《第四章数据库的安全性.》由会员分享,可在线阅读,更多相关《第四章数据库的安全性.(63页珍藏版)》请在金锄头文库上搜索。
1、计算机安全性概论 数据库安全性控制 视图机制 审计(Audit) 数据加密 统计安全性 小结,第四章 数据库的安全性,数据库的特点之一是DBMS提供统一的数据保护功能来保证数据的安全性可靠性和正确有效,数据库的数据保护主要包括数据的安全性和数据的完整性。这一章我们讨论数据的安全性问题。,4.1 计算机安全性概述,数据安全性是指保护数据库以防止不合法的使用造成的数据泄露、更改或破坏。 数据库的安全性和计算机系统的安全性,包括操作系统、网络系统的安全性是紧密联系、相互支持的,因此在讨论数据库的安全性之前首先讨论一下计算机系统安全性问题。,4.1 计算机安全性概述,一、计算机系统的三类安全性问题 计
2、算机系统的安全性是指计算机系统建立和采取的各种安全保护措施,以保护计算机系统中的硬件、软件及数据,防止因偶然或恶意的原因使系统遭到破坏,数据遭到更改或泄露等。 计算机系统的安全性问题可分为技术安全类、管理安全类和政策法律类三类,4.1 计算机安全性概述,技术安全性 是指计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护,当计算机系统受到无意或恶意的攻击时仍能保证系统正常运行,保证系统能的数据不增加、不丢失、不泄露。 管理安全性 是指由于管理不善导致的计算机设备和数据介质的物理破坏、丢失等软硬件意外故障以及场地的意外事故等安全问题。 政策法规 则是指政府部门建立的
3、有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法令。,4.1 计算机安全性概述,二、计算机系统安全标准简介 在计算机安全技术方面逐步建立了一套可信标准。在目前各国所引用或制定的一系列安全标准中,最有影响的是TCSEC和CC,4.1 计算机安全性概述,二、计算机系统安全标准简介 TCSEC是1985年美国国防部(DoD)正式颁布的DoD可信计算机系统评估标准(Trusted Computer System Evaluation Criteria,简称TCSEC或DoD85)。 制定这个标准的目的主要有: 提供一种标准,使用户可以对其计算机系统内敏感信息安全操作的可信程度作评估。 给计算机
4、行业的制造商提供一种可循的指导规则,使其产品能够更好地满足敏感应用的安全需求。,4.1 计算机安全性概述,1991年4月美国NCSC(国家计算机安全中心)颁布了可信计算机系统评估标准关于可信数据库系统的解释(Trusted Database Interpretation,简称TDI),将TCSEC扩展到数据库管理系统。TDI中定义了数据库管理系统的设计与实现中需要满足和用以进行安全性级别评估的标准。 TDI/TCSEC标准从以下四个方面描述安全性级别划分标准:安全策略、责任、保证和文档。每个方面又细分为若干项。 TDI/TCSEC将系统划分为四组(division)七个等级,依次是D;C(C1
5、,C2);B(B1,B2,B3);A(A1)。 安全级别之间具有一种偏序向下兼容的关系,即较高安全性级别提供的安全保护要包含较低级别的所有保护要求,同时提供更多或更完善的保护能力。,4.1 计算机安全性概述,D级 最低级别。如DOS就是操作系统中安全标准为D的典型例子。它具有操作系统的基本功能,如文件系统,进程调度等,但在安全方面几乎没有什么专门的机制来保障。 C1级 只提供非常初级的自主安全保护。能够实现对用户和数据的分离,进行自主存取控制(DAC),保护或限制用户权限的传播。 C2级 是安全产品的最低档次,提供受控的存取保护,即将C1级的DAC进一步细化,以个人身份注册负责,并实施审计和资
6、源隔离。如操作系统中Microsoft的Windows 2000。数据库产品有Oracle公司的Oracle7等,4.1 计算机安全性概述,B1级 标记安全保护。对系统的数据加以标记,并对标记的主体和客体实施强制存取控制(MAC)以及审计等安全机制。B1级能够较好地满足大型企业或一般政府部门对数据的安全需求,这一级别的产品才认为是真正意义上的安全产品。例如,操作系统方面有惠普公司的HPUX BLS release9.0.9等,数据库方面择优Qracle 公司的Trusted Oracle7 、Sybase公司的Secure SQL Sever11.0.6 B2级 结构化保护。建立形式化的安全策
7、略模型并对系统内的所有主体和客体实施自主存取控制DAC和强制存取控制MAC。,4.1 计算机安全性概述,B3级 安全域。该级的TCB(可信计算基础)必须满足访问监控器的要求,审计跟踪能力更强,并提供系统恢复过程。 A1级 验证设计,即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现。,4.1 计算机安全性概述,CC是在上述各评估准则及具体实践基础上,通过相互总结和互补发展而来的。和早期的评估准则相比,CC只有结构开放、表达方式通用等特点。 CC提出了目前国际上公认的表述信息技术安全性的结构,即把对信息产品的安全要求分为安全功能要求和安全保证要求。 安全功能要求用以规范
8、产品和系统的安全行为,安全保证要求解决如何正确有效地实施这些功能。 安全功能要求和安全保证要求都以“类子类组件”的结构表达,组件是安全要求的最小构件块。,4.1 计算机安全性概述,CC的文本由三都分组成,三个部分相互依存,缺一不可。 第一部分是“简介和一般模型”。介绍CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架,CC的附录部分主要介绍“保护轮廓”(Protection Profile ,简称PP)和“安全目标”(Security Target,简称ST)的基本内容。,4.1 计算机安全性概述,第二都分是安全功能要求,列出了一系列功能组件、子类和类。具体来说有11类,分别是安全审
9、计(FAU)、通信(FCO)、密码支持(FCS)、用户数据保护(FDP)、标识和鉴别(FIA)、安全管理(FMT)、隐私(FPR)、TSF保护(FPT)、资源利用(FRU)、TOE访问(FTA)、可信路径和通信(FTP)。 这11大类分为66个子类,由135个组件构成。,4.1 计算机安全性概述,第三部分是安全保证要求,列出了一系列保证组件、子类和类,包括7个类,分别是配置管理(ACM)、交付和运行(ADO)、开发(ADV)、指导性文档(AGD)、生命周期支持(ALC)、测试(ATE)、脆弱性评定(AVA)。 这7大类分为26个子类,由74个组件构成。 另外,第三部分中根据系统对安全保证要求的
10、支持情况提出了评估保证级(Evaluation Assurance Level ,EAL),并定义了保护轮廓PP和安全目标ST的评估准则,用于对PP和ST的评估。,4.1 计算机安全性概述,这三部分的有机结合具体体现在PP和ST中,CC提出的安全功能要求和安全保证要求都可以在具体的PP和ST中进一步细化和扩展,这种开放式的结构更适应信息安全技术的发展。CC的具体应用也是通过PP和ST这两种结构来实现的。,4.1 计算机安全性概述,PP用于表达一类产品或系统的用户需求,是CC在某一领域的具体化。CC针对不同领域产品的评估,就体现在开发该类产品的PP上,例如,针对操作系统产品的PP(OS PP)、
11、针对数据库产品的PP(DBMS PP)等。 CC并没有专门针对DBMS的解释。 DBMS PP 是CC在DBMS领域的具体化,相当于是对DBMS的解释。换句话说,CC的DBMSPP就相当于TCSEC的TDl。CC中规定了PP应包含的基本内容和格式,例如必须指明该PP符合哪一种评估保证级别,目前国外已开发多种不同EAL的DBMS PP。ST是对特定的一种产品进行描述,参加CC评估的产品必须提供自己的ST。,4.1 计算机安全性概述,PP的编制有助于提高安全保护的针对性和有效性。ST在PP的基础上,将安全要求进一步具体化,解决安全要求的具体实现。 通过PP和ST这两种结构,能够方便的将CC的安全性
12、要求具体应用到信息产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。,4.1 计算机安全性概述,除了PP和ST之外,还有一个重要的结构是包。包是组件的特定组合,用来描述一组特定的安全功能和保证要求。评估保证级(EAL)是在CC第三部分中预先定义的由保证组件组成的保证包,每一保证包描述了一组特定的保证要求,对应着一种评估保证级别。 从EALl至EAL7共分为七级,按保证程度逐渐增高。,4.1 计算机安全性概述,目前有许多信息产品,操作系统如Windows2000、Sun Solaris 8等,数据库管理系统如Oracle9i、DB2 V8.2 、Sybase Adaptive S
13、ever Enterprise Vl2.5.2等,都已通过了CC的EAL4。,4.2 数据库安全性控制,在一般计算机系统中,安全措施是一级一级层层设置的。例如可以有如下的模型:,用户,DBMS,OS,DB,用户标识和鉴别 存取控制 操作系统安全保护 数据密码存储,计算机系统的安全模型,系统首先根据输入的用户标识进行用户身份鉴定,只有合法的用户才准许进入计算机系统。对已进入系统的用户,DBMS还要进行存取控制,只允许用户执行合法操作。操作系统一级也会有自己的保护措施。数据还可以以密码形式存储到数据库中。,4.2 数据库安全性控制,一、用户标识与鉴定(Identification Authenti
14、cation) 用户标识和鉴订是系统提供的最外层安全措施。其方法是由系统提供一定的方式让用户标识自己的名字或身份。每次用户要求进入系统时,由系统进行核对,通过鉴定后才提供机器使用权。 二、存取控制 数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限,同时令所有未被授权的人员无法接近数据,这主要是通过数据库系统的存取控制机制实现。,4.2 数据库安全性控制,存取控制机制主要包括两部分: 1. 定义用户权限,并将用户权限登记到数据字典中。 用户权限是指不同用户对于不同的数据对象允许执行的操作权限。系统必须提供适当的语言定义用户权限,这些定义经过编译后存放在数据字典中,被称作安全规则
15、或授权规则。 2. 合法权限检查,每当用户发出存取数据库的操作请求后,DBMS查找数据字典,根据安全规则进行合法权限检查,若用户的操作请求超出了定义的权限,系统将拒绝执行此操作。 用户权限定义和合法权限检查机制一起组成了DBMS的安全子系统。,4.2 数据库安全性控制,三、自主存取控制(DAC)方法 在自主存取控制方法中,用户对于不同的数据对象有不同的存取权限,不同的用户对同一对象也有不同的权限,而且用户还可以将其拥有的存取权限转授予其他用户。因此自主存取控制非常灵活。 大型的数据库管理系统几乎都支持自主存取控制,在SQL中用GRANT语句和REVOKE语句来实现。 用户权限是有两个要素组成的
16、:数据对象和操作类型。定义一个用户的存取权限就是要定义这个用户可以在那些数据对象上进行哪些类型的操作。在数据库系统中,定义存取权限称为授权(Authorization)。,4.2 数据库安全性控制,在非关系系统中,用户只能对数据进行操作,存取控制的数据对象也仅限于数据本身。 在关系系统中,DBA可以把建立、修改基本表的权限授予用户,用户获得此权限后可以建立和修改基本表、索引、视图。因此关系系统中存取控制的数据对象不仅有数据本身,如表、属性列等,还有模式、外模式、内模式等数据字典中的内容。,四 授权(Authorization)与回收语句 SQL语言用GRANT语句向用户授予操作权限,REVOKE语句收回授予的权限 (一)、授权语句 GRANT语句的一般格式为: GRANT ,. ON TO ,. WITH GRANT OPTION; 其语义为:将对指定操作对象的指定操作权限授予指定的用户。,4.2 数据库安全性控制,4.2 数据库安全性控制,接受权限的用户可以是一个或多个具体用户,也可以是PUB
