《制造信息技术_DB数据库安全性课件》由会员分享,可在线阅读,更多相关《制造信息技术_DB数据库安全性课件(28页珍藏版)》请在金锄头文库上搜索。
1、现代制造信息技术基础第一部分 数据库系统概论数据库安全性,徐 世 新 北京航空航天大学 机械学院720 2002 年 7 月,主要内容,计算机安全性概论 计算机系统的三类安全性问题 可信计算机系统评测标准,数据库安全性控制 用户标识与鉴别 存取控制 自主存取控制方法 强制存取控制方法 审计,计算机系统的三类安全性问题,计算机系统安全性 是指为计算机系统建立和采取的各种安全保护措施,以保护计算机系统中的硬件、软件及数据,防止其因偶然或恶意的原因使系统遭到破坏,数据遭到更改和泄漏等。,计算机系统的安全性问题可分为三类: 技术安全类 管理安全类 政策法律类,技术安全类 是指计算机系统中采用具有一定安
2、全性的硬件、软件、来实现对计算机系统及其所存数据的安全保护,当计算机系统受到无意或恶意的攻击时仍能保证系统正常运行,保证系统内的数据不增加、不丢失、不泄漏。,可信计算机系统评估标准(Trusted Computer System Evaluation Criteria, abbr. TCSEC) 1985年美国国防部(DoD)颁布 可信计算机系统评估标准关于可信数据库系统的解释(Trusted Database Interpretation, abbr. TDI) 1991年美国国家计算机安全中心(NCSC)颁布,可信计算机系统评测标准,TCSEC/TDI是目前各国所引用或制定的一系列安全标准
3、中最重要的一个 TCSEC/TDI从安全策略、责任、保证和文档四个方面描述了安全性级别的指标 TCSEC/TDI将系统划分为四组七个等级,依次是:D;C (C1,C2);B (B1,B2,B3);A (A1),按系统可靠或可信程度逐渐增高 按照这些指标,目前许多大型DBMS达到了C2级,支持自主存取控制;而其安全版本达到了B1,支持强制存取控制,数据库安全性控制,在一般计算机系统中,安全措施是一级一级层层设置的: 用户要求进入计算机系统时,系统首先根据输入的用户标识进行用户身份鉴定,只有合法的用户才准许进入计算机系统 对已进入系统的用户,DBMS还要进行存取控制,只允许用户执行合法操作 操作系
4、统一级也会有自己的保护措施 数据最后还可以以密码形式存储到数据库中,用户标识和鉴别是系统提供的最外层安全保护措施。其方法是由系统提供一定的方式让用户标识自己的名字或身份。每次用户要求进入系统时,由系统进行核对,通过鉴定后才提供机器使用权,用户标识与鉴别,对于获得上机权的用户若要使用数据库管理系统还要进行用户标识和鉴定。 用户标识和鉴别常用的方法有:用户名(或用户标识)及口令,定义用户权限,并将用户权限登记到数据字典中。用户权限是指不同的用户对于不同的数据对象允许执行的操作权限 合法权限检查,每当用户发出存取数据库的操作请求后,DBMS查找数据字典,根据安全规则进行合法权限检查,存取控制,数据库
5、安全性所关心的主要是DBMS的存取控制机制。数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限,同时令所有未被授权的人员无法接近数据,这主要通过数据库系统的存取控制机制实现。存取控制机制主要包括两部分:,在自主存取控制方法中,用户对不同的数据对象有不同的存取权限,不同的用户对同一对象也有不同的权限,而且用户还可将其拥有的存取权限转授给其他用户。因此自主存取控制非常灵活 在强制存取控制方法中,每个数据对象被标以一定的密级,每个用户也被授予某一个级别的许可证。对于任意一个对象,只有合法许可证的用户才可以存取。强制存取控制因此相对比较严格,自主存取控制方法,SQL标准通过GRANT、
6、REVOKE语句对自主存取控制提供支持 用户权限是由数据对象和操作类型两个要素组成的。定义一个用户的存取权限就是定义这个用户可以在哪些数据对象上进行哪些类型的操作,回顾GRANT、REVOKE语句 数据对象的创建者自动获得对于该数据对象的所有操作权限。例如,表Student的创建者自动获得对该表的SELECT、INSERT、UPDATE、DELETE等权限。 GRANT SELECT, INSERT ON Student TO 张三 WITH GRANT OPTION; REVOKE INSERT ON Student FROM 张三 CASCADE;,用户权限定义中数据对象范围越小授权子系统
7、就越灵活 衡量授权子系统精巧程度的另一个尺度是能否提供与数据值有关的授权(如系统是否支持存取谓词),自主存取控制方法,视图机制可以间接地实现支持存取谓词的用户权限定义。例如:CREATE VIEW CS_Student AS SELECT * FROM Student WHERE Sdept=CS; GRANT SELECT ON CS_Student TO 张三,在MAC中,DBMS所管理的实体被分为主体和客体两大类: 主体是系统中的活动实体,既包括DBMS所管理的实际用户,也包括代表用户的各进程。客体是系统中的被动实体,是受主体操纵的,包括文件、基表、索引、视图等,对于主体和客体,DBMS
8、为它们每个实例(值)指派一个敏感度标记(Label)。敏感度标记被分成若干等级,例如绝密(Top secret)、机密(Secret)、可信(Confidential)、公开(Public)等 主体、客体的敏感度标记分别称为许可证级别、密级 MAC机制就是通过对比主体的Label和客体的Label,最终确定主体是否能够存取客体,强制存取控制方法,当某一用户(或某一主体)以标记Label注册入系统时,系统要求他对任何客体的存取必须遵循如下规则:仅当主体的许可证级别大于或等于客体的密级时,该主体才能读取相应的客体; 仅当主体的许可证级别等于客体的密级时,该主体才能写相应的客体,在某些系统中规定:仅
9、当主体的许可证级别小于或等于客体的密级时,该主体才能写相应的客体,即用户可以为写入的数据对象赋予高于自己的许可证级别的密级。这样一旦数据被写入,该用户自己也不能再读该数据对象了,强制存取控制方法,强制存取控制是对数据本身进行密级标记,无论数据如何复制,标记是一个不可分的整体,只有符合密级标记的用户才可以操纵数据,从而提供了更高级别的安全性 较高安全性级别提供的安全保护要包含较低级别的所有保护,因此,在实现MAC时要首先实现DAC,即DAC与MAC共同构成DBMS的安全机制,审计,按照TCSEC/TDI标准中安全责任的要求,“审计”功能是DBMS达到C2以上安全级别必不可少的一项功能 因为任何系
10、统的安全保护措施都不是完美无缺的,蓄意盗窃、破坏数据的人总是想方设法打破控制。审计功能把用户对数据库的所有操作自动记录下来放入审计日志中。DBA可以利用跟踪的信息,重现导致数据库现有状况的一系列事件,找出非法存取数据的人、时间和内容等,数据加密 对于高度敏感的数据(例如财务数据、军事数据、国家机密),除以上安全措施外,还可以采用数据加密技术 数据加密技术是防止数据库中数据在存储和传输中失密的有效手段。加密的基本思想是根据一定的算法将原始数据变换为不可直接识别的格式,从而使得不知道解密算法的人无法获知数据的内容,现代制造信息技术基础第一部分 数据库系统概论数据库完整性,徐 世 新 北京航空航天大
11、学 机械学院720 2002 年 7 月,主要内容,完整性约束条件 完整性控制,数据库完整性是指数据的正确性和相容性。 数据库完整性是为了防止数据库中存在不符合语义的数据,防止错误信息的输入和输出所造成的无效操作和错误结果。完整性措施的防范对象是不符合语义的数据 数据库安全性是保护数据库防止恶意的破坏和非法的存取。安全性措施的防范对象是非法用户和非法操作,为维护数据库的完整性,DBMS必须提供一种机制来检查数据库中的数据,看其是否满足于一规定的条件。这些加在数据库数据之上的语义约束条件称为数据库完整性约束条件,它们作为模式的一部分存入数据库中。而DBMS中检查数据是否满足完整性条件的机制称为完
12、整性检查,完整性约束条件,完整性约束条件作用的对象可以是关系、元组、列三种。 列约束主要是列的类型、取值范围、精度、排序等约束条件 元组的约束是元组中各字段间的联系的约束 关系的约束是若干元组间、关系集合上以及关系间的联系的约束,完整性约束涉及的关系、元组、列这三类对象的状态可以是静态的,也可以是动态的。 静态约束是指数据库每一确定状态时的数据对象所应满足的约束条件,它是反映数据库状态合理性的约束 动态约束是指数据库从一种状态转换为另一种状态时,新、旧值之间所应满足的约束条件,它是反映数据库状态变迁的约束,静态列级约束 它是对一个列的取值域的说明。包括以下几方面:对数据类型的约束;对数据格式的
13、约束;对取值范围或取值集合的约束;对空值的约束 静态元组约束 规定元组的各个列之间的约束关系 静态关系约束 在一个关系的各个元组之间或若干关系之间常常存在各种联系或约束。常见的静态约束有:实体完整性约束;参照完整性约束;函数依赖约束;统计约束,完整性约束条件,完整性约束条件,动态列级约束 修改列定义或列值时应满足的约束条件。包括以下两方面:修改列定义时的约束;修改列值时的约束;对取值范围或取值集合的约束;对空值的约束 动态元组约束 修改元组的值时元组中各个字段间需要满足某种约束关系 动态关系约束 它是加在关系变化前后状态上的限制条件。例如事务一致性、原子性等约束条件,检查是否违背完整性约束的时
14、机 立即执行约束:在一条语句执行完后立即检查 延迟执行约束:完整性检查需要延迟到整个事务执行结束后再进行,检查结束后方提交,DBMS的完整性控制机制应具有三个方面的功能: 定义功能 检查功能 若发现用户的操作请求使数据违背了完整性约束条件,则采取一定的动作来保证数据的完整性,完整性控制,一条完整性规则可以用一个五元组(D, O, A, C, P)来表示,其中: D(Data) 约束作用的数据对象 O(Operation) 触发完整性检查的数据库操作 A(Assertion) 数据对象必须满足的断言或语义约束,这是规则的主体 C(Condition) 选择A作用的数据对象值的谓词 P(Proce
15、dure) 违反完整性规则时触发的过程,例如,在“学生姓名不能为空”的约束中, D 约束作用的对象为Sname属性 O 插入或修改Student元组时 A Sname不能为空 C 无(A可作用于所有记录的Sname) P 拒绝执行该操作,实现参照完整性要考虑的几个问题: 外码能否接受空值问题 在被参照关系中删除元组的问题 级联删除 受限删除 置空值删除 在参照关系中插入元组时的问题 受限插入 递归插入 修改关系中主码的问题 不允许修改主码 允许修改主码,完整性控制,SQL Server中的实体完整性 SQL Server在CREATE TABLE语句中提供了PRIMARY KEY关键字,供用户
16、在建表时指定关系的主码列。例如,在EAS数据库中,要定义departments表的Dno为主码,可使用如下语句: CREATE TABLE departments ( Dno VARCHAR(4) PRIMARY KEY, Dname VARCHAR(16) UNIQUE, Dphone CHAR(8) UNIQUE); 这里,SQL Server提供约束名。 若要在studCourse表中定义组合列(Sno, Cno)为主码,用下面语句: CREATE TABLE studCourse ( Sno VARCHAR(8) REFERENCES students(Sno), Cno VARCHAR(8) REFERENCES courses(Cno), Grade TINYINT, CONSTRAINT SC_PK PRIMARY KEY (Sno,Cno);,Microsoft SQL Server的完整性,Microsoft SQL Server的完整性,SQL Server中的参照完整性 SQL Server在CREATE TABLE语句中提供了FOREIGN KEYREFERE
