[精选]2017第7章数据库安全性.pptx

《[精选]2017第7章数据库安全性.pptx》由会员分享，可在线阅读，更多相关《[精选]2017第7章数据库安全性.pptx（74页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第七章第七章:数据库平安性数据库平安性q数据库平安性概述数据库平安性概述q数据库平安性控制数据库平安性控制qOracle数据库数据平安性控制介绍数据库数据平安性控制介绍对数据库平安的威胁对数据库平安的威胁无意损坏无意损坏天窗天窗心存不满的专业人员数据库数据库受保护数据受保护数据物理损坏物理损坏 火灾,水灾等非法访问非法访问 黑客数据复制数据复制工业间谍蓄意破坏者通信损坏通信损坏典型的数据访问方式典型的数据访问方式查询数据执行C/S结构服务器客户执行数据查询数据库作为服务数据执行查询依赖于数据的方法数据库平安概述数据库平安概述q数据库系统的平安保护措施是否有效是数据库系数据库系统的平安保护措施是

2、否有效是数据库系统主要的性能指标之一统主要的性能指标之一q数据库的平安性数据库的平安性q指保护数据库，防止因用户非法使用数据库所指保护数据库，防止因用户非法使用数据库所造成的数据泄漏、更改或破坏造成的数据泄漏、更改或破坏q数据的保密数据的保密q指用户合法地访问到机密数据后能否对这些数指用户合法地访问到机密数据后能否对这些数据保密据保密q通过制订法律道德准则和政策法规来保证通过制订法律道德准则和政策法规来保证非法使用数据库的情况非法使用数据库的情况l用户编写一段合法的程序绕过用户编写一段合法的程序绕过DBMS及其授权机制，通及其授权机制，通过操作系统直接存取、修改或备份数据库中的数据过操作系统直

3、接存取、修改或备份数据库中的数据l直接或编写应用程序执行非授权操作直接或编写应用程序执行非授权操作l通过屡次合法查询数据库从中推导出一些保密数据通过屡次合法查询数据库从中推导出一些保密数据例如：某数据库应用系统禁止查询单个人的工资，但例如：某数据库应用系统禁止查询单个人的工资，但允许查任意一组人的平均工资。用户甲想了解张三的允许查任意一组人的平均工资。用户甲想了解张三的工资工资l首先查询包括张三在内的一组人的平均工资首先查询包括张三在内的一组人的平均工资l然后查用自己替换张三后这组人的平均工资然后查用自己替换张三后这组人的平均工资推导出张三的工资推导出张三的工资l破坏平安性的行为可能是无意的，

4、成心的，恶意的破坏平安性的行为可能是无意的，成心的，恶意的数据库系统的平安机制数据库系统的平安机制授权机制授权机制约束机制约束机制审计审计触发器触发器存储过程存储过程用户用户身份验证身份验证操作系统操作系统数据库服务器数据库服务器(RDBMS)视图视图计算机系统中的平安模型计算机系统中的平安模型 应用应用DBMSOS DB 低低 高高安全性控制层次安全性控制层次 方法：方法：用户标识用户标识和鉴定和鉴定 存取控制存取控制审计审计视图视图 操作系统操作系统 平安保护平安保护 密码存储密码存储数据库平安性控制的常用方法数据库平安性控制的常用方法l用户标识和鉴定用户标识和鉴定Identificati

5、on&Authentication系统提供的最外层平安保护措施系统提供的最外层平安保护措施l存取控制存取控制访问权限访问权限l通过视图调整授权通过视图调整授权定义可向用户授权数据库特定局部的用户视图定义可向用户授权数据库特定局部的用户视图l审计审计追踪信息，重现导致数据库现有状况的一系列事件追踪信息，重现导致数据库现有状况的一系列事件l密码存储密码存储使用加密技术保护机密数据使用加密技术保护机密数据用户标识与鉴定用户标识与鉴定l基本方法基本方法系统提供一定的方式让用户标识自己的名字或身份；系统提供一定的方式让用户标识自己的名字或身份；系统内部记录着所有合法用户的标识；系统内部记录着所有合法用户

6、的标识；每次用户要求进入系统时，由系统核对用户提供的身每次用户要求进入系统时，由系统核对用户提供的身份标识；份标识；通过鉴定后才提供机器使用权。通过鉴定后才提供机器使用权。用户标识和鉴定可以重复屡次用户标识和鉴定可以重复屡次用户标识与鉴定用户标识与鉴定l让用户标识自己的名字或身份的方法让用户标识自己的名字或身份的方法用户名用户名/口令口令l简单易行，容易被人窃取简单易行，容易被人窃取每个用户预先约定好一个计算过程或者函数每个用户预先约定好一个计算过程或者函数l系统提供一个随机数系统提供一个随机数l用户根据自己预先约定的计算过程或者函数进行用户根据自己预先约定的计算过程或者函数进行计算计算l系统

7、根据用户计算结果是否正确鉴定用户身份系统根据用户计算结果是否正确鉴定用户身份用户标识和鉴定用户标识和鉴定lSQLServer提供两种不同的方法来验证用户进入效劳提供两种不同的方法来验证用户进入效劳器。用户可以根据自己的网络配置决定使用其中一种。器。用户可以根据自己的网络配置决定使用其中一种。Windows验证验证lNT以上以上O.S.：允许：允许SQLServer使用使用O.S.的用户的用户名和口令名和口令SQLServer验证验证l用户传给效劳器的登录信息与系统表用户传给效劳器的登录信息与系统表syslogins中中的信息进行比较。如果两个口令匹配，的信息进行比较。如果两个口令匹配，SQLS

8、erver允许用户访问效劳器。如果不匹配，允许用户访问效劳器。如果不匹配，SQLServer不允许访问，并且用户会从效劳器上收到不允许访问，并且用户会从效劳器上收到一个出错信息一个出错信息用户标识和鉴定用户标识和鉴定l效劳器登录标识管理效劳器登录标识管理sa和和Administrator是系统在安装时创立的分别用是系统在安装时创立的分别用于于SQLServer混合验证模式和混合验证模式和Windows验证模式验证模式的系统登录名。如果用户想创立新的登录名或删除的系统登录名。如果用户想创立新的登录名或删除已有的登录名，可使用以下两种方法已有的登录名，可使用以下两种方法使用使用SQLServer企

9、业管理器管理登录名企业管理器管理登录名使用使用SQLServer系统存储过程管理登录名系统存储过程管理登录名用户标识和鉴定用户标识和鉴定l数据库用户管理数据库用户管理在在SQLServer中，登录对象和用户对象是中，登录对象和用户对象是SQLServer进行权限管理的两种不同的对象。进行权限管理的两种不同的对象。登录对象：效劳器方的一个实体，使用一个登录名可登录对象：效劳器方的一个实体，使用一个登录名可以与效劳器上的所有数据库进行交互。以与效劳器上的所有数据库进行交互。用户对象：一个或多个登录对象在数据库中的映射，用户对象：一个或多个登录对象在数据库中的映射，可以对用户对象进行授权，以便为登录

10、对象提供对数可以对用户对象进行授权，以便为登录对象提供对数据库的访问权限，一个登录名可以被授权访问多个数据库的访问权限，一个登录名可以被授权访问多个数据库，一个登录名在每个数据库中只能映射一次。据库，一个登录名在每个数据库中只能映射一次。用户标识和鉴定用户标识和鉴定l数据库用户管理数据库用户管理SQL Server可使用以下两种方法来管理数据库用户使用使用SQLServer企业管理器管理数据库用户；企业管理器管理数据库用户；使用使用SQLServer系统存储过程系统存储过程sp_grantdbaccess管理数据库用户管理数据库用户l在在SQLServer中主要有两种类型的角色中主要有两种类型

11、的角色效劳器角色效劳器角色数据库角色数据库角色存取控制存取控制用户权限用户权限:用户对数据库中的不同数据对象用户对数据库中的不同数据对象允许执行的操作权限允许执行的操作权限关系系统中的存取权限关系系统中的存取权限:不同的不同的DBMS具体具体实现方法是存在一些差异的实现方法是存在一些差异的数据本身数据本身:表、属性列表、属性列外模式外模式,模式模式,内模式内模式不同类型的数不同类型的数据对象有不同据对象有不同的操作权力的操作权力DBMS的的存取控制存取控制SQL:GrantRevoke数据字典数据字典数据库数据库DBMS 用户、DBA用户SQL:查询l任意控制任意控制DACl强制控制强制控制M

12、ACSQL语法分析 语义检查DAC检查检查MAC检查检查继续安全检查q存取控制机制包括存取控制机制包括:定义用户权限定义用户权限,该定义被存放到数据字典中该定义被存放到数据字典中合法权限检查合法权限检查,根据数据字典检查用户权限根据数据字典检查用户权限定义存储权限检查存储权限存取控制存取控制授权授权Authorizationq谁定义？谁定义？DBA是表的建立者即表的属主是表的建立者即表的属主q如何定义？如何定义？SQL语句：语句：GRANT-将对指定操作对象的指定操作权限授予指定的将对指定操作对象的指定操作权限授予指定的用户用户REVOKE-从指定用户那里收回对指定对象的指定权限从指定用户那里

13、收回对指定对象的指定权限存取控制存取控制授权授权qGRANT语句的一般格式语句的一般格式:grant ,on to,with grant option;q例子例子:把查询把查询Students表的权限授给用户表的权限授给用户wang grant select on table Students to wang;q例子例子:把对把对Students和和SC表的所有访问权限授给全部用户表的所有访问权限授给全部用户 grant all priviliges on table Students,SC to public;qDBA把在数据库把在数据库SC中建立表的权限授予用户中建立表的权限授予用户zha

14、o grant createtab on database SC to zhao;存取控制存取控制授权授权qwithgrantoption子句子句例子例子:把对表把对表SC的查询权限、修改成绩权限授给的查询权限、修改成绩权限授给wang和和zhang,并允许并允许wang和和zhang将该权限授予他人将该权限授予他人grantselect,updateGradeontableSCtowang,zhangwithgrantoption;qDBA、对象的建立者和经过、对象的建立者和经过withgrantoption授权的用户授权的用户可以把他们对该对象具有的操作权限授予其它的合法用户可以把他们对该

15、对象具有的操作权限授予其它的合法用户USER1USER2USER3USER4操作权限操作权限 对象对象类型操 作 权 限 属性列TABLESELECT,INSERT,UPDATEDELETE,ALL PRIVIEGES 视图TABLESELECT,INSERT,UPDATEDELETE,ALL PRIVIEGES 基本表TABLESELECT,INSERT,UPDATEDELETE,ALTER,INDEX,ALL PRIVIEGES 数据库DATABASECREATETAB用户权限用户权限l建表建表CREATETABCREATETAB的权限的权限:属于属于DBADBAlDBADBA授予授予-普

16、通用户普通用户l基本表或视图的属主拥有对该表或视图的一切操作权限基本表或视图的属主拥有对该表或视图的一切操作权限l接受权限的用户接受权限的用户一个或多个具体用户一个或多个具体用户PUBLICPUBLIC全体用户全体用户存取控制存取控制授权回收授权回收l授出的权限可以由授出的权限可以由DBA或其他的授权者收回或其他的授权者收回revoke,onfrom,l例子例子:把用户把用户wang和和zhang修改成绩的权限收回修改成绩的权限收回revokeupdateGradeontableSCfromwang,zhang;l例子例子:收回所有用户对收回所有用户对SC表的查询授权表的查询授权revokeS

17、ELECTonTABLESCfromPUBLIC;l授权回收操作是级联的授权回收操作是级联的USER1USER2USER3USER4数据库角色数据库角色Rolel如果要给成千上万个雇员分配许可，将面临很大的管如果要给成千上万个雇员分配许可，将面临很大的管理难题，每次有雇员到来或者离开时，就得有人分配理难题，每次有雇员到来或者离开时，就得有人分配或去除可能与数百张表或视图有关的权限。这项任务或去除可能与数百张表或视图有关的权限。这项任务不但耗时，而且容易出错。不但耗时，而且容易出错。l一个相对简单有效的解决方案就是定义数据库角色。一个相对简单有效的解决方案就是定义数据库角色。l数据库角色是被命名

18、的一组与数据库操作相关的权限，数据库角色是被命名的一组与数据库操作相关的权限，即一组相关权限的集合。即一组相关权限的集合。l可以为一组具有相同权限的用户创立一个角色。使用可以为一组具有相同权限的用户创立一个角色。使用角色来管理数据库权限可以简化授权的过程。角色来管理数据库权限可以简化授权的过程。授权管理授权管理DBARole用户用户用户用户授权授权属于任意控制任意控制视图机制视图机制l视图机制把要保密的数据对无权存取这些数据视图机制把要保密的数据对无权存取这些数据的用户隐藏起来，从而自动地对数据提供一定的用户隐藏起来，从而自动地对数据提供一定程度的平安保护程度的平安保护l视图机制更主要的功能在

19、于提供数据独立性，视图机制更主要的功能在于提供数据独立性，其平安保护功能太不精细，往往远不能到达应其平安保护功能太不精细，往往远不能到达应用系统的要求用系统的要求视图机制视图机制l在实际应用中通常是视图机制与授权机制配合在实际应用中通常是视图机制与授权机制配合使用，首先用视图机制屏蔽掉一局部保密数据，使用，首先用视图机制屏蔽掉一局部保密数据，然后在视图上面再进一步定义存取权限然后在视图上面再进一步定义存取权限l这时视图机制实际上间接实现了支持存取谓词这时视图机制实际上间接实现了支持存取谓词的用户权限定义的用户权限定义视图机制视图机制l例如：例如：USER1只能检索计算机系学生的信息只能检索计算

20、机系学生的信息1先建立计算机系学生的视图先建立计算机系学生的视图CS_StudentCREATEVIEWCS_StudentASSELECTFROMStudentWHERESdept=CS；2在视图上进一步定义存取权限在视图上进一步定义存取权限GRANTSELECTONCS_StudentTOUSER1；SQLServer的平安机制的平安机制lSQLServer采用采用4个等级的平安验证个等级的平安验证：操作系统平安验证；操作系统平安验证；SQLServer平安验证；平安验证；SQLServer数据库平安验证；数据库平安验证；SQLServer数据库对象平安验证。数据库对象平安验证。SQLSe

21、rver的平安机制的平安机制l权限管理：权限管理：在SQL Server中有三种类型的权限语句权限：可以委派给其它用户语句权限：可以委派给其它用户对象权限：可以委派给其它用户对象权限：可以委派给其它用户隐含权限：只允许属于特定角色的人使用隐含权限：只允许属于特定角色的人使用l在在SQLServer中主要有两种类型的角色中主要有两种类型的角色效劳器角色与数据库角色效劳器角色与数据库角色SQLServer的平安机制的平安机制l语句权限语句权限是是SQLServer中功能最强大的一些权限，这些权限只中功能最强大的一些权限，这些权限只限分配在单个数据库，跨数据库的权限是不可能的限分配在单个数据库，跨数

22、据库的权限是不可能的通常只给那些需要在数据库中创立或修改对象、执行通常只给那些需要在数据库中创立或修改对象、执行数据库或事务日志备份的用户数据库或事务日志备份的用户当分配语句权限给用户时，就给了他们创立对象的能当分配语句权限给用户时，就给了他们创立对象的能力，通常使用对应的力，通常使用对应的SQLServer命令来引用命令来引用SQLServer的平安机制的平安机制l语句权限语句权限CREATE DATABASE创立数据库CREATE TABLE创立表CREATE VIEW创立视图CREATE RULE创立规则CREATE DEFAULT创立缺省CREATE PROCEDURE创立存储过程BA

23、CKUP DATABASE备份数据库BACKUP LOG备份事务日志SQLServer的平安机制的平安机制l对象权限对象权限对象权限分配给数据库层次上的对象，并允许用户访问对象权限分配给数据库层次上的对象，并允许用户访问和操作数据库中已存在的对象和操作数据库中已存在的对象没有这些权限，用户将不能访问数据库里的任何对象。没有这些权限，用户将不能访问数据库里的任何对象。这些权限实际上给了用户运行特定这些权限实际上给了用户运行特定SQL语句的能力语句的能力l对象授权操作表：表：SELECT,INSERT,UPDATE,DELETE,REFERENCE视图：视图：SELECT,INSERT,UPDAT

24、E,DELETE存储过程：存储过程：EXECUTE列：列：SELECT,UPDATEOracle数据库的平安性措施数据库的平安性措施lORACLE的平安措施的平安措施:用户标识和鉴定授权和检查机制审计技术用户通过触发器灵活定义自己的平安性措施ORACLE的用户标识和鉴定的用户标识和鉴定lORACLE允许用户重复标识三次允许用户重复标识三次l如果三次仍未通过，系统自动退出如果三次仍未通过，系统自动退出ORACLE的授权与检查机制的授权与检查机制lORACLE授权和检查机制的特色授权和检查机制的特色ORACLE的权限包括系统权限和数据库对象的权限的权限包括系统权限和数据库对象的权限采用非集中式的授

25、权机制采用非集中式的授权机制每个用户授予与回收自己创立的数据库对象的权限每个用户授予与回收自己创立的数据库对象的权限DBA负责授予与回收系统权限，也可以授予与回收所负责授予与回收系统权限，也可以授予与回收所有数据库对象的权限有数据库对象的权限允许重复授权，即可将某一权限屡次授予同一用户，允许重复授权，即可将某一权限屡次授予同一用户，系统不会出错系统不会出错允许无效回收，即用户不具有某权限，但回收此权限允许无效回收，即用户不具有某权限，但回收此权限的操作仍是成功的。的操作仍是成功的。ORACLE的授权与检查机制的授权与检查机制lORACLE的权限的权限系统权限系统权限80多种多种l创立会话创立会

26、话l创立表创立表l创立视图创立视图l创立用户创立用户数据库对象的权限数据库对象的权限Oracle系统权限系统权限lDBA在创立一个用户时需要将其中的一些权限授予该用户在创立一个用户时需要将其中的一些权限授予该用户l角色角色ORACLE支持角色的概念支持角色的概念ORACLE允许允许DBA定义角色定义角色ORACLE提供的预定义角色提供的预定义角色lCONNECTlRESOURCElDBAOracle系统权限系统权限lCONNECT角色角色允许用户登录数据库并执行数据查询和操纵l ALTER TABLEl CREATE VIEW/INDEX l DROP TABLE/VIEW/INDEXl GR

27、ANT,REVOKEl INSERT,UPDATE,DELETEl SELETEl AUDIT/NOAUDITOracle系统权限系统权限lRESOURCE角色角色允许用户建表，即执行CREATE TABLE操作由于创立表的用户将拥有该表，因此他具有对该表的任何权限Oracle系统权限系统权限lDBA角色角色允许用户执行授权命令，建表，对任何表的数据进行操纵。DBA角色涵盖了前两种角色，此外还可以执行一些管理操作。DBA角色拥有最高级别的权限。Oracle系统权限系统权限例：例：DBA建立一用户建立一用户U12后，欲将后，欲将ALTERTABLE、CREATEVIEW、CREATEINDEX、

28、DROPTABLE、DROPVIEW、DROPINDEX,GRANT,REVOKE、INSERT、SELETE、UPDATE、DELETE、AUDIT、NOAUDIT等系统权限授予等系统权限授予U12，则可以只简单地将，则可以只简单地将CONNECT角色授予角色授予U12即可：即可：GRANTCONNECTTOU12;这样就可以省略十几条这样就可以省略十几条GRANT语句。语句。Oracle数据库对象的权限数据库对象的权限lORACLE可以授权的数据库对象可以授权的数据库对象基本表基本表视图视图序列序列l利用它可生成唯一的整数。一般用于自动生成主码值。防止利用它可生成唯一的整数。一般用于自动生

29、成主码值。防止了在应用层实现序列而引起的性能瓶颈。了在应用层实现序列而引起的性能瓶颈。同义词同义词:一种映射关系一种映射关系 lcreatepublicsynonymtable_nameforuser.table_name 存储过程存储过程函数函数Oracle数据库对象的权限数据库对象的权限l基本表的平安性级别基本表的平安性级别表级表级行级行级列级列级Oracle数据库对象的权限数据库对象的权限l表级平安性表级平安性表的创立者或表的创立者或DBA可以把对表的权限授予其他用户可以把对表的权限授予其他用户表级权限表级权限lALTER：修改表定义修改表定义lDELETE：删除表记录：删除表记录lIN

30、DEX：在表上建索引在表上建索引lINSERT：向表中插入数据记录向表中插入数据记录lSELECT：查找表中记录：查找表中记录lUPDATE：修改表中的数据：修改表中的数据lALL：上述所有权限上述所有权限表级授权使用表级授权使用GRANTREVOKE语句语句例：例：GRANTSELECTONSCTOU12;Oracle数据库对象的权限数据库对象的权限l行级平安性行级平安性 ORACLE行级平安性由视图间接实现例：用户例：用户U1只允许用户只允许用户U12查看自己创立的查看自己创立的Student表中表中有关信息系学生的信息，则首先创立视图信息系学生视有关信息系学生的信息，则首先创立视图信息系

31、学生视图图S_IS：CREATE VIEW S_IS AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept=IS;然后将关于该视图的然后将关于该视图的SELECT权限授予权限授予U12用户：用户：GRANTSELECTONS_ISTOU12;Oracle数据库对象的权限数据库对象的权限l列级平安性列级平安性借助视图实现列级平安性借助视图实现列级平安性CREATEVIEWS_VASSELECTSno,SnameFROMStudent；GRANTSELECTONS_VTOU12;直接在基本表上定义列级平安性直接在基本表上定义列级平

32、安性例：例：GRANTUPDATESno,CnoONSCTOU12;Oracle数据库对象的权限数据库对象的权限l三级对象的层次结构三级对象的层次结构表、行、列三级对象自上而下构成一个层次表、行、列三级对象自上而下构成一个层次结构结构上一级对象的权限制约下一级对象的权限上一级对象的权限制约下一级对象的权限例：当一个用户拥有了对某个表的例：当一个用户拥有了对某个表的UPDATE权权限，即相当于在表的所有列了都拥有了限，即相当于在表的所有列了都拥有了UPDATE权限。权限。Oracle数据库对象的权限数据库对象的权限lORACLE对数据库对象的权限采用分散控制方式对数据库对象的权限采用分散控制方式

33、允许具有WITH GRANT OPTION的用户把相应权限或其子集传递授予其他用户lORACLE不允许循环授权，即授权者不能把权限再授不允许循环授权，即授权者不能把权限再授予其授权者或祖先予其授权者或祖先U1U2U3U4ORACLE的授权与检查机制的授权与检查机制lORACLE的权限检查机制的权限检查机制ORACLE把所有权限信息记录在数据字典中把所有权限信息记录在数据字典中当用户进行数据库操作时，当用户进行数据库操作时，ORACLE首先根据数据首先根据数据字典中的权限信息，检查操作的合法性字典中的权限信息，检查操作的合法性在在ORACLE中，平安性检查是任何数据库操作的第中，平安性检查是任何

34、数据库操作的第一步一步以下内容供参考以下内容供参考l强制控制强制控制l审计审计l数据库加密数据库加密l统计数据库的平安性统计数据库的平安性强制控制强制控制l任意访问控制是关系数据库的传统方法，可对数据库提供充分保护，但它不支持随数据库各局部的机密性而变化，技术高超的专业人员可能突破该保护机制获得未授权访问l另外，由于用户对数据的存取权限是“自主的，用户可以自由地决定将数据的存取权限授予何人、决定是否也将“授权的权限授予别人。在这种授权机制下，仍可能存在数据的“无意泄露强制控制强制控制l强制访问控制克服了任意访问控制的缺点。l在强制访问控制方法中，不能由一个用户不加控制地将访问权限授予或传递给另

35、一用户。l强制访问控制方法是指系统为了保证更高程度的平安性，它不是用户能直接感知或进行控制的。l强制访问控制主要适用于对数据有严格要求而固定 分类的部门，如 事部门或政府部门强制控制强制控制l强制访问控制模型基于与每个数据项和每个用户关联强制访问控制模型基于与每个数据项和每个用户关联的平安性标识的平安性标识SecurityLabel。平安性标识被分。平安性标识被分为假设干级别为假设干级别绝密绝密TopSecret机密机密Secret秘密秘密Confidential一般一般Publicl数据的标识称为数据的标识称为SecurityClassificationl用户的标识称为许可证级别用户的标识称

36、为许可证级别SecurityClearance强制控制强制控制l当某一用户以某一当某一用户以某一进入系统时，在确定该用进入系统时，在确定该用户能否访问系统上的数据时应遵守如下规则户能否访问系统上的数据时应遵守如下规则1当且仅当用户许可证级别大于等于数当且仅当用户许可证级别大于等于数据的据的时，该用户才能对该数据进行读操作时，该用户才能对该数据进行读操作2当且仅当用户的许可证级别小于或等当且仅当用户的许可证级别小于或等于数据的于数据的时，该用户才能对该数据进行写时，该用户才能对该数据进行写操作操作审计审计l审计功能启用一个专用的审计日志审计功能启用一个专用的审计日志AuditLog，系统自动将用

37、户对数据库的所有操作，系统自动将用户对数据库的所有操作记录在上面记录在上面lDBA可以利用审计日志中的追踪信息，重现导可以利用审计日志中的追踪信息，重现导致数据库现有状况的一系列事件，以找出非法致数据库现有状况的一系列事件，以找出非法存取数据的人存取数据的人C2以上平安级别的以上平安级别的DBMS必须具有审计功能必须具有审计功能审计审计l审计日志一般包括以下内容：审计日志一般包括以下内容：1操作类型如修改、查询等操作类型如修改、查询等2操作终端标识与操作人员标识操作终端标识与操作人员标识3操作日期和时间操作日期和时间4操作的数据对象如表、视图、记录、操作的数据对象如表、视图、记录、属性等属性等

38、5数据修改前后的值数据修改前后的值审计功能的可选性审计功能的可选性l审计很费时间和空间，所以审计很费时间和空间，所以DBMS往往都将其作为可选特征往往都将其作为可选特征DBA可以根据应用对平安性的要求，灵活地翻开或关闭可以根据应用对平安性的要求，灵活地翻开或关闭审计功能审计功能l审计技术是预防手段，监测可能的不合法行为审计技术是预防手段，监测可能的不合法行为l当数据相当敏感，或者对数据的处理极为重要时，就必须使当数据相当敏感，或者对数据的处理极为重要时，就必须使用审计技术用审计技术审计审计l审计一般可以分为审计一般可以分为用户级审计是任何用户可设置的审计，主要用户级审计是任何用户可设置的审计，

39、主要是针对自己创立的数据库或视图进行审计，是针对自己创立的数据库或视图进行审计，记录所有用户对这些表或视图的一切成功和记录所有用户对这些表或视图的一切成功和或不成功的访问要求以及各种类型的或不成功的访问要求以及各种类型的SQL操作操作系统级审计只能由系统级审计只能由DBA设置，用以监测成功设置，用以监测成功或失败的登录要求、监测或失败的登录要求、监测Grant和和Revoke操操作以及其他数据库级权限下的操作作以及其他数据库级权限下的操作数据库加密技术数据库加密技术l防止数据库中数据在存储和传输中失密的有效手段防止数据库中数据在存储和传输中失密的有效手段l针对的情况针对的情况入侵者绕过系统访问

40、数据库的信息内容入侵者绕过系统访问数据库的信息内容入侵者通过物理移除磁盘或备份磁盘盗走数据库入侵者通过物理移除磁盘或备份磁盘盗走数据库入侵者接入载有真实用户数据的通信链路入侵者接入载有真实用户数据的通信链路聪明的入侵者通过运行程序突破操作系统防线来检聪明的入侵者通过运行程序突破操作系统防线来检索数据索数据l在这些情况下，数据库系统的各种授权规则或许不能在这些情况下，数据库系统的各种授权规则或许不能提供充分的保护。标准平安技术无法防范绕过系统访提供充分的保护。标准平安技术无法防范绕过系统访问数据的侵扰，这就需要采取其他保护措施来加强平问数据的侵扰，这就需要采取其他保护措施来加强平安系统安系统加密

41、的基本思想加密的基本思想l根据一定的算法将原始数据术语为明文，根据一定的算法将原始数据术语为明文，Plaintext变换为不可直接识别的格式术变换为不可直接识别的格式术语为密文，语为密文，Ciphertextl不知道解密算法的人无法获知数据的内容不知道解密算法的人无法获知数据的内容加密方法加密方法l替换方法替换方法使用密钥Encryption Key将明文中的每一个字符转换为密文中的一个字符l置换方法置换方法将明文的字符按不同的顺序重新排列l这两种方法结合能提供相当高的平安程度这两种方法结合能提供相当高的平安程度例：例：1977年制定的官方加密标准：数据加密标准年制定的官方加密标准：数据加密标

42、准DataEncryptionStandard，简称，简称DES数据库加密技术数据库加密技术l基于文件的加密基于文件的加密把数据库文件作为整体，用加密算法对整个数据库把数据库文件作为整体，用加密算法对整个数据库文件加密来保证信息的真实性和完整性。数据的共文件加密来保证信息的真实性和完整性。数据的共享是通过用户用解密密钥对整个数据库文件进行解享是通过用户用解密密钥对整个数据库文件进行解密来实现的。密来实现的。l实际应用受到多方面的限制实际应用受到多方面的限制数据修改的工作将变得十分困难，需要进行解密、数据修改的工作将变得十分困难，需要进行解密、修改、复制和加密四个操作，极大地增加了系统的修改、复

43、制和加密四个操作，极大地增加了系统的时空开销时空开销即使用户只是需要查看某一条记录，也必须将整个即使用户只是需要查看某一条记录，也必须将整个数据库文件解密，这样无法实现对文件中不需要让数据库文件解密，这样无法实现对文件中不需要让用户知道的信息的控制用户知道的信息的控制数据库加密技术数据库加密技术l字段加密字段是最小的加密单位字段加密字段是最小的加密单位l字段加密的原理字段加密的原理将重要的字段内容进行加密，当使用查询语句获取结将重要的字段内容进行加密，当使用查询语句获取结果集后，再将这些重要的字段内容进行解密。每个字果集后，再将这些重要的字段内容进行解密。每个字段可以使用不同的密钥，也可以使用

44、共同的密钥段可以使用不同的密钥，也可以使用共同的密钥l字段加密的特点字段加密的特点较高的平安性较高的平安性影响数据库的访问速度：对一个记录进行存取时需要影响数据库的访问速度：对一个记录进行存取时需要屡次的加屡次的加/解密处理解密处理对数据库管理系统对数据库管理系统DBMS的功能影响也很大的功能影响也很大在实际应用中，一般不会对所有记录都进行加密处理，在实际应用中，一般不会对所有记录都进行加密处理，而是对局部平安性要求高的字段进行加密处理而是对局部平安性要求高的字段进行加密处理数据库加密技术数据库加密技术l通常情况下，以下几种字段不宜加密通常情况下，以下几种字段不宜加密索引字段不能加密索引字段不

45、能加密关系运算的比较字段不能加密关系运算的比较字段不能加密表间的连接码字段不能加密表间的连接码字段不能加密数据库加密技术数据库加密技术l记录加密记录加密将表中的行的所有字段或局部字段组成一个整体，将表中的行的所有字段或局部字段组成一个整体，进行统一加密，当应用程序访问数据库中的表记录进行统一加密，当应用程序访问数据库中的表记录时，再将行的所有字段或局部字段进行统一解密。时，再将行的所有字段或局部字段进行统一解密。数据库加密对数据库加密对DBMS的影响的影响l数据库加密后对数据库加密后对DBMS原有功能的主要影响原有功能的主要影响无法实现对数据制约因素的定义；无法实现对数据制约因素的定义；密文数

46、据的排序、分组和分类；密文数据的排序、分组和分类；SQL语言中的内部函数不能作用于加语言中的内部函数不能作用于加/解密数据；解密数据；DBMS的一些应用开发工具的使用受到限制的一些应用开发工具的使用受到限制l在对数据库进行加密时，应注意以下几点在对数据库进行加密时，应注意以下几点选择适宜的加密算法选择适宜的加密算法选择适宜的加密方法选择适宜的加密方法测试加密后访问数据库的效率测试加密后访问数据库的效率统计数据库的平安性统计数据库的平安性l统计数据库的特点统计数据库的特点允许用户查询聚集类型的信息如合计、平均值等允许用户查询聚集类型的信息如合计、平均值等不允许查询单个记录信息不允许查询单个记录信

47、息l例如：例如：允许查询允许查询“程序员的平均工资是多少程序员的平均工资是多少不允许查询不允许查询“程序员张勇的工资程序员张勇的工资统计数据库的平安性统计数据库的平安性l统计数据库中特殊的平安性问题统计数据库中特殊的平安性问题 隐蔽的信息通道隐蔽的信息通道 从合法的查询中推导出不合法的信息从合法的查询中推导出不合法的信息统计数据库的平安性统计数据库的平安性l例例1：下面两个查询都是合法的：下面两个查询都是合法的本公司共有多少女高级程序员？本公司共有多少女高级程序员？本公司女高级程序员的工资总额是多少？本公司女高级程序员的工资总额是多少？如果第一个查询的结果是如果第一个查询的结果是“1，那么第二

48、个查询的，那么第二个查询的结果显然就是这个程序员的工资数结果显然就是这个程序员的工资数规则规则1：任何查询至少要涉及任何查询至少要涉及NN足够大足够大个以上的记录个以上的记录统计数据库的平安性统计数据库的平安性l例例2：用户：用户A发出下面两个合法查询发出下面两个合法查询用户用户A和其他和其他N个程序员的工资总额是多少？个程序员的工资总额是多少？用户用户B和其他和其他N个程序员的工资总额是多少？个程序员的工资总额是多少？假设第一个查询的结果是假设第一个查询的结果是X，第二个查询的结果是，第二个查询的结果是Y，由于用户，由于用户A知道自己的工资是知道自己的工资是Z，那么他可以计，那么他可以计算出

49、用户算出用户B的工资的工资=Y-X-Z 原因：两个查询之间有很多重复的数据项原因：两个查询之间有很多重复的数据项规则规则2：任意两个查询的相交数据项不能超过任意两个查询的相交数据项不能超过M个个统计数据库的平安性统计数据库的平安性l可以证明，在上述两条规定下，如果想获知用户可以证明，在上述两条规定下，如果想获知用户B的工的工资额资额A至少需要进行至少需要进行1+N-2/M次查询。次查询。规则规则3：任一用户的查询次数不能超过任一用户的查询次数不能超过1+N-2/M。l如果两个用户合作查询就可以使这一规定失效。如果两个用户合作查询就可以使这一规定失效。数据库平安机制的设计目标数据库平安机制的设计

50、目标l试图破坏平安的人所花费的代价试图破坏平安的人所花费的代价 得到的利益得到的利益 l9、静夜四无邻，荒居旧业贫。、静夜四无邻，荒居旧业贫。5月月-235月月-23Sunday,May14,2023l10、雨中黄叶树，灯下白头人。、雨中黄叶树，灯下白头人。18:53:5618:53:5618:535/14/20236:53:56PMl11、以我独沈久，愧君相见频。、以我独沈久，愧君相见频。5月月-2318:53:5618:53May-2314-May-23l12、故人江海别，几度隔山川。、故人江海别，几度隔山川。18:53:5618:53:5618:53Sunday,May14,2023l1