新计算机网络安全教程 教学课件 梁亚声 ch6 操作系统与数据库安全技术.pptVIP

6.5.3 数据库系统的缺陷与威胁 1.数据库系统的缺陷 数据库系统的安全缺陷主要体现在以下几个方面： 数据库系统安全通常与操作系统安全密切相关 数据库系统安全通常被忽视 数据库帐号和密码容易泄露 返回本章首页 2.数据库系统面临的威胁 数据库系统面临的安全威胁主要来自以下几个方面： 物理和环境的因素 事务内部故障 存储介质故障 人为破坏 病毒与黑客 未经授权的数据读写与修改 对数据的异常访问造成数据库系统故障 数据库权限设置错误，造成数据的越权访问 返回本章首页 6.6 数据库安全机制 数据库安全作为信息系统安全的一个子集，必须在遵循信息安全总体目标（即保密性、完整性和可用性）的前提下，建立安全模型、构建体系结构、确定安全机制。 返回本章首页 6.6.1 数据库安全的层次分布 一般来说，数据库安全涉及五个层次。 （1）物理层：必须物理地保护计算机系统所处的所有节点，以防入侵者强行闯入或暗中潜入； （2）人员层：要谨慎用户授权，以减少授权用户接受贿赂而给入侵者提供访问机会的可能； （3）操作系统层：操作系统安全性方面的弱点总是可能成为对数据库进行未授权访问的手段； 返回本章首页 （4）网络层：几乎所有数据库系统都允许通过终端或网络进行远程访问，网络层安全性和物理层安全性一样重要； （5）数据库系统层：数据库中有重要程度和敏感程度不同的各种数据，并为拥有不同授权的用户所共享，数据库系统必须遵循授权限制。 为了保证数据库安全，必须在上述所有层次上进行安全性保护。如果较低层次上安全性存在缺陷，那么，即使是很严格的高层安全性措施也可能被绕过。 返回本章首页 6.6.2 安全DBMS体系结构 通常所说的可信DBMS指MLS（多级安全）DBMS。因其存储的数据具有不同的敏感性（安全）级别，MLS DBMS中的关系也称多级关系。 目前研究的可信DBMS体系结构基本上分为两大类：TCB子集DBMS体系和可信主体DBMS体系。 返回本章首页 1．TCB子集DBMS体系结构 TCB子集DBMS使用位于DBMS外部的可信计算基（通常是可信操作系统或可信网络）执行对数据库客体的强制访问控制。该体系把多级数据库客体按安全属性分解成单级断片（属性相同的数据库客体属于同一个断片），分别物理隔离存储在操作系统客体中。每个操作系统客体的安全属性就是存储于其中的数据库客体的安全属性。然后，TCB对这些隔离的单级客体实施MAC。 返回本章首页 这种体系的最简单方案是把多级数据库分解成单级元素，安全属性相同的元素存储在一个单级操作系统客体中。使用时，先初始化一个运行于用户安全级的DBMS进程，通过操作系统实施的强制访问控制策略，DBMS仅访问不超过该级别的客体。然后，DBMS从同一个关系中把元素连接起来，重构成多级元组，返回给用户（见图6-22所示）。 返回本章首页 返回本章首页 2．可信主体DBMS体系结构 可信主体DBMS体系结构与TCB子集DBMS体系结构大不相同，它自己执行强制访问控制。该体系按逻辑结构分解多级数据库，并存储在若干个单级操作系统客体中。但每个单级操作系统客体中可同时存储多种级别的数据库客体（如数据库、关系、视图、元组或元素），并与其中最高级别数据库客体的敏感性级别相同。 返回本章首页 图6-23是可信主体DBMS体系结构的一种简单方案。DBMS软件仍然运行于可信操作系统之上，所有对数据库的访问都必须经由可信DBMS。 返回本章首页 6.6.3 数据库安全机制 根据各安全机制主要针对的目标，下表对其进行了粗略分类。 返回本章首页 安全机制 保密性 完整性 可用性 身份识别和认证 √ √ √ 强制访问控制 √ 自主访问控制 √ 基于角色访问控制 √ 推理和聚集 √ 多实例 √ 隐蔽信道 √ 数据加密 √ √ 实体和引用完整性 √ √ 可信恢复 √ √ 审计 √ √ 6.6.4 Oracle的安全机制 Oracle是关系数据库的倡导者和先驱，是标准SQL数据库语言的产品。 Oracle在数据库管理、数据完整性检查、数据库查询性能、数据安全性方面都具有强大的功能，而且它还在保密机制、备份与恢复、空间管理、开放式连接以及开发工具等方面提供了不同手段和方法。 返回本章首页 Oracle多用户的客户/服务器体系结构的数据库管理系统中包括的安全机制可以控制对某个数据库的访问方式、可以防止未授权的数据库访问、防止对具体对象的未授权访问、控制磁盘及系统资源（如CPU时间）的分配和使用、稽核用户行为