数据库与全课件第六章 多级数据库安全管理系统.ppt

第 六 章 多级安全数据库 管理系统 本 章 概 要 6.1 安全数据库标准 6.2 多级安全数据库关键问题 6.3 多级安全数据库设计准则 6.4 多级关系数据模型 6.5 多实例 6.6 隐蔽通道分析 6.1 安全数据库标准6.1.1 可信计算机系统评测标准 为降低进而消除对系统的安全攻击，各国引用或制定了一系列安全标准 TCSEC (桔皮书) TDI (紫皮书) 1985年美国国防部（DoD）正式颁布《 DoD可信计算机系统评估标准》 简称TCSEC或DoD85，TCSEC又称桔皮书 TCSEC标准的目的 提供一种标准，使用户可以对其计算机系统内敏感信息安全操作的可信程度做评估。 给计算机行业的制造商提供一种可循的指导规则，使其产品能够更好地满足敏感应用的安全需求。 　TCB可信计算基：是Trusted Computing Base的简称，指的是计算机内保护装置的总体，包括硬件、固件、软件和负责执行安全策略管理员的组合体。它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务。 1991年4月美国NCSC（国家计算机安全中心）颁布了《可信计算机系统评估标准关于可信数据库系统的解释》 简称TDI，又称紫皮书 它将TCSEC扩展到数据库管理系统 定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准 TDI/TCSEC标准的基本内容 TDI与TCSEC一样，从四个方面来描述安全性级别划分的指标 安全策略 责任 保证 文档 TCSEC/TDI安全级别划分 四组七个等级 按系统可靠或可信程度逐渐增高 各安全级别之间具有一种偏序向下兼容的关系，即较高安全性级别提供的安全保护要包含较低级别的所有保护要求，同时提供更多或更完善的保护能力。 等级说明：D，C1 D级（最小保护级） 将一切不符合更高标准的系统均归于D组 典型例子：DOS是安全标准为D的操作系统 DOS在安全性方面几乎没有什么专门的 机制来保障无身份认证与访问控制。 C1级（自主安全保护级） 非常初级的自主安全保护 能够实现对用户和数据的分离，进行自主存取控制（DAC），保护或限制用户权限的传播。早期的UNIX系统属于这一类。 这类系统适合于多个协作用户在同一个安全级上处理数据的工作环境。 等级说明：C2 C2级（受控的存取保护级） C2级达到企业级安全要求。可作为最低军用安全级别 提供受控的自主存取保护，将C1级的DAC进一步细化，以个人身份注册负责，并实施审计（审计粒度要能够跟踪每个主体对每个客体的每一次访问。对审计记录应该提供保护，防止非法修改。）和资源隔离，客体重用，记录安全性事件 达到C2级的产品在其名称中往往不突出“安全”(Security)这一特色 典型例子 操作系统：Microsoft的Windows NT 3.5，数字设备公司的Open VMS VAX 6.0和6.1，linux系统的某些执行方法符合C2级别。 数据库：Oracle公司的Oracle 7，Sybase公司的 SQL Server 11.0.6 等级说明：B1 B1级（标签安全保护级） 标记安全保护。“安全”(Security)或“可信的”(Trusted)产品。 对系统的数据加以标记，对标记的主体和客体实施强制存取控制（MAC）、对安全策略进行非形式化描述，加强了隐通道分析，审计等安全机制 典型例子 操作系统：数字设备公司的SEVMS VAX Version 6.0，惠普公司的HP-UX BLS release 9.0.9+ 数据库：Oracle公司的Trusted Oracle 7，Sybase公司的Secure SQL Server version 11.0.6。 等级说明：B2 B2级（结构化保护级） 建立形式化的安全策略模型并对系统内的所有主体和客体实施DAC和MAC，从主体到客体扩大到I/O设备等所有资源。要求开发者对隐蔽信道进行彻底地搜索。TCB划分保护与非保护部分，存放于固定区内。 经过认证的B2级以上的安全系统非常稀少 典型例子 操作系统：只有Trusted Information Systems公司的Trusted XENIX一种产品 数据库：北京人大金仓信息技术股份有限公司的 KingbaseES V7产品 等级说明：B3，A1 B3级（安全区域保护级） 该级的TCB必须满足访问监控器的要求，安全内核，审计跟踪能力更强，并提供系统恢复过程。即使计算机崩溃,也不会泄露系统信息。 A1级（验证设计级） 验证设计，即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现。