《数据库原理与设计 教学课件 ppt 作者 杨海霞 第4章 数据库保护》由会员分享,可在线阅读,更多相关《数据库原理与设计 教学课件 ppt 作者 杨海霞 第4章 数据库保护(102页珍藏版)》请在金锄头文库上搜索。
1、数据库原理与设计,数据库原理与设计,第4章 数据库保护,数据库原理与设计,第4章 数据库保护,安 全 性 完 整 性 并发控制 恢 复 数据库复制与数据库镜像,数据库系统的特点是数据集中存放和共享,这使得数据的利用率和使用效率大大提高。但引发了数据的安全和保密问题,而且,共享使得不同用户可以在同一时刻访问数据库中的数据,并行操作使用数据库,容易引起并发冲突,破坏数据的一致性和正确性。 数据库系统中的数据由数据库管理系统统一管理和控制,因此数据库管理系统必须提供数据库安全性、完整性、并发控制、数据恢复等多方面的数据库保护功能。,数据库原理与设计,数据的安全性控制指防止未被授权的用户对数据库进行访
2、问,以保证数据库的数据不会由于非法使用而被泄露、更改和破坏。,4.1 安全性,数据库原理与设计,4.1.1 安全性控制概述,非法使用数据库称为数据库的滥用。数据库的滥用分为无意滥用和恶意滥用两种。前者主要是指由已授权用户的不当操作所引起的系统故障、数据库异常等现象;而后者主要指未经授权的读取数据(即偷窃信息)和未经授权的修改数据(即破坏数据)。 要保证数据库的完整性就要避免对数据库的无意滥用,而要保证数据库的安全性则要避免对数据库的恶意滥用。 可以通过在不同的安全级别上设置各种安全措施来防止数据库的恶意滥用。 环境级 职员级 操作系统级 网络级 数据库系统级:,数据库原理与设计,安全性控制是指
3、要尽可能地杜绝所有可能的数据库非法访问。 用户非法使用数据库可以有很多种情况。例如,编写合法的程序绕过DBMS授权机制,通过操作系统直接存取、修改或备份有关数据。 用户访问非法数据,无论它们是有意的还是无意的,都应该加以严格控制,因此,系统还要考虑数据信息的流动问题并加以控制,否则有隐蔽的危险性。,4.1.2 安全性控制的一般方法,数据库原理与设计,实际上,安全性问题并不是数据库系统所独有的,所有计算机系统中都存在这个问题。 在计算机系统中,安全措施是一级一级层层设置的,安全控制模型如图4.1所示。 图4.1 安全控制模型,4.1.2 安全性控制的一般方法(2),数据库原理与设计,根据图4.1
4、的安全模型,当用户进入计算机系统时,系统首先根据输入的用户标识进行身份的鉴定,只有合法的用户才准许进入系统。 对已进入系统的用户,DBMS还要进行存取控制,只允许用户进行合法的操作。 DBMS是建立在操作系统之上的,安全的操作系统是数据库安全的前提。 操作系统应能保证数据库中的数据必须由DBMS访问,而不允许用户越过DBMS,直接通过操作系统访问。 数据最后可以通过密码的形式存储到数据库中。,4.1.2 安全性控制的一般方法(3),数据库原理与设计,数据库系统是不允许一个未经授权的用户对数据库进行操作的。 用户标识和鉴定是系统提供的最外层的安全保护措施,其方法是由系统提供一定的方式让用户标识自
5、己的名字或身份,系统内部矛盾记录着所有合法用户的标识,每次用户要求进入系统时,由系统进行核实,通过鉴定后才提供机器的使用权。 用户标识和鉴定的方法有多种,为了获得更强的安全性,往往是多种方法并举,常用的方法有以下几种:,1.用户标识和鉴定(1),数据库原理与设计,(1)用一个用户名或用户标识符来标明用户的身份,系统以此来鉴别用户的合法性。如果正确,则可进入下一步的核实,否则,不能使用计算机。 (2)用户标识符是用户公开的标识,它不足以成为鉴别用户身份的凭证。为了进一步核实用户身份,常采用用户名与口令(Password)相结合的方法,系统通过核对口令判别用户身份的真伪。 系统有一张用户口令表,为
6、每个用户保持一个记录,包括用户名和口令两部分数据。 用户先输入用户名,然后系统要求用户输入口令。 为了保密,用户在终端上输入的口令不显示在屏幕上。 系统核对口令以鉴别用户身份。 (3)通过用户名和口令来鉴定用户的方法简单易行,但该方法在使用时,由于用户名和口令的产生和使用比较简单,也容易被窃取,因此还可采用更复杂的方法。,(1)利用只有用户知道的信息鉴别用户,数据库原理与设计,例如,每个用户都预先约定好一个过程或者函数,鉴别用户身份时,系统提供一个随机数,用户根据自己预先约定的计算过程或者函数进行计算,系统根据计算结果辨别用户身份的合法性。 例如,让用户记住一个表达式,如T=X+2Y,系统告诉
7、用户X=1,Y=2,如果用户回答T=5,则证实了该用户的身份。 当然,这是一个简单的例子,在实际使用中,还可以设计复杂的表达式,以使安全性更好。系统每次提供不同的X,Y值,其他人可能看到的是X、Y的值,但不能推算出确切的变换公式T。,(1)利用只有用户知道的信息鉴别用户(2),数据库原理与设计,智能卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证通过智能卡硬件不可复制来保证用户身份不会被仿冒。为了安全起见,在使用智能卡时,许
8、多系统要卡和身份识别码(PIN)同时使用,二者缺一不可。 智能卡的优点是通过硬件保护措施和加密算法,使安全性能增加。但智能卡需专用设备读取,同时从智能卡中读取的数据是静态的,外界通过内存扫描或网络监听等技术可能会截取到用户的身份验证信息,因此还存在安全隐患。,(2)智能卡技术,数据库原理与设计,主体认证技术以人体唯一的、可靠的、稳定的生物特征(如指纹、虹膜、脸部、掌纹等)为依据,采用计算机的强大网络功能和网络技术进行图像处理和模式识别的。 与传统的身份认证手段相比,主体特征鉴别技术的优点是在安全性、可靠性和有效性上产生了质的飞跃,适合安全级别较高的场所;其缺点是生物特征信息采集、认证装备的成本
9、较高,人身特征识别软件识别率有待提高。,(3)主体特征鉴别,数据库原理与设计,用户存取权限指的是不同的用户对于不同的数据对象允许执行的操作权限。 在数据库系统中,每个用户只能访问他有权存取的数据并执行有权使用的操作。 因此,必须预先定义用户的存取权限。 对于合法的用户,系统根据其存取权限的定义对其各种操作请求进行控制,确保合法操作。 存取权限由两个要素组成,数据对象和操作类型。 定义一个用户的存取权限就是要定义这个用户可以在哪些数据对象上进行哪些类型的操作。,2.存取控制,数据库原理与设计,在数据库系统中,定义用户存取权限称为授权。授权有两种:系统特权和对象特权。 系统特权是由DBA授予某些数
10、据库用户,只有得到系统特权,才能成为数据库用户。 对象特权可以由DBA授予,也可以由数据对象的创建者授予,使数据库用户具有对某些数据对象进行某些操作的特权。 在系统初始化时,系统中至少有一个具有DBA特权的用户,DBA可以通过GRANT语句将系统特权或对象特权授予其他用户。 对于已授权的用户可以通过REVOKE语句收回所授予的特权。,(1)存取权限,数据库原理与设计,这些授权定义经过编译后以一张授权表的形式存放在数据字典中。 授权表主要有三个属性,用户标识、数据对象和操作类型。 用户标识不但可以是用户个人,也可以是团体、程序和终端。在非关系系统中,存取控制的数据对象仅限于数据本身。 而关系系统
11、中,存取控制的数据对象不仅有基本表、属性列等数据本身,还有内模式、外模式、模式等数据字典中的内容。 (1)关系系统中的存取权限。,(1)存取权限(2),数据库原理与设计,(2)数据库用户的种类, 具有数据库登录权限的用户 该类用户可进入数据库系统,但只能根据授权,创建视图或定义数据别名,查阅部分数据库信息,不能改动数据库中的任何数据。 具有资源管理权限的用户 具有资源管理权限的用户,除了拥有上一类的用户权限外,还有创建数据库表、索引和聚簇的权限;可以在权限允许的范围内修改、查询数据库;能将自己拥有的权限授予其他用户;可以跟踪审计(audit)自己所创建的数据对象。 具有数据库管理员权限的用户
12、具有数据库管理员权限的用户具有数据库管理的一切权限,包括访问任何用户的任何数据,授予(或回收)用户的各种权限,创建各种数据库实体,完成数据库的整库备份、装入重组以及进行全系统的审计等工作。,数据库原理与设计,(3)存取机制的构成, 授权(Authorization),定义用户权限,并将用户权限登记到数据字典中。 验证(Authentication),当用户提出操作请求时,系统进行权限检查,拒绝用户的非法操作。 在数据库系统中要预先定义用户的存取权限以保证数据只能被有权限的用户访问。这些存取权限定义经过编译后存放在数据字典里,称作安全规则或授权规则。用户权限定义指明了用户可操作的数据对象及操作类
13、型。存取权限检查则检查用户执行数据库操作的合法性,即根据其存取权限定义对用户的各种操作请求进行控制,确保用户只执行合法操作。 授权和验证机制一起组成了DBMS的安全子系统。,数据库原理与设计,自主存取控制,同一用户对于不同的数据对象有不同的存取权限 不同的用户对同一对象也有不同的权限 用户还可将其拥有的存取权限转授给其他用户,数据库原理与设计,强制存取控制方法,每一个数据对象被标以一定的密级 每一个用户也被授予某一个级别的许可证 对于任意一个对象,只有具有合法许可证的用户才可以存取,数据库原理与设计,(4)DAC和MAC共同构成的安全机制,DBMS在执行安全性检查时,首先进行DAC检查,然后对
14、通过检查的且具有访问许可的数据对象进行MAC检查。只有通过MAC检查的数据对象才可以进行访问。因此,在实现MAC之前要先实现DAC,即DAC与MAC共同构成DBMS的安全机制,如图所示。,数据库原理与设计,为不同的用户定义不同的视图,可以限制各个用户的访问范围。 通过视图机制把要保密的数据对无权存取这些数据的用户隐藏起来,从而自动地对数据提供一定程度的安全保护。例如,USER1只能对计算机系的学生进行操作, 一种方法是通过授权机制对USER1授权,如表4.5所示, 另一种简单的方法就是定义一个计算机系的视图。 但视图机制的安全保护功能太不精细,往往不能达到应用系统的要求,其主要功能在于提供了数
15、据库的逻辑独立性。 在实际应用中,通常将视图机制与授权机制结合起来使用,首先用视图机制屏蔽一部分保密数据,然后在视图上面再进一步定义存取权限。,3.定义视图,数据库原理与设计,审计是一种监视措施,用于跟踪和记录所选用户的对数据库的操作。通过审计可以跟踪、记录可疑的数据库操作,并将跟踪的结果记录在审计日志(Audit Log)中,根据审计日志记录可对非法访问进行事后分析和调查。 审计日志中记录一般包括下列内容:操作类型(如查询、修改等)、操作终端标识与操作员标识、操作日期和时间、操作的数据对象(如表、记录、视图、属性等)及数据修改前后的值。这样数据库管理员可以利用审计跟踪的信息,重现导致数据库现
16、有状况的一系列事件,找出非法存取数据的人、时间、内容等。 通常进行审计时,时间和空间的消耗都很大,所以DBMS一般都将其作为可选设置,允许数据库管理员根据应用对安全性的要求,灵活地打开/关闭审计功能。,4.审计(Auditing),数据库原理与设计,前面介绍的几种数据库安全措施,都是防止从数据库系统窃取保密数据,不能防止通过不正常渠道非法访问数据,例如,偷取存储数据的磁盘,或在通信线路上窃取数据,为了防止这些窃密活动,比较好的办法是对数据加密。 数据加密是防止数据库中数据在存储和传输中失密的有效手段。 加密的基本思想是根据一定的算法将原始数据(术语为明文,Plain text)加密成为不可直接识别的格式(术语为密文,Clipher text),数据以密码的形式存储和传输。,5.数据加密,数据库原理与设计,加密方法有两种, 一种是替换方法,该方法使用密钥(Encryption Key)将明文中的每一个字符转换为密文中的一个字符。 另一种是转换方法,该方法将明文中的字符按不同的顺序重新排列。 通常将这两种方法结合起来使用,就可以
