫安全性》PPT課件.pptx

《《數(shù)據(jù)庫安全性》PPT課件.pptx》由會員分享，可在線閱讀，更多相關(guān)《《數(shù)據(jù)庫安全性》PPT課件.pptx（69頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、劉銘?zhàn)┑?四 章 數(shù) 據(jù) 庫 安 全 性數(shù)據(jù)庫系統(tǒng)概論 數(shù)據(jù)庫安全性概述視圖機制 數(shù)據(jù)庫安全性控制審計數(shù)據(jù)加密 其他安全性保護 第1節(jié) 1.1 數(shù)據(jù)庫安全性概述 問題的提出 數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享 數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題 數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例： 軍事秘密、國家機密、新產(chǎn)品實驗數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù) 第1節(jié) 1.1 數(shù)據(jù)庫安全性概述 數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫以防止不合法使用所造成的數(shù)據(jù)泄露、更改或破壞 。 系統(tǒng)安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標之一。 數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS

2、統(tǒng)一的嚴格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù) 數(shù)據(jù)保密是指用戶合法地訪問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。 通過制訂法律道德準則和政策法規(guī)來保證。 第1節(jié) 1.2 數(shù)據(jù)庫的不安全因素 數(shù)據(jù)庫的不安全因素 非授權(quán)用戶對數(shù)據(jù)庫的惡意存取和破壞 數(shù)據(jù)庫中重要或敏感的數(shù)據(jù)被泄露 安全環(huán)境的脆弱性 第1節(jié) 1.3 安全標準簡介 1985年美國國防部（DoD）正式頒布DoD可信計算機系統(tǒng)評估準則（簡稱TCSEC或DoD85） 不同國家建立在TCSEC概念上的評估準則 歐洲的信息技術(shù)安全評估準則（ITSEC） 加拿大的可信計算機產(chǎn)品評估準則（CTCPEC） 美國的信息技術(shù)安全聯(lián)

3、邦標準（FC） 第1節(jié) 1.3 安全標準簡介 1993年，CTCPEC、FC、TCSEC和ITSEC聯(lián)合行動，解決原標準中概念和技術(shù)上的差異，稱為CC（Common Criteria）項目 1999年 CC V2.1版被ISO采用為國際標準 2001年 CC V2.1版被我國采用為國家標準目前CC已基本取代了TCSEC，成為評估信息產(chǎn)品安全性的主要標準。 第1節(jié) 1.3 安全標準簡介 TCSEC標準 1991年4月美國NCSC（國家計算機安全中心）頒布了可信計算機系統(tǒng)評估標準關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋（ Trusted Database Interpretation 簡稱TDI） TDI又稱紫皮

4、書。它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng) TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需滿足和用以進行安全性級別評估的標準 第1節(jié) 1.3 安全標準簡介 TCSEC/TDI標準的基本內(nèi)容TCSEC/TDI，從四個方面來描述安全性級別劃分的指標 R1安全策略a) R1.1 自主存取控制 （Discretionary Access Control，簡記為DAC）b) R1.2 客體重用（Object Reuse） c) R1.3 標記（Labels）d) R1.4 強制存取控制（Mandatory Access Control，簡記為MAC） 責任 保證 文檔 第1節(jié) 1.3 安全標準簡介 R1安全策

5、略 責任a) R2.1 標識與鑒別（Identification n 發(fā)出GRANT語句可是數(shù)據(jù)庫管理員、數(shù)據(jù)庫對象創(chuàng)建者或擁有該權(quán)限的用戶 n 按受權(quán)限的用戶可以是一個或多個具體用戶，也可以是PUBLIC（即全體用戶） n 指定了WITH GRANT OPTION子句，則獲得某種權(quán)限的用戶還可以把這種權(quán)限再授予其他的用戶；否則該用戶只能使用該權(quán)限，不能傳播該權(quán)限n SQL標準允許具有WITH GRANT OPTION的用戶把相應(yīng)權(quán)限或其子集授予其他用戶，但不允許循環(huán)授權(quán) 第2節(jié) 2.4 授權(quán)與回收例如：把查詢Student表權(quán)限授給用戶U1GRANT SELECT ON TABLE Stud

6、ent TO U1;例如：把對Student表和Course表的全部權(quán)限授予用戶U2和U3GRANT ALL PRIVILIGES ON TABLE Student,Course TO U2,U3;例如：把對表SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC;例如：把查詢Student表和修改學生學號的權(quán)限授給用戶U4GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;對屬性列的授權(quán)時必須明確指出相應(yīng)屬性列名 第2節(jié) 2.4 授權(quán)與回收例如：把對表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限

7、授予其他用戶GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;U5不僅擁有了對表SC的INSERT權(quán)限， 還可以傳播此權(quán)限GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION;U5將此權(quán)限傳播給了U6, U6還可以將此權(quán)限授予U7 GRANT INSERT ON TABLE SC TO U7;U7擁有了對表的INSERT權(quán)限，但不能再傳播此權(quán)限 第2節(jié) 2.4 授權(quán)與回收授權(quán)用戶名被授權(quán)用戶名數(shù)據(jù)庫對象名允許的操作類型能否轉(zhuǎn)授權(quán)DBA U1關(guān)系Student SELECT不能DBA U2關(guān)系Studen

8、t ALL不能DBA U2關(guān)系Course ALL不能DBA U3關(guān)系Student ALL不能DBA U3關(guān)系Course ALL不能DBA PUBLIC關(guān)系SC SELECT不能 DBA U4關(guān)系Student SELECT不能DBA U4屬性列Student.Sno UPDATE不能DBA U5關(guān)系SC INSERT能U5 U6關(guān)系SC INSERT能U6 U7關(guān)系SC INSERT不能 第2節(jié) 2.4 授權(quán)與回收 REVOKE語句授予用戶權(quán)限授予的權(quán)限可以由數(shù)據(jù)庫管理員或其他授權(quán)者用REVOKE語句收回格式： REVOKE ,. ON , FROM ,.CASCADE | RESTRI

9、CT; 第2節(jié) 2.4 授權(quán)與回收例如：把用戶U4修改學生學號的權(quán)限收回REVOKE UPDATE(Sno) ON TABLE Student FROM U4;例如：收回所有用戶對表SC的查詢權(quán)限REVOKE SELECT ON TABLE SC FROM PUBLIC;例如：把用戶U5對SC表的INSERT權(quán)限收回 REVOKE INSERT ON TABLE SC FROM U5 CASCADE ;將用戶U5的INSERT權(quán)限收回的時候應(yīng)該使用CASCADE，否則拒絕執(zhí)行該語句 如果U6或U7還從其他用戶處獲得對SC表的INSERT權(quán)限，則他們?nèi)跃哂写藱?quán)限，系統(tǒng)只收回直接或間接從U5處獲得

10、的權(quán)限 第2節(jié) 2.4 授權(quán)與回收授權(quán)用戶名被授權(quán)用戶名數(shù)據(jù)庫對象名允許的操作類型能否轉(zhuǎn)授權(quán)DBA U1關(guān)系Student SELECT不能DBA U2關(guān)系Student ALL不能DBA U2關(guān)系Course ALL不能DBA U3關(guān)系Student ALL不能DBA U3關(guān)系Course ALL不能DBA U4關(guān)系Student SELECT不能 第2節(jié) 2.4 授權(quán)與回收 創(chuàng)建數(shù)據(jù)庫模式的權(quán)限對數(shù)據(jù)庫模式的授權(quán)由數(shù)據(jù)庫管理員在創(chuàng)建用戶時實現(xiàn)格式： CREATE USER語句格式 CREATE USER WITHDBA|RESOURCE|CONNECT; n CREATE USER不是SQ

11、L標準，各個系統(tǒng)的實現(xiàn)相差甚遠n 只有系統(tǒng)的超級用戶才有權(quán)創(chuàng)建一個新的數(shù)據(jù)庫用戶n 新創(chuàng)建的數(shù)據(jù)庫用戶有三種權(quán)限：CONNECT、RESOURCE和DBA 第2節(jié) 2.4 授權(quán)與回收n 如沒有指定創(chuàng)建的新用戶的權(quán)限，默認該用戶擁有CONNECT權(quán)限。擁有CONNECT權(quán)限的用戶不能創(chuàng)建新用戶，不能創(chuàng)建模式，也不能創(chuàng)建基本表，只能登錄數(shù)據(jù)庫n 擁有RESOURCE權(quán)限的用戶能創(chuàng)建基本表和視圖，成為所創(chuàng)建對象的屬主。但不能創(chuàng)建模式，不能創(chuàng)建新的用戶n 擁有DBA權(quán)限的用戶是系統(tǒng)中的超級用戶，可以創(chuàng)建新的用戶、創(chuàng)建模式、創(chuàng)建基本表和視圖等；DBA擁有對所有數(shù)據(jù)庫對象的存取權(quán)限，還可以把這些權(quán)限授予一

12、般用戶 第2節(jié) 2.4 授權(quán)與回收擁有的權(quán)限可否執(zhí)行的操作CREATE USER CREATE SCHEMA CREATE TABLE登錄數(shù)據(jù)庫 ，執(zhí)行數(shù)據(jù)查詢和操縱DBA可以可以可以可以RESOURCE不可以不可以不可以不可以CONNECT不可以不可以不可以可以，但必須擁有相應(yīng)權(quán)限 第2節(jié) 2.5 數(shù)據(jù)庫角色 數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限，角色是權(quán)限的集合 可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色，使用角色來管理數(shù)據(jù)庫權(quán)限可以簡化授權(quán)的過程 創(chuàng)建角色 格式： CREATE ROLEn 創(chuàng)建的角色是空的，沒有實際內(nèi)容?？梢杂肎RANT為角色授權(quán) 第2節(jié) 2.5 數(shù)據(jù)庫角色 角

13、色授權(quán)格式： GRANT,On對象名TO ,n 可以將權(quán)限授予一個或幾個角色 第2節(jié) 2.5 數(shù)據(jù)庫角色 將一個角色授予其他的角色或用戶格式： GRANT ,TO , WITH ADMIN OPTIONn 該語句把角色授予某用戶，或授予另一個角色 n 授予者是角色的創(chuàng)建者或擁有在這個角色上的ADMIN OPTIONn 指定了WITH ADMIN OPTION則獲得某種權(quán)限的角色或用戶還可以把這種權(quán)限授予其他角色一個角色的權(quán)限：直接授予這個角色的全部權(quán)限加上其他角色授予這個角色的全部權(quán)限 第2節(jié) 2.5 數(shù)據(jù)庫角色 角色權(quán)限的收回格式： REVOKE ,ON FROM ,n 用戶可以回收角色的權(quán)

14、限，從而修改角色擁有的權(quán)限 n REVOKE執(zhí)行者是角色的創(chuàng)建者或是擁有在這個（些）角色上的ADMIN OPTION 第2節(jié) 2.5 數(shù)據(jù)庫角色例如： 通過角色來實現(xiàn)將一組權(quán)限授予一個用戶。 首先創(chuàng)建一個角色 R1CREATE ROLE R1; 然后使用GRANT語句，使角色R1擁有Student表的 SELECT、UPDATE、INSERT權(quán)限GRANT SELECT, UPDATE, INSERT ON TABLE Student TO R1; 將這個角色授予王平，張明，趙玲。使他們具有角色R1所包含的全部權(quán)限 GRANT R1 TO 王平,張明,趙玲; 可以一次性通過R1來回收王平的這3

15、個權(quán)限REVOKE R1 FROM 王平; 第2節(jié) 2.5 數(shù)據(jù)庫角色例如： 角色的權(quán)限修改GRANT DELETE ON TABLE Student TO R1;使角色R1在原來的基礎(chǔ)上增加了Student表的DELETE 權(quán)限REVOKE SELECT ON TABLE Student FROM R1；使R1減少了SELECT權(quán)限 第2節(jié) 2.7 強制存取控制方法 強制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標準中安全策略的要求，所采取的強制存取檢查手段。 MAC不是用戶能直接感知或進行控制的。 MAC適用于對數(shù)據(jù)有嚴格而固定密級分類的部門軍事部門、政府部門

16、等 第2節(jié) 2.7 強制存取控制方法 在強制存取控制中，數(shù)據(jù)庫管理系統(tǒng)所管理的全部實體被分為主體和客體兩大類n 主體是系統(tǒng)中的活動實體，包括數(shù)據(jù)庫管理系統(tǒng)所管理的實際用戶和 代表用戶的各進程n 客體是系統(tǒng)中的被動實體，受主體操縱，包括文件、基本表、索引、視圖 第2節(jié) 2.7 強制存取控制方法 對于主體和客體，DBMS為它們每個實例指派一個敏感度標記n 敏感度標記分成若干級別 絕密（Top Secret） 機密（Secret） 可信（Confidential） 公開（Public）n 主體的敏感度標記稱為許可證級別（Clearance Level）n 客體的敏感度標記稱為密級（Classific

17、ation Level）n MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體 第2節(jié) 2.7 強制存取控制方法 強制存取控制規(guī)則 僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體 僅當主體的許可證級別小于或等于客體的密級時，該主體才能寫相應(yīng)的客體 第2條規(guī)則其他意義： 當主體的許可證級別 =客體的密級，主體能寫客體，即用戶可為寫入的數(shù)據(jù)對象賦予高于自己的許可證級別的密級，一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對象了。第2條規(guī)則兩種意義的共同點是禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象 第2節(jié) 2.7 強制存取控制方法 強制存

18、取控制的特點強制存取控制（MAC）是對數(shù)據(jù)本身進行密級標記，無論數(shù)據(jù)如何復制，標記與數(shù)據(jù)是一個不可分的整體，只有符合密級標記要求的用戶才可以操縱數(shù)據(jù)。 第2節(jié) 2.7 強制存取控制方法 實現(xiàn)強制存取控制時要首先實現(xiàn)自主存取控制n 原因：較高安全性級別提供的安全保護要包含較低級別的所有保護 自主存取控制與強制存取控制共同構(gòu)成數(shù)據(jù)庫管理系統(tǒng)的安全機制 第2節(jié) 2.7 強制存取控制方法 DAC + MAC安全檢查 先進行自主存取控制檢查，通過自主存取控制檢查的數(shù)據(jù)對象再由系統(tǒng)進行強制存取控制檢查，只有通過強制存取控制檢查的數(shù)據(jù)對象方可存取。 SQL語法分析 在視圖上進一步定義存取權(quán)限GRANT SE

19、LECT ON CS_Student TO 王平;GRANT ALL PRIVILIGES ON CS_Student TO 張明; 第4節(jié) 4.1 審計什么是審計n 啟用一個專用的審計日志（Audit Log），將用戶對數(shù)據(jù)庫的所有操作記錄在上面n DBA可以利用審計日志中的追蹤信息，找出非法存取數(shù)據(jù)的人n C2以上安全級別的DBMS必須具有審計功能 第4節(jié) 4.1 審計 審計功能的可選性n 審計很費時間和空間n DBA可以根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉審計功能n 審計功能主要用于安全性要求較高的部門 第4節(jié) 4.1 審計 審計事件 服務(wù)器事件審計數(shù)據(jù)庫服務(wù)器發(fā)生的事件 系統(tǒng)權(quán)限事

20、件對系統(tǒng)擁有的結(jié)構(gòu)或模式對象進行操作的審計要求該操作的權(quán)限是通過系統(tǒng)權(quán)限獲得的 語句事件 對SQL語句，如DDL、DML、DQL及DCL語句的審計 模式對象事件對特定模式對象上進行的SELECT或DML操作的審計 第4節(jié) 4.1 審計 審計功能n 基本功能：提供多種審計查閱方式提供多種審計查閱方式n 多套審計規(guī)則：一般在初始化設(shè)定n 提供審計分析和報表功能n 審計日志管理功能 防止審計員誤刪審計記錄，審計日志必須先轉(zhuǎn)儲后刪除 對轉(zhuǎn)儲的審計記錄文件提供完整性和保密性保護 只允許審計員查閱和轉(zhuǎn)儲審計記錄，不允許任何用戶新增和修改審計記錄等n 提供查詢審計設(shè)置及審計記錄信息的專門視圖 第4節(jié) 4.1

21、 審計 AUDIT語句和NOAUDIT語句n AUDIT語句：設(shè)置審計功能 n NOAUDIT語句：取消審計功能例如：對修改SC表結(jié)構(gòu)或修改SC表數(shù)據(jù)的操作進行審計AUDIT ALTER,UPDATE ON SC;例如： 取消對SC表的一切審計NOAUDIT ALTER,UPDATE ON SC; 第4節(jié) 4.1 審計 用戶級審計n 任何用戶可設(shè)置的審計n 主要是用戶針對自己創(chuàng)建的數(shù)據(jù)庫表和視圖進行審計 系統(tǒng)級審計n 只能由數(shù)據(jù)庫管理員設(shè)置 n 監(jiān)測成功或失敗的登錄要求、監(jiān)測授權(quán)和收回操作以及其他數(shù)據(jù)庫級權(quán)限下的操作 第5節(jié) 5.1 數(shù)據(jù)加密 數(shù)據(jù)加密防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手

22、段 加密的基本思想：根據(jù)一定的算法將原始數(shù)據(jù)明文（Plain text）變換為不可直接識別的格式密文（Cipher text） 加密方法 存儲加密 傳輸加密 第5節(jié) 5.1 數(shù)據(jù)加密 存儲加密n 透明存儲加密 內(nèi)核級加密保護方式，對用戶完全透明 將數(shù)據(jù)在寫到磁盤時對數(shù)據(jù)進行加密，授權(quán)用戶讀取數(shù)據(jù)時再對其進行解密 數(shù)據(jù)庫的應(yīng)用程序不需要做任何修改，只需在創(chuàng)建表語句中說明需加密的字段即可 內(nèi)核級加密方法: 性能較好，安全完備性較高n 非透明存儲加密 通過多個加密函數(shù)實現(xiàn) 第5節(jié) 5.1 數(shù)據(jù)加密 傳輸加密n 鏈路加密 在鏈路層進行加密 傳輸信息由報頭和報文兩部分組成 報文和報頭均加密 n 端到端加

23、密 在發(fā)送端加密，接收端解密 只加密報文不加密報頭 所需密碼設(shè)備數(shù)量相對較少，容易被非法監(jiān)聽者發(fā)現(xiàn)并從中獲取敏感信息 第5節(jié) 5.1 數(shù)據(jù)加密 數(shù)據(jù)庫管理系統(tǒng)可信傳輸示意圖第一步：創(chuàng)建可信連接第二步：確認通信雙方端點的可靠性第三步：協(xié)商加密算法和密鑰第四步：可信傳輸數(shù)據(jù)第五步：關(guān)閉可信連接可信通訊模塊 可信通訊模塊用戶 數(shù)據(jù)庫服務(wù)器 第5節(jié) 5.1 數(shù)據(jù)加密 基于安全套接層協(xié)議SSL傳輸方案的實現(xiàn)思路：n 確認通信雙方端點的可靠性 采用基于數(shù)字證書的服務(wù)器和客戶端認證方式 通信時均首先向?qū)Ψ教峁┘悍阶C書，然后使用本地的CA 信任列表和證書撤銷列表對接收到的對方證書進行驗證n 協(xié)商加密算法和密鑰

24、 確認雙方端點的可靠性后，通信雙方協(xié)商本次會話的加密算法與密鑰 n 可信數(shù)據(jù)傳輸 業(yè)務(wù)數(shù)據(jù)在被發(fā)送之前將被用某一組特定的密鑰進行加密和消息摘要計算，以密文形式在網(wǎng)絡(luò)上傳輸 當業(yè)務(wù)數(shù)據(jù)被接收的時候，需用相同一組特定的密鑰進行解密和摘要計算 第6節(jié) 6.1 其他安全性保護 推理控制n 處理強制存取控制未解決的問題n 避免用戶利用能夠訪問的數(shù)據(jù)推知更高密級的數(shù)據(jù) 常用方法 基于函數(shù)依賴的推理控制 基于敏感關(guān)聯(lián)的推理控制 第6節(jié) 6.1 其他安全性保護 隱蔽信道n 處理強制存取控制未解決的問題 數(shù)據(jù)隱私保護n 描述個人控制其不愿他人知道或他人不便知道的個人數(shù)據(jù)的能力n 范圍很廣：數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)處理和數(shù)據(jù)發(fā)布等各個階段 THANKS