数据库安全模型与机制.pptVIP

计算机系统平安 ;第八章 数据库平安模型与机制; 数据库系统平安控制是指为数据库系统建立的平安保护措施，以保护数据库系统软件和其中的数据不因偶然或恶意的原因而遭到破坏、更改和泄露。 目前，数据库系统平安与网络平安、操作系统平安及协议平安一起构成了信息系统平安的4个最主要的研究领域。;数据库平安目标;数据库平安目标;数据库平安目标;数据库的平安威胁;数据库的平安威胁;数据库的平安威胁;数据库的平安威胁;数据库的平安威胁;数据库的平安需求;数据库的平安需求;数据库的平安需求;数据库平安评价标准;数据库平安评价标准;数据库平安评价标准;数据库平安研究的开展;数据库平安研究的开展;数据库系统的平安模型与实现策略;数据库系统的平安模型;多级平安数据库实现策略;多级平安数据库实现策略;多级平安数据库实现策略;数据库系统平安机制;用户身份认证;存取控制;基于角色访问控制〔RBAC);数据库加密;与通信加密相比，其信息保存时间长，不可能采取一次一密的方法进行加密，而因选用其他加密的方式，使其到达实际不可破译的程度。 实际加密后，存储空间不应明显增大。 加密和解密速度要快，尤其是解密速度要快，使用户感觉不到解密和解密带来系统性能的变化。 对数据库的加密不应影响系统的原有功能，而应保持对数据库的操作(如查询，检索，修改，更新)的灵活性和简便性。 加密后的数据库仍能允许用户以不同的粒度对之进行访问。 灵活的密钥管理机制，加解密密钥存储平安，使用方便可靠。;数据库加密的实现机制;;;;;;数据库加密的粒度;;;;;加密算法;密钥管理;;;;推理控制;;;;;执行屡次查询，利用查询结果之间的逻辑关系进行推理 例2、考虑两种关系：飞机关系P(NAME，ID)和执行任务关系D(ID，TYPE，DEST)，其中属性NAME表示飞机名称，属性ID表示飞机编号，属性TYPE表示任务的性质，属性DEST表示飞行目的地。两种关系可根据ID属性进行连接运算。按表划分密级，规定飞机关系P中所有记录均为机密级，任务关系D中,除DEST属性值为“A区域〞的记录为绝密级外，其它记录为机密级。机密用户可用如下的查询推导出任务关系D的绝密信息： SELECT EMPLOYEE.NAME WHERE EMPLOYEE.ID = TRIPS.ID AND TRIPS.DEST= “PEKING〞;此查询是标准的“选择一投影一连接〞关系运算，查询的结果将暴露出任务关系D的绝密信息。 产生上述推理的原因在于关系运算在数据库管理系统中进行时，没有对关系运算中的数据密级进行限制，使低密级用户有可能在关系运算的查询条件中利用高密级数据进行数据推理攻击。; 推理与直接泄露〔 Direct Disclosure〕有区别，前者是必须经过推理来获得信息，后者是信息被直接泄露给未获授权的用户。 推理通道与隐蔽通道也不相同，它是基于一组特定的数据值和逻辑蕴涵规那么，不需要一个处于高平安级别的主动代理从高平安级别向低平安级发送信息。;推理通道;推理通道;推理通道;推理控制;数据库审计; 好的审计功能应该在可审计的内容上提供尽可能大的灵活性，同时应该只记录尽可能少的必要信息。 可审计的内容的类型就是审计类型。 数据库管理系统的审计主要分为： 特权审计 语句审计 用户审计 对象审计;特权审计：是指审计系统管理员、平安管理员的一些特权操作，如用户管理、角色管理、强制访问控制策略管理、强制访问控制授权管理等。 语句审计：是指审计系统中所有用户的各种操作，如DML语句、DDL语句等。 用户审计：是指审计系统中某个用户的各种操作。 对象审计：是指审计系统中针对某个数据库对象的各种操作，数据库对象可以是表、视图、序列中的一种。例如审计表tablel上所有的DELETE操作等。 还可以指定审计模式，即是审计执行成功的语句还是审计执行失败的语句，还是两种情况都审计。审计管理员通过指定审计类型和审计模式，可以确定足够小的审计范围，尽可能的降低对系统的性能的影响。;审计的策略库一般由两个方面因素构成： 数据库本身可选的审计规那么 管理员设计的触发策略机制 当这些审计规那么或策略机制一旦被触发，那么将引起相关的表操作。这些表可能是数据库自定义的，也可能是管理员另外定义的，最终这些审计的操作都将被记录在特定的表中以备查证。 审计开启时，用户的每个操作都要与审计配置信息相匹配以查看是否符合，审计会严重降低系统性能。 有效的审计应该尽可能的减少性能损失，同时又不会引入大量无关的审计踪迹，这样也便于分析。;审计管理员在制定审计策略时，要明确审计的目的，清楚理解进行审计的原因，才能设计出适宜的审计策略而防止不必要的审计。 要尽可能少的审计命令、对象、用户，防止有用的信息被大量无用信息淹没； 当调查可疑操作时，如果信息不够充分，应