1、第四章第四章 數據庫的安全性與完整性數據庫的安全性與完整性計算機系統的安全性v計算機系統的安全性是指為計算機系統建立和采計算機系統的安全性是指為計算機系統建立和采取的各種安全保護措施，以保護計算機系統中的取的各種安全保護措施，以保護計算機系統中的硬件、軟件和數據，防止其因偶然或惡意的原因硬件、軟件和數據，防止其因偶然或惡意的原因使系統遭到破壞，數據遭到更改或泄漏等。使系統遭到破壞，數據遭到更改或泄漏等。計算機系統安全問題的分類v技術安全類技術安全類 技術安全是指計算機系統中采用具有一定安全性的硬件、軟件來實現對計算機系統及其所存數據的安全保護，當計算機受到有意的或無意的攻擊時仍能保證系統的正常

2、運行，保證系統內的數據不增加、不丟失、不泄露。v管理安全類管理安全類 技術安全之外的，諸如軟硬件意外故障、場地的意外事故、管理不善導致的計算機設備和數據介質的物理破壞、丟失等安全問題視為管理安全。v政策法律類政策法律類 指政府部門建立的有關計算機犯罪、數據安全保密的法律道德準則和政策法規、法令。可信計算機評測標準v1985年，美國國防部制定了可信計算機評估標年，美國國防部制定了可信計算機評估標準準TCSEC（Trusted Computer System Evaluation Criteria)。1991年年4月，美國國月，美國國家計算機安全中心家計算機安全中心NCSC發布發布可信計算機系統可

3、信計算機系統評估標準關于數據庫系統的解釋評估標準關于數據庫系統的解釋TDI（Trusted Database Interpretation）,將將TCSEC擴展擴展到數據庫管理系統。它們從安全策略、責任、保到數據庫管理系統。它們從安全策略、責任、保證、文檔四個方面描述了安全級別劃分的指標。證、文檔四個方面描述了安全級別劃分的指標。可信計算機評測標準（續I）安全級別安全級別定定 義義A1驗證設計（驗證設計（Verified Design）B3安全域（安全域（Security Domain）B2結構化保護（結構化保護（Structural Protection）B1標記安全保護（標記安全保護（La

4、beled Security Protection）C2受控存取保護（受控存取保護（Controlled Access Protection）C1自主安全保護（自主安全保護（Discretionary Security Protection）D最小保護（最小保護（Minimal Protection）對數據庫的安全威脅v原則上，凡是造成對數據庫內存儲數據的非授權原則上，凡是造成對數據庫內存儲數據的非授權訪問訪問讀取，或非授權的寫入讀取，或非授權的寫入增加、刪除、修改增加、刪除、修改等，都屬于對數據庫的數據安全造成了威脅或破等，都屬于對數據庫的數據安全造成了威脅或破壞。另一方面，凡是影響授權用戶

5、以正常方式使壞。另一方面，凡是影響授權用戶以正常方式使用數據庫系統的數據服務的，也稱之為造成侵犯，用數據庫系統的數據服務的，也稱之為造成侵犯，對數據庫的安全形成了威脅或破壞。對數據庫的安全形成了威脅或破壞。對數據庫的安全威脅的分類v偶然地、無意地接觸或修改偶然地、無意地接觸或修改DBMS管理下的數據管理下的數據 自然的或意外的事故 硬件或軟件的故障/錯誤導致數據丟失 人為的失誤，如錯誤的輸入和應用系統的不正常使用。對數據庫的安全威脅的分類（I）v蓄意的侵犯和敵意的攻擊蓄意的侵犯和敵意的攻擊 授權用戶可能濫用其權力 信息的非正常擴散-泄密 由授權讀取的數據推論出不應訪問的數據 對信息的非正常修改

6、 敵對方的攻擊，內部的或外部的非授權用戶從不同渠道進行攻擊。 敵對方對軟件和硬件的蠻力破壞 繞過DBMS直接對數據進行讀寫 病毒、特洛伊木馬、天窗 通過各種途徑干擾DBMS的正常工作狀態，使之在正當用戶提出數據請求時，不能正常提供服務。數據庫的安全性v數據庫的安全性是指保護數據庫以防止不合法的數據庫的安全性是指保護數據庫以防止不合法的使用所造成的數據泄漏、更改和破壞。它包括兩使用所造成的數據泄漏、更改和破壞。它包括兩個方面的含義：個方面的含義： 向授權用戶提供可靠的信息服務。 同時，拒絕非授權的對數據的存取訪問請求，保證數據庫管理下的數據的可用性、完整性和一致性，進而保護數據庫所有者和使用者的

7、合法權益。數據庫安全性控制管理、技術、操作 多個方面物理、網絡、系統、應用 多個層次設計、構建、運行、維護 整個周期安全數據庫安全性控制v數據庫安全控制涉及多個方面，它可分為內部安數據庫安全控制涉及多個方面，它可分為內部安全控制和外部安全控制。全控制和外部安全控制。 內部安全控制由計算機系統的軟硬件實現。它必須與管理系統物理存取的適當的外部安全控制相配合。 外部安全控制解決內部安全控制不能解決的問題外部安全控制v實體安全控制實體安全控制 劃定安全區域，設置安全屏障和建立安全控制 評估安全風險，將涉密設備和材料放置在不同的安全區域v人員、組織安全控制人員、組織安全控制 建立安全管理機構和相應安全

8、評估、管理制度 明確組織間的訪問安全關系 明確組織內的安全角色和責任 建立人員聘用和考察制度，通過合同條款和保密協議，明確每個人的安全保密責任 建立責任追究制度外部安全控制v過程安全控制過程安全控制 確定業務操作過程的安全需求 制訂訪問控制規則，并明確個人用戶（或組用戶）的權限 建立訪問管理制度，確定用戶、特權、密碼等的管理措施和操作過程規定 明確用戶在密碼使用和設備安全等方面的責任 建立監測和審查制度 建立安全事故管理制度數據庫安全性控制v數據庫系統的安全保護是由多個層次的構成的。數據庫系統的安全保護是由多個層次的構成的。本章只涉及由數據庫本身提供的安全機制。本章只涉及由數據庫本身提供的安全

9、機制。DBMSOSDB用戶標識和鑒別網絡系統安全保護存取控制操作系統安全保護數據加密用戶標識與鑒別v用戶標識和鑒別是系統提供的最外層安全保護措用戶標識和鑒別是系統提供的最外層安全保護措施。標識是指系統采用一定的方式標識其用戶或施。標識是指系統采用一定的方式標識其用戶或應用程序的名字或身份。鑒別是指系統在用戶或應用程序的名字或身份。鑒別是指系統在用戶或應用程序登錄時判斷其是否為合法的授權用戶。應用程序登錄時判斷其是否為合法的授權用戶。應用系統、網絡系統、操作系統、應用系統、網絡系統、操作系統、DBMS都可以都可以進行用戶標識和鑒別，通常的做法是采用用戶名進行用戶標識和鑒別，通常的做法是采用用戶名

10、和口令。和口令。存取控制v存取控制確保合法用戶按照指定的權限使用存取控制確保合法用戶按照指定的權限使用DBMS和訪問數據，而非法用戶或不具有相關權和訪問數據，而非法用戶或不具有相關權限的用戶則不能。限的用戶則不能。v存取控制機制主要包括兩個部分：存取控制機制主要包括兩個部分： 定義用戶權限，并將用戶權限記錄到數據字典中，形成安全規則或授權規則。其中，用戶權限是指不同的用戶對于不同的數據對象允許執行的操作權限。 合法權限檢查，每當用戶發出數據庫操作請求后，DBMS根據數據字典中的安全規則進行合法權限檢查，決定是否接受用戶的操作請求。 用戶權限定義和合法權限檢查機制一起組成了DBMS的安全子系統。

11、DAC與MACv存取控制可以分為：存取控制可以分為： 自主存取控制(discretionary access control，簡稱DAC)。用戶對于不同的數據對象擁有不同的存取權限，不同的用戶對同一對象也有不同的權限，而且用戶還可以將其擁有的權限轉授給其他用戶。 強制存取控制(mandatory access control，簡稱MAC)。每一個數據對象被標以一定的密級，每一個用戶也被授予某一個級別的許可證。對于任一個對象，只有具有合法許可證的用戶才可以存取。自主存取控制方法v用戶權限由兩個要素組成，數據對象和操作類用戶權限由兩個要素組成，數據對象和操作類型。定義一個用戶的存取權限就是要定義這

12、個型。定義一個用戶的存取權限就是要定義這個用戶可以在哪些數據對象上進行哪些類型的操用戶可以在哪些數據對象上進行哪些類型的操作，在數據庫系統中稱之為授權。作，在數據庫系統中稱之為授權。數據對象數據對象操作類型操作類型數據庫數據庫模式模式基本表基本表視圖視圖索引索引建立、修改、檢索建立、修改、檢索建立、修改、檢索建立、修改、檢索建立、修改、檢索建立、修改、檢索建立、刪除建立、刪除數據數據表或視圖表或視圖屬性列屬性列查找、插入、刪除、修改查找、插入、刪除、修改查找、插入、刪除、修改查找、插入、刪除、修改SQL的數據控制v當數據庫管理員建立了一個新用戶之后當數據庫管理員建立了一個新用戶之后,必須授予必

13、須授予它一定的權限它一定的權限,該用戶才能使用數據庫。在數據庫該用戶才能使用數據庫。在數據庫系統中可以授予用戶兩類權限：系統中可以授予用戶兩類權限： 用戶級權限 用戶級權限是數據庫管理員為每個用戶授予的特定權限。這種權限與整個數據庫相關，與數據庫中具體的關系無關。這種權限是對用戶使用整個數據庫的權限的限定。 關系級權限 關系級權限是數據庫管理員或數據庫對象的擁有者為用戶授予的與關系或視圖有關的權限。這種權限是對用戶使用關系和視圖的權限的限定。角色與用戶組v為了管理數據庫特權的方便，數據庫還支持角色為了管理數據庫特權的方便，數據庫還支持角色和用戶組的概念。和用戶組的概念。 角色是一組權限的集合，

14、可以把它授予用戶或其他角色。當把某個角色授予用戶（或角色）或從用戶（或角色）處收回時，就同時授予或收回了該角色代表的全部權限。 用戶組是一組具有相同特性用戶的集合。在授權或收回權限時，可以以用戶組為單位進行。用戶級權限與角色的授予與收回v在SQL語言中，通過Grant語句為用戶授予用戶級權限或角色，其語法格式為：Grant | ,| To |public ,| With Grant Optionv其中，public指數據庫中的全部用戶。With Grant Option則允許被授權的用戶將指定的用戶級權限或角色授予其他用戶。用戶級權限與角色的授予與收回v為用戶授予用戶級權限為用戶授予用戶級權限

15、 Grant Create Session to SCOTT;v為用戶授予角色為用戶授予角色 Grant Connect to SCOTT;v將權限授予角色將權限授予角色 Grant Create table to Student_role;v將角色授予角色將角色授予角色 Grant Resource to Student_role;v將角色授予用戶組將角色授予用戶組 Grant Student_role to PUBLIC;Oracle默認的角色北京航空航天大學軟件開發環境重點實驗室擁有的權限擁有的權限操作操作Create UserCreate SchemaCreate Table登錄數據庫

16、，執行查詢和更新DBARESOURCECONNECT需要授權才可以執行用戶級權限與角色的授予與收回v當要取消一個用戶或角色的權限時，可以使用REVOKE語句將其收回：Revoke | ,| From |public ,|v例：取消用戶例：取消用戶SCOTTSCOTT的的Create TableCreate Table權限。權限。 Revoke Create Table From SCOTT;授權管理v多重授權多重授權v循環授權循環授權北京航空航天大學軟件開發環境重點實驗室U1U2U3U1U2U3x關系級權限的授予與收回v每一個用戶都擁有自己定義的數據庫對象如（基本表、視圖等），除了他自己和擁有

17、DBA權限的用戶以外，其他用戶都不能訪問這些數據庫對象。如果想和其他用戶共享其中一部分數據庫對象，就必須將這些數據庫對象上的部分或全部權限授予其他用戶。其語法格式為：v Grant ALL| , On | , | To , | public With Grant Option關系級權限的授予與收回v授予用戶Liming在Student表上的Select和Insert權限。 Grant Select , Update On Student To Liming With Grant Option;vLiming授予用戶SCOTT在Student表的Sno列上的Update權限。 Grant Upd

18、ate(Sno) On Student To SCOTT;v將Student表上的全部權限授予全體用戶。 Grant ALL On Student To PUBLIC;關系級權限的授予與收回v回收權限回收權限 Revoke ALL| , On | , | From ,|PUBLIC 例：收回Liming對Student表的全部權限Revoke ALL On Student From Liming; 收回權限時，若該用戶已將權限授予其它用戶，則也一并收回。用戶權限定義表用戶名用戶名數據對象名數據對象名允許的操作類型允許的操作類型王平王平關系關系StudentSELECT張明霞張明霞關系關系Stu

19、dentUPDATE張明霞張明霞關系關系CourseALL張明霞張明霞Sc.GradeUPDATE張明霞張明霞Sc.SnoSELECT張明霞張明霞Sc.CnoSELECT利用視圖實現安全控制v為不同的用戶定義不同的視圖，可以將用戶對數為不同的用戶定義不同的視圖，可以將用戶對數據的訪問限制在一定的范圍內。據的訪問限制在一定的范圍內。v例：限制王平只能檢索例：限制王平只能檢索Student表中計算機系學表中計算機系學生的學號和姓名。生的學號和姓名。 Create View CS_Student As Select Sno, Sname From Student Where Sdept = CS;

20、Grant Select On CS_Student To Wangping;強制存取方法v主體主體 是系統中的活動實體，既包括是系統中的活動實體，既包括DBMS所所管理的實際用戶，也包括代表用戶的各進程。管理的實際用戶，也包括代表用戶的各進程。v客體客體 是系統中的被動實體，是受主體操縱的，是系統中的被動實體，是受主體操縱的，包括文件、基本表、索引、視圖等包括文件、基本表、索引、視圖等v對于主體和客體，對于主體和客體，DBMS為他們每個實例（值）為他們每個實例（值）指定一個敏感度標記。敏感度表被分為若干級指定一個敏感度標記。敏感度表被分為若干級別，如絕密、機密、可信、公開等。主體的敏別，如絕

21、密、機密、可信、公開等。主體的敏感度標記稱為許可證級別，客體的敏感度標記感度標記稱為許可證級別，客體的敏感度標記稱為密級。稱為密級。強制存取方法v當某一主體以某一許可證級別注冊入系統時，系當某一主體以某一許可證級別注冊入系統時，系統要求他對任何客體的存取必須遵循如下規則：統要求他對任何客體的存取必須遵循如下規則： 僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體； 僅當主體的許可證級別等于客體的密級時，該主體才能寫相應的客體；審計和數據加密v審計功能把用戶對數據庫的所有操作都自動記錄審計功能把用戶對數據庫的所有操作都自動記錄下來放入審計日志中。下來放入審計日志中。DBA可以

22、利用審計跟蹤的可以利用審計跟蹤的信息，重現導致數據庫現有狀況的一系列事件，信息，重現導致數據庫現有狀況的一系列事件，找出非法存取數據的人、時間和內容等。找出非法存取數據的人、時間和內容等。v數據加密數據加密 是防止數據庫中數據在存儲和傳輸中失是防止數據庫中數據在存儲和傳輸中失密的有效手段。加密的基本思想是根據一定的算密的有效手段。加密的基本思想是根據一定的算法將原始數據（明文）變換為不可識別的格式法將原始數據（明文）變換為不可識別的格式（密文），從而使得不知道解密算法的人無法獲（密文），從而使得不知道解密算法的人無法獲知數據的內容。知數據的內容。統計數據庫安全性v統計數據庫中的數據分為兩類，一

23、類是微數據描統計數據庫中的數據分為兩類，一類是微數據描述現實世界的實體、概念或事件的數據；另一類述現實世界的實體、概念或事件的數據；另一類是統計或綜合數據，是對微數據進行綜合處理而是統計或綜合數據，是對微數據進行綜合處理而得到的結果數據。統計數據庫只為用戶提供統計得到的結果數據。統計數據庫只為用戶提供統計數據，不允許用戶訪問微數據。但微數據有時可數據，不允許用戶訪問微數據。但微數據有時可以通過一組統計數據推導出來。統計數據庫安全以通過一組統計數據推導出來。統計數據庫安全性的目的就是防止用戶訪問或推導出統計數據庫性的目的就是防止用戶訪問或推導出統計數據庫的微數據。的微數據。統計數據庫安全性v例：

24、例： 關系PERSON(NAME, SSN, INCOME, ADDRESS, CITY, STATE, ZIP, SEX, LAST_DEGREE)為人口統計數據庫中的一個關系。 假設已知王蘭獲博士學位，居住在黑龍江省哈爾濱市，現要查詢其收入，首先執行： SELECT COUNT(*) FROM PERSON WHERE LAST_DEGREE = PH.D AND SEX = F AND CITY = 哈爾濱 AND STATE = 黑龍江;統計數據庫安全性 若返回結果為1，則在執行以下查詢： SELECT AVG(INCOME) FROM PERSON WHERE LAST_DEGREE

25、 = PH.D AND SEX = F AND CITY = 哈爾濱 AND STATE = 黑龍江； 就可獲得王蘭的收入。統計數據庫安全性v為防止用戶推導出統計數據庫的微數據，可以采為防止用戶推導出統計數據庫的微數據，可以采取以下方法：取以下方法： 對統計結果的大小加以控制，將其限制在某一范圍之內。這樣可以減小使用統計查詢推導微數據的可能性。 禁止在相同元組集合上重復執行一系列統計查詢。 在統計查詢結果中加入噪聲，為推導微數據制造困難。完整性v數據庫的完整性是指數據的正確性和相容性。數據庫的完整性是指數據的正確性和相容性。其中，正確性是指數據應具有合法的類型，如其中，正確性是指數據應具有合法

26、的類型，如數值型的字段只能含有數值型的字段只能含有09，不能包含其它，不能包含其它符號；更進一步，數據還應在有效的取值范圍符號；更進一步，數據還應在有效的取值范圍之內，如一年最多只有之內，如一年最多只有12個月，不能出現個月，不能出現13個月。相容性是指表示同一個事實的兩個數據個月。相容性是指表示同一個事實的兩個數據應該相同，如一個人不應當存在兩個年齡。數應該相同，如一個人不應當存在兩個年齡。數據庫能否保持完整性關系到數據庫系統是否能據庫能否保持完整性關系到數據庫系統是否能夠真實的反映現實世界，因此維護數據庫的完夠真實的反映現實世界，因此維護數據庫的完整性十分重要。整性十分重要。完整性與安全性

27、v數據庫的完整性與安全性是兩個不同的概念。前數據庫的完整性與安全性是兩個不同的概念。前者是為了防止數據庫中存在不符合語義的數據，者是為了防止數據庫中存在不符合語義的數據，防止錯誤信息的輸入和輸出，即所謂的垃圾進垃防止錯誤信息的輸入和輸出，即所謂的垃圾進垃圾出所造成的無效操作和錯誤結果。而后者是保圾出所造成的無效操作和錯誤結果。而后者是保護數據庫防止惡意的破壞和非法存取。也就是說，護數據庫防止惡意的破壞和非法存取。也就是說，安全性防范的是非法用戶和非法操作，完整性措安全性防范的是非法用戶和非法操作，完整性措施的防范對象是不合語義的數據。施的防范對象是不合語義的數據。完整性約束條件v施加在數據庫數

28、據之上的語義約束條件稱為數據施加在數據庫數據之上的語義約束條件稱為數據庫完整性約束條件。數據庫系統依據完整性約束庫完整性約束條件。數據庫系統依據完整性約束條件進行完整性檢查。條件進行完整性檢查。v完整性約束條件作用的對象可以是關系、元組、完整性約束條件作用的對象可以是關系、元組、列三種。其中列約束主要是列的類型、取值范圍、列三種。其中列約束主要是列的類型、取值范圍、精度等約束條件。元組的約束是元組中各個字段精度等約束條件。元組的約束是元組中各個字段間聯系的約束。關系的約束是若干元組間、關系間聯系的約束。關系的約束是若干元組間、關系集合上以及關系之間的聯系的約束。集合上以及關系之間的聯系的約束。

29、完整性約束條件v涉及這三類對象的完整性約束又可分為靜態約涉及這三類對象的完整性約束又可分為靜態約束和動態約束。束和動態約束。 靜態約束是指數據庫每一確定狀態（在某一時刻數據庫中的所有數據實例構成了數據庫的一個狀態）時，數據對象所應滿足的約束條件，它是反映數據庫狀態合理性的約束。 動態約束是指數據庫從一種狀態轉變為另一種狀態時，新、舊值之間所應滿足的約束條件，它是反映數據庫狀態變遷的約束。靜態約束v固有約束固有約束 指數據模型固有的約束，如關系的屬性應當是原子的。v隱含約束隱含約束 指隱含于數據模式的約束，一般用DDL語句說明，并存于數據字典中。如實體完整性約束。v顯式約束顯式約束 指固有約束，

30、隱含約束之外，依賴于數據的語義和應用，需要顯式定義的完整性約束。靜態約束v靜態列級約束是對一個列的取值域的說明，包括：靜態列級約束是對一個列的取值域的說明，包括： 對數據類型的約束（包括數據的類型、長度、單位、精度等） 如：Sname char（10） 對數據格式的約束 如日期的格式為：YYYY-MM-DD 對取值范圍或取值集合的約束 如Sex的取值必須為：男或女 對空值的約束 其他約束靜態約束v靜態元組約束規定了組成一個元組的各個列之間靜態元組約束規定了組成一個元組的各個列之間的約束關系。的約束關系。 如：教師關系中有職稱和工資屬性，規定職稱為教授的教師工資不得低于1000元v靜態關系約束規

31、定了一個關系的若干元組或者若靜態關系約束規定了一個關系的若干元組或者若干關系之間常常存在的各種聯系或約束。包括：干關系之間常常存在的各種聯系或約束。包括： 實體完整性約束 參照完整性約束 函數依賴 統計約束動態約束v動態列級約束是修改列定義或列值時應滿足的約動態列級約束是修改列定義或列值時應滿足的約束條件，包括：束條件，包括： 修改列定義時的約束 如不能在包含null的列上定義 not null約束。 修改列值時的約束 如工資只能增長，不能降低v動態元組約束指修改元組值時元組中各個字段間動態元組約束指修改元組值時元組中各個字段間需要滿足的約束。需要滿足的約束。 如規定調整后的工資不能低于原工資

32、（1+工齡/20）動態約束v動態關系約束是加在關系變化前后狀態上的限制動態關系約束是加在關系變化前后狀態上的限制條件。條件。 如在工商銀行和建設銀行的賬戶A和B之間轉賬，要求New A + New B = Old A + Old B北京航空航天大學軟件開發環境重點實驗室數據庫的完整性控制機制v為保護數據庫的完整性，防止錯誤的數據進入數為保護數據庫的完整性，防止錯誤的數據進入數據庫，數據庫提供了完整性控制機制。它包括三據庫，數據庫提供了完整性控制機制。它包括三個方面的功能：個方面的功能： 定義功能，提供定義完整性約束條件的機制。 檢查功能，檢查用戶發出的操作請求是否違背了完整性約束條件。 違約響應，若違背了完整性約束條件，則采取一定措施來保證數據的完整性。完整性檢查的時機v立即執行約束是指在執行用戶事務的過程中，立即執行約束是指在執行用戶事務的過程中，在一條語句執行完后立即進行完整性約束的檢在一條語句執行完后立即進行完整性約束的檢查。若違背了完整性約束，系統將拒絕該操作。查。若違背了完整性約束，系統將拒絕該操作。v延遲執行約束是指在整個用戶事務執行完畢后，延遲執行約束是指在整個用戶事務執行完畢后，再進行完整性約束的檢查，若正確方允許提交再進行完整性約束的檢查，若正確方允許提交事務。若違背了完整性約束，系統將拒絕整個事務。若違背了完整性約束，系統