ch4-5-SecurityIntegrity.pptVIP

第4章 数据库安全性 本章内容： 4.1 数据库安全性概论 4.2 数据库的安全性控制 4.3 统计数据库安全性 4.1 数据库安全概论 　　数据库的一大特点是数据可以共享，但数据共享必然带来数据库的安全性问题，数据库系统中的数据共享不能是无条件的共享。 　　数据库中数据的共享是在DBMS统一的严格的控制之下的共享，即只允许有合法使用权限的用户访问允许他存取的数据。 　　数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一。 　　数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改或破坏。 非法使用数据库的情况 用户编写一段合法的程序绕过DBMS及其授权机制，通过操作系统直接存取、修改或备份数据库中的数据； 直接或编写应用程序执行非授权操作； 通过多次合法查询数据库从中推导出一些保密数据 例：某数据库应用系统禁止查询单个人的工资，但允许查任意一组人的平均工资。用户甲想了解张三的工资，于是他： (1)首先查询包括张三在内的一组人的平均工资 (2)然后查用自己替换张三后这组人的平均工资 从而推导出张三的工资 破坏安全性的行为可能是无意的，故意的，恶意的。 数据库安全性控制的常用方法 用户标识和鉴定、存取控制、视图、审计、密码存储。 4.2 数据库安全性控制 用户标识与鉴别(Identification Authentication)是系统提供的最外层安全保护措施。 基本方法 系统提供一定的方式让用户标识自己的名字或身份； 系统内部记录着所有合法用户的标识； 每次用户要求进入系统时，由系统核对用户提供的身份标识； 通过鉴定后才提供机器使用权； 用户标识和鉴定可以重复多次。 用户名/口令 简单易行，容易被人窃取 每个用户预先约定好一个计算过程或者函数 系统提供一个随机数 用户根据自己预先约定的计算过程或者函数进行计算 系统根据用户计算结果是否正确鉴定用户身份 4.2 数据库安全性控制 存取控制机制的功能 存取控制机制的组成 定义存取权限 　　在数据库系统中，为了保证用户只能访问他有权存取的数据，必须预先对每个用户定义存取权限。 检查存取权限 对于通过鉴定获得上机权的用户（即合法用户），系统根据他的存取权限定义对他的各种操作请求进行控制，确保他只执行合法操作。 用户权限定义和合法权检查机制一起组成了DBMS的安全子系统 4.2 数据库安全性控制 常用存取控制方法 自主存取控制（Discretionary Access Control ，简称DAC） (1)同一用户对于不同的数据对象有不同的存取权限 (2)不同的用户对同一对象也有不同的权限 (3)用户还可将其拥有的存取权限转授给其他用户 标准SQL提供了自主存取控制的语句，即GRANT/REVOKE 优点 能够通过授权机制有效地控制其他用户对敏感数据的存取 缺点 可能存在数据的“无意泄露” 原因：这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标记。 解决：对系统控制下的所有主客体实施强制存取控制策略 4.2 数据库安全性控制 强制存取控制（Mandatory Access Control，简称 MAC） (1)每一个数据对象被标以一定的密级 (2)每一个用户也被授予某一个级别的许可证 (3)对于任意一个对象，只有具有合法许可证的用户才可以存取 主体与客体 　　在MAC中，DBMS所管理的全部实体被分为主体和客体两大类： 主体是系统中的活动实体 DBMS所管理的实际用户 代表用户的各进程 客体是系统中的被动实体，是受主体操纵的 包括：文件、 基表、 索引、 视图 4.2 数据库安全性控制 强制存取控制规则 　　当某一用户（或某一主体）以标记label注册入系统时，系统要求他对任何客体的存取必须遵循下面两条规则： （1）仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体； （2）仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体。 4.3 统计数据库安全性 统计数据库的特点 允许用户查询聚集类型的信息（例如合计、平均值等） 不允许查询单个记录信息 例：允许查询“程序员的平均工资是多少？” 不允许查询“程序员张勇的工资？” 统计数据库中特殊的安全性问题 隐蔽的信息通道 从合法的查询中推导出不合法的信息 规则1：任何查询至少要涉及N(N足够大)个以上的记录 例1：下面两个查询都是合法的： 1．本公司共有多少女高级程序员？ 2．本公司女高级程序员的工资总额是多少？ 如果第一个查询的结果是“1”， 那么第二个查询的结果显然就是这个程序员的工资数。 4.3 统计数据库安全性 规则2：任意两个查询的相交数据项不能超过M