第8章 数据库安全性.ppt

1、第8章 数据库安全性,8.1 计算机系统安全性概论 8.2 数据库系统安全性控制 8.3 统计数据库的安全性*,8.1 计算机系统安全性概论,计算机系统的三类安全性问题 所谓计算机系统安全性，是指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。 计算机安全不仅涉及到计算机系统本身的技术问题、管理问题，还涉及法学、犯罪学、心理学的问题。 其内容包括了计算机安全理论与策略；计算机安全技术、安全管理、安全评价、安全产品以及计算机犯罪与侦察、计算机安全法律、安全监察等等。 概括起来，计算机系统的安全性问题可分

2、为三大类，即：技术安全类、管理安全类和政策法律类。,8.1 计算机系统安全性概论,技术安全性 是指计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护， 当计算机系统受到无意或恶意的攻击时仍能保证系统正常运行，保证系统内的数据不增加、不丢失、不泄露。 管理安全性 技术安全之外的，诸如软硬件意外故障、场地的意外事故、管理不善导致的计算机设备和数据介质的物理破坏、丢失等安全问题，视为管理安全。 政策法规 则指政府部门建立的有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法令等。 本课程只讨论技术安全类。,8.1 计算机系统安全性概论,可信计算机系统的评测标准 为

3、降低进而消除对系统的安全攻击，尤其是弥补原有系统在安全保护方面的缺陷，在计算机安全技术方面逐步建立了一套可信标准。 在目前各国所引用或制定的一系列安全标准中，最重要的当推1985年美国国防部（DoD）正式颁布的 DoD可信计算机系统评估标准（Trusted Computer System Evaluation Criteria，简记为TCSEC)或DoD85）。 制定这个标准的目的主要有： 提供一种标准，使用户可以对其计算机系统内敏感信息安全操作的可信程度做出评 估。 给计算机行业的制造商提供一种可循的指导规则，使其产品能够更好的满足敏感应用 的安全需求。,8.1 计算机系统安全性概论,TCS

4、EC又称桔皮书，1991年4月美国NCSC（国家计算机安全中心）颁布了可信计算机系统评估标准关于可信数据库系统的解释（ Trusted Database Interpretation 简记为TDI，即紫皮书）。将TCSEC扩展到数据库管理系统。 TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准。 以下我们着重介绍 TDI/TCSEC 标准的基本内容。 TDI与TCSEC一样，从以下四个方面来描述安全性级别划分的指标：安全策略、责任、保证和文档。每个方面又细分为若干项。 根据计算机系统对上述各项指标的支持情况，TCSEC（TDI）将系统划分为四组(division)

5、七个等级，依次是D；C（C1，C2）；B（B1，B2，B3）；A（A1），按系统可靠或可信程度逐渐增高，如表8.1所示。,8.1 计算机系统安全性概论,在TCSEC中建立的安全级别之间具有一种偏序向下兼容的关系，即较高安全性级别提供的安全保护要包含较低级别的所有保护要求，同时提供更多或更完善的保护能力。 下面，我们简略地对各个等级作一介绍。 D级 是最低级别。保留D级的目的是为了将一切不符合更高标准的系统，统统归于D组。如DOS就是操作系统中安全标准为D的典型例子。它具有操作系统的基本功能，如文件系统，进程调度等等，但在安全性方面几乎没有什么专门的机制来保障。 C1级 只提供了非常初级的自主安

6、全保护。能够实现对用户和数据的分离，进行自主存取控制（DAC），保护或限制用户权限的传播。现有的商业系统往往稍作改进即可满足要求。 C2级 是实际安全产品的最低档次，提供受控的存取保护，即将C1级的DAC进一步细化，以个人身份注册负责，并实施审计和资源隔离。很多商业产品已得到该级别的认证。达到C2级的产品在其名称中往往不突出“安全”(Security)这一特色，如操作系统中Microsoft的Windows NT 3.5，数字设备公司的Open VMS VAX 6.0和6.1。数据库产品有Oracle公司的Oracle 7， Sybase公司的 SQL Server 11.0.6 等。,8.1

7、 计算机系统安全性概论,B1级 标记安全保护。对系统的数据加以标记，并对标记的主体和客体实施强制存取控制（MAC）以及审计等安全机制。 B1级能够较好地满足大型企业或一般政府部门对于数据的安全需求，这一级别的产品才认为是真正意义上的安全产品。 满足此级别的产品前一般多冠以“安全”(Security)或“可信的”(Trusted)字样，作为区别于普通产品的安全产品出售。 例如，操作系统方面，典型的有数字设备公司的SEVMS VAX Version 6.0，惠普公司的HP-UX BLS release 9.0.9+ 。数据库方面则有Oracle公司的Trusted Oracle 7， Sybase

8、公司的Secure SQL Server version 11.0.6，Informix公司的Incorporated INFORMIX-OnLine / Secure 5.0等。 B2级 结构化保护。建立形式化的安全策略模型并对系统内的所有主体和客体实施DAC和MAC。 从互连网上的最新资料看，经过认证的、B2级以上的安全系统非常稀少。 例如，符合B2标准的操作系统只有Trusted Information Systems公司的Trusted XENIX一种产品，符合B2标准的网络产品有Cryptek Secure Communications公司的LLC VSLAN一种产品，而数据库方面目

9、前没有符合B2标准的产品。,8.1 计算机系统安全性概论,B3级 安全域。该级必须满足访问监控器的要求，审计跟踪能力更强，并提供系统恢复过程。 A1级 B2以上的系统标准更多地还处于理论研究阶段，产品化以至商品化的程度都不高，其应用也多限于一些特殊的部门如军队等。 但美国正在大力发展安全产品，试图将目前仅限于少数领域应用的B2安全级别或更高安全级别下放到商业应用中来，并逐步成为新的商业标准。 可以看出，支持自主存取控制的DBMS大致属于C级，而支持强制存取控制的DBMS则可以达到B1级。当然，存取控制仅是安全性标准的一个重要方面（即安全策略方面）不是全部。 为了使DBMS达到一定的安全级别，还

10、需要在其它三个方面提供相应的支持。例如审计功能就是DBMS达到C2以上安全级别必不可少的一项指标。,8.2 数据库系统安全性控制,在一般计算机系统中，安全措施是一级一级层层设置的。例如可以有如下的模型：,用户标识和鉴别(P174) 是系统提供的最外层安全保护措施。其方法是由系统提供一定的方式让用户标识自己的名字或身份。每次用户要求进入系统时，由系统进行核对，通过鉴定后才提供机器使用权。例如，使用用户名和口令。,8.2 数据库系统安全性控制,存取控制 数据库安全性所关心的主要是DBMS的存取控制机制。 数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限，同时令所有未被授权的人员无

11、法接近数据，这主要通过数据库系统的存取控制机制实现。 存取控制机制主要包括两部分： （1）定义用户权限，并将用户权限登记到数据目录中。 （2）合法权限检查，每当用户发出存取数据库的操作请求后（请求一般应包括操作类型、操作对象和操作用户等信息），DBMS查找数据目录，根据安全规则进行合法权限检查，若用户的操作请求超出了定义的权限，系统将拒绝执行此操作。 用户权限定义和合法权限检查机制一起组成了DBMS的安全子系统。 前面已经讲到，当前大型的DBMS一般都支持C2级中的自主存取控制 （DAC）有些DBMS同时还支持B1级中的强制存取控制(MAC)。 在强制存取控制中，每一个数据对象被标以一定的密级

12、，每一个用户也被授予某一个级别的许可证。对于任意一个对象，只有具有合法许可证的用户才可以存取。强制存取控制因此相对比较严格。,8.2 数据库系统安全性控制,自主存取控制方法(1/2) 大型数据库管理系统几乎都支持自主存取控制，目前的SQL标准也对自主存取控制提供支持，这主要通过SQL 的GRANT语句和REVOKE语句来实现。 (P176) 用户权限是由两个要素组成的：数据对象和操作类型。 定义一个用户的存取权限就是要定义这个用户可以在哪些数据对象上进行哪些类型的操作。 在数据库系统中，定义存取权限称为授权（Authorization）。 用户权限定义中数据对象范围越小授权子系统就越灵活。 例

13、如，上面的授权定义可精细到字段级，而有的系统只能对关系授权。授权粒度越细，授权子系统就越灵活，但系统定义与检查权限的开销也会相应地增大。,8.2 数据库系统安全性控制,自主存取控制方法(2/2) 衡量授权子系统精巧程度的另一个尺度是能否提供与数据值有关的授权。 上面的授权定义是独立于数据值的，即用户能否对某类数据对象执行的操作与数据值无关，完全由数据名决定。 反之，若授权依赖于数据对象的内容，则称为是与数据值有关的授权。 有的系统还允许存取谓词中引用系统变量，如一天中的某个时刻，某台终端设备号。这样用户只能在某台终端、某段时间内存取有关数据，这就是与时间和地点有关的存取权限。 另外，我们还可以

14、在存取谓词中引用系统变量。如终端设备号，系统时钟等，这就是与时间地点有关的存取权限，这样用户只能在某段时间内，某台终端上存取有关数据。 自主存取控制能够通过授权机制有效地控制其他用户对敏感数据的存取。 但是由于用户对数据的存取权限是“自主”的，用户可以自由地决定将数据的存取权限授予何人、决定是否也将“授权”的权限授予别人。在这种授权机制下，仍可能存在数据的“无意泄露”。,8.2 数据库系统安全性控制,强制存取控制(MAC)方法(1/3) 所谓MAC是指系统为保证更高程度的安全性，按照TDI/TCSEC标准中安全策略的要求，所采取的强制存取检查手段。 它不是用户能直接感知或进行控制的。 MAC适

15、用于那些对数据有严格而固定密级分类的部门，例如军事部门或政府部门。 在MAC中，DBMS所管理的全部实体被分为主体和客体两大类。 主体是系统中的活动实体，既包括DBMS所管理的实际用户，也包括代表用户的各进程。 客体是系统中的被动实体，是受主体操纵的，包括文件、基表、索引、视图等等。 对于主体和客体，DBMS为它们每个实例（值）指派一个敏感度标记（Label）。,8.2 数据库系统安全性控制,强制存取控制(MAC)方法(2/3) 敏感度标记被分成若干级别，例如绝密(Top Secret)、机密(Secret)、可信(Confidential)、公开(Public)等。 主体的敏感度标记称为许可

16、证级别(Clearance Level)，客体的敏感度标记称为密级（Classification Level）。MAC机制就是通过对比主体的Label和客体的Label，最终确定主体是否能够存取客体。 当某一用户（或一主体）以标记label注册入系统时，系统要求他对任何客体的存取必须遵循如下规则： (1)仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体； (2)仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体。,8.2 数据库系统安全性控制,8.2 数据库系统安全性控制,强制存取控制(MAC)方法(3/3) 规则(1)的意义是明显的。而规则(2)需要解释一下。

17、在某些系统中，第(2)条规则与这里的规则有些差别。这些系统规定：仅当主体的许可证级别小于或等于客体的密级时，该主体才能写相应的客体，即用户可以为写入的数据对象赋予高于自己的许可证级别的密级。 这样一旦数据被写入，该用户自己也不能再读该数据对象了。这两种规则的共同点在于它们均禁止了拥有高许可证级别的主体更新低密级的数据对象，从而防止了敏感数据的泄漏。 强制存取控制(MAC)是对数据本身进行密级标记，无论数据如何复制，标记与数据是一个不可分的整体，只有符合密级标记要求的用户才可以操纵数据，从而提供了更高级别的安全性。 前面已经提到，较高安全性级别提供的安全保护要包含较低级别的所有保护，因此在实现M

18、AC时要首先实现DAC，即DAC与MAC共同构成DBMS的安全机制。系统首先进行DAC检查, 对通过DAC检查的允许存取的数据对象再由系统自动进行MAC检查，只有通过MAC检查的数据对象方可存取。,8.2 数据库系统安全性控制,视图机制 进行存取权限控制时我们可以为不同的用户定义不同的视图，把数据对象限制在一定的范围内，也就是说，通过视图机制把要保密的数据对无权存取的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。 视图机制间接地实现了支持存取谓词的用户权限定义。在不直接支持存取谓词的系统中，我们可以先建立视图，然后在视图上进一步定义存取权限。 例：建立计算机系学生的视图CS_Stude

19、nt，然后把对CS_Student的SELECT权限授予王平。 CREATE VIEW CS_Student AS SELECT * FROM Student WHERE SdeptCS; GRANT SELECT ON CS_Student TO 王平;,8.2 数据库系统安全性控制,审计 前面讲的用户标识与鉴别、存取控制仅是安全性标准的一个重要方面（安全策略方面）不是全部。 为了使DBMS达到一定的安全级别，还需要在其它方面提供相应的支持。例如按照TDI/TCSEC标准中安全策略的要求，“审计”功能就是DBMS达到C2以上安全级别必不可少的一项指标。 因为任何系统的安全保护措施都不是完美无

20、缺的，蓄意盗窃、破坏数据的人总是想方设法打破控制。 审计功能把用户对数据库的所有操作自动记录下来放入审计日志（Audit Log）中。 DBA可以利用审计跟踪的信息，重现导致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等。 审计通常是很费时间和空间的，所以DBMS往往都将其作为可选特征，允许DBA根据应用对安全性的要求，灵活地打开或关闭审计功能。审计功能一般主要用于安全性要求较高的部门。,8.2 数据库系统安全性控制,数据加密技术 对于高度敏感性数据，例如财务数据、军事数据、国家机密，除以上安全性措施外，还可以采用数据加密技术。 数据加密是防止数据库中数据在存储和传输中失密的有

21、效手段。加密的基本思想是根据一定的算法将原始数据(术语为明文，Plain text)变换为不可直接识别的格式(术语为密文，Cipher text)，从而使得不知道解密算法的人无法获知数据的内容。 加密方法主要有两种，一种是替换方法，该方法使用密钥（Encryption Key）将明文中的每一个字符转换为密文中的一个字符。 另一种是置换方法，该方法仅将明文的字符按不同的顺序重新排列。单独使用这两种方法的任意一种都是不够安全的。 但是将这两种方法结合起来就能提供相当高的安全程度。采用这种结合算法的例子是美国1977年制定的官方加密标准，数据加密标准（Data Encryption Standard

22、，简称DES）。 有关DES秘密密钥加密技术及密钥管理问题等已超出本课程的范围，这里不再讨论。,8.3 统计数据库的安全性*,一般地，统计数据库允许用户查询聚集类型的信息（例如合计、平均值等），但是不允许查询单个记录信息。 例如，查询“程序员的平均工资是多少？”是合法的，但是查询“程序员张勇的工资是多少？”就不允许。 在统计数据库中存在着特殊的安全性问题，即可能存在着隐蔽的信息通道，使得可以从合法的查询中推导出不合法的信息。 例如下面两个查询都是合法的： 本公司共有多少女高级程序员？ 本公司女高级程序员的工资总额是多少？ 如果第一个查询的结果是“1”，那么第二个查询的结果显然就是这个程序员的工

23、资数。这样统计数据库的安全性机制就失效了。,8.3 统计数据库的安全性*,为了解决这个问题，我们可以规定任何查询至少要涉及N(N足够大)个以上的记录。但是即使这样，还是存在另外的泄密途径，看下面的例子： 某个用户A想知道另一用户B的工资数额，他可以通过下列两个合法查询获取： 用户A和其他N个程序员的工资总额是多少？ 用户B和其他N个程序员的工资总额是多少？ 假设第一个查询的结果是X，第二个查询的结果是Y，由于用户A知道自己的工资是Z，那么他可以计算出用户B的工资=Y-(X-Z)。 无论采用什么安全性机制，都仍然会存在绕过这些机制的途径。 好的安全性措施应该使得那些试图破坏安全的人所花费的代价远远超过他们所得到的利益，这也是整个数据库安全机制设计的目标。,