第五章.数据库安全策略.pptVIP

1 第 五 章 数据库安全策略 2 本 章 概 要 5.1 安全策略的定义 5.2 安全策略语言 5.3 安全策略模型 5.4 关系数据库的授权机制 3 安全策略:是粗线条描述安全需求以及规则的说明，是一组规定如何管理、保护和指派敏感信息的法律、规则及实践经验的集合。 5.1 安全策略的定义 4 数据库系统的安全策略：是由物理控制、使用方案、操作系统安全及数据库管理系统构成的一个整体安全策略。 物理控制:数据库系统的使用环境和硬件应保证安全。 使用方案：是数据库系统使用过程中应该采取的安全手段。 操作系统安全：是支撑数据库的操作系统必须稳定、漏洞少而效率高。 数据库管理：是数据库系统自身提供的安全机制。 5 针对数据库管理而言，数据库系统至少具有以下一些安全策略 保证数据库的存在安全:确保主机硬件、操作系统及网络的安全。 保证数据库的可用性。数据库管理系统的可用性表现在两个方面：一是需要阻止发布某些非保护数据以防止敏感数据的泄漏；二是当两个用户同时请求同一记录时进行仲裁。 保障数据库系统的机密性。主要包括用户身份认证、访问控制和可审计性等。 6 保证数据库的完整性。数据库的完整性包括物理完整性、逻辑完整性和元素完整性。物理完整性是指存储介质和运行环境的完整性。逻辑完整性主要有实体完整性和引用完整性。元素完整性是指数据库元素的正确性和准确性。 7 5.2.1 安全策略基本元素 安全策略定义语言具有以下一些基本概念与标记 主体（Subject）：系统中的活动实体，主体在系统中的活动受安全策略控制。主体一般记为S={s1,…,sn}。 客体（Object）：是系统中的被动实体，每个客体可以有自己的类型。客体一般记为O={o1,…,on}。 类型(Type)：每个客体都可以有自己的类型. 角色(Role)：在系统中进行特定活动所需权限的集合。角色可以被主体激活，主体可以同时担任不同的角色。角色一般记为R={r1,…,rn}. 5.2 安全策略语言 8 任务(Task)：任务一般记为TK={tk1,…,tkn}. 转换过程(TP,Tansformation procedure)：可以是通常的读、写操作或一系列简单操作组合形成的特定应用过程。 时序表达式（TE,Temporal Expression): TE=Before(t)|During(t1,t2)|After(t)|At(t)。 动作（Action）：系统中的安全策略所要控制的访问模式。 简单模式SA为三元组（s,o,tp）, 复杂模式CA为六元组（s,o,tp,tk,r,te ）。 5.3.1 Harrison-Ruzzo-Ullman(HRU)模型 HRU模型使用存取控制表ACL来实现访问控制。应用于OS和关系数据库安全控制。 HRU模型的访问方式有两种：静态和动态。 静态访问方式有读、写、执行和拥有等。 动态访问方式有对进程的控制权、授予/撤销权限等。 9 5.3 安全策略模型 10 HRU模型的操作有六条，操作后状态变换表示为Q ├op Q’。其中符号A[Si,Oj]表示Si对Oj的访问权限集合，r表示某一权限，如读、写等。 (1)授予权限 命令形式： Enter r into A[Si,Oj],Si∈S,Oj∈O 操作顺序： S’=S,O’=O A’[Si,Oj]=A[Si,Oj] ∪{r}, A’[Sk,Ol]=A[Sk,Ol],k ≠i,l ≠j 11 (2)撤销权限 命令形式： Delete r from A[Si,Oj],Si ∈S,Oj ∈O 操作顺序： S’=S,O’=O A’[Si,Oj]=A[Si,Oj] -{r}, A’[Sk,Ol]=A[Sk,Ol],k ≠i,l ≠j 12 (3)添加主体 命令形式： Create Subject Si,Si ? S 操作顺序： S’=S ∪{Si} ,O’=O∪ {Si} , A’[S,O]=A[S,O] ,S?S’,O?O’ A’[Si,O]= φ,O?O’ A’[S,Oi]=φ,S?S’ 13 (4)删除主体 命令形式： Destroy Subject Si,Si ∈S 操作顺序： S’=S-{Si} ,O’=O-{Si} , A’[S,O]=A[S,O] ,S’?S,O’?O 14 (5)添加客体 命令形式： Create Object Oi,Oi ? O 操作顺序： S’=S ,O’=O∪{Oi} , A’[S,O]=A[S,O] ,S?S’,O?O’ A’[S,Oi]=φ,S?S’ 15 (6)删除客体 命令形式： Destroy Object Oi,O