數(shù)據(jù)庫的安全性

第6章數(shù)據(jù)庫的安全性P130

數(shù)據(jù)庫的特點之一是DBMS提供統(tǒng)一的數(shù)據(jù)保護功能，以保證數(shù)據(jù)的安全可靠和正確有效。數(shù)據(jù)庫的數(shù)據(jù)保護主要包括：數(shù)據(jù)的安全性和數(shù)據(jù)的完整性。本章討論數(shù)據(jù)的安全性第一頁，共六十頁。6.1計算機安全性概論

數(shù)據(jù)庫的安全性：指保護數(shù)據(jù)庫以防止不合法的使用造成數(shù)據(jù)泄露、更改或破壞。數(shù)據(jù)庫的安全性和計算機系統(tǒng)的安全性，包括操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的安全性是緊密聯(lián)系、相互支持的。第二頁，共六十頁。1.計算機系統(tǒng)的安全性

指為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。第三頁，共六十頁。計算機系統(tǒng)的安全性分為：（1）技術(shù)安全類（2）管理安全類（3）政策法律類第四頁，共六十頁。2.安全標(biāo)準(zhǔn)簡介P131

TCSEC 、ITSEC和CC制定標(biāo)準(zhǔn)的目的：

(1)提供一種標(biāo)準(zhǔn)，使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度進行評估。

(2)給計算機行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。第五頁，共六十頁。信息安全發(fā)展的歷史：P132 圖4.1第六頁，共六十頁。1991年4月美國國家計算機安全中心發(fā)布了《可信計算機系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋簡稱TDI，將TCSEC(美國國防部TrustedComputerSystemsEvaluationCriteria)擴展到數(shù)據(jù)庫管理系統(tǒng)。

TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需滿足和用以進行安全級別評估的標(biāo)準(zhǔn)。第七頁，共六十頁。TDI／TCSEC標(biāo)準(zhǔn)的基本內(nèi)容TDI從四個方面描述安全性級別劃分的指標(biāo)：（1）安全策略（2）責(zé)任（3）保證（4）文檔每個方面又細分為若干項。第八頁，共六十頁。安全等級的劃分根據(jù)計算機系統(tǒng)對上述各項指標(biāo)的支持情況，TDl將系統(tǒng)劃分為四組七個等級：

DC(Cl，C2)B(B1，B2，B3)A(A1)，按系統(tǒng)可靠或可信程度逐漸增高，

P132第九頁，共六十頁。10ITSEC-歐洲標(biāo)準(zhǔn)ITSECInformationTechnologySecurityEvaluationCriteria英法德荷四國制定是歐洲多國安全評價方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域為軍隊、政府和商業(yè)。該標(biāo)準(zhǔn)將安全概念分為功能與評估兩部分。功能準(zhǔn)則從F1～F10共分10級。1～5級對應(yīng)于TCSEC的D到A。F6至F10級分別對應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的保密性以及機密性和完整性。與TCSEC不同,它并不把保密措施直接與計算機功能相聯(lián)系,而是只敘述技術(shù)安全的要求,把保密作為安全增強功能。另外,TCSEC把保密作為安全的重點,而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(不滿足品質(zhì))到E6級(形式化驗證)的7個安全等級,對于每個系統(tǒng),安全功能可分別定義。第十頁，共六十頁。11CC(CommonCriteria)美英法德荷加六國制定的共同標(biāo)準(zhǔn)包含的類FAU 安全審計FCO 通信FCS 密碼支持FDP 用戶數(shù)據(jù)保護FIA 標(biāo)識與鑒別FMT 安全管理FPR 隱私FPT TSF保護(固件保護，TOESecurityFunctions,TOESecurityPolicy，(TargetOfEvaluation))FRU 資源利用FTA TOE訪問FTP 可信信道/路徑第十一頁，共六十頁。12CC分為三個部分：第1部分"簡介和一般模型"，正文介紹了CC中的有關(guān)術(shù)語、基本概念和一般模型以及與評估有關(guān)的一些框架，附錄部分主要介紹保護輪廓（PP）和安全目標(biāo)（ST）的基本內(nèi)容。第2部分"安全功能要求"，按"類--子類--組件"的方式提出安全功能要求，每一個類除正文以外，還有對應(yīng)的提示性附錄作進一步解釋。第3部分“安全保證要求”，定義了評估保證級別，介紹了PP和ST的評估，并按“類--子類--組件”的方式提出安全保證要求第十二頁，共六十頁。13CC的三個部分相互依存，缺一不可。第1部分是介紹CC的基本概念和基本原理第2部分提出了技術(shù)要求第3部分提出了非技術(shù)要求和對開發(fā)過程、工程過程的要求。這三部分的有機結(jié)合具體體現(xiàn)在PP和ST中，PP和ST的概念和原理由第1部分介紹，PP和ST中的安全功能要求和安全保證要求在第2、3部分選取，這些安全要求的完備性和一致性，由第2、3兩部分來保證。CC作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的世界性通用準(zhǔn)則，是信息技術(shù)安全性評估結(jié)果國際互認(rèn)的基礎(chǔ)。第十三頁，共六十頁。14CC、TCSEC、ITSEC對應(yīng)關(guān)系CC TCSEC ITSEC- D E0EAL1 - -EAL2 C1 E1EAL3 C2 E2EAL4 B1 E3EAL5 B2 E4EAL6 B3 E5EAL7 A1 E6第十四頁，共六十頁。6.2數(shù)據(jù)庫安全性控制在一般計算機系統(tǒng)中，安全措施是一級一級層層設(shè)置的。

P1356.2.1用戶標(biāo)識與鑒別用戶標(biāo)識和鑒別是系統(tǒng)提供的最外層安全保護措施。其方法是由系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份，每次用戶要求進入系統(tǒng)時，由系統(tǒng)進行核對，通過鑒定后才提供機器使用權(quán)。第十五頁，共六十頁。常用的方法（1）用戶名+口令（2）更復(fù)雜的方法例：每個用戶都預(yù)先約定好一個函數(shù)，鑒別用戶身份時，系統(tǒng)提供一個隨機數(shù)，用戶根據(jù)自己預(yù)先約定的函數(shù)進行計算，系統(tǒng)根據(jù)計算結(jié)果是否正確進一步鑒定用戶身份。第十六頁，共六十頁。6.2.2存取控制P136

數(shù)據(jù)庫安全最重要的一點：確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫，主要通過數(shù)據(jù)庫系統(tǒng)的存取控制機制實現(xiàn)。存取控制機制主要包括兩部分：

1．定義用戶權(quán)限，系統(tǒng)必須提供適當(dāng)?shù)恼Z言定義用戶權(quán)限，這些定義經(jīng)過編譯后存放在數(shù)據(jù)字典中，被稱為安全規(guī)則或授權(quán)規(guī)則。

用戶權(quán)限：指不同的用戶對于不同的數(shù)據(jù)對象允許執(zhí)行的操作權(quán)限。

2．合法權(quán)限檢查，用戶發(fā)出存取數(shù)據(jù)庫的操作請求后，DBMS查找數(shù)據(jù)字典，根據(jù)安全規(guī)則進行合法權(quán)限檢查，若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)拒絕執(zhí)行此操作。

用戶權(quán)限定義和合法權(quán)檢查機制一起組成了DBMS的安全子系統(tǒng)。

第十七頁，共六十頁。

自主存取控制(DAC)方法

自主存取控制方法：（DiscretionaryAccessControl）（1）用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限；（2）不同的用戶對同一對象也有不同的權(quán)限，而且用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。大型數(shù)據(jù)庫管理系統(tǒng)幾乎都支持自主存取控制，目前的SQL標(biāo)準(zhǔn)也對自主存取控制提供支持。通過SQL的GRANT語句和REVOKE語句實現(xiàn)。

P137表4.3RDB中的存取權(quán)限第十八頁，共六十頁。1.數(shù)據(jù)庫用戶的操作權(quán)限在SQLServer中，可授予數(shù)據(jù)庫用戶的權(quán)限分為三個層次：（1）在當(dāng)前數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫對象及進行數(shù)據(jù)庫備份的權(quán)限主要有：創(chuàng)建表、視圖、存儲過程、規(guī)則、缺省值對象、函數(shù)的權(quán)限及備份數(shù)據(jù)庫、日志文件的權(quán)限。第十九頁，共六十頁。（2）用戶對數(shù)據(jù)庫表的操作權(quán)限及執(zhí)行存儲過程的權(quán)限主要有：SELECT：對表或視圖執(zhí)行SELECT語句的權(quán)限；INSERT：對表或視圖執(zhí)行INSERT語句的權(quán)限；UPDATE：對表或視圖執(zhí)行UPDATE語句的權(quán)限；DELETE：對表或視圖只DELETE語句的權(quán)限；REFERENCES：用戶對表的主鍵和唯一索引字段生成外碼引用的權(quán)限；EXECUTE：執(zhí)行存儲過程的權(quán)限。第二十頁，共六十頁。(3)用戶對數(shù)據(jù)庫中指定表字段的操作權(quán)限主要有：

SELECT：對表字段進行查詢操作的權(quán)限；

UPDATE、DELETE、INSERT：對表字段進行更新操作的權(quán)限第二十一頁，共六十頁。2.書上的語法形式及例子：P137GRANT權(quán)限,…[ON<對象類型><對象名>]TO用戶或數(shù)據(jù)庫角色,…[WITHGRANTOPTION]注意：必須以合適的身份登錄，才能執(zhí)行以上語句。第二十二頁，共六十頁。收回權(quán)限P139書上的語句形式：

REVOKE權(quán)限,…[ON<對象類型><對象名>]FROM用戶[角色]1,…，用戶[角色]n第二十三頁，共六十頁。1.SQLServer的身份認(rèn)證模式身份認(rèn)證模式指系統(tǒng)確認(rèn)用戶的方式。

有兩種方式：（1）WindowsNT認(rèn)證模式必須將NT網(wǎng)絡(luò)帳號加入SQLServer中，才能采用此方式。（2）SQLServer認(rèn)證模式在SQLServer認(rèn)證模式下，SQLServer服務(wù)器要對登錄的用戶進行身份認(rèn)證。第二十四頁，共六十頁。2.SQLServer的安全管理用戶如何才能使用數(shù)據(jù)庫？

SQLServer系統(tǒng)登錄帳號→某個數(shù)據(jù)庫用戶或用戶組（數(shù)據(jù)庫角色）中的成員→具有對數(shù)據(jù)庫中數(shù)據(jù)進行操作的權(quán)限。第二十五頁，共六十頁。例：（1）創(chuàng)建登錄帳號//利用系統(tǒng)存儲過程sp_addlogin創(chuàng)建登錄帳號，ID：wang，密碼：‘dongdong‘，缺省數(shù)據(jù)庫student。execsp_addlogin'wang','dongdong','student'Go界面方式創(chuàng)建登錄？第二十六頁，共六十頁。第二十七頁，共六十頁。注意sp_addlogin與sp_grantlogin的區(qū)別。sp_grantlogin用于建立SQLServer與windows帳號的信任關(guān)系。exp：Execsp_grantlogin‘Nanjing\chengfang’建立與windows帳號的信任關(guān)系。windows帳號格式：“域\用戶名”第二十八頁，共六十頁。（2）創(chuàng)建數(shù)據(jù)庫用戶//為登錄帳號‘wang’創(chuàng)建數(shù)據(jù)庫用戶，其名為‘wan’。usestudentexecsp_grantdbaccess'wang','wan'(3)給數(shù)據(jù)庫用戶賦予操作權(quán)限//給wan用戶授予對表student的select權(quán)限。

usestudentgrantselectonstudenttowan第二十九頁，共六十頁。第三十頁，共六十頁。第三十一頁，共六十頁。問題：

如果要創(chuàng)建數(shù)據(jù)庫用戶，并對該用戶賦予權(quán)限，必須以何種身份登錄？第三十二頁，共六十頁。3.服務(wù)器角色與數(shù)據(jù)庫角色角色是被賦予一定權(quán)限的組。一個用戶如果為某角色的成員，則該用戶具有該角色的所有權(quán)限。

SQLServer給用戶提供兩類預(yù)定義的角色：（1）服務(wù)器角色----固定服務(wù)器角色）

（2）數(shù)據(jù)庫角色-----固定數(shù)據(jù)庫角色）一個角色可有一個或若干個成員，同一角色的成員有相同的權(quán)限。第三十三頁，共六十頁。固定服務(wù)器角色和固定數(shù)據(jù)庫角色都是SQLServer內(nèi)置的，不能進行添加、修改和刪除。用戶也可根據(jù)需要，創(chuàng)建自己的數(shù)據(jù)庫角色，以便對具有同樣操作權(quán)限的用戶進行統(tǒng)一管理。第三十四頁，共六十頁。4.固定服務(wù)器角色：sysadmin：系統(tǒng)管理員，可對SQLServer服務(wù)器進行所有的管理工作，為最高管理角色。securityadmin：安全管理員，可以管理登錄和CREATEDATABASE權(quán)限，還可以讀取錯誤日志和更改密碼。serveradmin：服務(wù)器管理員，具有對服務(wù)器進行設(shè)置及關(guān)閉服務(wù)器的權(quán)限。setupadmin：設(shè)置管理員，添加和刪除鏈接服務(wù)器，并執(zhí)行某些系統(tǒng)存儲過程（如sp_serveroption）。processadmin：進程管理員，可以管理磁盤文件。第三十五頁，共六十頁。dbcreator：數(shù)據(jù)庫創(chuàng)建者，可以創(chuàng)建、更改和刪除數(shù)據(jù)庫。bulkadmin：可執(zhí)行BULKINSERT語句，但是這些成員對要插入數(shù)據(jù)的表必須有INSERT權(quán)限。BULKINSERT語句的功能是以用戶指定的格式復(fù)制一個數(shù)據(jù)文件至數(shù)據(jù)庫表或視圖。第三十六頁，共六十頁。第三十七頁，共六十頁。給服務(wù)器角色添加成員

usestexecsp_addsrvrolemember'wang','sysadmin'//wang為登錄帳號第三十八頁，共六十頁。5.固定數(shù)據(jù)庫角色

db_owner：數(shù)據(jù)庫所有者，可執(zhí)行數(shù)據(jù)庫的所有管理操作。SQLServer數(shù)據(jù)庫中的每個對象都有所有者，通常創(chuàng)建該對象的用戶即為其所有者。其他用戶只有在相應(yīng)所有者對其授權(quán)后，方可訪問該對象。用戶發(fā)出的所有SQL語句均受限于該用戶具有的權(quán)限。例如，CREATEDATABASE僅限于sysadmin和dbcreator固定服務(wù)器角色的成員使用。第三十九頁，共六十頁。sysadmin固定服務(wù)器角色的成員、固定數(shù)據(jù)庫角色的成員以及數(shù)據(jù)庫對象的所有者db_owner都可授予、或收回某個用戶或某個角色的權(quán)限。db_accessadmin：數(shù)據(jù)庫訪問權(quán)限管理者，具有添加、刪除數(shù)據(jù)庫使用者、數(shù)據(jù)庫角色和組的權(quán)限。db_securityadmin：數(shù)據(jù)庫安全管理員，可管理數(shù)據(jù)庫中的權(quán)限，如設(shè)置數(shù)據(jù)庫表的增、刪、改和查詢等存取權(quán)限。第四十頁，共六十頁。db_ddladmin：數(shù)據(jù)庫DDL管理員，可增加、修改或刪除數(shù)據(jù)庫中的對象。db_backupoperator：數(shù)據(jù)庫備份操作員，具有執(zhí)行數(shù)據(jù)庫備份的權(quán)限。db_datareader：數(shù)據(jù)庫數(shù)據(jù)讀取者。db_datawriter：數(shù)據(jù)庫數(shù)據(jù)寫入者，具有對表進行增、刪、改的權(quán)限。第四十一頁，共六十頁。db_denydatareader：數(shù)據(jù)庫拒絕數(shù)據(jù)讀取者，不能讀取數(shù)據(jù)庫中任何表的內(nèi)容db_denydatawriter：數(shù)據(jù)庫拒絕數(shù)據(jù)寫入者，不能對任何表進行增、刪、改操作。

public：是一個特殊的數(shù)據(jù)庫角色，每個數(shù)據(jù)庫用戶都是public角色的成員。不能將用戶、組或角色指派為public角色的成員，也不能刪除public角色的成員。

通常將一些公共的權(quán)限賦給public角色。第四十二頁，共六十頁。第四十三頁，共六十頁。6.用戶自定義數(shù)據(jù)庫角色P142

/*創(chuàng)建數(shù)據(jù)庫角色ROLE1*/USEstEXECsp_addrole'ROLE1'

使一數(shù)據(jù)庫用戶成為某個數(shù)據(jù)庫角色的成員

USEstEXECsp_addrolemember'ROLE1','wan1'第四十四頁，共六十頁。SQLServer:

給數(shù)據(jù)庫用戶或數(shù)據(jù)庫角色賦予執(zhí)行DDL語句的權(quán)限。

語法格式：GRANT{ALL|statement[,...n]}TOsecurity_account[,...n]//security_account為角色名或用戶名。第四十五頁，共六十頁。statement可為：CREATEDATABASE、CREATETABLE、CREATEVIEW、CREATEFUNCTION、CREATEPROCEDURE、CREATERULE、CREATEDEFAULT、BACKUPDATABASE、BACKUPLOG第四十六頁，共六十頁。例：

usestgrantcreatetabletowan1第四十七頁，共六十頁。SQLServer授予對數(shù)據(jù)庫對象操作的權(quán)限：P137GRANT

{ALL[PRIVILEGES]|

permission[,...n]}{

[(column[,...n])]ON{table|view}

|ON{table|view}[(column[,...n])]

}TOsecurity_account[,...n][WITHGRANTOPTION]

permission:select,insert,update,delete第四十八頁，共六十頁。usestudentgrantselect(sno,sname)onstudenttowangrantcreatetabletowanWITHGRANTOPTION：指獲得某一權(quán)限的用戶可將此權(quán)限轉(zhuǎn)授給其它的用戶，否則不能傳播。問題：對數(shù)據(jù)庫student的用戶wan賦予對student表的插入、刪除、更新權(quán)限，并允許wan將該權(quán)限轉(zhuǎn)授給其他用戶。第四十九頁，共六十頁。例：usestudentgrantselect,insert,update,deleteonstudenttowan1withgrantoption例：USEstudentGOGRANTSELECTONstudent(sno,sname)TOpublic第五十頁，共六十頁。利用REVOKE命令可取消以前給用戶授予的執(zhí)行DDL語句的權(quán)限。語法格式：REVOKE{ALL|statement[,...n]}FROMsecurity_account[,...n]功能：取消以前授予的執(zhí)行語句權(quán)限。security_account為用戶名或角色名。第五十一頁，共六十頁。REVOKE

{ALL[PRIVILEGES]|permission[,...n]}

{

[(column[,...n])]ON{table|view}

|ON{table|view}[(column[,...n])]

}{TO|FROM}

security_account[,...n][CASCADE]第五十二頁，共六十頁。例：

usestudentrevokeselectonstudentfromwan1

usestudentrevokeallonstudentfromwan1cascadeP140第五十三頁，共六十頁。自主存取控制存在的問題

由于用戶對數(shù)據(jù)的存取權(quán)限是“自主”的，用戶可以自由地決定將數(shù)據(jù)的存取權(quán)限授予何人，而系統(tǒng)對此無法控制，在這種授權(quán)機制下，可能存在數(shù)據(jù)的“無意泄露”。造成這一問題的根本原因：這種授權(quán)機制僅僅對數(shù)據(jù)的存取權(quán)限進行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記。要解決這一問題，就需要對系統(tǒng)控制下的所有主客體實施強制存取控制策略。第五十四頁，共六十頁。

強制存取控制(MAC)方法

（MandatoryAccessControl）

P143

在強制存取控制方法中，每一個數(shù)據(jù)對象被標(biāo)以一定的密級，每一個用戶也被授予某一個級別的許可證，對于任一對象，只有具有合法許可證的用戶才可存取。

M