1、6.2 數據庫安全性的實現 問題的提出數據庫的一大特點是數據可以共享但數據共享必然帶來數據庫的安全性問題數據庫系統中的數據共享不能是無條件的共享例：軍事秘密、 國家機密、 新產品實驗數據、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、 醫療檔案、 銀行儲蓄數據數據庫安全性（續）數據庫中數據的共享是在DBMS統一的嚴格的控制之下的共享，即只允許有合法使用權限的用戶訪問允許他存取的數據數據庫系統的安全保護措施是否有效是數據庫系統主要的性能指標之一數據庫安全性（續）什么是數據庫的安全性數據庫的安全性是指保護數據庫，防止因用戶非法使用數據庫造成數據泄露、更改或破壞。什么是數據的保密數據保密是指用

2、戶合法地訪問到機密數據后能否對這些數據保密。通過制訂法律道德準則和政策法規來保證。6.2 數據庫安全性的實現6.2.1 計算機安全性概論6.2.2 數據庫安全性控制6.2.3 統計數據庫安全性6.2.1 計算機安全性概論6.2.1.1 計算機系統的三類安全性問題 6.2.1.2 可信計算機系統評測標準6.2.1.1 計算機系統的三類安全性問題 什么是計算機系統安全性為計算機系統建立和采取的各種安全保護措施，以保護計算機系統中的硬件、軟件及數據，防止其因偶然或惡意的原因使系統遭到破壞，數據遭到更改或泄露等。計算機系統的三類安全性問題（續） 計算機安全涉及問題計算機系統本身的技術問題計算機安全理論

3、與策略計算機安全技術管理問題安全管理安全評價安全產品計算機系統的三類安全性問題（續） 計算機安全涉及問題(續)法學計算機安全法律犯罪學計算機犯罪與偵察安全監察心理學計算機系統的三類安全性問題（續） 三類計算機系統安全性問題技術安全類管理安全類政策法律類計算機系統的三類安全性問題（續） 技術安全指計算機系統中采用具有一定安全性的硬件、軟件來實現對計算機系統及其所存數據的安全保護，當計算機系統受到無意或惡意的攻擊時仍能保證系統正常運行，保證系統內的數據不增加、不丟失、不泄露。計算機系統的三類安全性問題（續） 管理安全軟硬件意外故障、場地的意外事故、管理不善導致的計算機設備和數據介質的物理破壞、丟失

4、等安全問題計算機系統的三類安全性問題（續） 政策法律類政府部門建立的有關計算機犯罪、數據安全保密的法律道德準則和政策法規、法令6.2.1.2 可信計算機系統評測標準為降低進而消除對系統的安全攻擊，各國引用或制定了一系列安全標準TCSEC (桔皮書)TDI (紫皮書)可信計算機系統評測標準（續）1985年美國國防部（DoD）正式頒布 DoD可信計算機系統評估標準（簡稱TCSEC或DoD85）TCSEC又稱桔皮書TCSEC標準的目的提供一種標準，使用戶可以對其計算機系統內敏感信息安全操作的可信程度做評估。給計算機行業的制造商提供一種可循的指導規則，使其產品能夠更好地滿足敏感應用的安全需求。可信計算

5、機系統評測標準（續）1991年4月美國NCSC（國家計算機安全中心）頒布了可信計算機系統評估標準關于可信數據庫系統的解釋（ Trusted Database Interpretation 簡稱TDI）TDI又稱紫皮書。它將TCSEC擴展到數據庫管理系統。TDI中定義了數據庫管理系統的設計與實現中需滿足和用以進行安全性級別評估的標準。可信計算機系統評測標準（續）TDI/TCSEC標準的基本內容TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標安全策略責任保證文檔可信計算機系統評測標準（續）R1 安全策略（Security Policy） R1.1 自主存取控制 （Discretiona

6、ry Access Control，簡記為DAC） R1.2 客體重用（Object Reuse） R1.3 標記（Labels） R1.4 強制存取控制（Mandatory Access Control，簡記為MAC）可信計算機系統評測標準（續）R2 責任（Accountability） R2.1 標識與鑒別（Identification & Authentication） R2.2 審計（Audit）R3 保證（Assurance） R3.1 操作保證（Operational Assurance） R3.2 生命周期保證（Life Cycle Assurance）可信計算機系統評測標準（續

7、）R4 文檔（Documentation） R4.1 安全特性用戶指南（Security Features Users Guide） R4.2 可信設施手冊（Trusted Facility Manual） R4.3 測試文檔（Test Documentation） R4.4 設計文檔（Design Documentation）可信計算機系統評測標準（續） TCSEC/TDI安全級別劃分安 全 級 別 定 義 A1驗證設計（Verified Design） B3安全域（Security Domains） B2結構化保護（Structural Protection） B1標記安全保護（Label

8、ed Security Protection） C2受控的存取保護（Controlled Access Protection） C1自主安全保護（Discretionary Security Protection） D最小保護（Minimal Protection）可信計算機系統評測標準（續）四組(division)七個等級 D C（C1，C2） B（B1，B2，B3） A（A1）按系統可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。可信計算機系統評測標準（續）D級將一切不符合更高標準的

9、系統均歸于D組典型例子：DOS是安全標準為D的操作系統 DOS在安全性方面幾乎沒有什么專門的機制來保障可信計算機系統評測標準（續）C1級非常初級的自主安全保護能夠實現對用戶和數據的分離，進行自主存取控制（DAC），保護或限制用戶權限的傳播。可信計算機系統評測標準（續）C2級安全產品的最低檔次提供受控的存取保護，將C1級的DAC進一步細化，以個人身份注冊負責，并實施審計和資源隔離達到C2級的產品在其名稱中往往不突出“安全”(Security)這一特色可信計算機系統評測標準（續）典型例子 操作系統Microsoft的Windows NT 3.5，數字設備公司的Open VMS VAX 6.0和6.

10、1 數據庫Oracle公司的Oracle 7Sybase公司的 SQL Server 11.0.6可信計算機系統評測標準（續）B1級標記安全保護。“安全”(Security)或“可信的”(Trusted)產品。對系統的數據加以標記，對標記的主體和客體實施強制存取控制（MAC）、審計等安全機制可信計算機系統評測標準（續）典型例子 操作系統數字設備公司的SEVMS VAX Version 6.0惠普公司的HP-UX BLS release 9.0.9+ 數據庫Oracle公司的Trusted Oracle 7Sybase公司的Secure SQL Server version 11.0.6Info

11、rmix公司的Incorporated INFORMIX-OnLine / Secure 5.0可信計算機系統評測標準（續）B2級結構化保護建立形式化的安全策略模型并對系統內的所有主體和客體實施DAC和MAC。經過認證的B2級以上的安全系統非常稀少可信計算機系統評測標準（續）典型例子 操作系統只有Trusted Information Systems公司的Trusted XENIX一種產品 標準的網絡產品只有Cryptek Secure Communications公司的LLC VSLAN一種產品 數據庫沒有符合B2標準的產品可信計算機系統評測標準（續）B3級安全域。該級的TCB必須滿足訪問監

12、控器的要求，審計跟蹤能力更強，并提供系統恢復過程。可信計算機系統評測標準（續）A1級驗證設計，即提供B3級保護的同時給出系統的形式化設計說明和驗證以確信各安全保護真正實現。可信計算機系統評測標準（續）B2以上的系統還處于理論研究階段應用多限于一些特殊的部門如軍隊等美國正在大力發展安全產品，試圖將目前僅限于少數領域應用的B2安全級別下放到商業應用中來，并逐步成為新的商業標準。可信計算機系統評測標準（續）可信計算機系統評測標準（續） 表示該級不提供對該指標的支持； 表示該級新增的對該指標的支持； 表示該級對該指標的支持與相鄰低一級的 等級一樣； 表示該級對該指標的支持較下一級有所增 加或改動。6.

13、2.2.1 數據庫安全性控制概述非法使用數據庫的情況用戶編寫一段合法的程序繞過DBMS及其授權機制，通過操作系統直接存取、修改或備份數據庫中的數據；直接或編寫應用程序執行非授權操作；數據庫安全性控制概述（續）通過多次合法查詢數據庫從中推導出一些保密數據 例：某數據庫應用系統禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內的一組人的平均工資 然后查用自己替換張三后這組人的平均工資 從而推導出張三的工資破壞安全性的行為可能是無意的，故意的，惡意的。計算機系統中的安全模型 應用DBMSOS DB 低 高安全性控制層次 方法： 用戶標識和鑒定

14、存取控制審計視圖 操作系統 安全保護 密碼存儲 數據庫安全性控制概述（續）數據庫安全性控制的常用方法用戶標識和鑒定存取控制視圖審計密碼存儲6.2.2.2 用戶標識與鑒別用戶標識與鑒別（Identification & Authentication）系統提供的最外層安全保護措施6.2.2.2 用戶標識與鑒別基本方法系統提供一定的方式讓用戶標識自己的名字或身份；系統內部記錄著所有合法用戶的標識；每次用戶要求進入系統時，由系統核對用戶提供的身份標識；通過鑒定后才提供機器使用權。用戶標識和鑒定可以重復多次用戶標識自己的名字或身份用戶名/口令簡單易行，容易被人竊取每個用戶預先約定好一個計算過程或者函數系

15、統提供一個隨機數用戶根據自己預先約定的計算過程或者函數進行計算系統根據用戶計算結果是否正確鑒定用戶身份6.2.2.3 存取控制存取控制機制的功能存取控制機制的組成 定義存取權限 檢查存取權限用戶權限定義和合法權檢查機制一起組成了DBMS的安全子系統存取控制（續）定義存取權限在數據庫系統中，為了保證用戶只能訪問他有權存取的數據，必須預先對每個用戶定義存取權限。檢查存取權限對于通過鑒定獲得上機權的用戶（即合法用戶），系統根據他的存取權限定義對他的各種操作請求進行控制，確保他只執行合法操作。存取控制（續）常用存取控制方法自主存取控制（Discretionary Access Control ，簡稱D

16、AC） C2級 靈活強制存取控制（Mandatory Access Control，簡稱 MAC） B1級嚴格自主存取控制方法同一用戶對于不同的數據對象有不同的存取權限不同的用戶對同一對象也有不同的權限用戶還可將其擁有的存取權限轉授給其他用戶強制存取控制方法每一個數據對象被標以一定的密級每一個用戶也被授予某一個級別的許可證對于任意一個對象，只有具有合法許可證的用戶才可以存取6.2.2.4 自主存取控制方法定義存取權限存取權限 存取權限由兩個要素組成數據對象操作類型自主存取控制方法（續）關系系統中的存取權限類型數據對象操作類型模 式 模 式建立、修改、刪除、檢索外模式 建立、修改、刪除、檢索 內

17、模式建立、刪除、檢索數 據 表查找、插入、修改、刪除屬性列查找、插入、修改、刪除自主存取控制方法（續）關系系統中的存取權限(續)定義方法GRANT/REVOKE自主存取控制方法（續）關系系統中的存取權限(續)例: 一張授權表 用戶名 數據對象名 允許的操作類型 王 平 關系Student SELECT 張明霞 關系Student UPDATE 張明霞 關系Course ALL 張明霞 SC. Grade UPDATE 張明霞 SC. Sno SELECT 張明霞 SC. Cno SELECT自主存取控制方法（續）檢查存取權限對于獲得上機權后又進一步發出存取數據庫操作的用戶DBMS查找數據字典，

18、根據其存取權限對操作的合法性進行檢查若用戶的操作請求超出了定義的權限，系統將拒絕執行此操作自主存取控制方法（續） 授權粒度授權粒度是指可以定義的數據對象的范圍它是衡量授權機制是否靈活的一個重要指標。授權定義中數據對象的粒度越細，即可以定義的數據對象的范圍越小，授權子系統就越靈活。自主存取控制方法（續）關系數據庫中授權的數據對象粒度 數據庫 表 屬性列 行能否提供與數據值有關的授權反映了授權子系統精巧程度自主存取控制方法（續）實現與數據值有關的授權利用存取謂詞存取謂詞可以很復雜可以引用系統變量，如終端設備號，系統時鐘等，實現與時間地點有關的存取權限，這樣用戶只能在某段時間內，某臺終端上存取有關數

19、據 例：規定“教師只能在每年1月份和7月份星期一至星期五上午8點到下午5點處理學生成績數據”。自主存取控制方法（續）例：擴充后的授權表 用戶名 數據對象名 允許的操作類型 存取謂詞王平 關系Student SELECT Sdept=CS張明霞 關系Student UPDATE Sname=張明霞張明霞 關系 Course ALL 空自主存取控制方法（續）自主存取控制小結定義存取權限用戶檢查存取權限DBMS自主存取控制方法（續）自主存取控制小結(續)授權粒度數據對象粒度：數據庫、表、屬性列、行數據值粒度：存取謂詞授權粒度越細，授權子系統就越靈活，能夠提供的安全性就越完善。但另一方面，因數據字典變大變復雜，系統定義與檢查權限的開銷也會相應地增大。自主存取控制方法（續）自主存取控制小結(續)優點能夠通過授權機制有效地控制其他用戶對敏感數據的存取自主存取控制方法（續）自主存取控制小結(續)缺點可能存在數據的“無意泄露”原因：這種機制僅僅通過對數據的存取權限來進行安全控制，而數據本身并無安全性標記。 解決：對系統控制下的所有主客體實施強制存取控制策略6.2.2.5