《信息安全技术----系讲18》由会员分享,可在线阅读,更多相关《信息安全技术----系讲18(16页珍藏版)》请在金锄头文库上搜索。
1、100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 第十八讲: 数据库安全与保密技术简介数据库是存储在计算机内的有结构的数据集合。数据库可分为:关 系式数据库、网状数据库和层次数据库。数据库在社会各个领域的应用 范围日益广泛,数据库中存放的信息价值往往远远超过系统本身的价值, 因此,数据库系统的安全与保密是绝对应该重视的事情。 A: 数据库系统基本知识一般地讲,数据库系统由三部分组成:数据库、数据库管理系统和用 户。数据库采取集中存储,集中维护的方法存放数据,为多个用户提供 数据共享服务。数据库管理系统是一个数据库管理软件,其职能是维护 数
2、据库,接受和完成用户程序,命令提出的数据访问的各种请求。数据库 管理系统应当为用户及应用程序提供一种访问数据的方法,并且应具有 对数据库进行组织、管理、维护和恢复的能力。100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 形象地说:数据库相当于图书馆中的书库,数据库管理系统相当于图 书的书卡,用户相当于读者。 数据库系统的优点主要有:共享访问:多个用户可以共享公用的集中数据集;最小冗余:单个用户不必组织并维护自己的数据集,从而避免了公 用数据重复所产生的冗余; 数据一致性:集中管理和维护数据,易于达到数据的一致性。 从操作系统的角度看,数据
3、库管理系统只是一个大型的应用程序。数据 库系统的安全策略,部分由操作系统来完成,部分由强化数据库管理系 统的自身安全措施完成。数据库管理系统自身的安全措施在许多方面类 似于操作系统的安全措施。数据库系统作为一种重要的信息系统,它当 然要以保证信息的完整性,保密性、真实性、可用性、可靠性等为目标。 但是,由于数据库系统 本身的特点,其中,信息的完整性和保密性的实100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 现方法有所不同,其安全措施与操作系统的安全措施也有本质区别。 B: 数据库系统安全与保密的特点从安全与保密角度看,数据库系统的基本特
4、点可以概括为: 在数据库中要保护的客体比较多; 数据库中数据的生存期限较长,对保护的精度要求更高; 数据库的安全涉及到信息在不同程度上的安全; 数据库系统中受保护的客体可能是复杂的逻辑结构。若干复杂的逻辑 结构可能映射到同一物理数据客体上; 数据库的安全与数据的语法有关; 数据库的安全与保密还应当考虑到对推理攻击的防范。推理攻击是指 从非敏感的数据推理得出敏感数据的攻击方式。 从所面临的安全与保密威胁方面来看,数据库系统应该重点对付以下100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 威胁:篡改(伪造) 。篡改就是修改数据,使其不真实。例
5、如,删除定单、发 货单、或收据等。这是一种潜在的威胁,因为在其造成影响之前,很难 发现数据已被篡改。对付篡改的一种实用措施是限制对特定数据的访问。 例如,若数据库表存放在一个Microsoft SQL服务器上,则必须限制 ISQL/w程序的访问权,因为此程序能绕过限制直接接触数据。损坏。数据的真正丢失是一个严重威胁。表格和整个数据库都可能 被删除、移走或破坏,这样它们的内容就不可用了。数据被损坏的原因可 能是恶意破坏、恶作剧或病毒等。 窃取。窃取数据的隐蔽性很强。甚至当数据丢失已经造成损害时,仍未 被发现。通过对敏感数据的非法访问,可以将敏感数据拷贝到诸如软盘 一样的可移动的介质上,或以打印报
6、告的形式取走。 C: 数据库系统的基本安全措施100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 数据库作为一种特殊的信息系统,它的安全保密措施与普通的网络 信息系统的安全措施有许多共同之处,当然也有自身的一些特点。数据 库的安全与保密措施的主要目的在于:保证数据库的完整性。包括物理上的完整性(数据不受物理故障(如 掉电)的影响,并有可能在灾难性毁坏后重组数据库) 、逻辑上的完整性 (保护数据库的逻辑结构) 、数据库中元素的完整性(保证每个元素所含 的数据准确无误) ;保证数据库的保密性。包括用户身份鉴别(保证每个用户是绝对可 识别的,从而
7、可对它进行审计跟踪,并可以保证对特定数据的访问保护) 、 访问控制(保证用户仅能访问授权数据,并保证同一组数据的不同用户 可以被赋予不同的访问权限) 、可审计性(有能力跟踪谁访问了数据库中 的哪些元素) ; 保证数据库的可用性。数据库系统对用户应该有友好的界面,可用简单100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 方法访问数据库中所有授权访问数据。 为达到上述安全目的,数据库系统需要采取一系列的安全措施:措施之一:为了防止数据库中的数据受到物理破坏,应当对数据库系 统采取定期备份系统中所有文件的方法来保护系统的完整性;措施之二:为了在
8、系统出错时可以重组数据库,数据库管理系统应当 维护数据库系统的事务日志,以便用这种日志恢复系统故障时丢失的数据;措施之三:如果在数据修改期间系统发生故障,数据库管理系统将会 面临严重的问题。此时,一个记录甚至一个字段中,有的部分得到修改而 其余部分维持原样。为了避免这种错误,大多数数据库管理系统都采用两 阶段修改技术来保护数据的完整性。两阶段修改技术的第一阶段叫做准 备阶段。这时,数据库管理系统完成修改所需的信息,进行修改前的准备 工作。在此阶段,数据库管理系统收集数据,建立记录,打开文件并且封锁100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Emai
9、l: 其他用户,然后计算最后结果。简言之,数据库管理系统完成修改所需的 一切准备工作,但未对数据库作任何修改。第一阶段的最后一步叫做“提 交”,它的任务是把“提交”标志写入数据库。提交标志是两阶段修改技 术中两阶段的分界点,它意味着一旦数据库管理系统通过这个分界点后就 不再返回,也就是说,一旦进入提交阶段数据库管理系统将开始进行永久 性的修改。第二阶段叫做永久性修改阶段。在此阶段中,凡是属于提交前 的任何动作都是不可重复的,但本阶段的修改活动本身则可重复多次。因 此,若在第二阶段系统发生故障,则数据库中可能包含非完整的数据,但可 以重复所有第二阶段的活动使数据恢复完成。第二阶段完成以后,数据
10、 库管理系统将把“事务完成”标志写入系统的日志,并清除数据库中的 “提交”标志。措施之四:为了保证数据库元素的完整性,数据库管理系统应当在 数据输入时帮助用户发现错误和修改错误。常用的方法有三种:首先,数100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 据库管理系统利用字段检查,测试某一位置的值是否正确;其次,数据库 管理系统利用访问控制的机制来维护数据的完整性,以防止非授权用户对 主体数据的访问;第三种办法是数据库管理系统维持一个数据库的修改 日志。修改日志记录数据库的每次修改,既有修改前的值也有修改后的值。 借助于修改日志,数据库管理
11、员可以在出错时“废除“任何修改而恢复数据 的原值。措施之五:数据库管理系统要求严格的用户身份鉴别。为了进一步 加强数据库系统的安全性和保密性,必须对使用数据库的时间甚至地点加 以限制。有的数据库管理系统要求用户只能在指定时间,在指定的终端 上,对数据库系统进行指定的操作。因此,在指定时间、指定终端上登录 上机的用户进行身份标识(ID)和口令的鉴别。 措施之六:数据库管理系统应采取适当的访问控制机制。既可以是任 意访问控制,又可以是强制访问控制。任意访问控制可以通过控制矩阵100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 进行。强制访问控制
12、通过与军事安全策略类似的方法来实现。具体地讲, 在数据库管理系统的安全控制上引入级和范围(类别)的概念,每个主体制 订一个范围许可级别,每个客体有相应的保密级别。范围许可级别和保密 级别一般有四类:公开、秘密、机密和绝密。在服从强制控制的前提下, 还可以结合任意控制访问机制,形成一种比较安全又比较灵活的多级安全 模型。 措施之七:采用多层数据库系统,即把操作系统的多级安全模型引入 安全数据库系统设计之中。多层数据库对访问进行控制的一种简单方法 是“分区“。数据库被划分为不同的子库(分区),每个子库都拥有各自的安 全层次。这种方法破坏了数据库的基本优点,它增加了设计的冗余,而且 在对某个字段进行
13、修改修改时,可能要同时查询并修改其它分区中的相同 字段,以维持设计的一致性。多层数据库对访问控制的另一种方法是利用视图这个抽象概念。简100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 言之,视图是数据库的一个子集,它仅包含用户有权访问的信息。这样单 个用户的所有查询仅在自己的数据库子集上进行。子集视图保证用户不 会访问允许范围之外的其它设计。除了元素之外,视图由数据库中相应的 一系列关系构成。用户可以在已有的属性元素上进行相应的操作.多层数据库的第一层完成访问控制,并进行数据库系统需要的用户身 份鉴别,还应当完成数据传输给高层时的筛选工作
14、。第二层完成基本的数 据库索引及其计算功能。第三层把用户的视图转化为数据库的基本关系。与多层数据库系统安全有关的还有并发控制、数据恢复、审计跟踪 等技术。这些技术是一般数据库系统必备的安全措施,而不是安全数据库 系统的特有技术。 D: 数据库系统的加密技术简介100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 数据库系统的加密要求与方式 对数据库中的原始数据进行加密处理也是数据库安全与保密的另一项 重要措施。在数据库中,记录的长度一般较短,数据的生命周期一般较长, 有的是几年甚至几十年。密钥的保存时间也相应较长。因此,数据库系统 有其独特的
15、加密方法和密钥管理方法。对数据库的加密要求可归纳为:(1)与通信加密相比,其信息保存时间长,不可能采取一次一密的方法 进行加密,而要选用其他加密的方式,使其达到实际不可破译的程度。(2)实际加密后,存储空间不应明显增大。(3)加密和解密速度要快,尤其是解密速度要快,使用户感觉不到解密 和解密带来系统性能的变化。(4)加密系统要有尽可能灵活的授权机制。数据库系统在多用户环境 中使用时,每个用户只使用其中小部分数据。因此,数据库系统应有很强 的访问控制机制,并辅以很灵活的授权机制,这样既能增加系统的安全又100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 能方便用户的使用。(5)加密系统应提供一套安全的,灵活的密钥管理机制。(6)对数据库的加密不应影响系统的原有功能,而应保持对数据库的 操作(如查询,检索,修改,更新)的灵活性和简便性。(7)加密后的数据库仍能允许用户对之进行访问。数据库系统的加密一般采用三种方式:库外加密、库内加密和硬件加 密:库外加密。数据库管理系统与操作系统的接口方式一般有三种:利用 操作系统的文件系统功能、利用操作系统的I/O模块、利用操作系统的 存储管理模块。因此,可以把数据在库外进行加密,然后通过上述三种接 口方式中的某一种方式纳入数据库。
