第04章 數(shù)據(jù)庫安全性

《第04章 數(shù)據(jù)庫安全性》由會員分享，可在線閱讀，更多相關(guān)《第04章 數(shù)據(jù)庫安全性（37頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、1/37計(jì)算機(jī)學(xué)院 陳豐 數(shù)據(jù)庫系統(tǒng)概論2/37第四章第四章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性4.1 計(jì)算機(jī)安全性概述 4.2 數(shù)據(jù)庫安全性控制 4.3 視圖機(jī)制 4.4 審計(jì) 4.5 數(shù)據(jù)加密 3/374.1 4.1 計(jì)算機(jī)安全性概述計(jì)算機(jī)安全性概述什么是數(shù)據(jù)庫的安全性什么是數(shù)據(jù)庫的安全性 數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，防止因用戶非法使用是指保護(hù)數(shù)據(jù)庫，防止因用戶非法使用 數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。什么是計(jì)算機(jī)系統(tǒng)安全性什么是計(jì)算機(jī)系統(tǒng)安全性 為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù) 計(jì)算機(jī)

2、系統(tǒng)中的計(jì)算機(jī)系統(tǒng)中的硬件硬件、軟件軟件及及數(shù)據(jù)數(shù)據(jù)，防止其因偶然或，防止其因偶然或 惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露 等。等。數(shù)據(jù)庫的安全性和計(jì)算機(jī)系統(tǒng)的安全性是緊密聯(lián)系、相互數(shù)據(jù)庫的安全性和計(jì)算機(jī)系統(tǒng)的安全性是緊密聯(lián)系、相互支持的。支持的。4/371. 1.計(jì)算機(jī)系統(tǒng)的三類安全性問題計(jì)算機(jī)系統(tǒng)的三類安全性問題技術(shù)安全類技術(shù)安全類 采用具有一定安全性的硬件、軟件來實(shí)現(xiàn)對計(jì)算機(jī)系采用具有一定安全性的硬件、軟件來實(shí)現(xiàn)對計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)。統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)。管理安全類管理安全類 軟硬件意外故障、場地的意外事故、管理不善導(dǎo)

3、致的軟硬件意外故障、場地的意外事故、管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題。政策法律類政策法律類 政府部門建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法政府部門建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令。律道德準(zhǔn)則和政策法規(guī)、法令。4.1 4.1 計(jì)算機(jī)安全性概述（續(xù)）計(jì)算機(jī)安全性概述（續(xù)）5/374.1 4.1 計(jì)算機(jī)安全性概述（續(xù)）計(jì)算機(jī)安全性概述（續(xù)）2. 2.安全標(biāo)準(zhǔn)簡介安全標(biāo)準(zhǔn)簡介 TCSEC標(biāo)準(zhǔn)標(biāo)準(zhǔn)(桔皮書桔皮書)，四組四組7 7級級/TDI(紫皮書紫皮書) （數(shù)據(jù)庫安全常用的級別是（數(shù)據(jù)庫安全常用的

4、級別是C2級、級、B1級和級和B2級）級）安全級別定義A1 驗(yàn)證設(shè)計(jì)（驗(yàn)證設(shè)計(jì)（Verified Design）B3 安全域（安全域（Security Domains）B2 結(jié)構(gòu)化保護(hù)（結(jié)構(gòu)化保護(hù)（Structural Protection）B1 標(biāo)記安全保護(hù)（標(biāo)記安全保護(hù)（Labeled Security Protection）C2 受控的存取保護(hù)（受控的存取保護(hù)（Controlled Access Protection）C1 自主安全保護(hù)（自主安全保護(hù)（Discretionary Security Protection）D 最小保護(hù)（最小保護(hù)（Minimal Protection）(1)D

5、級標(biāo)準(zhǔn)，為基本無安全保護(hù)的系統(tǒng)。級標(biāo)準(zhǔn)，為基本無安全保護(hù)的系統(tǒng)。 如如DOSDOS就是操作系統(tǒng)中安全標(biāo)準(zhǔn)為就是操作系統(tǒng)中安全標(biāo)準(zhǔn)為D D的典型例子。的典型例子。它具有操它具有操作系統(tǒng)的基本功能，如文件系統(tǒng)，進(jìn)程調(diào)度等等，但在安作系統(tǒng)的基本功能，如文件系統(tǒng)，進(jìn)程調(diào)度等等，但在安全性方面幾乎沒有什么專門的機(jī)制來保障。全性方面幾乎沒有什么專門的機(jī)制來保障。(3)C1級標(biāo)準(zhǔn)級標(biāo)準(zhǔn) 只提供了非常初級的自主安全保護(hù)。只提供了非常初級的自主安全保護(hù)。能夠?qū)崿F(xiàn)對用戶和數(shù)能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（據(jù)的分離，進(jìn)行自主存取控制（DACDAC），保護(hù)或限制用戶權(quán)），保護(hù)或限制用戶權(quán)限的傳播?，F(xiàn)有的

6、商業(yè)系統(tǒng)往往稍作改進(jìn)即可滿足要求。限的傳播。現(xiàn)有的商業(yè)系統(tǒng)往往稍作改進(jìn)即可滿足要求。(3)C2級標(biāo)準(zhǔn)級標(biāo)準(zhǔn) 是實(shí)際安全產(chǎn)品的最低檔次是實(shí)際安全產(chǎn)品的最低檔次，提供受控的存取保護(hù)，即將，提供受控的存取保護(hù)，即將C1C1級的級的DACDAC進(jìn)一步細(xì)化，以個(gè)人身份注冊負(fù)責(zé)，并實(shí)施審計(jì)進(jìn)一步細(xì)化，以個(gè)人身份注冊負(fù)責(zé)，并實(shí)施審計(jì)和資源隔離。很多商業(yè)產(chǎn)品已得到該級別的認(rèn)證。達(dá)到和資源隔離。很多商業(yè)產(chǎn)品已得到該級別的認(rèn)證。達(dá)到C2C2級的產(chǎn)品在其名稱中往往不突出級的產(chǎn)品在其名稱中往往不突出“安全安全”(Security)(Security)這一這一特色，如操作系統(tǒng)中特色，如操作系統(tǒng)中MicrosoftMic

7、rosoft的的Windows NT 3.5Windows NT 3.5，數(shù)字設(shè)，數(shù)字設(shè)備公司的備公司的Open VMS VAX 6.0Open VMS VAX 6.0和和6.16.1。數(shù)據(jù)庫產(chǎn)品有。數(shù)據(jù)庫產(chǎn)品有OracleOracle公公司的司的Oracle 7Oracle 7， SybaseSybase公司的公司的 SQL Server 11.0.6 SQL Server 11.0.6 等。等。(4)B1級級標(biāo)記安全保護(hù)。標(biāo)記安全保護(hù)。對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，并對標(biāo)記的主體和客體實(shí)對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，并對標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制（施強(qiáng)制存取控制（MACMAC）以及審計(jì)等安全機(jī)制。）

8、以及審計(jì)等安全機(jī)制。B1B1級能夠較好地滿足大型企業(yè)或一般政府部門對于數(shù)據(jù)的安全需求，級能夠較好地滿足大型企業(yè)或一般政府部門對于數(shù)據(jù)的安全需求，這一級別的產(chǎn)品才認(rèn)為是真正意義上的安全產(chǎn)品。這一級別的產(chǎn)品才認(rèn)為是真正意義上的安全產(chǎn)品。滿足此級別的產(chǎn)品前一般多冠以滿足此級別的產(chǎn)品前一般多冠以“安全安全”(Security)(Security)或或“可信可信的的”(Trusted)(Trusted)字樣，作為區(qū)別于普通產(chǎn)品的安全產(chǎn)品出售。字樣，作為區(qū)別于普通產(chǎn)品的安全產(chǎn)品出售。例如，操作系統(tǒng)方面，典型的有數(shù)字設(shè)備公司的例如，操作系統(tǒng)方面，典型的有數(shù)字設(shè)備公司的SEVMS VAX Version SE

9、VMS VAX Version 6.06.0，惠普公司的，惠普公司的HP-UX BLS release 9.0.9+ HP-UX BLS release 9.0.9+ 。數(shù)據(jù)庫方面則有。數(shù)據(jù)庫方面則有OracleOracle公司的公司的Trusted Oracle 7Trusted Oracle 7， SybaseSybase公司的公司的Secure SQL Secure SQL Server version 11.0.6Server version 11.0.6，InformixInformix公司的公司的Incorporated INFORMIX-Incorporated INFORMIX

10、-OnLineOnLine / Secure 5.0 / Secure 5.0等。等。(5)B2級級結(jié)構(gòu)化保護(hù)。結(jié)構(gòu)化保護(hù)。建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實(shí)施客體實(shí)施DACDAC和和MACMAC。 從互連網(wǎng)上的最新資料從互連網(wǎng)上的最新資料22看，經(jīng)過認(rèn)證的、看，經(jīng)過認(rèn)證的、B2B2級以上的安全系統(tǒng)非級以上的安全系統(tǒng)非常稀少。常稀少。例如，符合例如，符合B2B2標(biāo)準(zhǔn)的操作系統(tǒng)只有標(biāo)準(zhǔn)的操作系統(tǒng)只有Trusted Information SystemsTrusted Information Systems公公司的司的Trusted

11、XENIXTrusted XENIX一種產(chǎn)品，符合一種產(chǎn)品，符合B2B2標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品有標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品有CryptekCryptek Secure CommunicationsSecure Communications公司的公司的LLC VSLANLLC VSLAN一種產(chǎn)品，而數(shù)據(jù)庫方面一種產(chǎn)品，而數(shù)據(jù)庫方面目前沒有符合目前沒有符合B2B2標(biāo)準(zhǔn)的產(chǎn)品。標(biāo)準(zhǔn)的產(chǎn)品。(6)B3級級安全域。安全域。該級的該級的TCBTCB必須滿足訪問監(jiān)控器的要求，審計(jì)跟蹤能必須滿足訪問監(jiān)控器的要求，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程。力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程。(7)A1級級B2B2以上的系統(tǒng)標(biāo)準(zhǔn)更多地還處于理論

12、研究階段，產(chǎn)品化以至以上的系統(tǒng)標(biāo)準(zhǔn)更多地還處于理論研究階段，產(chǎn)品化以至商品化的程度都不高，其應(yīng)用也多限于一些特殊的部門如軍商品化的程度都不高，其應(yīng)用也多限于一些特殊的部門如軍隊(duì)等。隊(duì)等。但美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域但美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的應(yīng)用的B2B2安全級別或更高安全級別下放到商業(yè)應(yīng)用中來，并安全級別或更高安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。逐步成為新的商業(yè)標(biāo)準(zhǔn)。可以看出，支持自主存取控制的可以看出，支持自主存取控制的DBMSDBMS大致屬于大致屬于C C級，而支持強(qiáng)級，而支持強(qiáng)制存取控制的制存取控制的DBMSDBMS

13、則可以達(dá)到則可以達(dá)到B1B1級。當(dāng)然，存取控制僅是安級。當(dāng)然，存取控制僅是安全性標(biāo)準(zhǔn)的一個(gè)重要方面（即安全策略方面）不是全部。全性標(biāo)準(zhǔn)的一個(gè)重要方面（即安全策略方面）不是全部。為了使為了使DBMSDBMS達(dá)到一定的安全級別，還需要在其它三個(gè)方面提達(dá)到一定的安全級別，還需要在其它三個(gè)方面提供相應(yīng)的支持。例如審計(jì)功能就是供相應(yīng)的支持。例如審計(jì)功能就是DBMSDBMS達(dá)到達(dá)到C2C2以上安全級別以上安全級別必不可少的一項(xiàng)指標(biāo)。必不可少的一項(xiàng)指標(biāo)。9/374.2 4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制在一般計(jì)算機(jī)系統(tǒng)中，安全措施是一級一級層層設(shè)置的：在一般計(jì)算機(jī)系統(tǒng)中，安全措施是一級一級層層設(shè)置的：

14、圖4.2 計(jì)算機(jī)系統(tǒng)的安全模型 用戶DBMS OS DB用戶標(biāo)識用戶標(biāo)識和鑒別和鑒別存取控制存取控制操作系統(tǒng)操作系統(tǒng)安全保護(hù)安全保護(hù)數(shù)據(jù)密碼存儲數(shù)據(jù)密碼存儲*首先根據(jù)輸入的用戶標(biāo)識進(jìn)行首先根據(jù)輸入的用戶標(biāo)識進(jìn)行身份鑒定身份鑒定，只有合法的用戶才，只有合法的用戶才 準(zhǔn)許進(jìn)入計(jì)算機(jī)系統(tǒng)。準(zhǔn)許進(jìn)入計(jì)算機(jī)系統(tǒng)。*對已進(jìn)入系統(tǒng)的用戶，對已進(jìn)入系統(tǒng)的用戶，DBMS進(jìn)行進(jìn)行存取控制存取控制，只允許用戶執(zhí)，只允許用戶執(zhí) 行合法操作。行合法操作。*操作系統(tǒng)一級也會有自己的保護(hù)措施。操作系統(tǒng)一級也會有自己的保護(hù)措施。*數(shù)據(jù)最后還可以以密碼形式存儲到數(shù)據(jù)庫中。數(shù)據(jù)最后還可以以密碼形式存儲到數(shù)據(jù)庫中。10/37數(shù)據(jù)庫

15、安全性控制的常用方法數(shù)據(jù)庫安全性控制的常用方法4.2.1 用戶標(biāo)識與鑒別4.2.2 存取控制 4.2.3 自主存取控制方法 DAC 4.2.4 授權(quán)與回收 4.2.5 數(shù)據(jù)庫角色 4.2.6 強(qiáng)制存取控制方法 MAC4.3 視圖4.4 審計(jì)4.5 密碼存儲4.2 4.2 數(shù)據(jù)庫安全性控制（續(xù)）數(shù)據(jù)庫安全性控制（續(xù)）11/374.2.1 4.2.1 用戶標(biāo)識與鑒別用戶標(biāo)識與鑒別用戶標(biāo)識與鑒別（用戶標(biāo)識與鑒別（Identification & Authentication） 系統(tǒng)提供的最外層安全保護(hù)措施系統(tǒng)提供的最外層安全保護(hù)措施 用戶標(biāo)識用戶標(biāo)識 用戶名用戶名 用戶標(biāo)識號用戶標(biāo)識號 口令口令 系

16、統(tǒng)核對口令以鑒別用戶身份系統(tǒng)核對口令以鑒別用戶身份 用戶名和口令易被竊取用戶名和口令易被竊取12/374.2.2 4.2.2 存取控制存取控制數(shù)據(jù)庫安全性所關(guān)心的主要是數(shù)據(jù)庫安全性所關(guān)心的主要是 DBMS的的存取控制機(jī)制存取控制機(jī)制。確保只有合法用戶才能訪問數(shù)據(jù)庫，一般通過確保只有合法用戶才能訪問數(shù)據(jù)庫，一般通過授權(quán)授權(quán)來實(shí)來實(shí) 現(xiàn)。現(xiàn)。存取控制機(jī)制主要包括兩部分：存取控制機(jī)制主要包括兩部分： （1 1）定義用戶權(quán)限）定義用戶權(quán)限 定義不同用戶對于不同的數(shù)據(jù)對象允許執(zhí)行的操作權(quán)限。定義不同用戶對于不同的數(shù)據(jù)對象允許執(zhí)行的操作權(quán)限。 （2 2）合法權(quán)限檢查）合法權(quán)限檢查 用戶發(fā)出存取數(shù)據(jù)庫的操作

17、請求后，用戶發(fā)出存取數(shù)據(jù)庫的操作請求后，DBMS查找數(shù)據(jù)字典查找數(shù)據(jù)字典 中存儲的權(quán)限定義，檢查用戶操作的合法性。中存儲的權(quán)限定義，檢查用戶操作的合法性。13/37DBMSDBMS實(shí)現(xiàn)數(shù)據(jù)安全性保護(hù)的過程實(shí)現(xiàn)數(shù)據(jù)安全性保護(hù)的過程 用戶或用戶或DBA把授權(quán)決定告知系統(tǒng)把授權(quán)決定告知系統(tǒng) 通過通過SQL的的GRANT和和REVOKE DBMS把授權(quán)的結(jié)果存入數(shù)據(jù)字典把授權(quán)的結(jié)果存入數(shù)據(jù)字典 當(dāng)用戶提出操作請求時(shí)，當(dāng)用戶提出操作請求時(shí)，DBMS根據(jù)授權(quán)定義進(jìn)行檢根據(jù)授權(quán)定義進(jìn)行檢 查，以決定是否執(zhí)行操作請求查，以決定是否執(zhí)行操作請求4.2.2 4.2.2 存取控制存取控制14/37常用存取控制方法：

18、常用存取控制方法：1. 1.自主存取控制自主存取控制 DACDAC 用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限，不同的用戶用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限，不同的用戶對同一對象也有不同的權(quán)限，而且用戶還可將其擁有的存對同一對象也有不同的權(quán)限，而且用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。取權(quán)限轉(zhuǎn)授給其他用戶。 當(dāng)前大型的當(dāng)前大型的DBMS一般都支持一般都支持C2C2級級中的自主存取控制，中的自主存取控制，SQL標(biāo)準(zhǔn)也通過標(biāo)準(zhǔn)也通過GRANT語句語句和和REVOKE語句語句對其提供了對其提供了支持。支持。2. 2.強(qiáng)制存取控制強(qiáng)制存取控制 MACMAC 每一數(shù)據(jù)對象被標(biāo)以一定的密級，每一個(gè)用戶

19、也被授予某每一數(shù)據(jù)對象被標(biāo)以一定的密級，每一個(gè)用戶也被授予某一個(gè)級別的許可證。對于任一個(gè)對象，只有具有合法許可一個(gè)級別的許可證。對于任一個(gè)對象，只有具有合法許可證的用戶才可以存取。證的用戶才可以存取。 有些有些DBMS也支持也支持B1B1級級中的強(qiáng)制存取控制中的強(qiáng)制存取控制(MAC)。4.2.2 4.2.2 存取控制（續(xù)）存取控制（續(xù)）15/374.2.3 4.2.3 自主存取控制自主存取控制(DAC)(DAC)方法方法通過通過 SQL 的的 GRANT 語句和語句和 REVOKE 語句實(shí)現(xiàn)語句實(shí)現(xiàn)用戶權(quán)限用戶權(quán)限由兩個(gè)要素組成由兩個(gè)要素組成 1. 1.數(shù)據(jù)對象數(shù)據(jù)對象 2. 2.操作類型操作

20、類型定義用戶存取權(quán)限：定義用戶存取權(quán)限：定義用戶可以在哪些數(shù)據(jù)庫對象上進(jìn)定義用戶可以在哪些數(shù)據(jù)庫對象上進(jìn) 行哪些類型的操作行哪些類型的操作定義存取權(quán)限稱為定義存取權(quán)限稱為授權(quán)授權(quán) 16/37表表4.3 4.3 關(guān)系系統(tǒng)中的存取權(quán)限關(guān)系系統(tǒng)中的存取權(quán)限4.2.3 4.2.3 自主存取控制自主存取控制(DAC)(DAC)方法（續(xù)）方法（續(xù)）對象類型對象類型對象對象操操 作作 類類 型型數(shù)據(jù)庫數(shù)據(jù)庫模式模式CREATE SCHEMA基本表基本表CREATE TABLE，ALTER TABLE模式模式視圖視圖CREATE VIEW索引索引CREATE INDEX數(shù)據(jù)數(shù)據(jù)基本表基本表和視圖和視圖SELE

21、CT, INSERT, UPDATE, DELETE,REFERENCES, ALL PRIVILEGES數(shù)據(jù)數(shù)據(jù)屬性列屬性列SELECT，INSERT，UPDATE， REFERENCES， ALL PRIVILEGES17/374.2.4 4.2.4 授權(quán)授權(quán)(Authorization)(Authorization)與回收與回收1.SQL1.SQL的授權(quán)的授權(quán) 授權(quán)語句授權(quán)語句 GRANT 格式格式 GRANT , , ON , TO , WITH GRANT OPTION; 功能功能 將對指定操作對象的指定操作權(quán)限授予指定的將對指定操作對象的指定操作權(quán)限授予指定的用戶用戶 例例1 1

22、把查詢把查詢Student表的權(quán)限授給用戶表的權(quán)限授給用戶U1。 GRANT SELECT ON Student TO U1;18/37 發(fā)出發(fā)出GRANT1)DBA2)數(shù)據(jù)庫對象創(chuàng)建者（即屬主數(shù)據(jù)庫對象創(chuàng)建者（即屬主Owner，DBO）3)擁有該權(quán)限的用戶擁有該權(quán)限的用戶 按受權(quán)限的用戶按受權(quán)限的用戶 1)一個(gè)或多個(gè)具體用戶一個(gè)或多個(gè)具體用戶2)PUBLIC（全體用戶）（全體用戶） 4.2.4 4.2.4 授權(quán)授權(quán)(Authorization)(Authorization)與回收（續(xù)）與回收（續(xù)）19/37WITH GRANT OPTION子句子句: 指定：可以指定：可以再授予其他的用戶再授

23、予其他的用戶 沒有指定：沒有指定：不能傳播不能傳播不允許循環(huán)授權(quán)不允許循環(huán)授權(quán)4.2.4 4.2.4 授權(quán)授權(quán)(Authorization)(Authorization)與回收（續(xù)）與回收（續(xù)）20/37 例例2 2 將將Student, Course兩個(gè)表上的全部權(quán)限授給兩個(gè)表上的全部權(quán)限授給U2，U3。 GRANT ALL PRIVILEGES ON Student, Course TO U2,U3; 例例5 5 把對表把對表SC的的INSERT權(quán)限授予權(quán)限授予U5用戶，并允許他再將用戶，并允許他再將此權(quán)限授予其他用戶此權(quán)限授予其他用戶 GRANT INSERT ON TABLE SC T

24、O U5 WITH GRANT OPTION;4.2.4 4.2.4 授權(quán)授權(quán)(Authorization)(Authorization)與回收（續(xù)）與回收（續(xù)）21/37執(zhí)行例執(zhí)行例5后，后，U5不僅擁有了對表不僅擁有了對表SC的的INSERT權(quán)限，還可以權(quán)限，還可以傳播此權(quán)限傳播此權(quán)限： 例例6 6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION;同樣，同樣，U6還可以將此權(quán)限授予還可以將此權(quán)限授予U7： 例例7 7 GRANT INSERT ON TABLE SC TO U7;但但U7U7不能再傳播此權(quán)限。不能再傳播此權(quán)限。 4.2.4

25、4.2.4 授權(quán)授權(quán)(Authorization)(Authorization)與回收（續(xù)）與回收（續(xù)）22/372.SQL2.SQL權(quán)限回收權(quán)限回收 授予的權(quán)限可以由授予的權(quán)限可以由DBA或其他授權(quán)者用或其他授權(quán)者用REVOKE語句收回語句收回 格式格式 REVOKE , , ON , FROM , CASCADE|RESTRICT; 功能功能 從指定從指定用戶用戶那里收回對指定那里收回對指定對象對象的指定的指定權(quán)限權(quán)限 例例8 8 把用戶把用戶U4修改學(xué)生學(xué)號的權(quán)限收回修改學(xué)生學(xué)號的權(quán)限收回REVOKE UPDATE (Sno)ON TABLE StudentFROM U4;4.2.4 4

26、.2.4 授權(quán)授權(quán)(Authorization)(Authorization)與回收（續(xù)）與回收（續(xù)）23/37 例例9 9 收回所有用戶對表收回所有用戶對表SC的查詢權(quán)限的查詢權(quán)限REVOKE SELECTON TABLE SCFROM PUBLIC; 例例1010 把用戶把用戶U5對對SC表的表的INSERT權(quán)限收回權(quán)限收回REVOKE INSERT ON TABLE SC FROM U5 CASCADE;*系統(tǒng)系統(tǒng)將收回直接或間接從將收回直接或間接從U5U5處獲得的處獲得的對對SC表的表的INSERT權(quán)限權(quán)限: -U5- U6- U7*收回收回U5、U6、U7獲得的對獲得的對SC表的表的

27、INSERT權(quán)限權(quán)限: -U5- U6- U74.3.4 4.3.4 授權(quán)授權(quán)(Authorization)(Authorization)與回收（續(xù)）與回收（續(xù)）24/37小結(jié)小結(jié):SQL:SQL靈活的授權(quán)機(jī)制靈活的授權(quán)機(jī)制DBA：擁有所有對象的所有權(quán)限：擁有所有對象的所有權(quán)限 不同的權(quán)限授予不同的用戶不同的權(quán)限授予不同的用戶用戶：擁有自己建立的對象的全部的操作權(quán)限用戶：擁有自己建立的對象的全部的操作權(quán)限 GRANT：授予其他用戶：授予其他用戶被授權(quán)的用戶被授權(quán)的用戶 “繼續(xù)授權(quán)繼續(xù)授權(quán)”許可：再授予許可：再授予所有授予出去的權(quán)力在必要時(shí)又都可用所有授予出去的權(quán)力在必要時(shí)又都可用REVOKE語

28、句收回語句收回4.2.4 4.2.4 授權(quán)授權(quán)(Authorization)(Authorization)與回收（續(xù)）與回收（續(xù)）25/374.2.5 4.2.5 數(shù)據(jù)庫角色數(shù)據(jù)庫角色數(shù)據(jù)庫角色：被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限數(shù)據(jù)庫角色：被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限 角色是權(quán)限的集合角色是權(quán)限的集合 可以為一組具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色可以為一組具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色 簡化授權(quán)的過程簡化授權(quán)的過程26/37一、角色的創(chuàng)建一、角色的創(chuàng)建CREATE ROLE 二、給角色授權(quán)二、給角色授權(quán) GRANT ， ON 對象名對象名 TO ，三、將一個(gè)角色授予其他的角色或用戶三、將一

29、個(gè)角色授予其他的角色或用戶GRANT ，TO ， WITH ADMIN OPTION 四、角色權(quán)限的收回四、角色權(quán)限的收回 REVOKE ，ON FROM ，4.2.5 4.2.5 數(shù)據(jù)庫角色（續(xù)）數(shù)據(jù)庫角色（續(xù)）27/37 例例1111 通過角色來實(shí)現(xiàn)將一組權(quán)限授予用戶。通過角色來實(shí)現(xiàn)將一組權(quán)限授予用戶。步驟如下：步驟如下：1. 首先創(chuàng)建一個(gè)角色首先創(chuàng)建一個(gè)角色 R1 CREATE ROLE R1；2. 然后使用然后使用GRANT語句，使角色語句，使角色R1擁有擁有Student表的表的SELECT、UPDATE、INSERT權(quán)限權(quán)限 GRANT SELECT，UPDATE，INSERT O

30、N TABLE Student TO R1；3. 將這個(gè)角色授予王平，張明，趙玲。使他們具有角色將這個(gè)角色授予王平，張明，趙玲。使他們具有角色R1所包含的全所包含的全部權(quán)限部權(quán)限 GRANT R1 TO 王平，張明，趙玲；王平，張明，趙玲；4. 可以一次性通過可以一次性通過R1來回收王平的這來回收王平的這3個(gè)權(quán)限個(gè)權(quán)限 REVOKE R1 FROM 王平；王平；4.2.5 4.2.5 數(shù)據(jù)庫角色（續(xù)）數(shù)據(jù)庫角色（續(xù)）28/37自主存取控制缺點(diǎn)：自主存取控制缺點(diǎn)：可能存在數(shù)據(jù)的可能存在數(shù)據(jù)的“無意泄露無意泄露”原因：原因： 這種機(jī)制僅僅通過對數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控這種機(jī)制僅僅通過對數(shù)據(jù)的存取

31、權(quán)限來進(jìn)行安全控 制，而數(shù)據(jù)本身并無安全性標(biāo)記制，而數(shù)據(jù)本身并無安全性標(biāo)記解決：解決： 對系統(tǒng)控制下的對系統(tǒng)控制下的所有主客體所有主客體實(shí)施強(qiáng)制存取控制策略實(shí)施強(qiáng)制存取控制策略 4.2.6 4.2.6 強(qiáng)制存取控制強(qiáng)制存取控制(MAC)(MAC)方法方法29/37在在強(qiáng)制存取控制強(qiáng)制存取控制(MAC)(MAC)方法方法中，每一個(gè)中，每一個(gè)數(shù)據(jù)對象數(shù)據(jù)對象被標(biāo)以被標(biāo)以一定的一定的密級密級，每一個(gè)，每一個(gè)用戶用戶也被授予某一個(gè)級別的也被授予某一個(gè)級別的許可證許可證。對于任意一個(gè)對象，只有具有合法許可證的用戶才可以對于任意一個(gè)對象，只有具有合法許可證的用戶才可以存取。強(qiáng)制存取控制因此相對比較嚴(yán)格。存

32、取。強(qiáng)制存取控制因此相對比較嚴(yán)格。DBMS管理的全部實(shí)體分為管理的全部實(shí)體分為主體主體和和客體客體兩大類兩大類 主體主體是指數(shù)據(jù)庫中數(shù)據(jù)訪問者（用戶、是指數(shù)據(jù)庫中數(shù)據(jù)訪問者（用戶、DBA）、進(jìn)程、）、進(jìn)程、 線程等，是系統(tǒng)中的線程等，是系統(tǒng)中的活動(dòng)實(shí)體活動(dòng)實(shí)體。 客體客體是指數(shù)據(jù)庫中數(shù)據(jù)及其載體（表、視圖、索引、存是指數(shù)據(jù)庫中數(shù)據(jù)及其載體（表、視圖、索引、存 儲過程等），是系統(tǒng)中的儲過程等），是系統(tǒng)中的被動(dòng)實(shí)體被動(dòng)實(shí)體。MAC適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門。適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門。4.2.6 4.2.6 強(qiáng)制存取控制強(qiáng)制存取控制(MAC)(MAC)方法（續(xù)）方法（續(xù)）3

33、0/37對于主體和客體，對于主體和客體，DBMS為它們每個(gè)實(shí)例為它們每個(gè)實(shí)例(值值)指派一指派一 個(gè)個(gè)敏敏 感度標(biāo)記感度標(biāo)記(Label)(Label)。敏感度標(biāo)記被分成若干級別，例如絕密、機(jī)密、秘密、公敏感度標(biāo)記被分成若干級別，例如絕密、機(jī)密、秘密、公開等。開等。 主體的敏感度標(biāo)記稱為主體的敏感度標(biāo)記稱為許可證級別許可證級別。 客體的敏感度標(biāo)記稱為客體的敏感度標(biāo)記稱為密級密級?？腕w子集客體子集主體子集主體子集訪訪問問4.2.6 4.2.6 強(qiáng)制存取控制強(qiáng)制存取控制(MAC)(MAC)方法（續(xù)）方法（續(xù)）31/37MAC機(jī)制就是通過對比主體的機(jī)制就是通過對比主體的Label和客體的和客體的La

34、bel，最終，最終確定主體是否能夠存取客體。確定主體是否能夠存取客體。當(dāng)某一主體以標(biāo)記當(dāng)某一主體以標(biāo)記label注冊入系統(tǒng)時(shí)，系統(tǒng)要求他對任何注冊入系統(tǒng)時(shí)，系統(tǒng)要求他對任何 客體的存取必須遵循如下規(guī)則：客體的存取必須遵循如下規(guī)則： 僅當(dāng)主體的許可證級別僅當(dāng)主體的許可證級別大于或等于大于或等于客體的密級時(shí)，該主客體的密級時(shí)，該主 體才能體才能讀取讀取相應(yīng)的客體；相應(yīng)的客體； 僅當(dāng)主體的許可證級別僅當(dāng)主體的許可證級別等于等于客體的密級時(shí)，該主體才能客體的密級時(shí)，該主體才能 寫寫相應(yīng)的客體。相應(yīng)的客體。 這兩種規(guī)則均禁止了擁有高許可證級別的主體更新低密級這兩種規(guī)則均禁止了擁有高許可證級別的主體更新低

35、密級 的數(shù)據(jù)對象，從而防止了敏感數(shù)據(jù)的泄漏。的數(shù)據(jù)對象，從而防止了敏感數(shù)據(jù)的泄漏。4.2.6 4.2.6 強(qiáng)制存取控制強(qiáng)制存取控制(MAC)(MAC)方法（續(xù)）方法（續(xù)）32/37自主訪問控制自主訪問控制 優(yōu)點(diǎn)：優(yōu)點(diǎn)：有高度的靈活性，這使得它適用于多個(gè)應(yīng)用領(lǐng)有高度的靈活性，這使得它適用于多個(gè)應(yīng)用領(lǐng)域。域。 缺點(diǎn)：缺點(diǎn)：防范惡意攻擊的脆弱性。因?yàn)橐坏┍皇跈?quán)用戶防范惡意攻擊的脆弱性。因?yàn)橐坏┍皇跈?quán)用戶訪問以后，自主授權(quán)模型就不能對如何傳播和如何使訪問以后，自主授權(quán)模型就不能對如何傳播和如何使用信息進(jìn)行任何的控制了。用信息進(jìn)行任何的控制了。強(qiáng)制訪問控制強(qiáng)制訪問控制 優(yōu)點(diǎn)：優(yōu)點(diǎn)：可以保證更高程度的保護(hù)

36、，防止了信息的非法可以保證更高程度的保護(hù)，防止了信息的非法流動(dòng)。適用于需要高度保護(hù)的政府、軍事等應(yīng)用。流動(dòng)。適用于需要高度保護(hù)的政府、軍事等應(yīng)用。 缺點(diǎn)：缺點(diǎn)：過于嚴(yán)格，要求將主體和客體嚴(yán)格地劃分到安過于嚴(yán)格，要求將主體和客體嚴(yán)格地劃分到安全級別中，因此僅適用于少數(shù)環(huán)境。全級別中，因此僅適用于少數(shù)環(huán)境。4.2.6 4.2.6 強(qiáng)制存取控制強(qiáng)制存取控制(MAC)(MAC)方法（續(xù)）方法（續(xù)）33/374.3 4.3 視圖機(jī)制視圖機(jī)制視圖是實(shí)施安全性控制的一種有效機(jī)制。視圖是實(shí)施安全性控制的一種有效機(jī)制。 通過視圖機(jī)制把要保密的數(shù)據(jù)對無權(quán)存取的用戶隱藏通過視圖機(jī)制把要保密的數(shù)據(jù)對無權(quán)存取的用戶隱藏

37、 起來，從而自動(dòng)地對數(shù)據(jù)提供一定程度的安全保護(hù)。起來，從而自動(dòng)地對數(shù)據(jù)提供一定程度的安全保護(hù)。 視圖機(jī)制間接地實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定視圖機(jī)制間接地實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定 義。義。 通過為不同的用戶定義不同的視圖，可以限制各個(gè)用通過為不同的用戶定義不同的視圖，可以限制各個(gè)用 戶的訪問范圍。戶的訪問范圍。34/37 例例1414 建立建立計(jì)算機(jī)系學(xué)生計(jì)算機(jī)系學(xué)生的視圖，把對該視圖的的視圖，把對該視圖的SELECT權(quán)權(quán)限授于王平，把該視圖上的所有操作權(quán)限授于張明限授于王平，把該視圖上的所有操作權(quán)限授于張明 1)先建立計(jì)算機(jī)系學(xué)生的視圖先建立計(jì)算機(jī)系學(xué)生的視圖CS_Student CR

38、EATE VIEW CS_Student AS SELECT * FROM Student WHERE Sdept=CS; 2)在視圖上進(jìn)一步定義存取權(quán)限在視圖上進(jìn)一步定義存取權(quán)限 GRANT SELECT ON CS_Student TO 王平王平; GRANT ALL PRIVILIGES ON CS_Student TO 張明張明; 4.3 4.3 視圖機(jī)制（續(xù)）視圖機(jī)制（續(xù)）35/374.4 4.4 審計(jì)（審計(jì)（AuditAudit）什么是審計(jì)什么是審計(jì) 審計(jì)日志（審計(jì)日志（Audit LogAudit Log） 將用戶對數(shù)據(jù)庫的所有操作記錄在上面將用戶對數(shù)據(jù)庫的所有操作記錄在上面 D

39、BADBA利用審計(jì)日志利用審計(jì)日志 找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容 C2C2以上安全級別的以上安全級別的DBMSDBMS必須具有必須具有36/37 用戶級審計(jì)用戶級審計(jì)針對自己創(chuàng)建的數(shù)據(jù)庫表或視圖進(jìn)行審計(jì)針對自己創(chuàng)建的數(shù)據(jù)庫表或視圖進(jìn)行審計(jì) 記錄所有用戶對這些表或視圖的一切成功和（或）記錄所有用戶對這些表或視圖的一切成功和（或）不成功的訪問要求以及各種類型的不成功的訪問要求以及各種類型的SQLSQL操作操作 系統(tǒng)級審計(jì)系統(tǒng)級審計(jì) DBADBA設(shè)置設(shè)置 監(jiān)測成功或失敗的登錄要求監(jiān)測成功或失敗的登錄要求 監(jiān)測監(jiān)測GRANTGRANT和和REVOKEREVOKE操作

40、以及其他數(shù)據(jù)庫級權(quán)限下操作以及其他數(shù)據(jù)庫級權(quán)限下的操作的操作37/374.5 4.5 數(shù)據(jù)加密數(shù)據(jù)加密對高度敏感性數(shù)據(jù)，例如，財(cái)務(wù)數(shù)據(jù)、軍事數(shù)據(jù)、國家機(jī)對高度敏感性數(shù)據(jù)，例如，財(cái)務(wù)數(shù)據(jù)、軍事數(shù)據(jù)、國家機(jī)密，除以上安全性措施外，還可以采用數(shù)據(jù)加密技術(shù)，密，除以上安全性措施外，還可以采用數(shù)據(jù)加密技術(shù)，以密文形式存儲和傳輸數(shù)據(jù)以密文形式存儲和傳輸數(shù)據(jù)。這樣即使企圖通過不正常。這樣即使企圖通過不正常渠道獲取數(shù)據(jù)，也只能看到一些無法辨認(rèn)的二進(jìn)制碼。渠道獲取數(shù)據(jù)，也只能看到一些無法辨認(rèn)的二進(jìn)制碼。數(shù)據(jù)加密的方法基本上有三種：信息編碼、信息置換和信數(shù)據(jù)加密的方法基本上有三種：信息編碼、信息置換和信息替換。常用的密碼方法有：息替換。常用的密碼方法有：DES、公鑰密碼等。、公鑰密碼等。由于數(shù)據(jù)加解密是比較耗時(shí)的操作，而且數(shù)據(jù)加密與解密由于數(shù)據(jù)加解密是比較耗時(shí)的操作，而且數(shù)據(jù)加密與解密程序會占用大量系統(tǒng)資源，增加了系統(tǒng)的開銷，降低了程序會占用大量系統(tǒng)資源，增加了系統(tǒng)的開銷，降低了數(shù)據(jù)庫的效率，因此數(shù)據(jù)加解密功能通常作為可選特征。數(shù)據(jù)庫的效率，因此數(shù)據(jù)加解密功能通常作為可選特征。