《数据库安全性》PPT课件.pptx

《《数据库安全性》PPT课件.pptx》由会员分享，可在线阅读，更多相关《《数据库安全性》PPT课件.pptx（69页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、刘铭皓第四章 数据库安全性数据库系统概论数据库安全性概述视图机制数据库安全性控制审计01020304数据加密其他安全性保护0506第1节1.1数据库安全性概述问题的提出数据库的一大特点是数据可以共享数据共享必然带来数据库的安全性问题数据库系统中的数据共享不能是无条件的共享例：军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据第1节1.1数据库安全性概述数据库的安全性是指保护数据库以防止不合法使用所造成的数据泄露、更改或破坏。系统安全保护措施是否有效是数据库系统主要的性能指标之一。数据库中数据的共享是在DBMS统一的严格的控制之下的共享，即

2、只允许有合法使用权限的用户访问允许他存取的数据数据保密是指用户合法地访问到机密数据后能否对这些数据保密。通过制订法律道德准则和政策法规来保证。第1节1.2数据库的不安全因素数据库的不安全因素非授权用户对数据库的恶意存取和破坏数据库中重要或敏感的数据被泄露安全环境的脆弱性 第1节1.3安全标准简介1985年美国国防部（DoD）正式颁布DoD可信计算机系统评估准则（简称TCSEC或DoD85）不同国家建立在TCSEC概念上的评估准则欧洲的信息技术安全评估准则（ITSEC）加拿大的可信计算机产品评估准则（CTCPEC）美国的信息技术安全联邦标准（FC）第1节1.3安全标准简介1993年，CTCPEC

3、、FC、TCSEC和ITSEC联合行动，解决原标准中概念和技术上的差异，称为CC（Common Criteria）项目1999年 CC V2.1版被ISO采用为国际标准2001年 CC V2.1版被我国采用为国家标准目前CC已基本取代了TCSEC，成为评估信息产品安全性的主要标准。第1节1.3安全标准简介TCSEC标准1991年4月美国NCSC（国家计算机安全中心）颁布了可信计算机系统评估标准关于可信数据库系统的解释（Trusted Database Interpretation 简称TDI）TDI又称紫皮书。它将TCSEC扩展到数据库管理系统TDI中定义了数据库管理系统的设计与实现中需满足和

4、用以进行安全性级别评估的标准第1节1.3安全标准简介TCSEC/TDI标准的基本内容TCSEC/TDI，从四个方面四个方面来描述安全性级别划分的指标R1安全策略a)R1.1自主存取控制（DiscretionaryAccessControl，简记为DAC）b)R1.2客体重用（ObjectReuse）c)R1.3标记（Labels）d)R1.4强制存取控制（MandatoryAccessControl，简记为MAC）责任保证文档第1节1.3安全标准简介R1安全策略责任a)R2.1标识与鉴别（Identification&Authentication）b)R2.2审计（Audit）保证a)R3.1

5、操作保证（OperationalAssurance）b)R3.2生命周期保证（LifeCycleAssurance）文档第1节1.3安全标准简介R1安全策略责任保证文档a)R4.1安全特性用户指南（SecurityFeaturesUsersGuide）b)R4.2可信设施手册（TrustedFacilityManual）c)R4.3测试文档（TestDocumentation）d)R4.4设计文档（DesignDocumentation）第1节1.3安全标准简介TCSEC/TDI安全级别划分n按系统可靠或可信程度逐渐增高n各安全级别之间具有一种偏序向下兼容的关系，即较高安全性级别提供的安全保护

6、要包含较低级别的所有保护要求，同时提供更多或更完善的保护能力。安安 全全 级级 别别 定定 义义 D最小保护（最小保护（Minimal Protection）C1自自 主主 安安 全全 保保 护护（Discretionary Security Protection）C2受控的存取保护（受控的存取保护（Controlled Access Protection）B1标记安全保护（标记安全保护（Labeled Security Protection）B2结构化保护（结构化保护（Structural Protection）B3安全域（安全域（Security Domains）A1验证设计（验证设计（V

7、erified Design）第1节1.3安全标准简介D级n将一切不符合更高标准的系统均归于D组 典型例子：DOS是安全标准为D的操作系统 DOS在安全性方面几乎没有什么专门的机制来保障C1级n非常初级的自主安全保护n能够实现对用户和数据的分离，进行自主存取控制（DAC），保护或限制用户权限的传播。n现有的商业系统稍作改进即可满足第1节1.3安全标准简介C2级n安全产品的最低档次n提供受控的存取保护，将C1级的DAC进一步细化，以个人身份注册负责，并实施审计和资源隔离n达到C2级的产品在其名称中往往不突出“安全”(Security)这一特色 典型例子:操作系统 Microsoft的Window

8、s NT 3.5，数字设备公司的Open VMS VAX 6.0和6.1 数据库 Oracle公司的Oracle 7，Sybase公司的 SQL Server 第1节1.3安全标准简介B1级n标记安全保护。“安全”（Security）或“可信的”（Trusted）产品。n对系统的数据加以标记，对标记的主体和客体实施强制存取控制（MAC）、审计等安全机制 典型例子:操作系统 惠普公司的HP-UX BLS release 9.09+数据库 Oracle公司的Trusted Oracle 7，Sybase公司的第1节1.3安全标准简介B2级n结构化保护n建立形式化的安全策略模型并对系统内的所有主体和

9、客体实施DAC和MAC。n经过认证的B2级以上的安全系统非常稀少 典型例子:操作系统 Trusted Information Systems公司的Trusted XENIX一种产品 数据库 没有符合B2标准的产品第1节1.3安全标准简介B3级n安全域。n该级的TCB必须满足访问监控器的要求，审计跟踪能力更强，并提供系统恢复过程。A1级n验证设计，即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现。第1节1.3安全标准简介表示该级不提供对该指标的支持；表示该级新增的对该指标的支持；表示该级对该指标的支持与相邻低一级的等级一样；表示该级对该指标的支持较下一级有所增加或改动

10、。第1节1.3安全标准简介CC标准提出国际公认的表述信息技术安全性的结构把信息产品的安全要求分为n安全功能要求n安全保证要求第1节1.3安全标准简介CC文本组成n简介和一般模型有关术语、基本概念和一般模型以及与评估有关的一些框架n安全功能要求列出了一系列类、子类和组件n安全保证要求列出了一系列保证类、子类和组件提出了评估保证级EAL，从EAL1至EAL7共分为七级第1节1.3安全标准简介 CC评估保证级（EAL）划分评估保证级评估保证级定义定义TCSEC安全级别（近似相当）安全级别（近似相当）EAL1功能测试（功能测试（functionally tested）EAL2结构测试（结构测试（str

11、ucturally tested）C1EAL3系统地测试和检查（系统地测试和检查（methodically tested and checked）C2EAL4系统地设计、测试和复查（系统地设计、测试和复查（methodically designed，tested，and reviewed）B1EAL5半形式化设计和测试（半形式化设计和测试（semiformally designed and tested）B2EAL6半形式化验证的设计和测试（半形式化验证的设计和测试（semiformally verified design and tested）B3EAL7形式化验证的设计和测试（形式化验证的

12、设计和测试（formally verified design and tested）A1第2节2.1数据库安全性控制概述非法使用数据库的情况用户编写一段合法的程序绕过DBMS及其授权机制，通过操作系统直接存取、修改或备份数据库中的数据；直接或编写应用程序执行非授权操作；通过多次合法查询数据库从中推导出一些保密数据例如：某数据库应用系统禁止查询单个人的工资，但允许查任意一组人的平均工资。用户甲想了解张三的工资，于是他首先查询包括张三在内的一组人的平均工资；然后查用自己替换张三后这组人的平均工资，从而推导出张三的工资破坏安全性的行为可能是无意的，故意的，恶意的。第2节2.1数据库安全性控制概述数据

13、库安全性控制的常用方法用户标识和鉴定存取控制视图审计密码存储第2节2.2用户标识和鉴定用户标识和鉴别是系统提供的最外层安全保护措施用户身份鉴别的方法静态口令鉴别n静态口令一般由用户自己设定，这些口令是静态不变的动态口令鉴别n口令是动态变化的，每次鉴别时均需使用动态产生的新口令登录数据库管理系统，即采用一次一密的方法生物特征鉴别n通过生物特征进行认证的技术，生物特征如指纹、虹膜和掌纹等智能卡鉴别n智能卡是一种不可复制的硬件，内置集成电路的芯片，具有硬件加密功能第2节2.3存取控制存取控制机制主要包括两部分：定义用户权限，并将用户权限登记到数据字典中n用户对某一数据对象的操作权力称为权限nDBMS

14、提供适当的语言来定义用户权限，存放在数据字典中，称做安全规则或授权规则n在数据库系统中，为了保证用户只能访问他有权存取的数据，必须预先对每个用户定义存取权限。合法权限检查 n用户发出存取数据库操作请求，DBMS查找数据字典，根据他的存取权限定义对他的各种操作请求进行合法权限检查，确保他只执行合法操作。用户权限定义和合法权检查机制一起组成了数据库管理系统的存取控制子系统第2节2.3存取控制常用存取控制方法：自主存取控制（Discretionary Access Control，简称DAC）nC2级n用户对不同的数据对象有不同的存取权限n不同的用户对同一对象也有不同的权限n用户还可将其拥有的存取权

15、限转授给其他用户强制存取控制（Mandatory Access Control，简称 MAC）nB1级n每一个数据对象被标以一定的密级n每一个用户也被授予某一个级别的许可证n对于任意一个对象，只有具有合法许可证的用户才可以存取第2节2.3存取控制存取控制机制主要包括两部分：定义用户权限，并将用户权限登记到数据字典中n用户对某一数据对象的操作权力称为权限nDBMS提供适当的语言来定义用户权限，存放在数据字典中，称做安全规则或授权规则n在数据库系统中，为了保证用户只能访问他有权存取的数据，必须预先对每个用户定义存取权限。合法权限检查 n用户发出存取数据库操作请求，DBMS查找数据字典，根据他的存取

16、权限定义对他的各种操作请求进行合法权限检查，确保他只执行合法操作。用户权限定义和合法权检查机制一起组成了数据库管理系统的存取控制子系统第2节2.3自主控制（DAC）方法用户权限是由两个要素组成：数据库对象和操作类型定义一个用户的存取权限就是要定义这个用户可以在哪些数据库对象上进行哪些类型的操作取，这种定义存取权限的操作称为授权关系数据库系统中存取控制对象 对象类型对象操 作 类 型数据库模式模式CREATE SCHEMA基本表CREATE TABLE，ALTER TABLE视图CREATE VIEW索引CREATE INDEX数据基本表和视图SELECT，INSERT，UPDATE，DELET

17、E，REFERENCES，ALL PRIVILEGES属性列SELECT，INSERT，UPDATE，REFERENCES，ALL PRIVILEGES第2节2.4授权与回收大型数据库管理系统几乎都支持自主存储控制，目前的SQL标准也对自主存取控制提供支持，主要通过SQL的GRANT语句和REVOKE语句来实现GRANT语句授予用户权限，REVOKE语句收回授予的权限第2节2.4授权与回收GRANT语句授予用户权限格式：GRANT,.ON ,TO,.WITH GRANT OPTION;n发出GRANT语句可是数据库管理员、数据库对象创建者或拥有该权限的用户n按受权限的用户可以是一个或多个具体用

18、户，也可以是PUBLIC（即全体用户）n指定了WITH GRANT OPTION子句，则获得某种权限的用户还可以把这种权限再授予其他的用户；否则该用户只能使用该权限，不能传播该权限nSQL标准允许具有WITH GRANT OPTION的用户把相应权限或其子集授予其他用户，但不允许循环授权第2节2.4授权与回收例如：把查询Student表权限授给用户U1GRANTSELECTONTABLEStudentTOU1;例如：把对Student表和Course表的全部权限授予用户U2和U3GRANTALLPRIVILIGESONTABLEStudent,CourseTOU2,U3;例如：把对表SC的查询

19、权限授予所有用户GRANTSELECTONTABLESCTOPUBLIC;例如：把查询Student表和修改学生学号的权限授给用户U4GRANTUPDATE(Sno),SELECTONTABLEStudentTOU4;对属性列的授权时必须明确指出相应属性列名 第2节2.4授权与回收例如：把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户GRANTINSERTONTABLESCTOU5WITHGRANTOPTION;U5不仅拥有了对表SC的INSERT权限，还可以传播此权限GRANTINSERTONTABLESCTOU6WITHGRANTOPTION;U5将此权限传播给了U

20、6,U6还可以将此权限授予U7GRANTINSERTONTABLESCTOU7;U7拥有了对表的INSERT权限，但不能再传播此权限第2节2.4授权与回收授权用户名授权用户名被授权用户名被授权用户名数据库对象名数据库对象名允许的操作类型允许的操作类型能否转授权能否转授权DBAU1关系关系StudentSELECT不能不能DBAU2关系关系StudentALL不能不能DBAU2关系关系CourseALL不能不能DBAU3关系关系StudentALL不能不能DBAU3关系关系CourseALL不能不能DBAPUBLIC关系关系SCSELECT不能不能DBAU4关系关系StudentSELECT不能

21、不能DBAU4属性列属性列Student.SnoUPDATE不能不能DBAU5关系关系SCINSERT能能U5U6关系关系SCINSERT能能U6U7关系关系SCINSERT不能不能第2节2.4授权与回收REVOKE语句授予用户权限授予的权限可以由数据库管理员或其他授权者用REVOKE语句收回格式：REVOKE,.ON ,FROM,.CASCADE|RESTRICT;第2节2.4授权与回收例如：把用户U4修改学生学号的权限收回REVOKEUPDATE(Sno)ONTABLEStudentFROMU4;例如：收回所有用户对表SC的查询权限REVOKESELECTONTABLESCFROMPUBL

22、IC;例如：把用户U5对SC表的INSERT权限收回REVOKEINSERTONTABLESCFROMU5CASCADE;将用户U5的INSERT权限收回的时候应该使用CASCADE，否则拒绝执行该语句 如果U6或U7还从其他用户处获得对SC表的INSERT权限，则他们仍具有此权限，系统只收回直接或间接从U5处获得的权限 第2节2.4授权与回收授权用户名授权用户名被授权用户名被授权用户名数据库对象名数据库对象名允许的操作类型允许的操作类型能否转授权能否转授权DBAU1关系关系StudentSELECT不能不能DBAU2关系关系StudentALL不能不能DBAU2关系关系CourseALL不能

23、不能DBAU3关系关系StudentALL不能不能DBAU3关系关系CourseALL不能不能DBAU4关系关系StudentSELECT不能不能第2节2.4授权与回收创建数据库模式的权限对数据库模式的授权由数据库管理员在创建用户时实现格式：CREATE USER语句格式 CREATE USER WITHDBA|RESOURCE|CONNECT;nCREATE USER不是SQL标准，各个系统的实现相差甚远n只有系统的超级用户才有权创建一个新的数据库用户n新创建的数据库用户有三种权限：CONNECT、RESOURCE和DBA第2节2.4授权与回收n如没有指定创建的新用户的权限，默认该用户拥有C

24、ONNECT权限。拥有CONNECT权限的用户不能创建新用户，不能创建模式，也不能创建基本表，只能登录数据库n拥有RESOURCE权限的用户能创建基本表和视图，成为所创建对象的属主。但不能创建模式，不能创建新的用户n拥有DBA权限的用户是系统中的超级用户，可以创建新的用户、创建模式、创建基本表和视图等；DBA拥有对所有数据库对象的存取权限，还可以把这些权限授予一般用户第2节2.4授权与回收拥有的权限拥有的权限可否执行的操作可否执行的操作CREATE USERCREATE SCHEMACREATE TABLE登录数据库登录数据库 ，执行执行数据查询和操纵数据查询和操纵DBA可以可以可以可以可以可

25、以可以可以RESOURCE不可以不可以不可以不可以不可以不可以不可以不可以CONNECT不可以不可以不可以不可以不可以不可以可以，但必须拥有可以，但必须拥有相应权限相应权限第2节2.5数据库角色数据库角色是被命名的一组与数据库操作相关的权限，角色是权限的集合可以为一组具有相同权限的用户创建一个角色，使用角色来管理数据库权限可以简化授权的过程创建角色格式：CREATE ROLEn创建的角色是空的，没有实际内容。可以用GRANT为角色授权第2节2.5数据库角色角色授权格式：GRANT,On对象名TO ,n可以将权限授予一个或几个角色第2节2.5数据库角色将一个角色授予其他的角色或用户格式：GRAN

26、T ,TO ,WITH ADMIN OPTIONn该语句把角色授予某用户，或授予另一个角色n授予者是角色的创建者或拥有在这个角色上的ADMIN OPTIONn指定了WITH ADMIN OPTION则获得某种权限的角色或用户还可以把这种权限授予其他角色一个角色的权限：直接授予这个角色的全部权限加上其他角色授予这个角色的全部权限第2节2.5数据库角色角色权限的收回格式：REVOKE,ON FROM,n用户可以回收角色的权限，从而修改角色拥有的权限nREVOKE执行者是角色的创建者或是拥有在这个（些）角色上的ADMIN OPTION第2节2.5数据库角色例如：通过角色来实现将一组权限授予一个用户。

27、首先创建一个角色R1CREATEROLER1;然后使用GRANT语句，使角色R1拥有Student表的SELECT、UPDATE、INSERT权限GRANTSELECT,UPDATE,INSERTONTABLEStudentTOR1;将这个角色授予王平，张明，赵玲。使他们具有角色R1所包含的全部权限GRANTR1TO王平,张明,赵玲;可以一次性通过R1来回收王平的这3个权限REVOKER1FROM王平;第2节2.5数据库角色例如：角色的权限修改GRANTDELETEONTABLEStudentTOR1;使角色R1在原来的基础上增加了Student表的DELETE权限REVOKESELECTON

28、TABLEStudentFROMR1；使R1减少了SELECT权限第2节2.7强制存取控制方法强制存取控制(MAC)是指系统为保证更高程度的安全性，按照TDI/TCSEC标准中安全策略的要求，所采取的强制存取检查手段。MAC不是用户能直接感知或进行控制的。MAC适用于对数据有严格而固定密级分类的部门军事部门、政府部门等第2节2.7强制存取控制方法在强制存取控制中，数据库管理系统所管理的全部实体被分为主体和客体两大类n主体是系统中的活动实体，包括数据库管理系统所管理的实际用户和 代表用户的各进程n客体是系统中的被动实体，受主体操纵，包括文件、基本表、索引、视图第2节2.7强制存取控制方法对于主体

29、和客体，DBMS为它们每个实例指派一个敏感度标记n敏感度标记分成若干级别绝密（TopSecret）机密（Secret）可信（Confidential）公开（Public）n主体的敏感度标记称为许可证级别（Clearance Level）n客体的敏感度标记称为密级（Classification Level）nMAC机制就是通过对比主体的Label和客体的Label，最终确定主体是否能够存取客体第2节2.7强制存取控制方法强制存取控制规则仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体仅当主体的许可证级别小于或等于客体的密级时，该主体才能写相应的客体第2条规则其他意义：当主体的

30、许可证级别=客体的密级，主体能写客体，即用户可为写入的数据对象赋予高于自己的许可证级别的密级，一旦数据被写入，该用户自己也不能再读该数据对象了。第2条规则两种意义的共同点是禁止了拥有高许可证级别的主体更新低密级的数据对象第2节2.7强制存取控制方法强制存取控制的特点强制存取控制（MAC）是对数据本身进行密级标记，无论数据如何复制，标记与数据是一个不可分的整体，只有符合密级标记要求的用户才可以操纵数据。第2节2.7强制存取控制方法实现强制存取控制时要首先实现自主存取控制n原因：较高安全性级别提供的安全保护要包含较低级别的所有保护自主存取控制与强制存取控制共同构成数据库管理系统的安全机制第2节2.

31、7强制存取控制方法DAC+MAC安全检查先进行自主存取控制检查，通过自主存取控制检查的数据对象再由系统进行强制存取控制检查，只有通过强制存取控制检查的数据对象方可存取。SQL语法分析&语义检查DAC检查安全检查 MAC检查继续语义检查第3节3.1视图机制视图机制把要保密的数据对无权存取这些数据的用户隐藏起来，视图机制更主要的功能在于提供数据独立性，其安全保护功能太不精细，往往远不能达到应用系统的要求。第3节3.1视图机制视图机制与授权机制配合使用:n首先用视图机制屏蔽掉一部分保密数据n视图上面再进一步定义存取权限n间接实现了支持存取谓词的用户权限定义视图的优点n数据安全性n数据独立性n操作简便

32、性第3节3.1视图机制例如：建立计算机系学生的视图，把对该视图的SELECT权限授于王平，把该视图上的所有操作权限授于张明先建立计算机系学生的视图CS_StudentCREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept=CS;在视图上进一步定义存取权限GRANTSELECTONCS_StudentTO王平;GRANTALLPRIVILIGESONCS_StudentTO张明;第4节4.1审计什么是审计n启用一个专用的审计日志（Audit Log），将用户对数据库的所有操作记录在上面nDBA可以利用审计日志中的追踪信息，找出非法存取数据的人nC2以

33、上安全级别的DBMS必须具有审计功能第4节4.1审计审计功能的可选性n审计很费时间和空间nDBA可以根据应用对安全性的要求，灵活地打开或关闭审计功能n审计功能主要用于安全性要求较高的部门第4节4.1审计审计事件服务器事件审计数据库服务器发生的事件系统权限事件对系统拥有的结构或模式对象进行操作的审计要求该操作的权限是通过系统权限获得的语句事件对SQL语句，如DDL、DML、DQL及DCL语句的审计模式对象事件对特定模式对象上进行的SELECT或DML操作的审计第4节4.1审计审计功能n基本功能：提供多种审计查阅方式提供多种审计查阅方式n多套审计规则：一般在初始化设定n提供审计分析和报表功能n审计

34、日志管理功能防止审计员误删审计记录，审计日志必须先转储后删除对转储的审计记录文件提供完整性和保密性保护只允许审计员查阅和转储审计记录，不允许任何用户新增和修改审计记录等n提供查询审计设置及审计记录信息的专门视图第4节4.1审计AUDIT语句和NOAUDIT语句nAUDIT语句：设置审计功能nNOAUDIT语句：取消审计功能例如：对修改SC表结构或修改SC表数据的操作进行审计AUDITALTER,UPDATEONSC;例如：取消对SC表的一切审计NOAUDITALTER,UPDATEONSC;第4节4.1审计用户级审计n任何用户可设置的审计n主要是用户针对自己创建的数据库表和视图进行审计系统级审

35、计n只能由数据库管理员设置n监测成功或失败的登录要求、监测授权和收回操作以及其他数据库级权限下的操作第5节5.1数据加密数据加密防止数据库中数据在存储和传输中失密的有效手段加密的基本思想：根据一定的算法将原始数据明文（Plaintext）变换为不可直接识别的格式密文（Ciphertext）加密方法存储加密传输加密第5节5.1数据加密存储加密n透明存储加密内核级加密保护方式，对用户完全透明将数据在写到磁盘时对数据进行加密，授权用户读取数据时再对其进行解密数据库的应用程序不需要做任何修改，只需在创建表语句中说明需加密的字段即可内核级加密方法:性能较好，安全完备性较高n非透明存储加密通过多个加密函数

36、实现第5节5.1数据加密传输加密n链路加密在链路层进行加密传输信息由报头和报文两部分组成报文和报头均加密n端到端加密在发送端加密，接收端解密只加密报文不加密报头所需密码设备数量相对较少，容易被非法监听者发现并从中获取敏感信息第5节5.1数据加密数据库管理系统可信传输示意图第一步：创建可信连接第二步：确认通信双方端点的可靠性第三步：协商加密算法和密钥第四步：可信传输数据第五步：关闭可信连接可信通讯模块可信通讯模块用户数据库服务器第5节5.1数据加密基于安全套接层协议SSL传输方案的实现思路：n确认通信双方端点的可靠性采用基于数字证书的服务器和客户端认证方式通信时均首先向对方提供己方证书，然后使用

37、本地的CA信任列表和证书撤销列表对接收到的对方证书进行验证n协商加密算法和密钥确认双方端点的可靠性后，通信双方协商本次会话的加密算法与密钥n可信数据传输业务数据在被发送之前将被用某一组特定的密钥进行加密和消息摘要计算，以密文形式在网络上传输当业务数据被接收的时候，需用相同一组特定的密钥进行解密和摘要计算第6节6.1其他安全性保护推理控制n处理强制存取控制未解决的问题n避免用户利用能够访问的数据推知更高密级的数据常用方法基于函数依赖的推理控制基于敏感关联的推理控制第6节6.1其他安全性保护隐蔽信道n处理强制存取控制未解决的问题数据隐私保护n描述个人控制其不愿他人知道或他人不便知道的个人数据的能力n范围很广：数据收集、数据存储、数据处理和数据发布等各个阶段THANKS