DB04數(shù)據(jù)庫教學市公開課金獎市賽課一等獎課件

1、第4章 數(shù)據(jù)庫安全性問題提出數(shù)據(jù)庫一大特點是數(shù)據(jù)能夠共享數(shù)據(jù)共享必定帶來數(shù)據(jù)庫安全性問題數(shù)據(jù)庫系統(tǒng)中數(shù)據(jù)共享不能是無條件共享例： 軍事秘密、國家機密、新產(chǎn)品試驗數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)數(shù)據(jù)庫安全性第1頁計算機安全性概述數(shù)據(jù)庫安全性控制視圖機制審計（Audit） 數(shù)據(jù)加密統(tǒng)計數(shù)據(jù)庫安全性第4章 數(shù)據(jù)庫安全性第2頁4.1 計算機安全性概述 計算機系統(tǒng)三類安全性問題 安全標準介紹第3頁4.1.1 計算機系統(tǒng)三類安全性問題 計算機系統(tǒng)安全性為計算機系統(tǒng)建立和采取各種安全保護辦法，以保護計算機系統(tǒng)中硬件、軟件及數(shù)據(jù)，預防其因偶然或惡意原因使系統(tǒng)遭到

2、破壞，數(shù)據(jù)遭到更改或泄露等。第4頁三類計算機系統(tǒng)安全性問題技術(shù)安全類管理安全類政策法律類4.1.1 計算機系統(tǒng)三類安全性問題 第5頁4.1.2 安全標準介紹信息安全標準發(fā)展歷史 第6頁4.1.2 安全標準介紹TCSEC/TDI標準基本內(nèi)容TCSEC/TDI，從四個方面來描述安全性級別劃分指標：安全策略責任確保文檔第7頁安 全 級 別 定 義 A1驗證設(shè)計（Verified Design） B3安全域（Security Domains） B2結(jié)構(gòu)化保護（Structural Protection） B1標識安全保護（Labeled Security Protection） C2受控存取保護(Co

3、ntrolled Access Protection) C1自主安全保護(Discretionary Security Protection) D最小保護（Minimal Protection）按系統(tǒng)可靠或可信程度逐步增高各安全級別之間：偏序向下兼容4.1.2 安全標準介紹TCSEC/TDI安全級別劃分第8頁B2以上系統(tǒng)還處于理論研究階段應用多限于一些特殊部門，如軍隊等美國正在大力發(fā)展安全產(chǎn)品，試圖將當前僅限于少數(shù)領(lǐng)域應用B2安全級別下放到商業(yè)應用中來，并逐步成為新商業(yè)標準4.1.2 安全標準介紹第9頁國際信息技術(shù)安全通用評定準則(Common Criteria for Information

4、 Technology Security Evaluation,簡稱CC)是美國、英國、法國、德國、荷蘭、加拿大六國歷經(jīng)20多年制訂評定信息安全產(chǎn)品和系統(tǒng)安全特征基礎(chǔ)準則,它不但提出了信息安全評定模型和標準,而且還對信息安全產(chǎn)品和系統(tǒng)安全功效需求和安全確保要求做出了明確規(guī). 4.1.2 安全標準介紹第10頁4.1.2 安全標準介紹 CC評定確保級劃分 評定確保級定義TCSEC安全級別EAL1功效測試(functionally tested)EAL2結(jié)構(gòu)測試(structurally tested)C1EAL3系統(tǒng)地測試和檢驗(methodically tested and checked)C2

5、EAL4系統(tǒng)地設(shè)計、測試和復查(methodically designed， tested， and reviewed)B1EAL5半形式化設(shè)計和測試(semiformally designed and tested)B2EAL6半形式化驗證設(shè)計和測試(semiformally verified design and B3Tested)EAL7形式化驗證設(shè)計和測試(formally verified design and tested)A1第11頁4.2 數(shù)據(jù)庫安全性控制概述非法使用數(shù)據(jù)庫情況編寫正當程序繞過DBMS及其授權(quán)機制直接或編寫應用程序執(zhí)行非授權(quán)操作經(jīng)過屢次正當查詢數(shù)據(jù)庫從中推導出一

6、些保密數(shù)據(jù)第12頁計算機系統(tǒng)中，安全辦法是一級一級層層設(shè)置計算機系統(tǒng)安全模型 4.2 數(shù)據(jù)庫安全性控制概述第13頁數(shù)據(jù)庫安全性控制慣用方法用戶標識和判定存取控制視圖審計密碼存放4.2 數(shù)據(jù)庫安全性控制概述第14頁4.2.1 用戶標識與判別用戶標識與判別 （Identification & Authentication）系統(tǒng)提供最外層安全保護辦法用戶標識口令系統(tǒng)查對口令以判別用戶身份 用戶名和口令易被竊取每個用戶預先約定好一個計算過程或者函數(shù)第15頁4.2.2 存取控制存取控制機制組成定義用戶權(quán)限，并將用戶權(quán)限登記到數(shù)據(jù)字典中正當權(quán)限檢驗 用戶權(quán)限定義和正當權(quán)限檢驗機制一起組成了DBMS安全子系

7、統(tǒng)第16頁慣用存取控制方法自主存取控制（Discretionary Access Control ，簡稱DAC） C2級 靈活強制存取控制（Mandatory Access Control，簡稱 MAC）B1級嚴格4.2.2 存取控制第17頁4.2.3 自主存取控制方法經(jīng)過 SQL GRANT 語句和 REVOKE 語句實現(xiàn)用戶權(quán)限組成數(shù)據(jù)對象操作類型定義用戶存取權(quán)限：定義用戶能夠在哪些數(shù)據(jù)庫對象上進行哪些類型操作定義存取權(quán)限稱為授權(quán) 第18頁4.2.3 自主存取控制方法關(guān)系數(shù)據(jù)庫系統(tǒng)中存取控制對象 關(guān)系數(shù)據(jù)庫系統(tǒng)中存取權(quán)限 對象類型對象操 作 類 型數(shù)據(jù)庫模式CREATE SCHEMA基本表

8、CREATE TABLE，ALTER TABLE模式視圖CREATE VIEW索引CREATE INDEX數(shù)據(jù)基本表和視圖SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALL PRIVILEGES數(shù)據(jù)屬性列SELECT，INSERT，UPDATE， REFERENCESALL PRIVILEGES第19頁4.2.4 授權(quán)與回收一、GRANTGRANT語句普通格式： GRANT ,. ON TO ,. WITH GRANT OPTION;語義：將對指定操作對象指定操作權(quán)限授予指定用戶 第20頁發(fā)出GRANT：DBA數(shù)據(jù)庫對象創(chuàng)建者（即屬主Owner）擁有該權(quán)限用戶

9、接收權(quán)限用戶 一個或多個詳細用戶PUBLIC（全體用戶） 4.2.4 授權(quán)與回收第21頁4.2.4 授權(quán)與回收WITH GRANT OPTION子句:指定：能夠再授予沒有指定：不能傳輸不允許循環(huán)授權(quán)第22頁例1 把查詢Student表權(quán)限授給用戶U1GRANT SELECT ON TABLE Student TO U1;4.2.4 授權(quán)與回收例2 把對Student表和Course表全部權(quán)限授予用戶U2和U3GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3;第23頁例3 把對表SC查詢權(quán)限授予全部用戶GRANT SELECT ON

10、TABLE SC TO PUBLIC;4.2.4 授權(quán)與回收第24頁例4 把查詢Student表和修改學生學號權(quán)限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;對屬性列授權(quán)時必須明確指出對應屬性列名 4.2.4 授權(quán)與回收第25頁例5 把對表SCINSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其它用戶 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;4.2.4 授權(quán)與回收第26頁執(zhí)行例5后，U5不但擁有了對表SCINSERT權(quán)限，還能夠傳輸此權(quán)限：例6 GRANT INSER

11、T ON TABLE SC TO U6 WITH GRANT OPTION; 一樣，U6還能夠?qū)⒋藱?quán)限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7;但U7不能再傳輸此權(quán)限。 4.2.4 授權(quán)與回收第27頁 下表是執(zhí)行了例1到例7語句后，學生-課程數(shù)據(jù)庫中用戶權(quán)限定義表 授權(quán)用戶名被授權(quán)用戶名數(shù)據(jù)庫對象名允許操作類型能否轉(zhuǎn)授權(quán)DBAU1關(guān)系StudentSELECT不能DBAU2關(guān)系StudentALL不能DBAU2關(guān)系CourseALL不能DBAU3關(guān)系StudentALL不能DBAU3關(guān)系CourseALL不能DBAPUBLIC關(guān)系SCSELECT不能DBA

12、U4關(guān)系StudentSELECT不能DBAU4屬性列Student.SnoUPDATE不能DBAU5關(guān)系SCINSERT能U5U6關(guān)系SCINSERT能U6U7關(guān)系SCINSERT不能4.2.4 授權(quán)與回收第28頁二、REVOKE授予權(quán)限能夠由DBA或其它授權(quán)者用REVOKE語句收回REVOKE語句普通格式為： REVOKE ,. ON FROM ,.;4.2.4 授權(quán)與回收第29頁例8 把用戶U4修改學生學號權(quán)限收回REVOKE UPDATE(Sno)ON TABLE Student FROM U4;4.2.4 授權(quán)與回收例9 收回全部用戶對表SC查詢權(quán)限REVOKE SELECT ON

13、TABLE SC FROM PUBLIC; 第30頁例10 把用戶U5對SC表INSERT權(quán)限收回REVOKE INSERT ON TABLE SC FROM U5 CASCADE ;將用戶U5INSERT權(quán)限收回時候必須級聯(lián)（CASCADE）收回 系統(tǒng)只收回直接或間接從U5處取得權(quán)限 4.2.4 授權(quán)與回收第31頁4.2.4 授權(quán)與回收執(zhí)行例8到例10語句后，學生-課程數(shù)據(jù)庫中用戶權(quán)限定義表授權(quán)用戶名被授權(quán)用戶名數(shù)據(jù)庫對象名允許操作類型能否轉(zhuǎn)授權(quán)DBAU1關(guān)系StudentSELECT不能DBAU2關(guān)系StudentALL不能DBAU2關(guān)系CourseALL不能DBAU3關(guān)系StudentA

14、LL不能DBAU3關(guān)系CourseALL不能DBAU4關(guān)系StudentSELECT不能第32頁DBA：擁有全部對象全部權(quán)限不一樣權(quán)限授予不一樣用戶用戶：擁有自己建立對象全部操作權(quán)限GRANT：授予其它用戶被授權(quán)用戶“繼續(xù)授權(quán)”許可：再授予全部授予出去權(quán)力在必要時又都可用REVOKE語句收回4.2.4 授權(quán)與回收小結(jié)：SQL靈活授權(quán)機制第33頁4.2.4 授權(quán)與回收三、創(chuàng)建數(shù)據(jù)庫模式權(quán)限 DBA在創(chuàng)建用戶時實現(xiàn)CREATE USER語句格式 CREATE USER WITHDBA | RESOURCE | CONNECT第34頁4.2.4 授權(quán)與回收擁有權(quán)限可否執(zhí)行操作CREATE USERC

15、REATE SCHEMACREATE TABLE登錄數(shù)據(jù)庫 執(zhí)行數(shù)據(jù)查詢和操縱DBA能夠能夠能夠能夠RESOURCE不能夠不能夠不能夠不能夠CONNECT不能夠不能夠不能夠能夠，但必須擁有對應權(quán)限權(quán)限與可執(zhí)行操作對照表 第35頁4.2.5 數(shù)據(jù)庫角色數(shù)據(jù)庫角色：被命名一組與數(shù)據(jù)庫操作相關(guān)權(quán)限角色是權(quán)限集合 可認為一組具有相同權(quán)限用戶創(chuàng)建一個角色簡化授權(quán)過程第36頁用戶權(quán)限角色UPDATE ON JOBSINSERT ON JOBS SELECT ON JOBS CREATE TABLECREATE SESSIONHR_CLERKHR_MGRABC4.2.5 數(shù)據(jù)庫角色第37頁一、角色創(chuàng)建CRE

16、ATE ROLE 二、給角色授權(quán) GRANT ， ON 對象名 TO ，4.2.5 數(shù)據(jù)庫角色第38頁三、將一個角色授予其它角色或用戶GRANT ，TO ， WITH ADMIN OPTION 四、角色權(quán)限收回 REVOKE ，ON FROM ，4.2.5 數(shù)據(jù)庫角色第39頁例11經(jīng)過角色來實現(xiàn)將一組權(quán)限授予一個用戶。步驟以下：1. 首先創(chuàng)建一個角色 R1 CREATE ROLE R1；2. 然后使用GRANT語句，使角色R1擁有Student表SELECT、UPDATE、INSERT權(quán)限 GRANT SELECT，UPDATE，INSERT ON TABLE Student TO R1；4.

17、2.5 數(shù)據(jù)庫角色第40頁3. 將這個角色授予王平，張明，趙玲。使他們含有角色R1所包含全部權(quán)限 GRANT R1 TO 王平，張明，趙玲；4. 能夠一次性經(jīng)過R1往返收王平這3個權(quán)限 REVOKE R1 FROM 王平；4.2.5 數(shù)據(jù)庫角色第41頁例12 角色權(quán)限修改 GRANT DELETE ON TABLE Student TO R14.2.5 數(shù)據(jù)庫角色例13 REVOKE SELECT ON TABLE Student FROM R1； 第42頁4.2.6 強制存取控制方法可能存在數(shù)據(jù)“無意泄露”原因：這種機制僅僅經(jīng)過對數(shù)據(jù)存取權(quán)限來進行安全控制，而數(shù)據(jù)本身并無安全性標識處理：對系

18、統(tǒng)控制下全部主客體實施強制存取控制策略自主存取控制缺點第43頁強制存取控制（MAC)確保更高程度安全性用戶不能直接感知或進行控制適合用于對數(shù)據(jù)有嚴格而固定密級分類部門軍事部門政府部門4.2.6 強制存取控制方法第44頁主體是系統(tǒng)中活動實體DBMS所管理實際用戶代表用戶各進程客體是系統(tǒng)中被動實體，是受主體操縱文件基表索引視圖4.2.6 強制存取控制方法第45頁4.2.6 強制存取控制方法敏感度標識（Label）絕密（Top Secret）機密（Secret）可信（Confidential）公開（Public）主體敏感度標識稱為許可證級別（Clearance Level）客體敏感度標識稱為密級（C

19、lassification Level）第46頁強制存取控制規(guī)則 (1)僅當主體許可證級別大于或等于客體密級時，該主體才能讀取對應客體 (2)僅當主體許可證級別等于客體密級時，該主體才能寫對應客體修正規(guī)則主體許可證級別 =客體密級 主體能寫客體4.2.6 強制存取控制方法規(guī)則共同點禁止了擁有高許可證級別主體更新低密級數(shù)據(jù)對象第47頁4.2.6 強制存取控制方法DAC與MAC共同組成DBMS安全機制實現(xiàn)MAC時要首先實現(xiàn)DAC原因：較高安全性級別提供安全保護要包含較低級別全部保護MAC與DAC第48頁4.2.6 強制存取控制方法DAC + MAC安全檢驗示意圖先進行DAC檢驗，經(jīng)過DAC檢驗數(shù)據(jù)對象再由系統(tǒng)進行MAC檢驗，只有經(jīng)過MAC檢驗數(shù)據(jù)對象方可存取。DAC 檢 查MAC 檢 查安全檢驗SQL語法分析 & 語義檢驗繼續(xù)語義檢驗第49頁4.3 視圖機制把要保密數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)用戶隱藏起來，對數(shù)據(jù)提供一定程度安全保護 例14 建立計算機系學生視圖，把對該視圖