信息安全技术讲义(2)

《信息安全技术讲义(2)》由会员分享，可在线阅读，更多相关《信息安全技术讲义(2)（53页珍藏版）》请在金锄头文库上搜索。

1、计计 算算 机机 网网 络络 安安 全全 技技 术术第四篇第四篇 信息安全技术信息安全技术第第8章章 数据库系统安全技术数据库系统安全技术 计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标l数据库系统的安全框架和安全性要求l数据库的死锁、活锁和可串行化l数据库的备份与恢复方法l攻击数据库的常用方法lOracle数据库的安全管理计计 算算 机机 网网 络络 安安 全全 技技 术术引言引言l数据库系统担负着存储和管理数据信息的任务，是计算机应用技术的一个重要分支，从20世纪70年代后期开始发展，虽然起步较晚，但近30年来已经形成为一门新兴学科。l数据库应用涉及面很广，几乎所有领域都

2、要用到数据库系统。因而，如何保证和加强其安全性和保密性，已成为目前迫切需要解决的热门课题。计计 算算 机机 网网 络络 安安 全全 技技 术术8.1数据库系统安全概述8.1.1 数据库系统的组成l数据库系统的组成 数据库：按一定的规则和方式存取数据的集合体。数据库管理系统（DBMS）：专门负责数据库管理和维护的计算机软件系统 。lDBMS的功能 有正确的编译功能，能正确执行规定的操作。能正确执行数据库命令。能保证数据的安全性、完整性，能抵御一定程度的物理破坏，能维护和提交数据库内容。能识别用户、分配授权和进行访问控制，包括身份识别和验证。顺利执行数据库访问，保证网络通信功能。 lDBA的职责

3、决定数据库的信息内容和结构 ；决定数据库的存储结构和存取策略 ；定义数据的安全性要求和完整性约束条件 ；确保数据库的安全性和完整性 ；监督和控制数据库的使用和运行 。计计 算算 机机 网网 络络 安安 全全 技技 术术8.1.2数据库系统安全的含义l数据库系统运行安全 数据库系统运行安全包括法律、政策的保护，如用户是否有合法权利，政策是否允许等；物理控制安全，如机房加锁等；硬件运行安全；操作系统安全，如数据文件是否保护等；灾害、故障恢复；避免和解除死锁；防止电磁信息泄漏。l数据库系统信息安全 数据库系统信息安全包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，审计跟踪，数据加密。 计

4、计 算算 机机 网网 络络 安安 全全 技技 术术8.1.3 数据库系统的安全性要求安全问题注释物理上的数据库完整性 预防数据库数据物理方面的问题。如掉电，以及当被灾祸破坏后能重构数据库 逻辑上的数据库完整性 保持数据的结构。如一个字段的值的修改不至于影响其他字段元素的完整性 包含在每个元素中的数据是准确的 可审计性 能够追踪到谁访问修改过数据的元素 访问控制 允许用户只访问被批准的数据，以及限制不同的用户有不同的访问模式，如读或写 用户认证 确保每个用户被正确地识别，既便于审计跟踪，也为了限制对特定的数据进行访问 可获（用）性 用户一般可以访问数据库以及所有被批准访问的数据 计计 算算 机机

5、 网网 络络 安安 全全 技技 术术数据库管理系统对完整性的要求数据库管理系统对完整性的要求 l数据库的完整性数据库的完整性是DBMS和计算系统管理者的责任。整个数据库的一种保护形式是对系统上的所有文件做周期性备份。l元素的完整性数据库元素的完整性是指它们的正确性和准确性。 字段检查字段检查 通过访问控制来维护数据库的完整性和一致性通过访问控制来维护数据库的完整性和一致性 维护数据库的更改日志。维护数据库的更改日志。 l可审计性计计 算算 机机 网网 络络 安安 全全 技技 术术数据库管理系统对保密性和可获性的要求数据库管理系统对保密性和可获性的要求l访问控制数据库常常根据用户访问权限进行逻辑

6、分割。 数据库管理系统（DBMS）必须实施访问控制策略，指定哪些数据允许被访问或者禁止访问；指定允许谁访问哪些数据，这些数据可以是字段或记录，或者甚至是元素。 对数据库的访问控制和操作系统的访问控制有根本区别。 通过推理访问数据可能不需要有对安全目标的直接访问权。 操作系统和数据库的访问控制目标在规模上是不同的。 l用户认证DBMS在操作系统之外作为一个应用程序被运行，这意味着它没有互操作系统的可信赖路径，因此必须怀疑它所收到的任何数据，包括用户认证。 l可获性DBMS的可获性。问题之一来自于对两个用户请求同一记录的仲裁；问题之二是为了避免暴露被保护的数据而需要扣发某些非保护的数据计计 算算

7、机机 网网 络络 安安 全全 技技 术术8.1.4 数据库系统的安全框架l数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关。因此，从广义上讲，数据库系统的安全框架可以划分为三个层次，分别为：网络系统层次、操作系统层次、数据库管理系统层次。计计 算算 机机 网网 络络 安安 全全 技技 术术网络系统层次的安全网络系统层次的安全l网络系统是数据库应用的外部环境和基础，数据库系统要发挥其强大作用离不开网络系统的支持，数据库系统的用户（如异地用户、分布式用户）也要通过网络才能访问数据库的数据。所以，数据库的安全首先依赖于网络系统，网络系统的安全是数据库

8、安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。网络系统层次的安全防范技术有很多种，主要有防火墙、入侵检测技术等。计计 算算 机机 网网 络络 安安 全全 技技 术术操作系统层次的安全操作系统层次的安全l操作系统是大型数据库系统的运行平台，为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在NT和UNIX，安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。l其中操作系统安全策略用于配置本地计算机的安全设置，包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理及其他安全选项，具体可以体现在用户账户、口令、

9、访问权限、审计等方面。l安全管理策略是指网络管理员对系统实施安全管理所采取的方法及策略。针对不同的操作系统、网络环境，需要采取的安全管理策略一般也不尽相同，其核心是保证服务器的安全和分配好各类用户的权限。l数据安全主要包括：数据加密技术、数据备份、数据存储的安全性、数据传输的安全性等。可以采用的技术很多，主要有Kerberos认证，IPSec，SSL，TLS，VPN等技术。计计 算算 机机 网网 络络 安安 全全 技技 术术数据库管理系统层次的安全数据库管理系统层次的安全l当前面两个层次已经被突破的情况下，数据库管理系统在一定程度上能保障数据库数据的安全。目前市场上流行的关系数据库管理系统的安

10、全性功能都很弱，所以，数据库的安全不能得到保障，这就要求数据库管理系统必须有一套强有力的安全机制。数据库管理系统本身提供的用户名/口令识别，视图、使用权限控制，审计等管理措施，大型数据库管理系统Oracle，Sybase，Ingress等均有此功能。应用程序设置的控制管理，如使用较普遍的FoxBASE，FoxPro等。作为数据库用户，最关心自身数据资料的安全，特别是用户的查询权限问题。计计 算算 机机 网网 络络 安安 全全 技技 术术8.1.5数据库系统的安全特性 1数据独立性数据独立性l数据独立于应用程序之外。理论上数据库系统的数据独立性分为两种：物理独立性。数据库的物理结构的变化不影响数

11、据库的应用结构，从而也就不影响其相应的应用程序。这里的物理结构是指数据库的物理位置、物理设备等。逻辑独立性。数据库逻辑结构的变化不会影响用户的应用程序。数据类型的修改、增加、改变各表之间的联系都不会导致应用程序的修改。l这两种数据独立性都要靠DBMS来实现。到目前为止，物理独立性已经能基本实现，但逻辑独立性实现起来非常困难，数据结构一旦发生变化，一般情况下，相应的应用程序都要作或多或少的修改。追求这一目标也成为数据库系统结构复杂的一个重要原因。计计 算算 机机 网网 络络 安安 全全 技技 术术2数据安全性l一个数据库能否防止无关人员得到他不应该知道的数据，是数据库是否实用的一个重要指标。如果

12、一个数据库对所有的人都公开数据，那么这个数据库就不是一个可靠的数据库。l完整的数据库对数据安全性采取了以下措施：将数据库中需要保护的部分与其他部分相隔离。使用授权规则。这是数据库系统经常使用的一个办法，数据库给用户ID号和口令、权限。当用户用此ID号和口令登录后，就会获得相应的权限。不同的用户或操作会有不同的权限。比如，对于一个表，某人有修改权，而其他人只有查询权。将数据加密，以密码的形式存于数据库内。计计 算算 机机 网网 络络 安安 全全 技技 术术3数据的完整性l数据完整性这一术语用来泛指与损坏和丢失相对的数据状态。它通常表明数据在可靠性与准确性上是可信赖的，同时也意味着数据有可能是无效

13、的或不完整的。数据完整性包括数据的正确性、有效性和一致性。正确性。数据在输入时要保证其输入值与定义这个表时相应的域的类型一致。如表中的某个字段为数值型，那么它只能允许用户输入数值型的数据，否则不能保证数据库的正确性。有效性。在保证数据正确的前提下，系统还要约束数据的有效性。如对于月份字段，若输入值为17，那么这个数据就是无效数据，这种无效输入也称为“垃圾输入”。当然，若数据库输出的数据是无效的，相应地称为“垃圾输出”。一致性。当不同的用户使用数据库，应该保证他们取出的数据必须一致。l因为数据库系统对数据的使用是集中控制的，因此数据的完整性控制还是比较容易实现的。计计 算算 机机 网网 络络 安

14、安 全全 技技 术术4并发控制l如果数据库应用要实现多用户共享数据，就可能在同一时刻多个用户要存取数据，这种事件叫做并发事件。当一个用户取出数据进行修改，修改存入数据库之前如有其他用户再取此数据，那么读出的数据就是不正确的。这时就需要对这种并发操作施行控制，排除和避免这种错误的发生，保证数据的正确性。计计 算算 机机 网网 络络 安安 全全 技技 术术5故障恢复l当数据库系统运行时出现物理或逻辑上的错误时，如何尽快将它恢复正常，这就是数据库系统的故障恢复功能。l数据库的故障主要包括：事务内部的故障系统范围内的故障介质故障计算机病毒与黑客等。计计 算算 机机 网网 络络 安安 全全 技技 术术事

15、务内部的故障 l事务（Transaction）是指并发控制的单位，它是一个操作序列。在这个序列中的所有操作只有两种行为，要么全都执行，要么全都不执行。因此，事务是一个不可分割的单位。事务用COMMIT语句提交给数据库，用ROLLBACK语句撤销已经完成的操作。l事务内部的故障多发生于数据的不一致性，主要表现为以下几种：丢失修改。两个事务T1和T2读入同一数据，T2提交的结果破坏了T1提交的结果，T1对数据库的修改丢失，造成数据库中数据错误。不能重复读。事务T1读取某一数据，事务T2读取并修改了同一数据，T1为了对读取值进行校对再读取此数据，便得到了不同的结果。例如，T1读取数据B=200，T2

16、也读取B并把它修改为300，那么T1再读取数据B得到300，与第一次读取的数值不一致。“脏”数据的读出，即不正确数据的读出。T1修改某一数据，T2读取同一数据，但T1由于某种原因被撤销，则T2读到的数据为“脏”数据。例如，T1读取数据B值100修改为200，则T2读取B值为200，但由于事务T1被撤销，其所做的修改宣布无效，B值恢复为100，而T2读到的数据是200，就与数据库内容不一致了。计计 算算 机机 网网 络络 安安 全全 技技 术术系统范围内的故障系统范围内的故障 l数据库系统故障又称为数据库软故障，是指系统突然停止运行时造成的数据库故障。如CPU故障、突然断电、操作系统故障，这些故

17、障不会破坏数据库，但会影响正在运行的所有事务，因为数据库缓冲区的内容会全部丢失，运行的事务非正常终止，从而造成数据库处于一种不正确的状态。这种故障对于一个需要不停运行的数据库来讲，损失是不可估量的。l恢复子系统必须在系统重新启动时让所有非正常终止事务ROLLBACK，把数据库恢复到正确的状态。计计 算算 机机 网网 络络 安安 全全 技技 术术l介质故障。介质故障又称硬故障，主要指外存故障，如磁盘磁头碰撞，瞬时的强磁场干扰。这类故障会破坏数据库或部分数据库，并影响正在使用数据库的所有事务。所以，这类故障的破坏性很大。 l计算机病毒与黑客。计算机病毒的内容详见第8章。病毒发作后造成的数据库数据的

18、损坏必须要求操作者自己去恢复。对于黑客，更需要计算机数据库加强安全管理。这种安全管理对于那些机密性的数据库显得尤为重要。计计 算算 机机 网网 络络 安安 全全 技技 术术8.2数据库的保护l随着计算机越来越深入的使用，一些大型数据库中存储着大量保密性的信息，如国防、金融、军事等方面。若这些数据库中的数据遭到破坏，造成的损失难以估量。所以数据库的保护是数据库运行过程中一个不可忽视的方面。数据库系统必须建立自己的保护机制，提供数据保护功能。l数据库的保护主要包含数据库的安全性、完整性、并发控制和数据库恢复等内容。计计 算算 机机 网网 络络 安安 全全 技技 术术8.2.1数据库的安全性l安全性

19、问题是所有计算机系统共有的问题，并不是数据库系统特有的，但由于数据库系统数据量庞大且多用户存取，安全性问题就显得尤其突出。由于安全性问题有系统问题与人为问题，所以一方面用户可以从法律、政策、伦理、道德等方面控制约束人们对数据库的安全使用；另一方面还可以从物理设备、操作系统等方面加强保护，保证数据库的安全；另外，也可以从数据库本身实现数据库的安全性保护。计计 算算 机机 网网 络络 安安 全全 技技 术术数据库安全控制模型数据库安全控制模型 l用户标识和鉴定通过核对用户的名字或身份（ID），决定该用户对系统的使用权l访问控制 给不同的用户对象授予不同的操作权力 l数据分级 为每一数据对象（文件、

20、记录或字段等）赋予一定的保密级 l数据库加密 对数据库文件进行加密处理是解决数据安全问题的最有效办法用户用户DBMSOSDB用户标识和用户标识和鉴定鉴定存取控制存取控制操作系统安操作系统安全保护全保护密码存储密码存储计计 算算 机机 网网 络络 安安 全全 技技 术术1用户标识和鉴定l通过核对用户的名字或身份（ID），决定该用户对系统的使用权。数据库系统不允许一个未经授权的用户对数据库进行操作。l用户用身份和口令登录时，系统用一张用户口令表去验证用户身份。表中只有两个字段：用户名和口令。并且用户输入的口令并不显示在屏幕上，而只是以某种符号代替，如“*”号。系统根据用户的输入验证此用户是否为合法

21、用户。这种方法简便易行，但保密性不是很高。l另外一种标识鉴定的方法是用户先标识自己，系统提供相应的口令表，这个口令表不是简单地与用户输入的口令比较，而是系统给出一个随机数，用户按照某个特定的过程或函数进行计算后给出结果值，系统同样按照这个过程或函数对随机数进行计算，如果与用户输入的相等则证明此用户为合法用户，可以再接着为用户分配权限；否则，系统认为此用户根本不是合法用户，拒绝进入数据库系统。计计 算算 机机 网网 络络 安安 全全 技技 术术2访问控制l数据库系统中，不同的用户对象有不同的操作权力。对数据库的操作权限一般包括查询权、记录的修改权、索引的建立权、数据库的创建权。把这些权力按一定的

22、规则授予用户，以保证用户的操作在自己的权限范围之内。授权规则可以见下表。l数据库的授权由SQL的GRANT（授权）和REVOKE（回收）来完成。关系S关系S关系SC用户1NONESELECTALL用户2SELECTUPDATESELECT DELETE UPDATE用户3NONENONESELECT用户4NONEINSERT SELECTNONE用户5ALLNONENONE计计 算算 机机 网网 络络 安安 全全 技技 术术3数据分级l有些数据库系统对安全性的处理是把数据分级。这种方案为每一数据对象（文件、记录或字段等）赋予一定的保密级。如绝密级、机密级、秘密级和公用级。对于用户，也分成类似的

23、级别。系统便可规定两条规则：用户I只能查看比他级别低的或同级的数据。用户I只能修改和他同级的数据。l在第2条中，用户I显然不能修改比他级别高的数据，但同时也不能修改比他级别低的数据，这是为了管理上的方便。如果用户I要修改比他级别低的数据，那么首先要降低用户I的级别或提高数据的级别使得两者之间的级别相等才能进行修改操作。l数据分级法是一种独立于数值的一种简单的控制方式，它的优点是系统能执行“信息流控制”。 计计 算算 机机 网网 络络 安安 全全 技技 术术4数据库加密（1）l数据库加密的特点：数据库密码系统应采用公开密钥。因为数据库的数据是共享的，有权限的用户随时需要使用密钥来查询数据。因此，

24、数据库密码系统宜采用公开密钥的加密方法。多级密钥结构。数据库关系运算中参与运算的最小单位是字段，查询路径依次是库名、表名、记录名和字段名。因此，字段是最小的加密单位。也就是说当查得一个数据后，该数据所在的库名、表名、记录名、字段名都应是知道的。对应的库名、表名、记录名、字段名都应该具有自己的子密钥，这些子密钥组成了一个能够随时加、解密的公开密钥。加密体制。 加密算法。 计计 算算 机机 网网 络络 安安 全全 技技 术术4数据库加密（2）l不同层次的加密。可以在三个不同层次实现对数据库数据的加密，这三个层次分别是OS层、DBMS内核层和DBMS外层。在OS层加密。在OS层无法辨认数据库文件中的

25、数据关系，从而无法产生合理的密钥，对密钥合理的管理和使用也很难。所以，对大型数据库来说，在OS层对数据库文件进行加密很难实现。在DBMS内核层实现加密。这种加密是指数据在物理存取之前完成加/解密工作。这种加密方式的优点是加密功能强，并且加密功能几乎不会影响DBMS的功能，可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行，加重了服务器的负载，而且DBMS和加密器之间的接口需要DBMS开发商的支持。在DBMS外层实现加密。比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加/解密处理。采用这种加密方式进行加密，加/解密运算可

26、在客户端进行，它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密，对数据库的最终用户是完全透明的，不会影响数据库服务器的效率。缺点是加密功能会受到一些限制，与数据库管理系统之间的耦合性稍差。计计 算算 机机 网网 络络 安安 全全 技技 术术4数据库加密（3）l数据库加密的范围。经过加密的数据库须经得起来自OS和DBMS的攻击；另一方面，DBMS要完成对数据库文件的管理和使用，必须具有能够识别部分数据的条件。因此，只能对数据库中的数据进行部分加密。数据库中不能加密的部分包括：索引字段不能加密。为了达到迅速查询的目的，数据库文件需要建立一些索引，它们的建立和应用必须是明文状态，否则将

27、失去索引的作用。关系运算的比较字段不能加密。DBMS要组织和完成关系运算，参与并、差、积、商、投影、选择和连接等操作的数据一般都要经过条件筛选，这种“条件”选择项必须是明文，否则DBMS将无法进行比较筛选。表间的连接码字段不能加密。数据模型规范化以后，数据库表之间存在着密切的联系，这种相关性往往是通过“外部编码”联系的，这些编码若加密就无法进行表与表之间的连接运算。计计 算算 机机 网网 络络 安安 全全 技技 术术4数据库加密（4）l数据库加密对数据库管理系统原有功能的影响。数据库数据加密以后，DBMS的一些功能将无法使用。无法实现对数据制约因素的定义。Sybase数据库系统的规则定义了数据

28、之间的制约因素。数据一旦加密，DBMS将无法实现这一功能，而且，值域的定义也无法进行。值得注意的是，数据库中的每个字段的类型、长度都有具体的限定。数据加密时，数值类型的数据只能在数值范围内加密，日期和字符类型的数据也都只能在各自的类型范围内加密，密文长度也不能超过字段限定的长度，否则DBMS将无法接受这些加密过的数据。密文数据的排序、分组和分类。select语句中的group by，order by，having子句分别完成分组、排序、分类等操作。这些子句的操作对象如果是加密数据，那么解密后的明文数据将失去原语句的分组、排序、分类作用，显然这不是用户所需要的。SQL语言中的内部函数将对加密数据

29、失去作用。DBMS对各种类型数据均提供了一些内部函数，这些函数不能直接作用于加密数据。DBMS的一些应用开发工具的使用受到限制。计计 算算 机机 网网 络络 安安 全全 技技 术术8.2.2数据库中数据的完整性l数据的完整性主要是指：防止数据库中存在不符合语义的数据，防止错误信息的输入和输出。数据完整性包括数据的正确性、有效性和一致性。数据类型与值域的约束 关键字约束 数据联系的约束计计 算算 机机 网网 络络 安安 全全 技技 术术8.2.3数据库并发控制l目前，多数数据库都是大型多用户数据库，所以数据库中的数据资源必须是共享的。为了充分利用数据库资源，应允许多个用户并行操作数据库。数据库必

30、须能对这种并行操作进行控制，即并发控制，以保证数据在不同的用户使用时的一致性。l并发控制的主要方法是封锁技术（Locking）。当某事务修改数据时，将数据封锁，这样在这个事务读取和修改数据时，其他的事务就不能对数据进行读取和修改，直到此事务解除封锁。计计 算算 机机 网网 络络 安安 全全 技技 术术8.3死锁、活锁和可串行化8.3.1死锁与活锁l某个事务永远处于等待状态称为活锁 。解决活锁的最常见方法是对事务进行排队，按“先入先出”的原则进行调度。l两个或两个以上的事务永远无法结束，彼此都在等待对方解除封锁，结果造成事务永远等待，这种封锁叫死锁。计计 算算 机机 网网 络络 安安 全全 技技

31、 术术造成事务永远等待的死锁过程造成事务永远等待的死锁过程时刻事务1事务2t1读取数据A（对A进行封锁） t2读取数据B（对B进行封锁） t3读取数据B（等待） t4读取数据A（等待） 计计 算算 机机 网网 络络 安安 全全 技技 术术解决死锁问题的主要方法解决死锁问题的主要方法l每个事务一次就将所有要使用的数据全部加锁，否则就不能执行。 l预先规定一个封锁顺序，所有的事务都必须按这个顺序对数据执行封锁。 l不预防死锁的发生，而是让系统用某种方法判断当前系统中是否有死锁现象。如果发生死锁再设法解除，使事务再继续运行。计计 算算 机机 网网 络络 安安 全全 技技 术术8.3.2可串行化l并行

32、事务执行时，系统的调度是随机的，因此，需要一个尺度去判断事务执行的正确性。当并行操作的结果与串行操作的结果相同时，我们就认为这个并行事务处理结果是正确的。这个并行操作调度称为可串行化调度。l可串行化是并行事务正确性的准则。这个准则规定，一个给定的交叉调度，当且仅当它是可串行化的，才认为是正确的。计计 算算 机机 网网 络络 安安 全全 技技 术术8.3.3时标技术l时标技术是避免因出现数据不一致而造成的破坏数据库完整性的另外一种方法。由于它不是采用封锁的方法，所以，不会产生死锁的问题。l时标和封锁技术之间的基本区别是：封锁是使一组事务的并发执行（即交叉执行）同步，使它等价于这些事务的某一串行操

33、作；时标法也是使一组事务的交叉执行同步，但是它等价于这些事务的一个特定的串行执行，即由时标的时序所确定的一个执行。如果发生冲突，则通过撤销并重新启动一个事务解决。如果事务重新启动，则赋予新的时标。计计 算算 机机 网网 络络 安安 全全 技技 术术8.4攻击数据库的常用方法l突破Script的限制l对SQL口令的突破l利用多语句执行漏洞lSQL Server的安装漏洞l数据库的利用l数据库扫描工具计计 算算 机机 网网 络络 安安 全全 技技 术术8.5数据库的恢复l恢复也称为重载或重入，是指当磁盘损坏或数据库崩溃时，通过将备份的内容转储或卸载，使数据库返回到原来状态的过程计计 算算 机机 网

34、网 络络 安安 全全 技技 术术数据库的恢复办法数据库的恢复办法 l周期性地（如三天一次）对整个数据库进行转储，把它复制到备份介质中（如磁带中），作为后备副本，以备恢复之用。静态转储是指转储期间不允许对数据库进行任何存取、修改活动 动态转储是指在存储期间允许对数据库进行存取或修改l对数据库的每次修改，都记下修改前后的值，写入“运行日志”数集中。它与后备副本结合，可有效地恢复数据库。计计 算算 机机 网网 络络 安安 全全 技技 术术利用日志文件恢复事务利用日志文件恢复事务l登记日志文件（logging）事务运行过程中，系统把事务开始、事务结束（包括COMMIT和ROLLBACK）以及对数据库的

35、插入、删除、修改等每一个操作作为一个log记录存放到日志文件中。 登记的次序严格按并行事务执行的时间次序。同时遵循“先写日志文件”的规则。 l事务恢复 从头扫描日志文件，找出哪些事务在故障发生时已经结束，哪些事务尚未结束。对尚未结束的事务进行撤销（也称为UNDO）处理，对已经结束的事务进行重做（REDO）处理。 计计 算算 机机 网网 络络 安安 全全 技技 术术l总之，利用转储和日志文件可以有效地恢复数据库。当数据库本身被破坏时（如硬盘故障和病毒破坏）可重装转储的后备副本，然后运行日志文件，执行事务恢复，这样就可以重建数据库；当数据库本身没有被破坏，但内容已经不可靠时（如发生事务故障和系统故

36、障）可利用日志文件恢复事务，从而使数据库回到某一正确状态。这时不必重装后备副本。计计 算算 机机 网网 络络 安安 全全 技技 术术8.6Oracle数据库的安全管理l在Oracle多用户数据库系统中，安全机制做下列工作：防止非授权的数据库存取。防止非授权的对模式对象的存取。控制磁盘使用。控制系统资源使用。审计用户动作。lOracle用下列机制管理数据库的安全性：数据库用户和模式。权限。角色。存储设置和空间份额。资源限制。审计。计计 算算 机机 网网 络络 安安 全全 技技 术术8.6.1 Oracle的安全性策略l系统安全性策略管理数据库用户。用户身份确认。操作系统安全性。l用户安全性策略一

37、般用户的安全性 终端用户的安全性l数据库管理者的安全性策略 保护作为SYS和SYSTEM用户的连接。保护管理者与数据库的连接。使用角色对管理者权限进行管理。l应用程序开发者的安全性策略应用程序开发者和他们的权限。 应用程序开发者的环境。应用程序开发者的空间限制。 计计 算算 机机 网网 络络 安安 全全 技技 术术8.6.2 Oracle的用户管理l存取控制Oracle使用多种不同的机制管理数据库安全性，最主要有两种机制：模式和用户。用户的存取权利受用户安全域的设置所控制。每一个用户有一个安全域，它是一组特性。l用户鉴别 为了防止非授权的数据库用户的使用，Oracle提供了三种确认方法：操作系

38、统确认、Oracle数据库确认和网络服务确认。l用户的表空间设置和定额用户的默认表空间。用户的临时表空间。数据库表空间的空间使用定额。计计 算算 机机 网网 络络 安安 全全 技技 术术l用户资源限制和环境文件用户资源限制 会话级的用户资源限制 调用级的用户资源限制l用户环境文件用户环境文件是指定资源限制的命名集，可以赋给Oracle数据库的有效用户。利用用户环境文件可以容易地管理资源限制。 计计 算算 机机 网网 络络 安安 全全 技技 术术8.6.3 权限和角色l权限系统权限：执行一些特殊动作或者在对象类型上执行一种特殊动作的权利 对象权限：在指定的表、视图、序列、过程、函数或包上执行特殊

39、动作的权利l角色一个角色可以授予系统权限或对象权限。一个角色可以授权给其他角色，但不能循环授权。任何角色可以授权给任何数据库用户。授权给用户的每一个角色可以是可用的也可以是不可用的。一个用户的安全域仅包含当前对该用户可用的全部角色的权限。一个间接授权角色对用户可以显式地使其可用或不可用。在一个数据库中，每一个角色名必须惟一。角色名与用户不同，角色不包含在任何模式中，所以建立角色的用户被删除时不影响该角色。计计 算算 机机 网网 络络 安安 全全 技技 术术l一般，建立角色服务有两个目的：为数据库应用管理权限和为用户组管理权限。相应的角色称为应用角色和用户角色。l应用角色是授予的运行数据库应用所

40、需的全部权限。一个应用角色可以授权给其他角色或指定用户。一个应用可以有几种不同角色，具有不同权限组的每一个角色在使用应用时可以进行不同的数据存取。l注意：用户角色是为具有公开权限需求的一组数据库用户建立的。当某用户角色授权给相应的用户后，其权限管理受两方面控制：应用角色本身的权限；被授权给该用户角色的权限。 计计 算算 机机 网网 络络 安安 全全 技技 术术Oracle用角色进行权限管理的优点用角色进行权限管理的优点l减少权限管理。不要显式地将同一权限组授权给几个用户，只需将这个权限组授给角色，然后将角色授权给每一个用户。l动态权限管理。如果一组权限需要改变，只需修改角色的权限，所有该角色的

41、全部用户的安全域将自动地反映对角色所作的修改。l权限的选择可用性。授权给用户的角色可有选择地使其可用或不可用。l应用可知性。当用户经用户名执行应用时，该数据库应用可以查询字典，将自动选择使角色可用或不可用。l应用安全性。角色使用可以由口令保护，应用可以提供正确的口令使用角色，如果不知道其口令，则不能使用角色。计计 算算 机机 网网 络络 安安 全全 技技 术术8.6.4 概要文件l概要文件是命名的数据库和系统资源限制的集合。概要文件是Oracle安全策略的重要组成部分，利用概要文件可以对数据库用户进行基本的资源限制，并且可以对用户的口令进行管理。如果DBA需要将资源限制作为自己的数据库安全策略

42、的一部分，则应该建立并指定概要文件，为每个用户设置资源限制参数。计计 算算 机机 网网 络络 安安 全全 技技 术术概要文件中的参数概要文件中的参数l资源限制参数利用概要文件，可以对CPU时间、逻辑读、用户的并发会话数、空闲时间、连接时间等数据库和系统的资源进行限制。对这些资源的限制是通过在概要文件中设置资源参数来实现的。资源参数的值可以是一个整数，也可以是UNLIMITED或DEFAULT，即使用默认概要文件中的参数设置。l口令策略参数账户的锁定口令的过期时间口令的复杂度 l除了可以在概要文件中单独指定对某种资源的限制外，还可以通过设置组合资源限制为一个会话指定资源总限额。通过在概要文件中设

43、置资源总限额，能够在对用户资源进行限制时获得更大的灵活性。计计 算算 机机 网网 络络 安安 全全 技技 术术8.6.5 数据审计l数据审计概述审计的功能：审查可疑的活动；监视和收集关于指定数据库活动的数据。审计的类型：语句审计；权限审计；对象审计。审计选择l审计的使用审计登录审计数据库操作审计数据库对象上的DML计计 算算 机机 网网 络络 安安 全全 技技 术术习题八l简述数据库系统的组成及各部分的功能。l数据库系统的安全框架可以划分为哪三个层次？l简述数据库系统的安全特性和安全性要求。l数据库中采用了哪些安全技术和保护措施？简述其要点。l数据库怎样进行并发控制。l数据库的加密有哪些要求？数据库的加密方式有哪些种类？如何修复被破坏的库文件结构。l怎样避免数据库操作的死锁？l时标技术的作用是什么？l简述数据库的恢复方法。l攻击数据库的常用方法有哪些？l事务处理日志在数据库中有何作用？lOracle中保障数据库安全的主要方法有哪些？l说明Oracle中用户、权限和角色的关系。用户权限的管理包括哪些内容？lOracle中概要文件中有几种类型的限制参数，简要介绍它们的作用。lOracle的审计功能是什么？