第5章 數據庫系統的安全,5.1 數據庫安全概述 5.2 數據庫安全的威脅 5.3 數據庫的數據保護 5.4 數據庫的備份和恢復,5.1 數據庫安全概述,5.1.1 簡介 數據庫系統的安全需求與其他系統大致相同，要求其完整性、可靠性、有效性、保密性、可審計性及可存取控制與用戶身份鑒別等。,5.1.2 數據庫系統的特性 操作系統并不直接提供對數據庫系統的保護，數據庫文件的保護主要由數據管理系統完成。其安全使用特性有以下幾點要求。 1多用戶 2高可用性 3頻繁地更新 4大文件 5安全性與可靠性問題,5.1.3 數據庫系統的安全性要求 數據庫系統的基本安全性要求主要是訪問控制、偽裝數據的排除、用戶的認證和可靠性等. 1數據庫的完整性 2元素的完整性 3可審計性 4訪問控制 5用戶認證 6可用性,5.1.4 數據庫系統安全的含義 1系統運行安全 2系統信息安全,5.1.5 數據庫系統的安全架構 數據庫系統信息安全性依賴于兩個層次：一層是數據庫管理系統本身提供的用戶名和口令的認證、視圖、訪問權限控制和審計等管理措施；另一層就是靠應用程序設置的控制管理。 1用戶分類 2數據分類 3審計功能,5.1.6 數據庫安全系統特性 1數據獨立性 （1）物理獨立性是指用戶的應用程序與存儲在磁盤上的數據庫中的數據是相互獨立的。 （2）邏輯獨立性是指用戶的應用程序與數據庫的邏輯結構是相互獨立的。,2數據安全性 操作系統中的對象一般情況下是文件，粒度較粗，而數據庫支持的應用要求更為精細的數據粒度。 通常，比較完整的數據庫對數據安全性采取以下措施。 （1）將數據庫中需要保護的部分與其他部分相隔離。 （2）使用授權規則。 （3）將數據進行加密。,3數據的完整性 4并發控制 5故障恢復,5.1.7 多層數據庫系統的安全 多層數據庫系統就是把操作系統的多級安全模型引入安全數據庫設計之中的一種構想。多層數據庫對訪問進行控制的一種簡單方法是使用“分區”。 多層數據庫對訪問控制的另一種方法是利用視圖。,5.2 數據庫安全的威脅,對數據庫安全的威脅主要有以下3種：數據篡改、數據損壞和數據竊取。 5.2.1 數據篡改 數據篡改指的是對數據庫中的數據未經授權就進行修改或刪除，使其失去原來的真實性。 數據篡改可以通過限制對特定數據的訪問來遏制這個問題。,發生這種人為篡改的原因主要有以下幾種。 （1）個人利益的驅動 （2）隱藏證據 （3）惡作劇 （4）無知,5.2.2 數據損壞 1破壞 破壞可分為下列3種情況。 （1）偶然或無意的。 （2）硬件或軟件的故障/錯誤。 （3）人為的破壞。 2惡作劇 3計算機病毒,5.2.3 數據竊取 導致竊取的原因如下。 （1）被竊取的數據可能比想象中更有價值。 （2）不滿和將要離開的員工的惡意行為。 （3）工商業間諜竊取數據。,5.3 數據庫的數據保護,5.3.1 數據庫的故障類型 1事務內部的故障 事務（Transaction）是構成單一邏輯工作單元的操作集合，它是一個不可分割的單位。事務內部的故障多發生于數據的不一致性。 （1）丟失修改。 （2）不能重復讀取。 （3）“臟”數據的讀出，即不正確數據的讀出。,2系統范圍內的故障 系統故障是指造成系統停止運轉的任何事件，從而使得系統必須重新啟動。 系統故障主要有以下兩種情況。 （1）發生故障時，一些尚未完成的事務的部分結果已送入物理數據庫。 （2）發生系統故障時，有些已完成的事務有一部分甚至全部留在緩沖區，尚未寫回到磁盤上的物理數據庫中。,3介質故障 4黑客和計算機病毒 總結各種故障，對數據庫的影響有兩種可能性。一是數據庫結構本身被破壞，二是數據庫的結構沒有破壞，但數據內容可能不正確，這是因為事務的運行被正常中止造成的?；謴偷幕驹硎趾唵?，即冗余。,5.3.2 數據庫的數據保護 數據庫保護主要是指數據庫的安全性、完整性、并發控制和數據庫恢復。 1數據庫的安全性 在一般的計算機系統中，安全措施是一級一級層層設置的，如圖5.1所示。,圖5.1 數據庫安全控制模型,（1）用戶標識和鑒定 （2）存取控制 對于獲得訪問權的用戶還要根據預先定義好的用戶權限進行存取控制，保證用戶只能存取他有權存取的數據。,表5.1 授權規則表,（3）數據庫加密 有必要對數據庫中存儲的重要數據進行加密處理，以實現數據存儲的安全保護。 數據庫密碼系統應采取公開密鑰。 多級密鑰結構。 加密機制。 數據庫加解密密鑰應該是相同，公開的，而加密算法應該是絕對保密的。, 數據庫加密的范圍 只能對數據庫中的數據進行部分加密。數據庫中不能加密的部分包括以下內容。 數據庫加密對數據庫管理系統原有功能的影響 然而，數據庫數據加密以后，數據庫管理系統的一些功能將無法使用。,2數據庫中數據的完整性 數據的完整性主要是指防止數據庫中存在不符合語義的數據，防止錯誤信息的輸入和輸出。 數據庫中的所有數據都必須滿足自己的完整性約束條件，這些約束包括以下幾種。 （1）數據類型與值域的約束 （2）關鍵字約束 （3）數據聯系的約束 3數據庫并發控制,（1）未加控制的并發控制，如表5.2所示。 表5.2 未加控制的并發操作過程,（2）未加控制的并發操作讀取造成數據不一致，如表5.3所示。,表5.3 并發操作造成數據不一致,（3）未提交更新發生的并發操作錯誤，如表5.4所示。,表5.4 未提交更新而發生的并發操作,表5.5 原表5.2加鎖后的執行狀態,表5.6 原表5.3加鎖后的執行狀態,表5.7 原表5.4加鎖后的執行狀態,5.4 數據庫的備份和恢復,5.4.1 數據庫的備份 數據庫的備份大致有3種類型：冷備份、熱備份和邏輯備份。 1冷備份 2熱備份 3邏輯備份,5.4.2 系統和網絡完整性 1服務器保護 （1）電力調節，以保證能使服務器運行足夠長的時間以完成數據庫的備份。 （2）環境管理，應將服務器置于有空調的房間，通風口和管理應保持干凈，并定期檢查和清理。 （3）服務器所在的房間應加強安全管理。 （4）做好服務器中硬件的更換工作，從而提高服務器中硬件的可靠性。 （5）盡量使用輔助服務器以提供實時故障的跨越功能。 （6）通過映像技術或其他任何形式進行復制以便提供某種程度的容錯。,2客戶機的保護 （1）電力調節，保證客戶機正常運行所需的電力供應。 （2）配備后備電源，確保電力供應中斷之后客戶機能持續運行直至文件被保存和完成業務。 （3）定期更換客戶機或工作站的硬件。 3網絡連接,圖5.2 數據庫的恢復,5.4.3 數據庫的恢復,1數據庫的恢復辦法,2利用日志文件恢復事務 下面介紹如何登記日志文件，以及發生故障后如何利用日志文件恢復事務。 （1）登記日志文件（Logging） （2）事務恢復,總之，利用轉儲和日志文件可