《第5章数据库安全保护教学教材》由会员分享,可在线阅读,更多相关《第5章数据库安全保护教学教材(95页珍藏版)》请在金锄头文库上搜索。
1、1,第5章 数据库安全保护,2,本章概要,随着计算机的普及,数据库的使用也越来越广泛。 例如,一个企业的全部信息,国家机构的事务管理信息,国防情报等机密信息,都集中地存放在数据库中。 在前面我们已经讲到,数据库系统中的数据是由DBMS统一进行管理和控制的。 为了适应和满足数据共享的环境和要求,DBMS要保证整个系统的正常运转,防止数据意外丢失和不一致数据的产生,以及当数据库遭受破坏后能迅速地恢复正常,这就是数据库的安全保护。 DBMS对数据库的安全保护功能是通过四方面实现的,即安全性控制、完整性控制、并发性控制和数据库恢复。 本章就是从这四方面来介绍数据库的安全保护功能: 要求掌握安全性、完整
2、性、并发性和数据库恢复的含义, 掌握这四方面分别实现安全保护功能的方法。,3,5.1.1 数据库安全性的含义 数据库的安全性是指保护数据库,以防止非法使用所造成数据的泄露、更改或破坏。 安全性问题有许多方面,其中包括: (1)法律、社会和伦理方面,例如请求查询信息的人是不有合法的权力。 (2)物理控制方面,例如计算机机房或终端是否应该加锁或用其他方法加以保护。 (3)政策方面,确定存取原则,允许哪些用户存取哪些数据。 (4)运行方面,使用口令时,如何使口令保持秘密。 (5)硬件控制方面,CPU是否提供任何安全性方面的功能,诸如存储保护键或特权工作方式。,5.1 数据库的安全性,4,(6)操作系
3、统安全性方面,在主存储器和数据文件用过以后,操作系统是否把它们的内容清除掉。 (7)数据库系统本身安全性方面。这里讨论的是数据库本身的安全性问题,即主要考虑安全保护的策略,尤其是控制访问的策略。 5.1.2 安全性控制的一般方法 安全性控制是指要尽可能地杜绝所有可能的数据库非法访问。 用户非法使用数据库可以有很多种情况。例如,编写合法的程序绕过DBMS授权机制,通过操作系统直接存取、修改或备份有关数据。 用户访问非法数据,无论它们是有意的还是无意的,都应该加以严格控制,因此,系统还要考虑数据信息的流动问题并加以控制,否则有隐蔽的危险性。,6,实际上,安全性问题并不是数据库系统所独有的,所有计算
4、机系统中都存在这个问题。 在计算机系统中,安全措施是一级一级层层设置的,安全控制模型如图5.1所示。 图5.1 安全控制模型,7,根据图5.1的安全模型,当用户进入计算机系统时,系统首先根据输入的用户标识进行身份的鉴定,只有合法的用户才准许进入系统。 对已进入系统的用户,DBMS还要进行存取控制,只允许用户进行合法的操作。 DBMS是建立在操作系统之上的,安全的操作系统是数据库安全的前提。 操作系统应能保证数据库中的数据必须由DBMS访问,而不允许用户越过DBMS,直接通过操作系统访问。 数据最后可以通过密码的形式存储到数据库中。,8,5.1.2.1 用户标识和鉴定 (Identificati
5、on and Authentication) 数据库系统是不允许一个未经授权的用户对数据库进行操作的。 用户标识和鉴定是系统提供的最外层的安全保护措施,其方法是由系统提供一定的方式让用户标识自己的名字或身份,系统内部矛盾记录着所有合法用户的标识,每次用户要求进入系统时,由系统进行核实,通过鉴定后才提供机器的使用权。 用户标识和鉴定的方法有多种,为了获得更强的安全性,往往是多种方法并举,常用的方法有以下几种:,9,1用一个用户名或用户标识符来标明用户的身份,系统以此来鉴别用户的合法性。如果正确,则可进入下一步的核实,否则,不能使用计算机。 2用户标识符是用户公开的标识,它不足以成为鉴别用户身份的
6、凭证。为了进一步核实用户身份,常采用用户名与口令(Password)相结合的方法,系统通过核对口令判别用户身份的真伪。 系统有一张用户口令表,为每个用户保持一个记录,包括用户名和口令两部分数据。 用户先输入用户名,然后系统要求用户输入口令。 为了保密,用户在终端上输入的口令不显示在屏幕上。 系统核对口令以鉴别用户身份。 3通过用户名和口令来鉴定用户的方法简单易行,但该方法在使用时,由于用户名和口令的产生和使用比较简单,也容易被窃取,因此还可采用更复杂的方法。,10,例如,每个用户都预先约定好一个过程或者函数,鉴别用户身份时,系统提供一个随机数,用户根据自己预先约定的计算过程或者函数进行计算,系
7、统根据计算结果辨别用户身份的合法性。 例如,让用户记住一个表达式,如T=X+2Y,系统告诉用户X=1,Y=2,如果用户回答T=5,则证实了该用户的身份。 当然,这是一个简单的例子,在实际使用中,还可以设计复杂的表达式,以使安全性更好。系统每次提供不同的X,Y值,其他人可能看到的是X、Y的值,但不能推算出确切的变换公式T。,11,5.1.2.2 用户存取权限控制 用户存取权限指的是不同的用户对于不同的数据对象允许执行的操作权限。 在数据库系统中,每个用户只能访问他有权存取的数据并执行有权使用的操作。 因此,必须预先定义用户的存取权限。 对于合法的用户,系统根据其存取权限的定义对其各种操作请求进行
8、控制,确保合法操作。 存取权限由两个要素组成,数据对象和操作类型。 定义一个用户的存取权限就是要定义这个用户可以在哪些数据对象上进行哪些类型的操作。,12,在数据库系统中,定义用户存取权限称为授权(Authorization)。 第三章讨论SQL的数据控制功能时,我们已知道授权有两种:系统特权和对象特权。 系统特权是由DBA授予某些数据库用户,只有得到系统特权,才能成为数据库用户。 对象特权可以由DBA授予,也可以由数据对象的创建者授予,使数据库用户具有对某些数据对象进行某些操作的特权。 在系统初始化时,系统中至少有一个具有DBA特权的用户,DBA可以通过GRANT语句将系统特权或对象特权授予
9、其他用户。 对于已授权的用户可以通过REVOKE语句收回所授予的特权。,13,这些授权定义经过编译后以一张授权表的形式存放在数据字典中。 授权表主要有三个属性,用户标识、数据对象和操作类型。 用户标识不但可以是用户个人,也可以是团体、程序和终端。在非关系系统中,存取控制的数据对象仅限于数据本身。 而关系系统中,存取控制的数据对象不仅有基本表、属性列等数据本身,还有内模式、外模式、模式等数据字典中的内容。 下表列出了关系系统中的存取权限。,14,对于授权表,一个衡量授权机制的重要指标就是授权粒度,即可以定义的数据对象的范围; 在关系数据库中,授权粒度包括关系、记录或属性。 一般来说,授权定义中粒
10、度越细,授权子系统就越灵活 例如,表5.2是一个授权粒度很粗的表,它只能对整个关系授权。 如USER1拥有对关系S的一切权限; USER2拥有对关系C的SELECT权和对关系SC的UPDATE权; USER3只可以向关系SC中插入新记录。,15,表5.2 授权表1,16,表5.3是一个授权粒度较为精细,它可以精确到关系的某一属性。 USER1拥有对关系S的一切权限; USER2只能查询关系C的CNO属性和修改关系SC的SCORE属性; USER3可以向关系SC中插入新记录。 表5.3 授权表2,17,表5.3的授权表中的授权只涉及到数据名(关系、记录或属性的名字),而未提到具体的值。 系统不必
11、访问具体的数据本身,就可以执行这种控制。这种控制称为“值独立”的控制。 表5.4中的授权表则不但可以对属性列授权,还可以提供与数值有关的授权,即可以对关系中的一组记录授权。 比如,USER1只能对计算机系的学生进行操作。 对于提供与数据值有关的授权,系统必须能够支持存取谓词的操作。 表5.4 授权表3,18,可见授权粒度越细,授权子系统就越灵活,能够提供的安全性就越完善。 但另一方面,如果用户比较多,数据库比较大,授权表将很大,而且每次数据库访问都要用到这张表做授权检查,这将影响数据库的性能。 所幸的是,在大部分数据库中,需要保密的数据是少数,对于大部分公开的数据,可以一次性地授权给PUBLI
12、C,而不必再对每个用户个别授权。 对于表5.4中与数据值有关的授权,可以通过另外一种数据库安全措施,即定义视图。,19,5.1.2.3 定义视图 为不同的用户定义不同的视图,可以限制各个用户的访问范围。 通过视图机制把要保密的数据对无权存取这些数据的用户隐藏起来,从而自动地对数据提供一定程度的安全保护。例如,USER1只能对计算机系的学生进行操作, 一种方法是通过授权机制对USER1授权,如表5.5所示, 另一种简单的方法就是定义一个计算机系的视图。 但视图机制的安全保护功能太不精细,往往不能达到应用系统的要求,其主要功能在于提供了数据库的逻辑独立性。 在实际应用中,通常将视图机制与授权机制结
13、合起来使用,首先用视图机制屏蔽一部分保密数据,然后在视图上面再进一步定义存取权限。,20,5.1.2.4 数据加密(Data Encryption) 前面介绍的几种数据库安全措施,都是防止从数据库系统窃取保密数据,不能防止通过不正常渠道非法访问数据,例如,偷取存储数据的磁盘,或在通信线路上窃取数据,为了防止这些窃密活动,比较好的办法是对数据加密。 数据加密是防止数据库中数据在存储和传输中失密的有效手段。 加密的基本思想是根据一定的算法将原始数据(术语为明文,Plain text)加密成为不可直接识别的格式(术语为密文,Clipher text),数据以密码的形式存储和传输。,21,加密方法有两
14、种, 一种是替换方法,该方法使用密钥(Encryption Key)将明文中的每一个字符转换为密文中的一个字符。 另一种是转换方法,该方法将明文中的字符按不同的顺序重新排列。 通常将这两种方法结合起来使用,就可以达到相当高的安全程度。 例如美国1977年制定的官方加密标准,数据加密标准(Data Encryption Standard,简称DES)就是使用这种算法的例子。 数据加密后,对于不知道解密算法的人,即使利用系统安全措施的漏洞非法访问数据,也只能看到一些无法辨认的二进制代码。 合法的用户检索数据时,首先提供密码钥匙,由系统进行译码后,才能得到可识别的数据。,22,目前不少数据库产品提供
15、了数据加密例行程序,用户可根据要求自行进行加密处理,还有一些未提供加密程序的产品也提供了相应的接口,通话用户用其他厂商的加密程序对数据加密。 用密码存储数据,在存入时需加密,在查询时需解密,这个过程会占用大量系统资源,降低了数据库的性能。 因此数据加密功能通常允许用户自由选择,只对那些保密要求特别高的数据,才值得采用此方法。,23,5.1.2.5 审计(Audit) 前面介绍的各种数据库安全性措施,都可将用户操作限制在规定的安全范围内。 但实际上任何系统的安全性措施都不是绝对可靠的,窃密者总有办法打破这些控制。 对于某些高度敏感的保密数据,必须以审计功作为预防手段。 审计功能是一种监视措施,跟
16、踪记录有关数据的访问活动。 审计追踪把用户对数据库的所有操作自动记录下来,存放在一个特殊文件上中,即审计日志(Audit Log)中。 记录的内容一般包括: 操作类型,如修改、查询等; 操作终端标识与操作者标识; 操作日期和时间;,24,操作所涉及到的相关数据,如基本表、视图、记录、属性等;数据的前象和后象。利用这些信息,可以重现导致数据库现有状况的一系列事件,以进一步找出非法存取数据的人、时间和内容等。 使用审计功能会大大增加系统的开销,所以DBMS通常将其作为可选特征,提供相应的操作语句可灵活地打开或关闭审计功能。 例如,可使用如下SQL语句打开对表S的审计功能,对表S的每次成功的查询、增加、删除、修改操作都作审计追踪: AUDIT SELECT,INSERT,DELETE,UPDATE, ON S WHENEVER SUCCESSFUL 要关闭对表S的审计功能可以使用如下语句: NO AUDIT ALL ON S。,25,5.2.1 数据库完整性的含义 数据库的完整性是指保护数据库中数据的正确性、有效性和相容性,防止错误的数据进入数据库造成无效操作。 有关完整性的含
