收藏
下载资源

网络安全与应用技术-第3章-数据库系统安全技术课件

上传人:des****85 文档编号:328860003 上传时间:2022-07-31 格式:PPTX 页数:80 大小:235.32KB
返回 下载 相关 举报
网络安全与应用技术-第3章-数据库系统安全技术课件_第1页
第1页 / 共80页
网络安全与应用技术-第3章-数据库系统安全技术课件_第2页
第2页 / 共80页
网络安全与应用技术-第3章-数据库系统安全技术课件_第3页
第3页 / 共80页
网络安全与应用技术-第3章-数据库系统安全技术课件_第4页
第4页 / 共80页
网络安全与应用技术-第3章-数据库系统安全技术课件_第5页
第5页 / 共80页
点击查看更多>>
资源描述

《网络安全与应用技术-第3章-数据库系统安全技术课件》由会员分享,可在线阅读,更多相关《网络安全与应用技术-第3章-数据库系统安全技术课件(80页珍藏版)》请在金锄头文库上搜索。

1、第第三三章章 数数据据库库系系统统安安全全技技术术第3章 数据库系统安全技术第第三三章章 数数据据库库系系统统安安全全技技术术 数据库是当今信息社会中数据存储和处理的核心,其安全性对于整个信息安全极为重要,是计算机网络安全的重要组成部分。数据库系统安全的不足不仅会损害数据库本身,而且还会影响到操作系统和整个网络基础设施的安全。第第三三章章 数数据据库库系系统统安安全全技技术术3.13.1数据库系统安全数据库系统安全数据库系统安全数据库系统安全概述概述概述概述 自然灾难、人为的错误、计算机病毒及硬件损坏等都有可能造成数据库中数据的丢失,给单位带来巨大损失。因此,必须保证数据库系统运行安全及数据库

2、数据免受各种因素的影响。第第三三章章 数数据据库库系系统统安安全全技技术术1数据库系统的组成 数据库系统(Data Base System)是指带有数据库并采用数据库技术进行数据管理的计算机系统,它是一个实际可运行的、按照数据库方法存储、维护和向应用系统提供数据支持的系统。一个数据库系统包括计算机硬件、数据库、数据库管理系统、主语言系统和应用开发支撑软件、数据库应用系统和数据库管理员。第第三三章章 数数据据库库系系统统安安全全技技术术2数据库系统安全的含义 数据库系统安全(Data Base System Security)是指为数据库系统建立的安全保护措施,以保护数据库系统软件和其中的数据不

3、因偶然和恶意的原因而遭到破坏、更改和泄漏。数据库系统安全包含两方面含义,即数据库系统运行安全和数据库系统数据安全。第第三三章章 数数据据库库系系统统安安全全技技术术3数据库系统的安全性要求 数据库系统的安全性是网络信息安全中非常重要的一部分,主要包括以下几个层次的安全措施:l 数据库系统层次 l 数据库管理系统的安全保护主要表现在对数据库的存取控制上。同时,数据库本身的完整性问题也直接关系到数据库数据的安全可靠。一般情况下,数据库的安全性是指保护数据库以防止不合法的使用者所造成的数据泄露、更改或破坏第第三三章章 数数据据库库系系统统安安全全技技术术l 数据库管理系统安全机制的核心目的是:作为保

4、存数据的数据库系统的管理系统,应当提供对数据的安全存取的服务器,即在向授权用户提供可靠的数据服务的同时,又要拒绝非授权的对数据的存取访问请求,保证数据库管理下的数据的可用性、完整性和一致性,进而保护数据库所有者和使用者的合法权益。第第三三章章 数数据据库库系系统统安安全全技技术术4数据库系统的安全框架与特性 从广义上讲,数据库系统的安全框架(Data Base System Security Framework)可以划分为三个层次:(1)网络系统层次。网络系统是数据库应用的外部环境和基础,网络系统的安全是数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始的。第第三三章章 数数据据库库系

5、系统统安安全全技技术术(2)宿主操作系统层次。操作系统是大型数据库系统的运行平台,为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在Windows NT和Unix,安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。(3)数据库管理系统层次。数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大,则数据库系统的安全性能就较好。第第三三章章 数数据据库库系系统统安安全全技技术术3.23.2数据库安全面临的威胁 总体来讲,对数据库安全的威胁或侵犯大致可以分为以下几类:u 自然灾害:例如地震、水灾、火灾等导致的硬件损坏

6、,进而导致数据的损坏和丢失。u 人为疏忽:由授权用户造成的无意损害,特别在批处理作业的情况下。u 恶意破坏:存心不良的编程人员、技术支持人员和管理人员的破坏、毁损及其他行为。u犯罪行为:盗窃行为、监守自盗、工业间谍,出卖公司秘密和邮件列表数据的雇员。u 隐私侵害:不负责任的猎奇,竞争者查看数据,为政治和法律目的获取数据。第第三三章章 数数据据库库系系统统安安全全技技术术基于计算机技术的防卫措施主要有基于计算机技术的防卫措施主要有:用户授权:包括授权用户的身份验证以及为他们授予访问权限。通过视图调整授权:定义可向用户授权数据库特定部分的用户视图。备份和恢复:定期建立数据库备份副本,并测试和实现恢

7、复过程。保护机密数据:使用加密技术保护机密数据。第第三三章章 数数据据库库系系统统安安全全技技术术 数据库系统的安全措施分为几个级别。在数据库存储这一级可采用密码技术,当物理存储设备失窃后,它起到保密作用。在数据库系统这一级中提供两种控制:用户标识和鉴定,数据存取控制。第第三三章章 数数据据库库系系统统安安全全技技术术数据库加密技术数据库加密技术 较之传统的数据加密技术,数据库密码系统有其自身的要求和特点。传统的加密以报文为单位,加密解密都是从头至尾顺序进行。数据库数据的使用方法决定了它不可能以整个数据库文件为单位进行加密。当符合检索条件的记录被检索出来后,就必须对该记录迅速解密。然而该记录是

8、数据库文件中随机的一段,无法从中间开始解密,除非从头到尾进行一次解密,然后再去查找相应的这个记录,显然这是不合适的。必须解决随机地从数据库文件中某一段数据开始解密的问题。第第三三章章 数数据据库库系系统统安安全全技技术术 数据库加密通过对明文进行复杂的加密操作,以达到无法发现明文和密文之间、密文和密钥之间的内在关系,也就是说经过加密的数据库经得起来自操作系统和数据库管理系统(DBMS)的攻击。另一方面,数据库管理系统(DBMS)要完成对数据库文件的管理和使用,必须具有能够识别部分数据的条件,而对数据库中的部分数据进行加密处理后,会影响到数据库管理系统(DBMS)对数据库管理的原有功能。第第三三

9、章章 数数据据库库系系统统安安全全技技术术常用的数据库加密方法有:(1)基于文件的加密(2)字段加密(3)记录加密(4)子密钥加密技术(5)秘密同态技术第第三三章章 数数据据库库系系统统安安全全技技术术 把数据库文件作为整体,用加密算法对把数据库文件作为整体,用加密算法对整个数据库文件加密来保证信息的真实性和整个数据库文件加密来保证信息的真实性和完整性。利用这种方法,数据的共享是通过完整性。利用这种方法,数据的共享是通过用户用解密密钥对整个数据库文件进行解密用户用解密密钥对整个数据库文件进行解密来实现的。但多方面的缺点极大地限制了这来实现的。但多方面的缺点极大地限制了这一方法的实际应用:首先,

10、数据修改的工作一方法的实际应用:首先,数据修改的工作将变得十分困难,需要进行解密、修改、复将变得十分困难,需要进行解密、修改、复制和加密四个操作。极大地增加了系统的时制和加密四个操作。极大地增加了系统的时空开销;其次,即使用户只是需要查看某一空开销;其次,即使用户只是需要查看某一条记录,也必须将整个数据库文件解密,这条记录,也必须将整个数据库文件解密,这样无法实现对文件中不需要让用户知道的信样无法实现对文件中不需要让用户知道的信息的控制。因此,这种方法只适用于能回避息的控制。因此,这种方法只适用于能回避这些限制的应用环境。这些限制的应用环境。基于文件的加密基于文件的加密第第三三章章 数数据据库

11、库系系统统安安全全技技术术 一般而言,数据库系统中每条记录所包含一般而言,数据库系统中每条记录所包含的信息具有的信息具有 一定的封闭性,即从某种程度上说一定的封闭性,即从某种程度上说它独立完整地存储了一个实体的数据。因此,它独立完整地存储了一个实体的数据。因此,基于记录的加密技术是最常用的数据库信息加基于记录的加密技术是最常用的数据库信息加密手段。这种方法的基本思路是:在各自密钥密手段。这种方法的基本思路是:在各自密钥的作用下,将数据库的每一个记录加密成密文的作用下,将数据库的每一个记录加密成密文并存放于数据库文件中;记录的查找是通过将并存放于数据库文件中;记录的查找是通过将需查找的值加密成密

12、码文后进行的。然而基于需查找的值加密成密码文后进行的。然而基于记录的数据库保护有一个缺点,就是在解密一记录的数据库保护有一个缺点,就是在解密一个记录的数据时,无法实现对在这个记录中不个记录的数据时,无法实现对在这个记录中不需要的字段不解密;在选择某个字段的某些记需要的字段不解密;在选择某个字段的某些记录时,如果不对这个含有这个字段的所有记录录时,如果不对这个含有这个字段的所有记录进行解密就无法进行选择。进行解密就无法进行选择。基于记录的加密基于记录的加密第第三三章章 数数据据库库系系统统安安全全技技术术 为了解决基于记录的数据库加密技术存为了解决基于记录的数据库加密技术存在的问题,在的问题,G

13、.I.David等人在文献中提出了子等人在文献中提出了子密钥数据库加密技术。子密钥加密算法的核密钥数据库加密技术。子密钥加密算法的核心思想是根据数据库心思想是根据数据库(特别是关系型数据库特别是关系型数据库)中数据组中数据组织织的特点,在加密时以记录为单位的特点,在加密时以记录为单位进行加密操作,而在解密时以字段为单位对进行加密操作,而在解密时以字段为单位对单项数据进行解密操作,两者所用的密钥是单项数据进行解密操作,两者所用的密钥是不是的,加密所用的密钥是针对整个记录的不是的,加密所用的密钥是针对整个记录的密钥,而解密所用的密钥是针对单个数据项密钥,而解密所用的密钥是针对单个数据项的子密钥。该

14、算法的理论依据是著名的中国的子密钥。该算法的理论依据是著名的中国剩余定理。剩余定理。子密钥加密技术子密钥加密技术第第三三章章 数数据据库库系系统统安安全全技技术术 上述数据库加密方法可以应用于不同的环上述数据库加密方法可以应用于不同的环境,但存在一个共同的间题是:对于所形成境,但存在一个共同的间题是:对于所形成的密文数据库无法进行操作,也就是说,对的密文数据库无法进行操作,也就是说,对于密文数据库,若要对某些字段进行统计、于密文数据库,若要对某些字段进行统计、平均、求和等数学运算时必须先对这些字平均、求和等数学运算时必须先对这些字段进行解密运算,然后对明文进行数学运算,段进行解密运算,然后对明

15、文进行数学运算,之后再加密。这样以来首先增大了时空开销;之后再加密。这样以来首先增大了时空开销;其次,在实际应用中,对于某些重要或敏感其次,在实际应用中,对于某些重要或敏感数据,无法满足用户对其进行操作但又不让数据,无法满足用户对其进行操作但又不让用户了解其中的信息用户了解其中的信息(例如,在每个雇员的工例如,在每个雇员的工薪信息保密的情况下给雇员的工薪增加薪信息保密的情况下给雇员的工薪增加15)的需要。的需要。第第三三章章 数数据据库库系系统统安安全全技技术术 2009年,IBM的研究员Craig Gentry的题为“Fully Homomorphic Encryption Using Id

16、eal Lattices”的博士论文,提出了一个基于理想格的全同态加密方案,解决了三十年多前由R.Rivest,L.Adleman等人提出的一个问题,即能否找到一种算法,可以像对明文一样对密文进行各种计算。该论文的发表,在学术界和工业界都有着重大的意义,解决了全同态加密这一数学难题,推动同态加密技术的发展,同时IBM、GOOGLE等公司也正在将该技术使用在其系统中。秘密同态技术秘密同态技术第第三三章章 数数据据库库系系统统安安全全技技术术 秘密同态是由Rivest等人于1978年在文献中提出的,是允许直接对密文进行操作的加密变换。后来由Domingo在文献做了进一步的改进。秘密同态技术最早是用于对统计数据进行加密的,由算法的同态性,保证了用户可以对敏感数据进行操作但又不泄露数据信息。秘密同态技术是建立在代数理论之上的。详见扩展阅读:秘密同态技术在数据库安全中的应用第第三三章章 数数据据库库系系统统安安全全技技术术 数据库安全可分为二类:系统安全性和数据安全性。系统安全性是指在系统级控制数据库的存取和使用的机制。数据安全性是指在对象级控制数据库的存取和使用的机制。一般数据库,如Oracl

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号