1、數(shù)據(jù)庫系統(tǒng)原理數(shù)據(jù)庫系統(tǒng)原理第一篇第一篇 基礎(chǔ)篇基礎(chǔ)篇第四章第四章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性2 DBMS DBMS的數(shù)據(jù)控制功能的數(shù)據(jù)控制功能 數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)是由數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)是由DBMSDBMS統(tǒng)一管理和統(tǒng)一管理和控制的，為了適應(yīng)數(shù)據(jù)控制的，為了適應(yīng)數(shù)據(jù)并發(fā)共享并發(fā)共享的環(huán)境，的環(huán)境，DBMSDBMS必須提供必須提供數(shù)據(jù)控制能力數(shù)據(jù)控制能力，以保證數(shù)據(jù)庫中數(shù)據(jù)，以保證數(shù)據(jù)庫中數(shù)據(jù)的的安全可靠和正確有效安全可靠和正確有效。數(shù)據(jù)控制功能數(shù)據(jù)控制功能: :n安全性安全性-防止非法使用數(shù)據(jù)防止非法使用數(shù)據(jù)n完整性完整性-保證數(shù)據(jù)正確、有效、相容保證數(shù)據(jù)正確、有效、相容n并發(fā)控制并發(fā)控制對(duì)并發(fā)

2、操作的協(xié)調(diào)與控制對(duì)并發(fā)操作的協(xié)調(diào)與控制n數(shù)據(jù)庫恢復(fù)數(shù)據(jù)庫恢復(fù)發(fā)生故障后對(duì)數(shù)據(jù)庫的恢復(fù)發(fā)生故障后對(duì)數(shù)據(jù)庫的恢復(fù)3 數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性 數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫以防止不數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。 數(shù)據(jù)庫系統(tǒng)安全保護(hù)措施是否有效是數(shù)據(jù)數(shù)據(jù)庫系統(tǒng)安全保護(hù)措施是否有效是數(shù)據(jù)庫系統(tǒng)主要技術(shù)指標(biāo)之一。庫系統(tǒng)主要技術(shù)指標(biāo)之一。 數(shù)據(jù)庫的安全性與計(jì)算機(jī)系統(tǒng)的安全性是數(shù)據(jù)庫的安全性與計(jì)算機(jī)系統(tǒng)的安全性是緊密聯(lián)系、互相支持的。緊密聯(lián)系、互相支持的。4第四章第四章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性4.1 計(jì)算機(jī)安全性概述計(jì)

3、算機(jī)安全性概述4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.3 視圖機(jī)制視圖機(jī)制4.4 審計(jì)（審計(jì)（Audit） 4.5 數(shù)據(jù)加密數(shù)據(jù)加密4.6 統(tǒng)計(jì)數(shù)據(jù)庫安全性統(tǒng)計(jì)數(shù)據(jù)庫安全性4.7 小結(jié)小結(jié)54.1 計(jì)算機(jī)安全性概述計(jì)算機(jī)安全性概述v 計(jì)算機(jī)系統(tǒng)安全性計(jì)算機(jī)系統(tǒng)安全性 為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，硬件、軟件及數(shù)據(jù)，防防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。據(jù)遭到更改或泄露等。64.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問題計(jì)算

4、機(jī)系統(tǒng)的三類安全性問題 技術(shù)安全類技術(shù)安全類采用技術(shù)手段保證計(jì)算機(jī)系統(tǒng)具采用技術(shù)手段保證計(jì)算機(jī)系統(tǒng)具有一定的安全性。需要建立一套可信計(jì)算機(jī)系有一定的安全性。需要建立一套可信計(jì)算機(jī)系統(tǒng)的概念和標(biāo)準(zhǔn)。統(tǒng)的概念和標(biāo)準(zhǔn)。 管理安全類管理安全類 政策法律類政策法律類74.1.2 安全標(biāo)準(zhǔn)簡(jiǎn)介安全標(biāo)準(zhǔn)簡(jiǎn)介 計(jì)算機(jī)以及信息安全技術(shù)方面的一系列安全標(biāo)準(zhǔn)中，最計(jì)算機(jī)以及信息安全技術(shù)方面的一系列安全標(biāo)準(zhǔn)中，最有影響的是：有影響的是：TCSEC和和CC標(biāo)準(zhǔn)。標(biāo)準(zhǔn)。8TCSEC/TDI標(biāo)準(zhǔn)標(biāo)準(zhǔn)vTCSEC/TDITCSEC/TDI標(biāo)準(zhǔn)的基本內(nèi)容標(biāo)準(zhǔn)的基本內(nèi)容 TCSEC/TDITCSEC/TDI，從，從四個(gè)方面四個(gè)方

5、面來描述安全性級(jí)別劃來描述安全性級(jí)別劃分的指標(biāo)，每個(gè)方面又細(xì)分為若干項(xiàng)。分的指標(biāo)，每個(gè)方面又細(xì)分為若干項(xiàng)。 安全策略安全策略-自主存取控制、客體重用、標(biāo)自主存取控制、客體重用、標(biāo)記、強(qiáng)制存取控制記、強(qiáng)制存取控制 責(zé)任責(zé)任-標(biāo)識(shí)與鑒別標(biāo)識(shí)與鑒別 、可信路徑、可信路徑 、審計(jì)、審計(jì) 保證保證-操作保證操作保證 、生命周期保證、生命周期保證 文檔文檔9TCSEC/TDI安全級(jí)別劃分安全級(jí)別劃分 根據(jù)計(jì)算機(jī)系統(tǒng)對(duì)上述各項(xiàng)指標(biāo)的支持情況，根據(jù)計(jì)算機(jī)系統(tǒng)對(duì)上述各項(xiàng)指標(biāo)的支持情況，TCSEC/TDI將系統(tǒng)劃分為將系統(tǒng)劃分為四組，七個(gè)等級(jí)四組，七個(gè)等級(jí)，依次是：，依次是：安安 全全 級(jí)級(jí) 別別 定定 義義 A

6、1驗(yàn)證設(shè)計(jì)（驗(yàn)證設(shè)計(jì)（Verified Design） B3安全域（安全域（Security Domains） B2結(jié)構(gòu)化保護(hù)（結(jié)構(gòu)化保護(hù)（Structural Protection） B1標(biāo)記安全保護(hù)（標(biāo)記安全保護(hù)（Labeled Security Protection） C2受控的存取保護(hù)受控的存取保護(hù)（Controlled Access Protection） C1自主安全保護(hù)自主安全保護(hù)（Discretionary Security Protection） D最小保護(hù)（最小保護(hù)（Minimal Protection）10TCSEC/TDI安全級(jí)別劃分（續(xù)）安全級(jí)別劃分（續(xù)） 實(shí)現(xiàn)數(shù)據(jù)庫

7、系統(tǒng)安全性的技術(shù)和方法有多種，最重實(shí)現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性的技術(shù)和方法有多種，最重要的是要的是存取控制技術(shù)和審計(jì)技術(shù)存取控制技術(shù)和審計(jì)技術(shù)。 C2C2級(jí)的級(jí)的DBMSDBMS必須具有必須具有自主存取控制和初步的審計(jì)功能自主存取控制和初步的審計(jì)功能。B1B1的的DBMSDBMS必須具有必須具有強(qiáng)制存取控制和增強(qiáng)的審計(jì)功能強(qiáng)制存取控制和增強(qiáng)的審計(jì)功能。目前許多大型目前許多大型DBMSDBMS達(dá)到了達(dá)到了C2C2級(jí)級(jí)，其安全版本達(dá)到了，其安全版本達(dá)到了B1B1。 11 CC標(biāo)準(zhǔn)標(biāo)準(zhǔn)v提出國(guó)際公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)提出國(guó)際公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)v將信息產(chǎn)品的安全要求分為：將信息產(chǎn)品的安全要

8、求分為：安全功能要求安全功能要求規(guī)范產(chǎn)品和系統(tǒng)的安全行為規(guī)范產(chǎn)品和系統(tǒng)的安全行為安全保證要求安全保證要求解決如何正確有效地實(shí)施這解決如何正確有效地實(shí)施這些功能些功能v以以“類類子類子類組件組件”結(jié)構(gòu)表述，組件是安全要結(jié)構(gòu)表述，組件是安全要求的最小構(gòu)件塊。求的最小構(gòu)件塊。12 CC標(biāo)準(zhǔn)標(biāo)準(zhǔn)v CC CC文本組成文本組成 簡(jiǎn)介和一般模型簡(jiǎn)介和一般模型 安全功能要求安全功能要求- -列出了列出了135135個(gè)功能組件，個(gè)功能組件，6666個(gè)子個(gè)子類和類和1111大類。大類。 安全保證要求安全保證要求- -列出列出7474個(gè)保證組件，個(gè)保證組件，2626個(gè)子類個(gè)子類和和7 7個(gè)大類。個(gè)大類。13 CC

9、標(biāo)準(zhǔn)標(biāo)準(zhǔn)v 根據(jù)對(duì)安全保證要求的支持情況提出根據(jù)對(duì)安全保證要求的支持情況提出評(píng)估保證級(jí)（評(píng)估保證級(jí)（EAL)：評(píng)估保證級(jí)評(píng)估保證級(jí)定義定義TCSEC安全級(jí)別（近似相當(dāng)）安全級(jí)別（近似相當(dāng)）EAL1功能測(cè)試（功能測(cè)試（functionally tested）EAL2結(jié)構(gòu)測(cè)試（結(jié)構(gòu)測(cè)試（structurally tested）C1EAL3系統(tǒng)地測(cè)試和檢查系統(tǒng)地測(cè)試和檢查（methodically tested and checked）C2EAL4系統(tǒng)地設(shè)計(jì)、測(cè)試和復(fù)查系統(tǒng)地設(shè)計(jì)、測(cè)試和復(fù)查（methodically designed， tested， and reviewed）B1EAL5半形式化

10、設(shè)計(jì)和測(cè)試半形式化設(shè)計(jì)和測(cè)試（semiformally designed and tested）B2EAL6半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試（semiformally verified design and tested）B3EAL7形式化驗(yàn)證的設(shè)計(jì)和測(cè)試形式化驗(yàn)證的設(shè)計(jì)和測(cè)試（formally verified design and tested）A114第四章第四章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性4.1 計(jì)算機(jī)安全性概述計(jì)算機(jī)安全性概述4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.3 視圖機(jī)制視圖機(jī)制4.4 審計(jì)（審計(jì)（Audit） 4.5 數(shù)據(jù)加密數(shù)據(jù)加密4.6 統(tǒng)計(jì)數(shù)據(jù)庫安全性

11、統(tǒng)計(jì)數(shù)據(jù)庫安全性4.7 小結(jié)小結(jié)15數(shù)據(jù)庫安全性控制概述數(shù)據(jù)庫安全性控制概述 計(jì)算機(jī)系統(tǒng)中，安全措施是一級(jí)一級(jí)層層設(shè)置計(jì)算機(jī)系統(tǒng)中，安全措施是一級(jí)一級(jí)層層設(shè)置計(jì)算機(jī)系統(tǒng)的安全模型計(jì)算機(jī)系統(tǒng)的安全模型 16數(shù)據(jù)庫安全性控制概述（續(xù)）數(shù)據(jù)庫安全性控制概述（續(xù)）v數(shù)據(jù)庫安全性控制的常用方法數(shù)據(jù)庫安全性控制的常用方法 用戶標(biāo)識(shí)和鑒定用戶標(biāo)識(shí)和鑒定 存取控制存取控制 視圖視圖 審計(jì)審計(jì) 密碼存儲(chǔ)密碼存儲(chǔ)174.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.2.1 用戶標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)與鑒別4.2.2 存取控制存取控制4.2.3 自主存取控制方法自主存取控制方法4.2.4 授權(quán)與回收授權(quán)與回收4.2.5 數(shù)據(jù)

12、庫角色數(shù)據(jù)庫角色4.2.6 強(qiáng)制存取控制方法強(qiáng)制存取控制方法184.2.1 用戶標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)與鑒別v用戶標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)與鑒別- 系統(tǒng)提供的最外層安全保護(hù)措施。系統(tǒng)提供的最外層安全保護(hù)措施。 為防止非授權(quán)用戶使用系統(tǒng)，通過創(chuàng)建用為防止非授權(quán)用戶使用系統(tǒng)，通過創(chuàng)建用戶賬號(hào)和口令來實(shí)現(xiàn)。戶賬號(hào)和口令來實(shí)現(xiàn)。194.2.2 存取控制存取控制存取控制機(jī)制主要包括兩部分：存取控制機(jī)制主要包括兩部分：1、定義用戶權(quán)限定義用戶權(quán)限:用戶權(quán)限是指不同的用戶對(duì)于不用戶權(quán)限是指不同的用戶對(duì)于不同的數(shù)據(jù)對(duì)象允許執(zhí)行的操作權(quán)限。同的數(shù)據(jù)對(duì)象允許執(zhí)行的操作權(quán)限。 2、合法權(quán)限檢查合法權(quán)限檢查:每當(dāng)用戶發(fā)出存取數(shù)

13、據(jù)庫的操作每當(dāng)用戶發(fā)出存取數(shù)據(jù)庫的操作請(qǐng)求后，請(qǐng)求后，DBMS查找數(shù)據(jù)字典，進(jìn)行合法權(quán)限檢查查找數(shù)據(jù)字典，進(jìn)行合法權(quán)限檢查，若用戶的操作請(qǐng)求超出了定義的權(quán)限，系統(tǒng)將拒，若用戶的操作請(qǐng)求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作。絕執(zhí)行此操作。20存取控制（續(xù)）存取控制（續(xù)）v常用存取控制方法常用存取控制方法 自主存取控制自主存取控制（Discretionary Access Control ，簡(jiǎn)稱，簡(jiǎn)稱DAC） C2級(jí)級(jí) 靈活靈活 強(qiáng)制存取控制強(qiáng)制存取控制（Mandatory Access Control，簡(jiǎn)稱簡(jiǎn)稱 MAC）B1級(jí)級(jí)嚴(yán)格嚴(yán)格214.2.3 自主存取控制方法自主存取控制方法v通過通過

14、 SQL 的的 GRANT 語句和語句和 REVOKE 語句實(shí)現(xiàn)語句實(shí)現(xiàn)v用戶權(quán)限組成用戶權(quán)限組成n數(shù)據(jù)對(duì)象數(shù)據(jù)對(duì)象n操作類型操作類型v定義用戶存取權(quán)限：定義用戶可以在哪些數(shù)據(jù)庫定義用戶存取權(quán)限：定義用戶可以在哪些數(shù)據(jù)庫對(duì)象上進(jìn)行哪些類型的操作對(duì)象上進(jìn)行哪些類型的操作v定義存取權(quán)限稱為定義存取權(quán)限稱為授權(quán)授權(quán) 22對(duì)象類型對(duì)象類型對(duì)象對(duì)象操操 作作 類類 型型數(shù)據(jù)庫數(shù)據(jù)庫模式模式CREATE SCHEMA基本表基本表CREATE TABLE，ALTER TABLE模式模式視圖視圖CREATE VIEW索引索引CREATE INDEX數(shù)據(jù)數(shù)據(jù)基本表和基本表和視圖視圖SELECT，INSERT，U

15、PDATE，DELETE，REFERENCES，ALL PRIVILEGES數(shù)據(jù)數(shù)據(jù)屬性列屬性列SELECT，INSERT，UPDATE， REFERENCESALL PRIVILEGES關(guān)系數(shù)據(jù)庫系統(tǒng)中的存取權(quán)限關(guān)系數(shù)據(jù)庫系統(tǒng)中的存取權(quán)限 234.2.4 授權(quán)與回收授權(quán)與回收一、一、GRANTvGRANT語句的一般格式：語句的一般格式： GRANT ,. ON TO ,. WITH GRANT OPTION;v語義：將對(duì)指定操作對(duì)象的指定操作權(quán)限授予語義：將對(duì)指定操作對(duì)象的指定操作權(quán)限授予指定的用戶指定的用戶 24GRANT（續(xù)）（續(xù)） 發(fā)出發(fā)出GRANT：DBA數(shù)據(jù)庫對(duì)象創(chuàng)建者（即屬主數(shù)據(jù)

16、庫對(duì)象創(chuàng)建者（即屬主Owner）已擁有該權(quán)限的用戶已擁有該權(quán)限的用戶 按受權(quán)限的用戶按受權(quán)限的用戶 一個(gè)或多個(gè)具體用戶一個(gè)或多個(gè)具體用戶PUBLIC（全體用戶）（全體用戶） 25WITH GRANT OPTION子句子句vWITH GRANT OPTION子句子句: 指定：可以指定：可以再授予再授予 沒有指定：沒有指定：不能傳播不能傳播v不允許循環(huán)授權(quán)不允許循環(huán)授權(quán)26例題（續(xù)）例題（續(xù)）例例2 把對(duì)把對(duì)Student表和表和Course表的全部權(quán)限授予表的全部權(quán)限授予用戶用戶U2和和U3 GRANT ALL PRIVILEGES ON TABLE Student, Course TO U2,

17、 U3;27例題（續(xù)）例題（續(xù)）例例4 把查詢把查詢Student表和修改學(xué)生學(xué)號(hào)的權(quán)限授給表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;v對(duì)屬性列的授權(quán)時(shí)必須明確指出相應(yīng)屬性列名對(duì)屬性列的授權(quán)時(shí)必須明確指出相應(yīng)屬性列名 28傳播權(quán)限傳播權(quán)限 例例6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; U6還可以將此權(quán)限授予還可以將此權(quán)限授予U7： 例例7 GRANT INSERT ON TABLE SC TO U7; 但但U7不能再傳播此權(quán)限。不能再傳播

18、此權(quán)限。 29授權(quán)與回收（續(xù)）授權(quán)與回收（續(xù)）二、二、REVOKEv授予的權(quán)限可以由授予的權(quán)限可以由DBA或其他授權(quán)者用或其他授權(quán)者用REVOKE語句收回語句收回vREVOKE語句的一般格式為：語句的一般格式為： REVOKE ,. ON FROM ,.;30REVOKE（續(xù)）（續(xù)）例例10 把用戶把用戶U5對(duì)對(duì)SC表的表的INSERT權(quán)限收回權(quán)限收回REVOKE INSERT ON TABLE SC FROM U5 CASCADE ; 將用戶將用戶U5的的INSERT權(quán)限收回的時(shí)候必須級(jí)聯(lián)權(quán)限收回的時(shí)候必須級(jí)聯(lián)（CASCADE）收回）收回 系統(tǒng)只收回直接或間接從系統(tǒng)只收回直接或間接從U5處獲

19、得的權(quán)限處獲得的權(quán)限 31小結(jié)小結(jié):SQLSQL靈活的授權(quán)機(jī)制靈活的授權(quán)機(jī)制vDBA：擁有所有對(duì)象的所有權(quán)限：擁有所有對(duì)象的所有權(quán)限 將不同的權(quán)限授予不同的用戶將不同的權(quán)限授予不同的用戶v用戶：擁有自己建立的對(duì)象的全部的操作權(quán)限用戶：擁有自己建立的對(duì)象的全部的操作權(quán)限 GRANT：授予其他用戶：授予其他用戶v被授權(quán)的用戶被授權(quán)的用戶 有有“繼續(xù)授權(quán)繼續(xù)授權(quán)”許可：可再授予其他用戶許可：可再授予其他用戶v所有授予出去的權(quán)力在必要時(shí)又都可用所有授予出去的權(quán)力在必要時(shí)又都可用REVOKE語句收回語句收回32授權(quán)與回收（續(xù)）授權(quán)與回收（續(xù)）三、創(chuàng)建數(shù)據(jù)庫模式的權(quán)限三、創(chuàng)建數(shù)據(jù)庫模式的權(quán)限 vDBA在創(chuàng)

20、建用戶時(shí)實(shí)現(xiàn)在創(chuàng)建用戶時(shí)實(shí)現(xiàn)vCREATE USER語句格式語句格式 CREATE USER WITHDBA | RESOURCE | CONNECT33授權(quán)與回收（續(xù)）授權(quán)與回收（續(xù)）擁有的擁有的權(quán)限權(quán)限可否執(zhí)行的操作可否執(zhí)行的操作CREATE USERCREATE SCHEMACREATE TABLE登錄數(shù)據(jù)庫登錄數(shù)據(jù)庫 執(zhí)行執(zhí)行數(shù)據(jù)查詢和操縱數(shù)據(jù)查詢和操縱DBA可以可以可以可以可以可以可以可以RESOURCE不可以不可以不可以不可以可以可以可以可以CONNECT不可以不可以不可以不可以不可以不可以可以，但必須擁可以，但必須擁有相應(yīng)權(quán)限有相應(yīng)權(quán)限權(quán)限與可執(zhí)行的操作對(duì)照表權(quán)限與可執(zhí)行的操作對(duì)

21、照表 344.2.5 數(shù)據(jù)庫角色數(shù)據(jù)庫角色v數(shù)據(jù)庫角色：被命名的一組與數(shù)據(jù)庫操作相關(guān)的數(shù)據(jù)庫角色：被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限權(quán)限 角色是權(quán)限的集合角色是權(quán)限的集合 可以為一組具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色可以為一組具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色 簡(jiǎn)化授權(quán)的過程簡(jiǎn)化授權(quán)的過程35數(shù)據(jù)庫角色數(shù)據(jù)庫角色v一、角色的創(chuàng)建一、角色的創(chuàng)建CREATE ROLE v二、給角色授權(quán)二、給角色授權(quán) GRANT ， ON 對(duì)象名對(duì)象名 TO ，36數(shù)據(jù)庫角色數(shù)據(jù)庫角色v三、將一個(gè)角色授予其他的角色或用戶三、將一個(gè)角色授予其他的角色或用戶GRANT ，TO ， WITH ADMIN OPTION v四、角色

22、權(quán)限的收回四、角色權(quán)限的收回 REVOKE ，ON FROM ，37自主存取控制特點(diǎn)自主存取控制特點(diǎn)n同一用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限同一用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限n不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限n用戶還可將其擁有的存取權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授轉(zhuǎn)授給其他用戶給其他用戶 由于用戶對(duì)數(shù)據(jù)的存取權(quán)限是由于用戶對(duì)數(shù)據(jù)的存取權(quán)限是“自主自主”的，用戶的，用戶可以自由地決定將數(shù)據(jù)的存取權(quán)限授予何人、決定是可以自由地決定將數(shù)據(jù)的存取權(quán)限授予何人、決定是否可將否可將“授權(quán)授權(quán)”的權(quán)限授予別人，而系統(tǒng)對(duì)此無法控的權(quán)限授予別人，而系統(tǒng)對(duì)此無法控

23、制。制。38自主存取控制缺點(diǎn)自主存取控制缺點(diǎn)v可能存在數(shù)據(jù)的可能存在數(shù)據(jù)的“無意泄露無意泄露”v原因：這種機(jī)制僅僅通過對(duì)數(shù)據(jù)的存取權(quán)限來原因：這種機(jī)制僅僅通過對(duì)數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記v解決：對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存解決：對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略取控制策略 394.2.6 強(qiáng)制存取控制方法強(qiáng)制存取控制方法強(qiáng)制存取控制方法（強(qiáng)制存取控制方法（MAC）n每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的密級(jí)密級(jí)n每一個(gè)用戶也被授予某一個(gè)級(jí)別的每一個(gè)用戶也被授予某一個(gè)級(jí)別的許可證許可證n對(duì)于任意一個(gè)對(duì)

24、象，只有具有合法許可證的用戶對(duì)于任意一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取才可以存取40強(qiáng)制存取控制方法（續(xù)）強(qiáng)制存取控制方法（續(xù)） 在在MAC中，中，DBMS所管理的全部實(shí)體被分為主體所管理的全部實(shí)體被分為主體和客體兩大類。和客體兩大類。 主體主體是系統(tǒng)中的活動(dòng)實(shí)體，既包括是系統(tǒng)中的活動(dòng)實(shí)體，既包括DBMS所管理所管理的實(shí)際的實(shí)際用戶用戶，也包括代表用戶的各，也包括代表用戶的各進(jìn)程進(jìn)程。 客體客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的，包是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的，包括括文件、基表、索引、視圖文件、基表、索引、視圖等。等。 41強(qiáng)制存取控制方法（續(xù)）強(qiáng)制存取控制方法（續(xù)） 對(duì)于主體

25、和客體，對(duì)于主體和客體，DBMS為它們每個(gè)實(shí)例（值）為它們每個(gè)實(shí)例（值）指派一個(gè)指派一個(gè)敏感度標(biāo)記敏感度標(biāo)記（LABEL），并分若干級(jí)別，），并分若干級(jí)別，如：絕密（如：絕密（Top Secret）、機(jī)密（）、機(jī)密（Secret）、可信）、可信（Confidential）、公開（）、公開（Public） 主體主體的敏感度標(biāo)記稱為的敏感度標(biāo)記稱為許可證級(jí)別許可證級(jí)別， 客體客體的敏感度標(biāo)記稱為的敏感度標(biāo)記稱為密級(jí)密級(jí)。 MAC機(jī)制就是通過對(duì)比主體的機(jī)制就是通過對(duì)比主體的LABEL和客體的和客體的LABEL，最終確定主體是否能夠存取客體。，最終確定主體是否能夠存取客體。 42強(qiáng)制存取控制方法（續(xù)）

26、強(qiáng)制存取控制方法（續(xù)）v 強(qiáng)制存取控制規(guī)則強(qiáng)制存取控制規(guī)則 (1)僅當(dāng)主體的許可證級(jí)別僅當(dāng)主體的許可證級(jí)別大于或等于大于或等于客體的密客體的密級(jí)時(shí)，該主體才能級(jí)時(shí)，該主體才能讀讀取相應(yīng)的客體取相應(yīng)的客體 (2)僅當(dāng)主體的許可證級(jí)別僅當(dāng)主體的許可證級(jí)別等于等于客體的密級(jí)時(shí)，客體的密級(jí)時(shí)，該主體才能該主體才能寫寫相應(yīng)的客體相應(yīng)的客體v修正規(guī)則修正規(guī)則 主體的許可證級(jí)別主體的許可證級(jí)別 =客體的密級(jí)客體的密級(jí) 主體能主體能寫客體寫客體43強(qiáng)制存取控制方法（續(xù)）強(qiáng)制存取控制方法（續(xù)）v規(guī)則的共同點(diǎn)規(guī)則的共同點(diǎn)禁止了擁有高許可證級(jí)別的主體更新低密級(jí)的數(shù)禁止了擁有高許可證級(jí)別的主體更新低密級(jí)的數(shù)據(jù)對(duì)象據(jù)對(duì)

27、象44MAC與與DACvDAC與與MAC共同構(gòu)成共同構(gòu)成DBMS的安全機(jī)制的安全機(jī)制v實(shí)現(xiàn)實(shí)現(xiàn)MAC時(shí)要首先實(shí)現(xiàn)時(shí)要首先實(shí)現(xiàn)DAC 系統(tǒng)首先進(jìn)行系統(tǒng)首先進(jìn)行DAC檢查，對(duì)通過檢查，對(duì)通過DAC檢查的檢查的允許存取的數(shù)據(jù)對(duì)象再由系統(tǒng)自動(dòng)進(jìn)行允許存取的數(shù)據(jù)對(duì)象再由系統(tǒng)自動(dòng)進(jìn)行MAC檢查檢查，只有通過，只有通過MAC檢查的數(shù)據(jù)對(duì)象方可存取。檢查的數(shù)據(jù)對(duì)象方可存取。45強(qiáng)制存取控制方法（續(xù)）強(qiáng)制存取控制方法（續(xù)）DAC + MAC安全檢查示意圖安全檢查示意圖 SQL語法分析語法分析 & 語義檢查語義檢查 DAC 檢檢 查查 安全檢查安全檢查 MAC 檢檢 查查 繼繼 續(xù)續(xù)46第四章第四章 數(shù)據(jù)

28、庫安全性數(shù)據(jù)庫安全性4.1 計(jì)算機(jī)安全性概述計(jì)算機(jī)安全性概述4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.3 視圖機(jī)制視圖機(jī)制4.4 審計(jì)（審計(jì)（Audit） 4.5 數(shù)據(jù)加密數(shù)據(jù)加密4.6 統(tǒng)計(jì)數(shù)據(jù)庫安全性統(tǒng)計(jì)數(shù)據(jù)庫安全性4.7 小結(jié)小結(jié)474.3 視圖機(jī)制視圖機(jī)制v把要保密的數(shù)據(jù)對(duì)無權(quán)存取這些數(shù)據(jù)的用戶隱藏把要保密的數(shù)據(jù)對(duì)無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來，對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)。起來，對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)。n視圖機(jī)制與授權(quán)機(jī)制配合使用視圖機(jī)制與授權(quán)機(jī)制配合使用:n首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù)首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù)n視圖上面再進(jìn)一步定義存取權(quán)限視圖上面再進(jìn)一步定義

29、存取權(quán)限n間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義48視圖機(jī)制（續(xù)）視圖機(jī)制（續(xù)）例例14建立計(jì)算機(jī)系學(xué)生的視圖，把對(duì)該視圖的建立計(jì)算機(jī)系學(xué)生的視圖，把對(duì)該視圖的SELECT權(quán)限授于王平，把該視圖上的所有操作權(quán)限授于王平，把該視圖上的所有操作權(quán)限授于張明權(quán)限授于張明 先建立計(jì)算機(jī)系學(xué)生的視圖先建立計(jì)算機(jī)系學(xué)生的視圖CS_Student CREATE VIEW CS_Student AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept=CS；49視圖機(jī)制（續(xù)）視圖機(jī)制（續(xù)）在視圖上進(jìn)一步定義存取權(quán)

30、限在視圖上進(jìn)一步定義存取權(quán)限 GRANT SELECT ON CS_Student TO 王平王平 ； GRANT ALL PRIVILIGES ON CS_Student TO 張明；張明； 504.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.1 計(jì)算機(jī)安全性概述計(jì)算機(jī)安全性概述4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.3 視圖機(jī)制視圖機(jī)制4.4 審計(jì)（審計(jì)（Audit） 4.5 數(shù)據(jù)加密數(shù)據(jù)加密4.6 統(tǒng)計(jì)數(shù)據(jù)庫安全性統(tǒng)計(jì)數(shù)據(jù)庫安全性4.7 小結(jié)小結(jié)514.4 審計(jì)審計(jì)v什么是審計(jì)什么是審計(jì) 審計(jì)日志（審計(jì)日志（Audit Log） 將用戶對(duì)數(shù)據(jù)庫的所有操作記錄在上面將用戶對(duì)數(shù)據(jù)庫的所有操作

31、記錄在上面 DBA利用審計(jì)日志利用審計(jì)日志 找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容 C2以上安全級(jí)別的以上安全級(jí)別的DBMS必須具有必須具有52審計(jì)（續(xù)）審計(jì)（續(xù)）v審計(jì)分為審計(jì)分為 用戶級(jí)審計(jì)用戶級(jí)審計(jì)針對(duì)自己創(chuàng)建的數(shù)據(jù)庫表或視圖進(jìn)行審計(jì)針對(duì)自己創(chuàng)建的數(shù)據(jù)庫表或視圖進(jìn)行審計(jì) 記錄所有用戶對(duì)這些表或視圖的一切成功和記錄所有用戶對(duì)這些表或視圖的一切成功和（或）不成功的訪問要求以及各種類型的（或）不成功的訪問要求以及各種類型的SQL操作操作 系統(tǒng)級(jí)審計(jì)系統(tǒng)級(jí)審計(jì) DBA設(shè)置設(shè)置 監(jiān)測(cè)成功或失敗的登錄要求監(jiān)測(cè)成功或失敗的登錄要求 監(jiān)測(cè)監(jiān)測(cè)GRANT和和REVOKE操作以及其

32、他數(shù)據(jù)操作以及其他數(shù)據(jù)庫級(jí)權(quán)限下的操作庫級(jí)權(quán)限下的操作53審計(jì)（續(xù)）審計(jì)（續(xù)）vAUDIT語句：設(shè)置審計(jì)功能語句：設(shè)置審計(jì)功能 vNOAUDIT語句：取消審計(jì)功能語句：取消審計(jì)功能 n審計(jì)很費(fèi)時(shí)間和空間審計(jì)很費(fèi)時(shí)間和空間nDBA可以根據(jù)應(yīng)用對(duì)安全性的要求，靈活地可以根據(jù)應(yīng)用對(duì)安全性的要求，靈活地打開或關(guān)閉審計(jì)功能。打開或關(guān)閉審計(jì)功能。54審計(jì)（續(xù)）審計(jì)（續(xù)）例例15對(duì)修改對(duì)修改SC表結(jié)構(gòu)或修改表結(jié)構(gòu)或修改SC表數(shù)據(jù)的操作表數(shù)據(jù)的操作進(jìn)行審計(jì)進(jìn)行審計(jì) AUDIT ALTER，UPDATE ON SC；例例16取消對(duì)取消對(duì)SC表的一切審計(jì)表的一切審計(jì) NOAUDIT ALTER，UPDATE ON

33、 SC；554.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.1 計(jì)算機(jī)安全性概述計(jì)算機(jī)安全性概述4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.3 視圖機(jī)制視圖機(jī)制4.4 審計(jì)（審計(jì)（Audit） 4.5 數(shù)據(jù)加密數(shù)據(jù)加密4.6 統(tǒng)計(jì)數(shù)據(jù)庫安全性統(tǒng)計(jì)數(shù)據(jù)庫安全性4.7 小結(jié)小結(jié)564.5 數(shù)據(jù)加密數(shù)據(jù)加密v數(shù)據(jù)加密數(shù)據(jù)加密防止數(shù)據(jù)庫中數(shù)據(jù)在防止數(shù)據(jù)庫中數(shù)據(jù)在存儲(chǔ)和傳輸存儲(chǔ)和傳輸中失密的有效手段中失密的有效手段v加密的基本思想加密的基本思想 根據(jù)一定的算法將原始數(shù)據(jù)（明文）變換為不可直根據(jù)一定的算法將原始數(shù)據(jù)（明文）變換為不可直接識(shí)別的格式（密文），從而使得不知道解密算法的接識(shí)別的格式（密文），從而使得

34、不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容。人無法獲知數(shù)據(jù)的內(nèi)容。v加密方法加密方法-替換方法，置換方法，替換方法，置換方法，混合混合方法方法vDBMS中的數(shù)據(jù)加密中的數(shù)據(jù)加密57第四章第四章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性4.1 計(jì)算機(jī)安全性概述計(jì)算機(jī)安全性概述4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.3 視圖機(jī)制視圖機(jī)制4.4 審計(jì)（審計(jì)（Audit） 4.5 數(shù)據(jù)加密數(shù)據(jù)加密4.6 統(tǒng)計(jì)數(shù)據(jù)庫安全性統(tǒng)計(jì)數(shù)據(jù)庫安全性4.7 小結(jié)小結(jié)584.6 統(tǒng)計(jì)數(shù)據(jù)庫安全性統(tǒng)計(jì)數(shù)據(jù)庫安全性 統(tǒng)計(jì)數(shù)據(jù)庫中的數(shù)據(jù)分：統(tǒng)計(jì)數(shù)據(jù)庫中的數(shù)據(jù)分： 微數(shù)據(jù)微數(shù)據(jù)：是描述現(xiàn)實(shí)世界的實(shí)體，概念或事件的：是描述現(xiàn)實(shí)世界的實(shí)體，概念或

35、事件的數(shù)據(jù)。數(shù)據(jù)。 統(tǒng)計(jì)或綜合數(shù)據(jù)統(tǒng)計(jì)或綜合數(shù)據(jù)：對(duì)微數(shù)據(jù)進(jìn)行綜合處理而得到：對(duì)微數(shù)據(jù)進(jìn)行綜合處理而得到的結(jié)果數(shù)據(jù)。的結(jié)果數(shù)據(jù)。 DBMS必須防止用戶訪問或推導(dǎo)出統(tǒng)計(jì)必須防止用戶訪問或推導(dǎo)出統(tǒng)計(jì)DB的微的微數(shù)據(jù)。數(shù)據(jù)。 59統(tǒng)計(jì)數(shù)據(jù)庫安全性（續(xù)）統(tǒng)計(jì)數(shù)據(jù)庫安全性（續(xù)）n統(tǒng)計(jì)數(shù)據(jù)庫的特點(diǎn)統(tǒng)計(jì)數(shù)據(jù)庫的特點(diǎn)n允許用戶查詢?cè)试S用戶查詢聚集聚集類型的信息（例如合計(jì)、類型的信息（例如合計(jì)、平均值等）平均值等）n不允許查詢不允許查詢單個(gè)單個(gè)記錄信息記錄信息例：允許查詢例：允許查詢“程序員的平均工資是多少？程序員的平均工資是多少？” 不允許查詢不允許查詢“程序員張勇的工資？程序員張勇的工資？”60統(tǒng)計(jì)數(shù)據(jù)庫安全性（續(xù)）統(tǒng)計(jì)數(shù)據(jù)庫安全性（續(xù)） 防止用戶推導(dǎo)出統(tǒng)計(jì)數(shù)據(jù)庫的微數(shù)據(jù)，可采用防止用戶推導(dǎo)出統(tǒng)計(jì)數(shù)據(jù)庫的微數(shù)據(jù)，可采用如下三種方法：如下三種方法： A、對(duì)統(tǒng)計(jì)查詢結(jié)果的記錄數(shù)加以控制，使之不小于、對(duì)統(tǒng)計(jì)查詢結(jié)果的記錄數(shù)加以控制，使之不小于一定范圍。一定范圍。 B、禁止在相同元組集上