[工学]第4章-安全性.ppt

问题的提出 数据库的一大特点是数据可以共享，但数据共享必然带来数据库的安全性问题； 数据库系统中的数据共享不能是无条件的共享； 例：军事秘密、 国家机密、 新产品实验数据、 市场需求分析、市场营销策略、销售计划、 客户档案、 医疗档案、 银行储蓄数据 数据库中数据的共享是在DBMS统一的严格的控制之下的共享，即只允许有合法使用权限的用户访问允许他存取的数据； 数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一。 安全标准介绍 计算机以及信息安全技术方面有一系列的安全标准，最有影响的是： TCSEC (桔皮书) TDI (紫皮书) TCSEC/TDI安全级别划分 可信计算机系统评测标准 四组(division)七个等级； D C（C1，C2） B（B1，B2，B3） A（A1） 按系统可靠或可信程度逐渐增高； 各安全级别之间具有一种偏序向下兼容的关系，即较高安全性级别提供的安全保护要包含较低级别的所有保护要求，同时提供更多或更完善的保护能力。 关系数据库系统中的存取权限 自主存取控制方法的优缺点： 授权与回收 [例11] 把用户U5对SC表的INSERT权限收回 REVOKE INSERT ON TABLE SC FROM U5; 3、创建数据库模式的权限 一般格式： CREATE USER usename[with][DBA] RESOURCE|CONNECT]; 说明： 只有系统超级用户才有权创建一个新的数据库用户。 新创建的数据库用户有三种权限RESOURCE、CONNECT和DBA。 CREATE USER命令中如果没有指定创建新用户的权限，默认该用户拥有CONNECT权限。 主体与客体： 视图机制把要必威体育官网网址的数据对无权存取这些数据的用户隐藏起来。 视图机制更主要的功能在于提供数据独立性，其安全保护功能太不精细，往往远不能达到应用系统的要求。 例1：下面两个查询都是合法的： 1．本公司共有多少女高级程序员 2．本公司女高级程序员的工资总额是多少？ 是否可以从合法的查询中取出不合法的信息？ 例2：用户A发出下面两个合法查询： 1．用户A和其他N个程序员的工资总额是多少？ 2．用户B和其他N个程序员的工资总额是多少？ 原因：两个查询之间有很多重复的数据项 商品化DBMS数据安全措施实例: 例17：收回王明对表Employee的查询、插入和修改权限。 REVOKE R1 FROM 王明； 修改角色的权限影响所有该角色身份的用户，因此授权更灵活、方便。 说明： ★ 用户权限定义中数据对象范围越小，授权子系统就越灵活，但定义与检查权限的开销也越大。 ★ 自主存取控制存在“无意泄露”的问题 四、强制存取控制（MAC）方法 什么是强制存取控制？ 强制存取控制(MAC)是指系统为保证更高程度的安全性，按照TDI/TCSEC标准中安全策略的要求，所采取的强制存取检查手段。 MAC不是用户能直接感知或进行控制的。 MAC适用于对数据有严格而固定密级分类的部门 军事部门 政府部门 在MAC中，将DBMS中的实体分为两类 主体 客体 主体是系统中的活动实体。 DBMS所管理的实际用户； 代表用户的各进程。 客体是系统中的被动实体，是受主体操纵的。 文件 基表 索引 视图 敏感度标记: 对于主体和客体，DBMS为它们每个实例（值）指派一个敏感度标记（Label）。 敏感度标记分成若干级别： 绝密（Top Secret） 机密（Secret） 可信（Confidential） 公开（Public） 主体的敏感度标记称为许可证级别（Clearance Level）； 客体的敏感度标记称为密级（Classification Level）； MAC机制就是通过对比主体的Label和客体的Label，最终确定主体是否能够存取客体。 强制存取控制规则: 当某一用户（或某一主体）以标记label注册入系统时，系统要求他对任何客体的存取必须遵循下面两条规则： （1）仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体； （2）仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体。 修正规则: 主体的许可证级别 =客体的密级 主体能写客体 用户可为写入的数据对象赋予高于自己的许可证级别的密级 一旦数据被写入，该用户自己也不能再读该数据对象了。 规则的共同点： 禁止了拥有高许可证级别的主体更新低密级的数据对象 强制存取控制的特点: MAC是对数据本身