Ch.09 数据库安全性.pptVIP

第九章 数据库安全性 数据库系统概论 (第三版) 萨师煊 王珊 高等教育出版社 2002.2 9.1 安全性概述 安全性与完整性 安全性(Security) 保护数据以防止不合法用户故意造成的破坏 确保用户被允许做其想做的事 完整性(Integrity) 保护数据以防止合法用户无意中造成的破坏 确保用户所做的事情是正确的 安全性涉及许多方面 法律, 社会以及道德伦理问题 物理控制(如计算机机房的防盗, 防火等) 政策问题(如企业控制数据使用者的权限级别) 可操作性问题(如密码的保密) 硬件控制(如处理单元的安全特性, 操作模式的保护) 操作系统支持 数据库系统需专门考虑的问题 9.2 数据库安全控制 用户标识与鉴别 提供最外层安全保护 机器使用权 数据库系统的使用权 用户—数据请求的来源 用户名或用户标识号来标明用户身份 口令—只能为系统所知, 用以保护用户名的合法性 存取控制 存取控制机制 确保用户权限正确实施的机制 DBMS的安全子系统 定义用户权限 用户权限是指不同的用户对于不同的数据对象允许执行的操作权限 系统必须提供定义语言 合法权限检查 系统对用户的数据操作请求是否超出了定义的权限进行检查的机制 自主存取控制(Discretionary Access Control) 用户对不同的数据对象有不同的访问权限, 不同的用户对同一对象有不同的权限(也称为优先权). 例如: 用户U1能看到A但看不到B, 而用户U2能看到B但看不到A 用户还可将其拥有的权限转授给其他用户 强制存取控制(Mandatory Access Control) 每一个数据对象被标以一定的密级(classification level), 每一个用户被授予某一个许可证级别(clearance level) 对于任一对象, 只有具有合法许可证的用户才可以存取 具有分层的特点, 比较严格 例如: 如果用户U1能看到A但看不到B, 这说明B的密级高于A, 所以不存在用户U2能看到B但看不到A的情况 自主存取控制(DAC) 用户权限的组成要素 数据对象和操作类型 定义一个用户的存取权限就是定义这个用户可以在哪些数据对象上进行哪些类型的操作 在关系数据库系统中, 数据对象不仅有数据本身, 还有模式 数据对象的创建者自动获得对于该对象的所有操作权限, 并可将权限转授 自主存取控制能够通过授权机制有效地控制其他用户对敏感数据的存取 但“自主”性太大, 用户可以自由地决定将数据地存取权限授予任何人, 将授权的权限授予别人 这种授权机制仍可能存在数据的无意泄露 强制存取控制(MAC) 主体 系统中的活动实体 客体 系统中的被动实体, 是受主体操纵的 该方法的基本思想 每个数据对象具有一定的密级(classification level) 每个用户具有一定的许可证级别(clearance level) 密级和许可证级别都是严格有序的 存取规则 仅当主体的许可证级别大于或等于客体的密级时, 该主体才能读取相应的客体 仅当主体的许可证等于客体的密级时, 该主体才能写相应的客体 该规则禁止了拥有高许可证级别的主体更新低密级的数据对象, 防止了具有较高级别的用户将该级别的数据复制到较低级别的文件中 多级安全 假设要对关系DEPT进行强制存取控制, 为简化起见, 假设要控制存取的数据单元是元组, 则每个元组需标以密级, 如图, 4=绝密, 3=机密, 2=秘密 假设用户U1和U2的许可证级别分别是3和2, 那么U1和U2看到的DEPT是不一样的 若请求查询所有部门, U1能查得3个元组: 10, 20, 40; U2只查得一个元组: 10. U1和U2都查不到元组30 审计(Audit) 审计追踪本质上是一个特殊的文件或数据库, 系统可自动记录用户对数据执行的所有操作 审计追踪包含如下信息 请求 发出操作的终端 发出操作的用户 操作的日期和时间 操作作用的关系, 元组, 属性 旧值 新值 数据加密 数据加密是防止数据在存储和传输过程中失密的有效手段 基本思想是根据一定的算法将原始数据变换为不可直接识别的格式从而使得不知道解密算法的人无法获知数据的内容 加密的方法 替换: 将明文中的一个字符转换为密文中的一个字符 置换: 将明文的字符按不同的规则重新排序 数据加密举例 例: 明文为字符串 AS KINGFISHERS CATCH FIRE (为简便起见, 假定所处理的数据字符仅为大写字母和空格符) 假定密钥为字符串: ELIOT 加密算法为 1) 将明文划分为多个密钥字符串长度大小的块, 空格符以“+”表示 AS+KI NGFIS HERS+ CATCH +FIRE 2) 用00~26范围的整数取代明文的每个字符, 空格符=00, A=01,