第4章-数据库安全性(选讲部分-2012).pptVIP

强制存取控制方法（续） 敏感度标记 对于主体和客体，DBMS为它们每个实例（值）指派一个敏感度标记（Label） 敏感度标记分成若干级别 绝密（Top Secret） 机密（Secret） 可信（Confidential） 公开（Public） 强制存取控制方法（续） 主体的敏感度标记称为许可证级别（Clearance Level） 客体的敏感度标记称为密级（Classification Level） MAC机制就是通过对比主体的Label和客体的Label，最终确定主体是否能够存取客体 强制存取控制方法（续） 强制存取控制规则 当某一用户（或某一主体）以标记label注册入系统时，系统要求他对任何客体的存取必须遵循下面两条规则： （1）仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体； （2）仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体。 强制存取控制方法（续） 修正规则： 主体的许可证级别 =客体的密级 主体能写客体 用户可为写入的数据对象赋予高于自 己的许可证级别的密级 一旦数据被写入，该用户自己也不能再读该数据对象了。 强制存取控制方法（续） 规则的共同点 禁止了拥有高许可证级别的主体 更新低密级的数据对象 强制存取控制方法（续） 强制存取控制的特点 MAC是对数据本身进行密级标记 无论数据如何复制，标记与数据是一个不可分的整体 只有符合密级标记要求的用户才可以操纵数据 从而提供了更高级别的安全性 MAC与DAC DAC与MAC共同构成DBMS的安全机制 原因：较高安全性级别提供的安全保护要包含较低级别的所有保护 先进行DAC检查，通过DAC检查的数据对象再由系统进行MAC检查，只有通过MAC检查的数据对象方可存取。 强制存取控制方法（续） DAC + MAC安全检查示意图 ? SQL语法分析 语义检查 ? DAC 检 查 安全检查 MAC 检 查 继 续 4.2.6 视图机制 视图机制把要保密的数据对无权存取这些数据的用户隐藏起来， 视图机制更主要的功能在于提供数据独立性，其安全保护功能太不精细，往往远不能达到应用系统的要求。 视图机制（续） 视图机制与授权机制配合使用: 首先用视图机制屏蔽掉一部分保密数据 视图上面再进一步定义存取权限 间接实现了支持存取谓词的用户权限定义 视图机制（续） 例：王平只能检索计算机系学生的信息 先建立计算机系学生的视图CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=CS； 视图机制（续） 在视图上进一步定义存取权限 GRANT SELECT ON CS_Student TO 王平 ； 4.2.7 审计 什么是审计 启用一个专用的审计日志（Audit Log） 将用户对数据库的所有操作记录在上面 DBA可以利用审计日志中的追踪信息 找出非法存取数据的人 C2以上安全级别的DBMS必须具有审计功能 审计（续） 审计功能的可选性 审计很费时间和空间 DBA可以根据应用对安全性的要求，灵活地打开或关闭审计功能。 审计（续） 强制性机制: 用户识别和鉴定、存取控制、视图 预防监测手段: 审计技术 4.2.8 数据加密 数据加密 防止数据库中数据在存储和传输中失密的有效手段 加密的基本思想 根据一定的算法将原始数据（术语为明文，Plain text）变换为不可直接识别的格式（术语为密文，Cipher text） 不知道解密算法的人无法获知数据的内容 数据加密（续） 加密方法 替换方法 使用密钥（Encryption Key）将明文中的每一个字符转换为密文中的一个字符 置换方法 将明文的字符按不同的顺序重新排列 混合方法 美国1977年制定的官方加密标准：数据加密标准（Data Encryption Standard，简称DES） 数据加密（续） DBMS中的数据加密 有些数据库产品提供了数据加密例行程序 有些数据库产品本身未提供加密程序，但提供了接口 数据加密（续） 数据加密功能通常也作为可选特征，允许用户自由选择 数据加密