《數據庫安全性》PPT課件.ppt

《《數據庫安全性》PPT課件.ppt》由會員分享，可在線閱讀，更多相關《《數據庫安全性》PPT課件.ppt（90頁珍藏版）》請在裝配圖網上搜索。

1、數據庫系統(tǒng)概論 An Introduction to Database System 第四章 數據庫安全性,數據庫安全性,問題的提出 數據庫的一大特點是數據可以共享 數據共享必然帶來數據庫的安全性問題 數據庫系統(tǒng)中的數據共享不能是無條件的共享 例： 軍事秘密、國家機密、新產品實驗數據、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數據,數據庫安全性,數據庫中數據的共享是在DBMS統(tǒng)一的嚴格的控制之下的共享，即只允許有合法使用權限的用戶訪問允許他存取的數據 數據庫系統(tǒng)的安全保護措施是否有效是數據庫系統(tǒng)主要的性能指標之一,數據庫安全性,什么是數據庫的安全性 數據庫的安全性是指保

2、護數據庫，防止因用戶非法使用數據庫造成數據泄露、更改或破壞。 數據的保密 數據保密是指用戶合法的訪問到機密數據后能否對這些數據保密。 通過制定法律道德準則和政策法規(guī)來保證。,第四章 數據庫安全性,4.1 計算機安全性概述 4.2 數據庫安全性控制 4.3 視圖機制 4.4 審計（Audit） 4.5 數據加密 4.6 統(tǒng)計數據庫安全性 4.7 小結,4.1 計算機安全性概述,4.1.1 計算機系統(tǒng)的三類安全性問題 4.1.2 安全標準簡介,4.1.1 計算機系統(tǒng)的三類安全性問題,計算機系統(tǒng)安全性 為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數據，防止其因偶然或惡意

3、的原因使系統(tǒng)遭到破壞，數據遭到更改或泄露等。,計算機系統(tǒng)的三類安全性問題（續(xù)）,三類計算機系統(tǒng)安全性問題 技術安全類 管理安全類 政策法律類,4.1 計算機安全性概論,4.1.1 計算機系統(tǒng)的三類安全性問題 4.1.2 安全標準簡介 TCSEC CC,美國的TCSEC 1983年美國國防部首次公布了可信計算機系統(tǒng)評估準則（TCSEC）以用于對操作系統(tǒng)的評估，這是IT歷史上的第一個安全評估標準，1985年公布了第二版。 TCSEC為業(yè)界所熟知的名字“桔皮書”則是因其封面的顏色而得來。TCSEC 所列舉的安全評估準則主要是針對美國政府的安全要求，著重點是基于大型計算機系統(tǒng)的機密文檔處理方面的安

4、全要求。CC被接納為國際標準后，美國已停止了基于TCSEC的評估工作。,美國頒布的TCSEC把數據安全級別劃分為四類七級： D級：無安全保護的系統(tǒng)。 Cl級：具有主體、客體及主客體分離、身份鑒別、數據完整性、自主訪問控制功能的系統(tǒng)；核心是自主訪問控制。 C2級：滿足C1級全部功能，且具有審計功能的系統(tǒng)；核心是審計功能。目前國內使用的系統(tǒng)大部分符合此標準。,B1級：滿足C2級全部功能，且具有標記及強制訪問控制功能的系統(tǒng)；核心是強制訪問控制。國際上有部分系統(tǒng)符合此標準，國內基本上沒有滿足此標準的系統(tǒng)；滿足此標準的系統(tǒng)可稱為可信系統(tǒng)或安全系統(tǒng)。 B2級：滿足B1級全部功能，且具有形式化安全模型

5、與隱蔽通道功能的系統(tǒng)；核心是形式化安全模型。目前國內外均無滿足此標準的系統(tǒng)。,B3級：滿足B2級全部功能，且具有訪問監(jiān)控器功能的系統(tǒng)；核心是訪問監(jiān)控器。目前國內外均無滿足此標準的系統(tǒng)。 A級：更高的形式化要求。目前國內外均無滿足此標準的系統(tǒng)。,目前市面上常用軟件經過權威機構的評測，確定了其安全級別。如Oracle, Sybase, informix, SQL Server等數據庫系統(tǒng)軟件符合C1或C2級安全要求；Windows, Unix操作系統(tǒng)符合Cl或C2級安全要求。市場上大部分系統(tǒng)軟件都處于C1或C2級安全級別。此外，美國有符合Bl級的軍用版本Oracle數據庫系統(tǒng)和WinNT操作系統(tǒng)。

6、國內有一些符合B1級的安全原型DBMS：如OpenBASE,Cobase等。,國際通用準則CC (ISO/IEC15408-1999) 國際信息技術安全性評估通用準則（簡稱為通用準則，CC）是北美和歐盟聯合以開發(fā)一個統(tǒng)一的國際互認的安全標準的結果，是在美國、加拿大、歐洲等國家和地區(qū)分別自行推出的評估標準及具體實踐的基礎上，通過相互間的總結和互補發(fā)展起來的。,1996年，六國七方（英國、加拿大、法國、德國、荷蘭、NSA國家安全局和NIST國家標準技術研究所）公布了CC的1.0版，1998年，六國七方又公布了CC的2.0版。CC取代了TCSEC、ITSEC, 及 CTCPEC，是事實上的國際安全

7、評估標準。1999年，CC被國際標準化組織（ISO）批準成為國際標準 (ISO/IEC15408-19999) 并正式頒布發(fā)行，其對應的CC版本為2.1版。,CC作為評估信息技術產品和系統(tǒng)安全性的國際性通用準則，是信息技術安全性評估結果國際互認的基礎，遍及世界各地的眾多組織現在均已實施了CC?；フJ通過簽署互認協定(MRA)來實現，產品在一個MRA成員國評估通過就可被其他的成員國所接受，從而避免重復的評估行為。對于其他國家來講，只要能夠證明他們能夠實現MRA中的互認所要求的極其嚴格的技術與程序上的條件 ，就可尋求加入MRA 。 Windows 2000、Sun Solaris 8、Oracl

8、e 9i、DB2 V8.2等都已通過了CC的EAL4 ( B1 )。,我國的安全評估標準 為提高我國計算機信息系統(tǒng)安全保護水平，1999年9月國家質量技術監(jiān)督局發(fā)布了國家標準 GB17859-1999計算機信息安全保護等級劃分準則，它是建立安全等級保護制度、實施安全等級管理的重要基礎性標準。該標準是我國計算機信息系統(tǒng)保護等級系列標準的第一部分，其他數十個相關標準的制訂工作還正在緊張進行。該標準的制定參照了美國的TCSEC。,該標準共分為五級與美國TCSEC標準的對應 關系如下： 第一級：用戶自主保護級C1級 第二級：系統(tǒng)審計保護級C2級 第三級：安全標記保護級B1級 第四級：結構化

9、保護級B2級 第五級：訪問驗證保護級B3級,自從CC 1.0版公布后，我國相關部門就一直密切關注著它的發(fā)展情況，并對該版本做了大量的研究工作。2001年3月，國家質量技術監(jiān)督局正式頒布了援引CC的國家標準GB/T18336-2001信息技術 安全技術 信息技術安全性評估準則。,第四章 數據庫安全性,4.1 計算機安全性概述 4.2 數據庫安全性控制 4.3 視圖機制 4.4 審計（Audit） 4.5 數據加密 4.6 統(tǒng)計數據庫安全性 4.7 小結,4.2 數據庫安全性控制概述,非法使用數據庫的情況 編寫合法程序繞過DBMS及其授權機制 直接或編寫應用程序執(zhí)行非授權操作 通過多次合法查詢數

10、據庫從中推導出一些保密數據,數據庫安全性控制概述（續(xù)）,計算機系統(tǒng)中，安全措施是一級一級層層設置,計算機系統(tǒng)的安全模型,,,數據庫的安全性級別,環(huán)境級：計算機系統(tǒng)的機房和設備應加以保護，防止有人進行物理破壞。 職員級：工作人員應清正廉潔，正確授予用戶訪問數據庫的權限。 OS級：應防止未經授權的用戶從OS處訪問數據庫。 網絡級：由于大多數DBS都允許用戶通過網絡進行遠程訪問，因此網絡軟件內部的安全性是很重要的。 DBS級：DBS的職責是檢查用戶的身份是否合法及使用數據庫的權限是否正確。,數據庫安全性控制概述（續(xù)）,數據庫安全性控制的常用方法 用戶標識和鑒定 存取控制 視圖 審計 密碼存儲,4.2

11、.1 用戶標識與鑒別,用戶標識與鑒別 （Identification 語義：將對指定操作對象的指定操作權限授予指定的用戶,GRANT（續(xù)）,發(fā)出GRANT： DBA 數據庫對象創(chuàng)建者（即屬主Owner） 擁有該權限的用戶 按受權限的用戶 一個或多個具體用戶 PUBLIC（全體用戶）,WITH GRANT OPTION子句,WITH GRANT OPTION子句: 指定：可以再授予 沒有指定：不能傳播 不允許循環(huán)授權,例題,例1 把查詢Student表權限授給用戶U1 GRANT SELECT ON TABLE Student TO U1;,例題（續(xù)）,例2 把對Student表和Cour

12、se表的全部權限授予用戶U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3;,例題（續(xù)）,例3 把對表SC的查詢權限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC;,例題（續(xù)）,例4 把查詢Student表和修改學生學號的權限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4; 對屬性列的授權時必須明確指出相應屬性列名,例題（續(xù)）,例5 把對表SC的INSERT權限授予U5用戶，并允許他再將此權限授予其他用戶 G

13、RANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;,傳播權限,執(zhí)行例5后，U5不僅擁有了對表SC的INSERT權限， 還可以傳播此權限： 例6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同樣，U6還可以將此權限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權限。,傳播權限（續(xù)）,下表是執(zhí)行了例1到例7的語句后，學生-課程數據庫中的用戶權限定義表,授權與回收（續(xù)）,二、REVOKE 授予的權限可以由DBA或其他授權

14、者用REVOKE語句收回 REVOKE語句的一般格式為： REVOKE ,... ON FROM ,...;,REVOKE（續(xù)）,例8 把用戶U4修改學生學號的權限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4;,REVOKE（續(xù)）,例9 收回所有用戶對表SC的查詢權限 REVOKE SELECT ON TABLE SC FROM PUBLIC;,REVOKE（續(xù)）,例10 把用戶U5對SC表的INSERT權限收回 REVOKE INSERT ON TABLE SC FROM U5 CASCADE ; 將用戶U5的INSERT權限收回的時候

15、必須級聯（CASCADE）收回 系統(tǒng)只收回直接或間接從U5處獲得的權限,REVOKE（續(xù)）,執(zhí)行例8到例10的語句后，學生-課程數據庫中的用戶權限定義表,小結:SQL靈活的授權機制,DBA：擁有所有對象的所有權限 不同的權限授予不同的用戶 用戶：擁有自己建立的對象的全部的操作權限 GRANT：授予其他用戶 被授權的用戶 “繼續(xù)授權”許可：再授予 所有授予出去的權力在必要時又都可用REVOKE語句收回,授權與回收（續(xù)）,三、創(chuàng)建數據庫模式的權限 DBA在創(chuàng)建用戶時實現 CREATE USER語句格式 CREATE USER WITHDBA | RESOURCE | CONNECT,授

16、權與回收（續(xù)）,權限與可執(zhí)行的操作對照表,4.2.5 數據庫角色,數據庫角色：被命名的一組與數據庫操作相關的權限 角色是權限的集合 可以為一組具有相同權限的用戶創(chuàng)建一個角色 簡化授權的過程,數據庫角色,一、角色的創(chuàng)建 CREATE ROLE 二、給角色授權 GRANT ， ON 對象名 TO ，,數據庫角色,三、將一個角色授予其他的角色或用戶 GRANT ， TO ， WITH ADMIN OPTION 四、角色權限的收回 REVOKE ， ON FROM ，,把角色授予某用戶，或授予另一個角色,數據庫角色（續(xù)）,例11 授予角色R1擁有Student表的SELECT、UPDATE、INSE

17、RT權限，將這個角色授予王平，張明，趙玲用戶，使他們具有R1所包含的全部權限，最后通過R1來回收王平的這3個權限。 步驟如下： 1. 首先創(chuàng)建一個角色 R1 CREATE ROLE R1； 2. 使用GRANT語句，使R1擁有Student表的SELECT、UPDATE、INSERT權限 GRANT SELECT，UPDATE，INSERT ON TABLE Student TO R1；,數據庫角色（續(xù)）,3. 將這個角色授予王平，張明，趙玲。使他們具有角色R1所包含的全部權限 GRANT R1 TO 王平，張明，趙玲； 4. 可以一次性通過R1來回收王平的這3個權限

18、 REVOKE R1 FROM 王平；,數據庫角色（續(xù)）,例12角色的權限修改 GRANT DELETE ON TABLE Student TO R1 例13 REVOKE SELECT ON TABLE Student FROM R1；,復 習,數據庫安全性控制的常用方法 用戶標識和鑒定 存取控制 自主存取控制（簡稱DAC） 授權： GRANT ,... ON TO ,... WITH GRANT OPTION; 回收： REVOKE ,... ON FROM ,...; 強制存取控制（簡稱 MAC）,自主存取控制缺點,可能存在數據的“無意泄露”

19、 原因：這種機制僅僅通過對數據的存取權限來進行安全控制，而數據本身并無安全性標記 解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略,4.2.6 強制存取控制方法,強制存取控制（MAC) 系統(tǒng)為保證更高程度的安全性所采取的強制存取手段 用戶能不能直接感知或進行控制 適用于對數據有嚴格而固定密級分類的部門 軍事部門 政府部門,強制存取控制方法（續(xù)）,在MAC中，DBMS所管理的全部實體分為主體和客體。 主體是系統(tǒng)中的活動實體 DBMS所管理的實際用戶 代表用戶的各進程 客體是系統(tǒng)中的被動實體，是受主體操縱的 文件 基表 索引 視圖,強制存取控制方法（續(xù)）,敏感度標記（Label） 絕密（Top

20、Secret） 機密（Secret） 可信（Confidential） 公開（Public） 主體的敏感度標記稱為許可證級別（Clearance Level） 客體的敏感度標記稱為密級（Classification Level）,強制存取控制方法（續(xù)）,強制存取控制規(guī)則 (1)僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體 (2)僅當主體的許可證級別等于客體的密級時，該主體才能寫相應的客體,強制存取控制方法（續(xù)）,規(guī)則的共同點 禁止了擁有高許可證級別的主體更新低密級的數 據對象,例：假設要對關系變量S進行MAC控制，為簡化起見，假設要控制存取的數據單元是元組，則每個元組標

21、以密級，如下表（4=絕密，3=機密，2=秘密）,假設用戶U1和U2的許可證級別分別為3和2，則：,U1能查詢元組S1和S2，修改元組S2; U2能查詢元組S1，修改元組S1,強制存取控制的特點：,MAC是對數據本身進行密級標記 無論數據如何復制，標記與數據是一個不可分的整體 只有符合密級標記要求的用戶才可以操縱數據 從而提供了更高級別的安全性,MAC與DAC,DAC與MAC共同構成DBMS的安全機制 實現MAC時要首先實現DAC 原因：較高安全性級別提供的安全保護要包含較低級別的所有保護,強制存取控制方法（續(xù)）,DAC + MAC安全檢查示意圖 SQL語法分析 2.用戶李勇對兩個表有I

22、NSERT、DELETE權力 Grant insert,delete On 職工，部門 To 李勇; 3.用戶劉星對職工表有SELECT權力，對工資字段具有更新權力 Grant select, update(工資) On 職工 To 劉星;,4.用戶張新具有修改這兩個表的結構的權力 Grant alter table On 職工，部門 To 張新; 5.用戶周平具有對兩個表所有權力（讀、插、改、刪除數據），并具有給其他用戶授權的權力 Grant all priviliges On 職工，部門 To 周平 With grant option;,6.用

23、戶楊蘭具有從每個部門職工中SELECT最高工資、最低工資、平均工資的權力，他不能查看每個人的工資 首先建立一個視圖： Create view 部門工資 As select 部門.名稱，MAX(工資)，MIN(工資)，AVG(工資) From 職工，部門 Where 職工.部門號=部門.部門號 Group by 職工.部門號； 然后針對該視圖定義楊蘭的存取權限： Grant select On 部門工資 To 楊蘭；,例題：有兩個關系模式：職工（職工號，姓名，年齡，職務，工資，部門號）部門（部門號，名稱，經理名，地址，電話號） 將上題中的每一種情況，撤銷各用戶所授予的權力： 1

24、.撤銷用戶王明對兩個表有SELECT權力 2.撤銷用戶李勇對兩個表有INSERT、DELETE權力 3.撤銷用戶劉星對職工表有SELECT權力，對工資字段具有更新權力 4.撤銷用戶張新具有修改這兩個表的結構的權力 5.撤銷用戶周平具有對兩個表所有權力（讀、插、改、刪除數據） 6.撤銷用戶楊蘭具有從每個部門職工中SELECT最高工資、最低工資、平均工資的權力,1.撤銷用戶王明對兩個表有SELECT權力 revoke select On 職工，部門 from 王明; 2.撤銷用戶李勇對兩個表有INSERT、DELETE權力 revoke insert,delete On 職工，部門

25、 from 李勇; 3.撤銷用戶劉星對職工表有SELECT權力，對工資字段具有更新權力 revoke select，update(工資) On 職工 from 劉星;,4.撤銷用戶張新具有修改這兩個表的結構的權力 revoke alter table On 職工，部門 from 張新; 5.撤銷用戶周平具有對兩個表所有權力（讀、插、改、刪除數據) revoke all priviliges On 職工，部門 from 周平; 6.撤銷用戶楊蘭具有從每個部門職工中SELECT最高工資、最低工資、平均工資的權力 Revoke select On 部門工資 from 楊蘭; drop view 部門工資；,下課了。。。,休息一會兒。。。,認 真,