第9章数据库安全性.ppt.ppt

An Introduction to Database System 学习目标 理解计算机安全性的概念 了解TDI/TCSEC标准的基本内容 掌握数据库的安全性控制 了解统计数据库的安全性 掌握SQL Server的安全性技术 9.1 计算机安全性概论 问题的提出：数据库的一大特点是数据可以共享，但数据共享必然带来数据库的安全性问题，共享不能是无条件的共享，如军事秘密、国家机密、市场营销策略、银行储蓄数据等。数据库中数据的共享是在DBMS统一的严格控制之下的共享，安全保护措施是否有效是数据库系统主要的性能指标之一。 数据库的安全性：指保护数据库，防止不合法的使用所造成的数据泄露、更改或破坏。它与计算机系统的安全性紧密联系。 计算机系统的安全性：为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。计算机的安全性问题可分为三类： 技术安全：指计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护，当计算机系统受到无意或恶意的攻击时仍能保证系统正常运行，保证系统内的数据不增加、不丢失、不泄露。 管理安全：软硬件意外故障、场地的意外事故、管理不善导致的计算机设备和数据介质的物理破坏、丢失等安全问题。 政策法律类：政府部门建立的有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法令。 可信计算机系统评测标准 1985年美国国防部DoD颁布的《 DoD可信计算机系统评估标准》 (Trusted Computer System Evaluation Criteria， 简称TCSEC，桔皮书) 。 1991年美国国家计算机安全中心NCSC颁布的《可信计算机系统评估标准关于可信数据库系统的解释》(Trusted Database Interpretation，简称TDI，紫皮书)。 TDI/TCSEC标准从安全策略、责任、保证和文档四个方面将系统划分四个组七个等级的安全性级别： D级：最小保护，最低级别，如DOS。 C1级：自主安全保护，能实现对用户和数据的分离，进行自主存取控制(DAC)。 C2级：受控的存取保护，是安全产品的最低档次，将C1级的DAC进一步细化，以个人身份注册负责，实施审计和资源隔离。如ORACLE7、SQL Server7。 B1级：标记安全保护，对数据加以标记，并对标记的主体和客体实施强制存取控制(MAC)以及审计等。 B2级(目前尚无此类数据库产品)：结构化保护，建立形式化的安全策略模型并对系统内所有主体和客体实施DAC和MAC。 B3级：安全域，提供访问监控、审计跟踪和数据恢复。 A1级：验证设计，在B3基础上提供系统的形式化设计和验证 B2以上系统还处于理论研究阶段，应用多限于某些特殊部门。 9.2 数据库安全性控制 一般计算机系统的安全模型 用户标识和鉴别：最外层安全保护措施。系统提供一定的方式让用户标识自己的名字或身份，系统内部记录着所有合法用户的标识，每次用户要求进入系统时，由系统核对用户提供的身份标识，通过鉴定后才提供机器使用权。用户标识和鉴定可以重复多次。常用方法是标识(用户名)+鉴别(口令)。 存取控制：数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限，同时令所有未被授权的人员无法接近数据，这主要通过数据库系统的存取控制机制实现。存取控制机制主要包括两部分： 定义用户权限，并将用户权限登记数据字典中，形成安全规则 合法权限检查，当用户发出存取数据库的操作请求后，DBMS查找数据字典，根据安全规则进行合法权限检查，若用户的操作请求超出了定义的权限，系统将拒绝执行此操作。 用户权限定义和合法权限检查机制一起组成了DBMS的安全子系统。目前大型DBMS一般支持DAC和MAC。 自主存取控制(DAC)：大型DBMS一般都支持C2级的DAC。在DAC方法中，用户对于不同的数据对象有不同的存取权限，不同的用户对同一对象也有不同的权限，而且用户还可将其拥有的存取权限转授给其他用户，因此DAC非常灵活。SQL标准支持DAC，主要通过Grant(授权)和Revoke(收权)语句来实现。用户权限由数据对象、操作类型两个要素组成，数据对象的创建者自动获得该数据对象的所有操作权限，DBA或已获得某种权限的用户可以通过Grant语句将权限授给其他用户，当用户将某些权限授给其他用户后，可使用Revoke语句将权限收回 衡量DAC授权机制精巧程度的两个尺度 授权粒度：指可以定义的数据对象的范围，是衡量授权机制是否灵活的一个重要指标。授权定义中数据对象(数据库、表、属性列、行)的粒度越细，授权子系统就越灵活。 是否提供与数据值有关的授权，即授权是否依赖于数据对象的值。如定