数据库安全与安全数据库.PPT

数据库安全与安全数据库 信息安全的基本概念 信息安全 可用性 机密性 完整性 非否认性 可控性 威胁、脆弱性和攻击 威胁是信息遭到破坏、更改和泄露的可能性 脆弱性是可能被利用来侵害雄获系统内信息的任何弱点 攻击是利用计算机系统的弱点来达到特定目的所故意进行的行为 安全防卫策略 预防和避免 转移 减少脆弱性 实时检测 非实时检测 减少影响 实时恢复 非实时恢复 可信计算基（TCB） 计算机系统内负责执行安全策略的组合体 包括硬件、固件和软件 安全机制 标识和认证 用户向系统出示自己的身份证明 访问控制 主体：以用户名义进行资源访问的进程、事务等实体 客体：把被访问的资源 使只有被授予相应访问权限的主体才能对客体进行相应的操作 审计 记录和察看所有与安全相关的时间 客体重用 保证可重用的客体（如磁盘、内存空间等）被释放后，重新分配之前应该清除其中数据，以防止其他主体从中获取残余机密数据 可信路径 保证使用终端的用户可以直接与可信计算基通信的机制 数据库安全问题 数据库的安全的价值 现代信息系统中存储了大量的商业、保密信息 网络和操作系统的安全是否是足够的？ 数据库的很多特征会破坏系统的安全 存储过程 数据库安全威胁 后果分类 非授权的信息泄漏 非授权的数据修改 拒绝服务 发生方式 自然或以外灾害 系统软硬件错误 人为错误 威胁的主体 授权用户 恶意代理 数据库安全需求 防止非法数据访问 防止推理 保证数据库的完整 保证数据的操作完整性 数据的语义完整性 审计和日志 标识和认证 机密数据管理 多级保护 界限 数据库系统安全与操作系统安全 数据库与操作系统的体系结构 数据库与操作系统的安全需求不同 安全模型 自主访问控制（discretionary access control, DAC） 决定用户能否访问某数据对象的依据是系统中是否存在明确授权 每个对象都有且仅有一个属主，他制定对象的保护策略 强制访问控制（mandatory access control, MAC） 所有的权限都归于系统集中管理，保证信息的流动始终处于系统的控制下 主体和客体均有相应的安全属性，系统根据安全属性来控制主体对客体的访问 访问控制矩阵模型 HRU模型 Harrison、Ruzzo和Ullman在1976年提出的 一种基本的自主访问控制模型 基本操作 赋予存储权限、删除存储权限、创建主体、创建客体、删除主体、删除客体、… 基于角色的访问控制模型 起始于20世纪90年代 最早出现在1992年Ferraiolo和Kuhn的文章中 RBAC的核心 用户集（users） 角色集（roles） 对象集（objects） 操作集（operaors） 特权集（perm） 会话集（sessions） 基于角色的访问控制模型 基于角色的访问控制模型 多级安全数据库 多级数据库管理系统体系结构 高级运行结构 可信主体结构 集中式/核心式体系结构 分布式/复制式体系结构 完整性锁结构 高级运行结构 单级DBMS的一种特殊运行方式 运行在安全操作系统的最高级 所有用户都是最高级别 完全依赖于操作系统的TCB 没有数据内容的分级 必须严格监控和管理用户的行为 可信主体结构 集中式/核心式体系结构 分布式/复制式体系结构 完整性锁结构 多级关系模型 元组有安全标记，每个属性有安全标记 RS(A1,A2,…,An)-RS(A1,C1,A2,C2…,An,Cn,TC)，AK为键 多级安全模型的主要问题 原则 上写下读 实体与实例 实体的标示 多实例 完整性约束 多级关系模型 插入操作后的关系 多级关系完整性 实体完整性 Ai?AK=t[ai]NULL Ai,Aj ?AK=t[ci]=t[cj] Ai?AK= t[ci]t[cak] 多实例完整性 同一级别的元组间不存在多实例 基本操作 插入、删除、更新 * * 数据库管理系统 操作系统 硬件 数据库管理系统 操作系统 硬件 数据库管理系统 硬件 读、写 S2 读、写 读 S1 O2 O1 USERS ROLES 用户分配 Objects Operators PERMS 特权分配 SESSIONS RBAC核心模型 USERS ROLES 用户分配 USERS ROLES PERMS 特权分配 SESSIONS 带角色继承的RBAC模型 角色继承 多级（可信）DBMS 可信操作系统 高级别用户 低级别用户 高级别 数据分 片 低级别 数据分 片 高级别DBMS 后端 可信操作系统 高级别用户 低级别用户 高级别 数据分 片 低级别 数据分 片 低级别DBMS 后端 高级别DBMS 可信前端（TCB） 高级别用户 低级别用户 高级数据 低级数据 低级别DBMS 低级数据 可信过滤层 加密单元/安全操作系统 高级别用户