[精选]2017第7章数据库安全性jkv.pptx

第七章第七章:数据库安全性数据库安全性q数据库安全性概述数据库安全性概述q数据库安全性控制数据库安全性控制qOracle数据库数据安全性控制介绍数据库数据安全性控制介绍对数据库安全的威胁对数据库安全的威胁无意损坏无意损坏天窗天窗心存不满的专业人员数据库数据库受保护数据受保护数据物理损坏物理损坏 火灾,水灾等非法访问非法访问 黑客数据复制数据复制工业间谍蓄意破坏者通信损坏通信损坏典型的数据访问方式典型的数据访问方式查询数据执行C/S结构服务器客户执行数据查询数据库作为服务数据执行查询依赖于数据的方法数据库安全概述数据库安全概述q数据库系统的安全保护措施是否有效是数据库系数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一统主要的性能指标之一q数据库的安全性数据库的安全性q指保护数据库，防止因指保护数据库，防止因用户非法用户非法使用数据库所使用数据库所造成的数据泄漏、更改或破坏造成的数据泄漏、更改或破坏q数据的保密数据的保密q指指用户合法用户合法地访问到机密数据后能否对这些数地访问到机密数据后能否对这些数据保密据保密q通过制订法律道德准则和政策法规来保证通过制订法律道德准则和政策法规来保证非法使用数据库的情况非法使用数据库的情况l用户编写一段合法的程序绕过用户编写一段合法的程序绕过DBMS及其授权机制，通及其授权机制，通过操作系统直接存取、修改或备份数据库中的数据过操作系统直接存取、修改或备份数据库中的数据l直接或编写应用程序执行非授权操作直接或编写应用程序执行非授权操作l通过多次合法查询数据库从中推导出一些保密数据通过多次合法查询数据库从中推导出一些保密数据例如：某数据库应用系统禁止查询单个人的工资，但例如：某数据库应用系统禁止查询单个人的工资，但允许查任意一组人的平均工资。用户甲想了解张三的允许查任意一组人的平均工资。用户甲想了解张三的工资工资l首先查询包括张三在内的一组人的平均工资首先查询包括张三在内的一组人的平均工资l然后查用自己替换张三后这组人的平均工资然后查用自己替换张三后这组人的平均工资推导出张三的工资推导出张三的工资l破坏安全性的行为可能是无意的，故意的，恶意的破坏安全性的行为可能是无意的，故意的，恶意的数据库系统的安全机制数据库系统的安全机制授权机制授权机制约束机制约束机制审计审计触发器触发器存储过程存储过程用户用户身份验证身份验证操作系统操作系统数据库服务器数据库服务器(RDBMS)视图视图计算机系统中的安全模型计算机系统中的安全模型 应用应用DBMSOS DB 低低 高高安全性控制层次安全性控制层次 方法：方法：用户标识用户标识和鉴定和鉴定 存取控制存取控制审计审计视图视图 操作系统操作系统 安全保护安全保护 密码存储密码存储数据库安全性控制的常用方法数据库安全性控制的常用方法l用户标识和鉴定（用户标识和鉴定（Identification&Authentication）系统提供的最外层安全保护措施系统提供的最外层安全保护措施l存取控制存取控制访问权限访问权限l通过视图调整授权通过视图调整授权定义可向用户授权数据库特定部分的用户视图定义可向用户授权数据库特定部分的用户视图l审计审计追踪信息，重现导致数据库现有状况的一系列事件追踪信息，重现导致数据库现有状况的一系列事件l密码存储密码存储使用加密技术保护机密数据使用加密技术保护机密数据用户标识与鉴定用户标识与鉴定l基本方法基本方法系统提供一定的方式让用户标识自己的名字或身份；系统提供一定的方式让用户标识自己的名字或身份；系统内部记录着所有合法用户的标识；系统内部记录着所有合法用户的标识；每次用户要求进入系统时，由系统核对用户提供的身每次用户要求进入系统时，由系统核对用户提供的身份标识；份标识；通过鉴定后才提供机器使用权。通过鉴定后才提供机器使用权。用户标识和鉴定可以重复多次用户标识和鉴定可以重复多次用户标识与鉴定用户标识与鉴定l让用户标识自己的名字或身份的方法让用户标识自己的名字或身份的方法用户名用户名/口令口令l简单易行，容易被人窃取简单易行，容易被人窃取每个用户预先约定好一个每个用户预先约定好一个计算过程计算过程或者或者函数函数l系统提供一个随机数系统提供一个随机数l用户根据自己预先约定的计算过程或者函数进行用户根据自己预先约定的计算过程或者函数进行计算计算l系统根据用户计算结果是否正确鉴定用户身份系统根据用户计算结果是否正确鉴定用户身份用户标识和鉴定用户标识和鉴定lSQLServer提供两种不同的方法来验证用户进入服务提供两种不同的方法来验证用户进入服务器。用户可以根据自己的网络配置决定使用其中一种。器。用户可以根据自己的网络配置决定使用其中一种。Windows验证验证lNT以上以上O.S.：允许：允许SQLServer使用使用O.S.的用户的用户名和口令名和口令SQLServer验证验证l用户传给服务器的登录信息与系统表用户传给服务器的登录信息与系统表syslogins中中的信息进行比较。如果两个口令匹配，的信息进行比较。如果两个口令匹配，SQLServer允许用户访问服务器。如果不匹配，允许用户访问服务器。如果不匹配，SQLServer不允许访问，并且用户会从服务器上收到不允许访问，并且用户会从服务器上收到一个出错信息一个出错信息用户标识和鉴定用户标识和鉴定l服务器登录标识管理服务器登录标识管理sa和和Administrator是系统在安装时创建的分别用是系统在安装时创建的分别用于于SQLServer混合验证模式和混合验证模式和Windows验证模式验证模式的系统登录名。如果用户想创建新的登录名或删除的系统登录名。如果用户想创建新的登录名或删除已有的登录名，可使用下列两种方法已有的登录名，可使用下列两种方法使用使用SQLServer企业管理器管理登录名企业管理器管理登录名使用使用SQLServer系统存储过程管理登录名系统存储过程管理登录名用户标识和鉴定用户标识和鉴定l数据库用户管理数据库用户管理在在SQLServer中，登录对象和用户对象是中，登录对象和用户对象是SQLServer进行权限管理的两种不同的对象。进行权限管理的两种不同的对象。登录对象登录对象：服务器方的一个实体，使用一个登录名可：服务器方的一个实体，使用一个登录名可以与服务器上的所有数据库进行交互。以与服务器上的所有数据库进行交互。用户对象用户对象：一个或多个登录对象在数据库中的映射，：一个或多个登录对象在数据库中的映射，可以对用户对象进行授权，以便为登录对象提供对数可以对用户对象进行授权，以便为登录对象提供对数据库的访问权限，一个登录名可以被授权访问多个数据库的访问权限，一个登录名可以被授权访问多个数据库，一个登录名在每个数据库中只能映射一次。据库，一个登录名在每个数据库中只能映射一次。用户标识和鉴定用户标识和鉴定l数据库用户管理数据库用户管理SQL Server可使用下列两种方法来管理数据库用户使用使用SQLServer企业管理器管理数据库用户；企业管理器管理数据库用户；使用使用SQLServer系统存储过程系统存储过程sp_grantdbaccess管理数据库用户管理数据库用户l在在SQLServer中主要有两种类型的角色中主要有两种类型的角色服务器角色服务器角色数据库角色数据库角色存取控制存取控制用户权限用户权限:用户对数据库中的不同用户对数据库中的不同数据对象数据对象允许执行的允许执行的操作权限操作权限关系系统中的存取权限关系系统中的存取权限:不同的不同的DBMS具体具体实现方法是存在一些差别的实现方法是存在一些差别的数据本身数据本身:表、属性列表、属性列外模式外模式,模式模式,内模式内模式不同类型的数不同类型的数据对象有不同据对象有不同的操作权力的操作权力DBMS的的存取控制存取控制SQL:GrantRevoke数据字典数据字典数据库数据库DBMS 用户、DBA用户SQL:查询l任意控制（任意控制（DAC）l强制控制（强制控制（MAC）SQL语法分析 语义检查DAC检查检查MAC检查检查继续安全检查q存取控制机制包括存取控制机制包括:定义用户权限定义用户权限,该定义被存放到数据字典中该定义被存放到数据字典中合法权限检查合法权限检查,根据数据字典检查用户权限根据数据字典检查用户权限定义存储权限检查存储权限存取控制存取控制授权授权(Authorization)q谁定义？谁定义？DBA是表的建立者（即表的属主）是表的建立者（即表的属主）q如何定义？如何定义？SQL语句：语句：GRANT-将对指定将对指定操作对象操作对象的指定的指定操作权限操作权限授予指定的授予指定的用户用户REVOKE-从指定从指定用户用户那里收回对指定那里收回对指定对象对象的指定的指定权限权限存取控制存取控制授权授权qGRANT语句的一般格式语句的一般格式:grant ,on to,with grant option;q例子例子:把查询把查询Students表的权限授给用户表的权限授给用户wang grant select on table Students to wang;q例子例子:把对把对Students和和SC表的所有访问权限授给全部用户表的所有访问权限授给全部用户 grant all priviliges on table Students,SC to public;qDBA把在数据库把在数据库SC中建立表的权限授予用户中建立表的权限授予用户zhao grant createtab on database SC to zhao;存取控制存取控制授权授权qwithgrantoption子句子句例子例子:把对表把对表SC的查询权限、修改成绩权限授给的查询权限、修改成绩权限授给wang和和zhang,并允许并允许wang和和zhang将该权限授予他人将该权限授予他人grantselect,update(Grade)ontableSCtowang,zhangwithgrantoption;qDBA、对象的建立者和经过、对象的建立者和经过withgrantoption授权的用户授权的用户可以把他们对该对象具有的操作权限授予其它的合法用户可以把他们对该对象具有的操作权限授予其它的合法用户USER1USER2USER3USER4操作权限操作权限 对象对象类型操 作 权 限 属性列TABLESELECT,INSERT,UPDATEDELETE,ALL PRIVIEGES 视图TABLESELECT,INSERT,UPDATEDELETE,ALL PRIVIEGES 基本表TABLESELECT,INSERT,UPDATEDELETE,ALTER,INDEX,ALL PRIVIEGES 数据库DATABASECREATETAB用户权限用户权限l建表（建表（CREATETABCREATETAB）的权限）的权限:属于属于DBADBAlDBADBA授予授予-普通用户普通用户l基本表或视图的属主拥有对该表或视图的一切操作权限基本表或视图的属主拥有对该表或视图的一切操作权限l接受权限的用户接受权限的用户一个或多个具体用户一个或多个具体用户PUBLICPUBLIC（全体用户）（全体用户）存取控制存取控制授权回收授权回收l授出的权限可以由授出的权限可以由DBA或其他的授权者收回或其他的授权者收回revoke,onfrom,l例子例子:把用户把用户wang和和zhang修改成绩的权限收回修改成绩的权限收回revokeupdate(Grade)ontableSCfromwang,zhang;l例子例子:收回所有用户对收回所有用户对SC表的查询授权表的查询授权revokeSELECTonTABLESCfromPUBLIC;l授权回收操作是级联的授权回收操作是级联的USER1USER2USER3USER4数据库角色（数据库角色（Role）l如果要给成千上万个雇员分配许可，将面临很大的管如果要给成千上万个雇员分配许可，将面临很大的管理难题，每次有雇员到来或者离开时，就得有人分配理难题，每次有雇员到来或者离开时，就得有人分配或去除可能与数百张表或视图有关的权限。这项任务或去除可能与数百张表或视图有关的权限。这项任务不但耗时，而且容易出错。不但耗时，而且容易出错。l一个一个相对简单有效的解决方案就是定义数据库角色相对简单有效的解决方案就是定义数据库角色。l数据库角色是被命名的一组与数据库操作相关的权限，数据库角色是被命名的一组与数据库操作相关的权限，即一组相关权限的集合。即一组相关权限的集合。l可以为一组具有相同权限的用户创建一个角色。使用可以为一组具有相同权限的用户创建一个角色。使用角色来管理数据库权限可以简化授权的过程。角色来管理数据库权限可以简化授权的过程。授权管理授权管理DBARole用户用户用户用户授权授权属于任意控制任意控制视图机制视图机制l视图机制把要保密的数据对无权存取这些数据视图机制把要保密的数据对无权存取这些数据的用户隐藏起来，从而自动地对数据提供一定的用户隐藏起来，从而自动地对数据提供一定程度的安全保护程度的安全保护l视图机制更主要的功能在于提供数据独立性，视图机制更主要的功能在于提供数据独立性，其安全保护功能太不精细，往往远不能达到应其安全保护功能太不精细，往往远不能达到应用系统的要求用系统的要求视图机制视图机制l在实际应用中通常是视图机制与授权机制配合在实际应用中通常是视图机制与授权机制配合使用，首先用视图机制屏蔽掉一部分保密数据，使用，首先用视图机制屏蔽掉一部分保密数据，然后在视图上面再进一步定义存取权限然后在视图上面再进一步定义存取权限l这时视图机制实际上间接实现了支持存取谓词这时视图机制实际上间接实现了支持存取谓词的用户权限定义的用户权限定义视图机制视图机制l例如：例如：USER1只能检索计算机系学生的信息只能检索计算机系学生的信息(1)先建立计算机系学生的视图先建立计算机系学生的视图CS_StudentCREATEVIEWCS_StudentASSELECTFROMStudentWHERESdept=CS；(2)在视图上进一步定义存取权限在视图上进一步定义存取权限GRANTSELECTONCS_StudentTOUSER1；SQLServer的安全机制的安全机制lSQLServer采用采用4个等级的安全验证个等级的安全验证：操作系统安全验证；操作系统安全验证；SQLServer安全验证；安全验证；SQLServer数据库安全验证；数据库安全验证；SQLServer数据库对象安全验证。数据库对象安全验证。SQLServer的安全机制的安全机制l权限管理：权限管理：在SQL Server中有三种类型的权限语句权限：可以委派给其它用户语句权限：可以委派给其它用户对象权限：可以委派给其它用户对象权限：可以委派给其它用户隐含权限：只允许属于特定角色的人使用隐含权限：只允许属于特定角色的人使用l在在SQLServer中主要有两种类型的角色中主要有两种类型的角色服务器角色与数据库角色服务器角色与数据库角色SQLServer的安全机制的安全机制l语句权限语句权限是是SQLServer中功能最强大的一些权限，这些权限只中功能最强大的一些权限，这些权限只限分配在单个数据库，跨数据库的权限是不可能的限分配在单个数据库，跨数据库的权限是不可能的通常只给那些需要在数据库中创建或修改对象、执行通常只给那些需要在数据库中创建或修改对象、执行数据库或事务日志备份的用户数据库或事务日志备份的用户当分配语句权限给用户时，就给了他们创建对象的能当分配语句权限给用户时，就给了他们创建对象的能力，通常使用对应的力，通常使用对应的SQLServer命令来引用命令来引用SQLServer的安全机制的安全机制l语句权限语句权限CREATE DATABASE创建数据库CREATE TABLE创建表CREATE VIEW创建视图CREATE RULE创建规则CREATE DEFAULT创建缺省CREATE PROCEDURE创建存储过程BACKUP DATABASE备份数据库BACKUP LOG备份事务日志SQLServer的安全机制的安全机制l对象权限对象权限对象权限分配给数据库层次上的对象，并允许用户访问对象权限分配给数据库层次上的对象，并允许用户访问和操作数据库中已存在的对象和操作数据库中已存在的对象没有这些权限，用户将不能访问数据库里的任何对象。没有这些权限，用户将不能访问数据库里的任何对象。这些权限实际上给了用户运行特定这些权限实际上给了用户运行特定SQL语句的能力语句的能力l对象授权操作表：表：SELECT,INSERT,UPDATE,DELETE,REFERENCE视图：视图：SELECT,INSERT,UPDATE,DELETE存储过程：存储过程：EXECUTE列：列：SELECT,UPDATEOracle数据库的安全性措施数据库的安全性措施lORACLE的安全措施的安全措施:用户标识和鉴定授权和检查机制审计技术用户通过触发器灵活定义自己的安全性措施ORACLE的用户标识和鉴定的用户标识和鉴定lORACLE允许用户重复标识三次允许用户重复标识三次l如果三次仍未通过，系统自动退出如果三次仍未通过，系统自动退出ORACLE的授权与检查机制的授权与检查机制lORACLE授权和检查机制的特色授权和检查机制的特色ORACLE的权限包括的权限包括系统权限系统权限和和数据库对象的权限数据库对象的权限采用非集中式的授权机制采用非集中式的授权机制每个用户授予与回收自己创建的数据库对象的权限每个用户授予与回收自己创建的数据库对象的权限DBA负责授予与回收系统权限，也可以授予与回收所负责授予与回收系统权限，也可以授予与回收所有数据库对象的权限有数据库对象的权限允许重复授权，即可将某一权限多次授予同一用户，允许重复授权，即可将某一权限多次授予同一用户，系统不会出错系统不会出错允许无效回收，即用户不具有某权限，但回收此权限允许无效回收，即用户不具有某权限，但回收此权限的操作仍是成功的。的操作仍是成功的。ORACLE的授权与检查机制的授权与检查机制lORACLE的权限的权限系统权限系统权限(80多种多种)l创建会话创建会话l创建表创建表l创建视图创建视图l创建用户创建用户数据库对象的权限数据库对象的权限Oracle系统权限系统权限lDBA在创建一个用户时需要将其中的一些权限授予该用户在创建一个用户时需要将其中的一些权限授予该用户l角色角色ORACLE支持角色的概念支持角色的概念ORACLE允许允许DBA定义角色定义角色ORACLE提供的预定义角色提供的预定义角色lCONNECTlRESOURCElDBAOracle系统权限系统权限lCONNECT角色角色允许用户登录数据库并执行数据查询和操纵l ALTER TABLEl CREATE VIEW/INDEX l DROP TABLE/VIEW/INDEXl GRANT,REVOKEl INSERT,UPDATE,DELETEl SELETEl AUDIT/NOAUDITOracle系统权限系统权限lRESOURCE角色角色允许用户建表，即执行CREATE TABLE操作由于创建表的用户将拥有该表，因此他具有对该表的任何权限Oracle系统权限系统权限lDBA角色角色允许用户执行授权命令，建表，对任何表的数据进行操纵。DBA角色涵盖了前两种角色，此外还可以执行一些管理操作。DBA角色拥有最高级别的权限。Oracle系统权限系统权限例：例：DBA建立一用户建立一用户U12后，欲将后，欲将ALTERTABLE、CREATEVIEW、CREATEINDEX、DROPTABLE、DROPVIEW、DROPINDEX,GRANT,REVOKE、INSERT、SELETE、UPDATE、DELETE、AUDIT、NOAUDIT等系统权限授予等系统权限授予U12，则可以只简单地将，则可以只简单地将CONNECT角色授予角色授予U12即可：即可：GRANTCONNECTTOU12;这样就可以省略十几条这样就可以省略十几条GRANT语句。语句。Oracle数据库对象的权限数据库对象的权限lORACLE可以授权的数据库对象可以授权的数据库对象基本表基本表视图视图序列序列l利用它可生成唯一的整数。一般用于自动生成主码值。避免利用它可生成唯一的整数。一般用于自动生成主码值。避免了在应用层实现序列而引起的性能瓶颈。了在应用层实现序列而引起的性能瓶颈。同义词同义词:一种映射关系一种映射关系 lcreatepublicsynonymtable_nameforuser.table_name 存储过程存储过程函数函数Oracle数据库对象的权限数据库对象的权限l基本表的安全性级别基本表的安全性级别表级表级行级行级列级列级Oracle数据库对象的权限数据库对象的权限l表级安全性表级安全性表的创建者或表的创建者或DBA可以把对表的权限授予其他用户可以把对表的权限授予其他用户表级权限表级权限lALTER：修改表定义修改表定义lDELETE：删除表记录：删除表记录lINDEX：在表上建索引在表上建索引lINSERT：向表中插入数据记录向表中插入数据记录lSELECT：查找表中记录：查找表中记录lUPDATE：修改表中的数据：修改表中的数据lALL：上述所有权限上述所有权限表级授权使用表级授权使用GRANTREVOKE语句语句例：例：GRANTSELECTONSCTOU12;Oracle数据库对象的权限数据库对象的权限l行级安全性行级安全性 ORACLE行级安全性由视图间接实现例：用户例：用户U1只允许用户只允许用户U12查看自己创建的查看自己创建的Student表中表中有关信息系学生的信息，则首先创建视图信息系学生视有关信息系学生的信息，则首先创建视图信息系学生视图图S_IS：CREATE VIEW S_IS AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept=IS;然后将关于该视图的然后将关于该视图的SELECT权限授予权限授予U12用户：用户：GRANTSELECTONS_ISTOU12;Oracle数据库对象的权限数据库对象的权限l列级安全性列级安全性借助视图实现列级安全性借助视图实现列级安全性CREATEVIEWS_VASSELECTSno,SnameFROMStudent；GRANTSELECTONS_VTOU12;直接在基本表上定义列级安全性直接在基本表上定义列级安全性例：例：GRANTUPDATE(Sno,Cno)ONSCTOU12;Oracle数据库对象的权限数据库对象的权限l三级对象的层次结构三级对象的层次结构表、行、列三级对象自上而下构成一个层次表、行、列三级对象自上而下构成一个层次结构结构上一级对象的权限制约下一级对象的权限上一级对象的权限制约下一级对象的权限例：当一个用户拥有了对某个表的例：当一个用户拥有了对某个表的UPDATE权权限，即相当于在表的所有列了都拥有了限，即相当于在表的所有列了都拥有了UPDATE权限。权限。Oracle数据库对象的权限数据库对象的权限lORACLE对数据库对象的权限采用分散控制方式对数据库对象的权限采用分散控制方式允许具有WITH GRANT OPTION的用户把相应权限或其子集传递授予其他用户lORACLE不允许循环授权，即授权者不能把权限再授不允许循环授权，即授权者不能把权限再授予其授权者或祖先予其授权者或祖先U1U2U3U4ORACLE的授权与检查机制的授权与检查机制lORACLE的权限检查机制的权限检查机制ORACLE把所有权限信息记录在数据字典中把所有权限信息记录在数据字典中当用户进行数据库操作时，当用户进行数据库操作时，ORACLE首先根据数据首先根据数据字典中的权限信息，检查操作的合法性字典中的权限信息，检查操作的合法性在在ORACLE中，安全性检查是任何数据库操作的第中，安全性检查是任何数据库操作的第一步一步以下内容供参考以下内容供参考l强制控制强制控制l审计审计l数据库加密数据库加密l统计数据库的安全性统计数据库的安全性强制控制强制控制l任意访问控制是关系数据库的传统方法，可对数据库提供充分保护，但它不支持随数据库各部分的机密性而变化，技术高超的专业人员可能突破该保护机制获得未授权访问l另外，由于用户对数据的存取权限是“自主”的，用户可以自由地决定将数据的存取权限授予何人、决定是否也将“授权”的权限授予别人。在这种授权机制下，仍可能存在数据的“无意泄露”强制控制强制控制l强制访问控制克服了任意访问控制的缺点。l在强制访问控制方法中，不能由一个用户不加控制地将访问权限授予或传递给另一用户。l强制访问控制方法是指系统为了保证更高程度的安全性，它不是用户能直接感知或进行控制的。l强制访问控制主要适用于对数据有严格要求而固定密级分类的部门，如军事部门或政府部门强制控制强制控制l强制访问控制模型基于与每个数据项和每个用户关联强制访问控制模型基于与每个数据项和每个用户关联的安全性标识的安全性标识(SecurityLabel)。安全性标识被分为若。安全性标识被分为若干级别干级别绝密绝密(TopSecret)机密机密(Secret)秘密秘密(Confidential)一般一般(Public)l数据的标识称为数据的标识称为密级密级(SecurityClassification)l用户的标识称为用户的标识称为许可证级别许可证级别(SecurityClearance)强制控制强制控制l当某一用户以某一密级进入系统时，在确定该当某一用户以某一密级进入系统时，在确定该用户能否访问系统上的数据时应用户能否访问系统上的数据时应遵守如下规则遵守如下规则(1)当且仅当用户许可证级别当且仅当用户许可证级别大于等于大于等于数据数据的密级时，该用户才能对该数据进行的密级时，该用户才能对该数据进行读读操作操作(2)当且仅当用户的许可证级别当且仅当用户的许可证级别小于或等于小于或等于数据的密级时，该用户才能对该数据进行数据的密级时，该用户才能对该数据进行写写操作操作审计审计l审计功能启用一个专用的审计功能启用一个专用的审计日志（审计日志（AuditLog），系统自动将用户对数据库的所有操作，系统自动将用户对数据库的所有操作记录在上面记录在上面lDBA可以利用审计日志中的追踪信息，重现导可以利用审计日志中的追踪信息，重现导致数据库现有状况的一系列事件，以找出非法致数据库现有状况的一系列事件，以找出非法存取数据的人存取数据的人C2以上安全级别的以上安全级别的DBMS必须具有审计功能必须具有审计功能审计审计l审计日志一般包括下列内容：审计日志一般包括下列内容：(1)操作类型（如修改、查询等）操作类型（如修改、查询等）(2)操作终端标识与操作人员标识操作终端标识与操作人员标识(3)操作日期和时间操作日期和时间(4)操作的数据对象（如表、视图、记录、操作的数据对象（如表、视图、记录、属性等）属性等）(5)数据修改前后的值数据修改前后的值审计功能的可选性审计功能的可选性l审计很费时间和空间，所以审计很费时间和空间，所以DBMS往往都将其作为可选特征往往都将其作为可选特征DBA可以根据应用对安全性的要求，灵活地打开或关闭可以根据应用对安全性的要求，灵活地打开或关闭审计功能审计功能l审计技术是预防手段，监测可能的不合法行为审计技术是预防手段，监测可能的不合法行为l当数据相当敏感，或者对数据的处理极为重要时，就必须使当数据相当敏感，或者对数据的处理极为重要时，就必须使用审计技术用审计技术审计审计l审计一般可以分为审计一般可以分为用户级审计用户级审计是任何用户可设置的审计，主要是任何用户可设置的审计，主要是针对自己创建的数据库或视图进行审计，是针对自己创建的数据库或视图进行审计，记录所有用户对这些表或视图的一切成功和记录所有用户对这些表或视图的一切成功和（或）不成功的访问要求以及各种类型的（或）不成功的访问要求以及各种类型的SQL操作操作系统级审计系统级审计只能由只能由DBA设置，用以监测成功设置，用以监测成功或失败的登录要求、监测或失败的登录要求、监测Grant和和Revoke操操作以及其他数据库级权限下的操作作以及其他数据库级权限下的操作数据库加密技术数据库加密技术l防止数据库中数据在存储和传输中失密的有效手段防止数据库中数据在存储和传输中失密的有效手段l针对的情况针对的情况入侵者绕过系统访问数据库的信息内容入侵者绕过系统访问数据库的信息内容入侵者通过物理移除磁盘或备份磁盘盗走数据库入侵者通过物理移除磁盘或备份磁盘盗走数据库入侵者接入载有真实用户数据的通信链路入侵者接入载有真实用户数据的通信链路聪明的入侵者通过运行程序突破操作系统防线来检聪明的入侵者通过运行程序突破操作系统防线来检索数据索数据l在这些情况下，数据库系统的各种授权规则或许不能在这些情况下，数据库系统的各种授权规则或许不能提供充分的保护。标准安全技术无法防范绕过系统访提供充分的保护。标准安全技术无法防范绕过系统访问数据的侵扰，这就需要采取其他保护措施来加强安问数据的侵扰，这就需要采取其他保护措施来加强安全系统全系统加密的基本思想加密的基本思想l根据一定的算法将原始数据（术语为根据一定的算法将原始数据（术语为明文明文，Plaintext）变换为不可直接识别的格式（术）变换为不可直接识别的格式（术语为语为密文密文，Ciphertext）l不知道解密算法的人无法获知数据的内容不知道解密算法的人无法获知数据的内容加密方法加密方法l替换方法替换方法使用密钥（Encryption Key）将明文中的每一个字符转换为密文中的一个字符l置换方法置换方法将明文的字符按不同的顺序重新排列l这两种方法结合能提供相当高的安全程度这两种方法结合能提供相当高的安全程度例：美国例：美国1977年制定的官方加密标准：数据加密标准年制定的官方加密标准：数据加密标准（DataEncryptionStandard，简称，简称DES）数据库加密技术数据库加密技术l基于文件的加密基于文件的加密把数据库文件作为整体，用加密算法对整个数据库把数据库文件作为整体，用加密算法对整个数据库文件加密来保证信息的真实性和完整性。数据的共文件加密来保证信息的真实性和完整性。数据的共享是通过用户用解密密钥对整个数据库文件进行解享是通过用户用解密密钥对整个数据库文件进行解密来实现的。密来实现的。l实际应用受到多方面的限制实际应用受到多方面的限制数据修改的工作将变得十分困难，需要进行解密、数据修改的工作将变得十分困难，需要进行解密、修改、复制和加密四个操作，修改、复制和加密四个操作，极大地增加了系统的极大地增加了系统的时空开销时空开销即使用户只是需要查看某一条记录，也必须将整个即使用户只是需要查看某一条记录，也必须将整个数据库文件解密，这样数据库文件解密，这样无法实现对文件中不需要让无法实现对文件中不需要让用户知道的信息的控制用户知道的信息的控制数据库加密技术数据库加密技术l字段加密（字段是最小的加密单位）字段加密（字段是最小的加密单位）l字段加密的原理字段加密的原理将重要的字段内容进行加密，当使用查询语句获取结将重要的字段内容进行加密，当使用查询语句获取结果集后，再将这些重要的字段内容进行解密。每个字果集后，再将这些重要的字段内容进行解密。每个字段可以使用不同的密钥，也可以使用共同的密钥段可以使用不同的密钥，也可以使用共同的密钥l字段加密的特点字段加密的特点较高的安全性较高的安全性影响数据库的访问速度：影响数据库的访问速度：对一个记录进行存取时需要对一个记录进行存取时需要多次的加多次的加/解密处理解密处理对数据库管理系统（对数据库管理系统（DBMS）的功能影响也很大）的功能影响也很大在实际应用中，一般不会对所有记录都进行加密处理，在实际应用中，一般不会对所有记录都进行加密处理，而是对部分安全性要求高的字段进行加密处理而是对部分安全性要求高的字段进行加密处理数据库加密技术数据库加密技术l通常情况下，以下几种字段不宜加密通常情况下，以下几种字段不宜加密索引字段不能加密索引字段不能加密关系运算的比较字段不能加密关系运算的比较字段不能加密表间的连接码字段不能加密表间的连接码字段不能加密数据库加密技术数据库加密技术l记录加密记录加密将表中的行的所有字段或部分字段组成一个整体，将表中的行的所有字段或部分字段组成一个整体，进行统一加密，当应用程序访问数据库中的表记录进行统一加密，当应用程序访问数据库中的表记录时，再将行的所有字段或部分字段进行统一解密。时，再将行的所有字段或部分字段进行统一解密。数据库加密对数据库加密对DBMS的影响的影响l数据库加密后对数据库加密后对DBMS原有功能的主要影响原有功能的主要影响无法实现对数据制约因素的定义；无法实现对数据制约因素的定义；密文数据的排序、分组和分类；密文数据的排序、分组和分类；SQL语言中的内部函数不能作用于加语言中的内部函数不能作用于加/解密数据；解密数据；DBMS的一些应用开发工具的使用受到限制的一些应用开发工具的使用受到限制l在对数据库进行加密时，应注意以下几点在对数据库进行加密时，应注意以下几点选择合适的加密算法选择合适的加密算法选择合适的加密方法选择合适的加密方法测试加密后访问数据库的效率测试加密后访问数据库的效率统计数据库的安全性统计数据库的安全性l统计数据库的特点统计数据库的特点允许用户查询聚集类型的信息（如合计、平均值等）允许用户查询聚集类型的信息（如合计、平均值等）不允许查询单个记录信息不允许查询单个记录信息l示例示例：允许查询允许查询“程序员的平均工资是多少程序员的平均工资是多少”不允许查询不允许查询“程序员张勇的工资程序员张勇的工资”统计数据库的安全性统计数据库的安全性l统计数据库中统计数据库中特殊的安全性问题特殊的安全性问题 隐蔽的信息通道隐蔽的信息通道 从合法的查询中推导出不合法的信息从合法的查询中推导出不合法的信息统计数据库的安全性统计数据库的安全性l例例1：下面两个查询都是合法的：下面两个查询都是合法的本公司共有多少女高级程序员？本公司共有多少女高级程序员？本公司女高级程序员的工资总额是多少？本公司女高级程序员的工资总额是多少？如果第一个查询的结果是如果第一个查询的结果是“1”，那么第二个查询的，那么第二个查询的结果显然就是这个程序员的工资数结果显然就是这个程序员的工资数规则规则1：任何查询至少要涉及任何查询至少要涉及N(N足够大足够大)个以上的记录个以上的记录统计数据库的安全性统计数据库的安全性l例例2：用户：用户A发出下面两个合法查询发出下面两个合法查询用户用户A和其他和其他N个程序员的工资总额是多少？个程序员的工资总额是多少？用户用户B和其他和其他N个程序员的工资总额是多少？个程序员的工资总额是多少？若第一个查询的结果是若第一个查询的结果是X，第二个查询的结果是，第二个查询的结果是Y，由于用户，由于用户A知道自己的工资是知道自己的工资是Z，那么他可以计算，那么他可以计算出用户出用户B的工资的工资=Y-(X-Z)原因原因：两个查询之间有很多重复的数据项：两个查询之间有很多重复的数据项规则规则2：任意两个查询的相交数据项不能超过任意两个查询的相交数据项不能超过M个个统计数据库的安全性统计数据库的安全性l可以证明，在上述两条规定下，如果想获知用户可以证明，在上述两条规定下，如果想获知用户B的工的工资额资额A至少需要进行至少需要进行1+(N-2)/M次查询。次查询。规则规则3：任一用户的查询次数不能超过任一用户的查询次数不能超过1+(N-2)/M。l如果两个用户合作查询就可以使这一规定失效。如果两个用户合作查询就可以使这一规定失效。数据库安全机制的设计目标数据库安全机制的设计目标l试图破坏安全的人所花费的代价试图破坏安全的人所花费的代价 得到的利益得到的利益 l9、静夜四无邻，荒居旧业贫。、静夜四无邻，荒居旧业贫。3月月-233月月-23Monday,March13,2023l10、雨中黄叶树，灯下白头人。、雨中黄叶树，灯下白头人。16:03:1616:03:1616:033/13/20234:03:16PM