【正文】 中安全策略的要求，所采取的強(qiáng)制存取檢查手段。 * An Introduction to Database System 99 強(qiáng)制存取控制方法（續(xù)） ?規(guī)則的共同點(diǎn) 禁止了擁有 高許可證級(jí)別 的主體 更新低密級(jí)的數(shù)據(jù)對(duì)象 * An Introduction to Database System 100 強(qiáng)制存取控制方法（續(xù)） ?強(qiáng)制存取控制的特點(diǎn) – MAC是對(duì)數(shù)據(jù)本身進(jìn)行密級(jí)標(biāo)記 – 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個(gè)不可分的整體 – 只有符合密級(jí)標(biāo)記要求的用戶才可以操縱數(shù)據(jù) – 從而提供了更高級(jí)別的安全性 * An Introduction to Database System 101 MAC與 DAC ?DAC與 MAC共同構(gòu)成 DBMS的安全機(jī)制 –原因：較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù) ?先進(jìn)行 DAC檢查，通過 DAC檢查的數(shù)據(jù)對(duì)象再由系統(tǒng)進(jìn)行 MAC檢查，只有通過MAC檢查的數(shù)據(jù)對(duì)象方可存取。CS39。 Noaudit alter,update On sc * An Introduction to Database System 114 數(shù)據(jù)加密 計(jì)算機(jī)安全性概論 數(shù)據(jù)庫安全性控制 視圖機(jī)制 審計(jì) 數(shù)據(jù)加密 統(tǒng)計(jì)數(shù)據(jù)庫安全性 小結(jié) * An Introduction to Database System 115 數(shù)據(jù)加密 ?數(shù)據(jù)加密 – 防止數(shù)據(jù)庫中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段 ?加密的基本思想 – 根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，Plain text）變換為不可直接識(shí)別的格式（術(shù)語為密文， Cipher text） – 不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容 * An Introduction to Database System 116 數(shù)據(jù)加密（續(xù)） ?加密方法 – 替換方法 ?使用密鑰（ Encryption Key）將明文中的每一個(gè)字符轉(zhuǎn)換為密文中的一個(gè)字符 – 置換方法 ?將明文的字符按不同的順序重新排列 – 混合 方法 美國(guó) 1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（ Data Encryption Standard，簡(jiǎn)稱 DES） * An Introduction to Database System 117 數(shù)據(jù)加密（續(xù)） ?DBMS中的數(shù)據(jù)加密 – 有些數(shù)據(jù)庫產(chǎn)品提供了數(shù)據(jù)加密例行程序 – 有些數(shù)據(jù)庫產(chǎn)品本身未提供加密程序，但提供了接口 * An Introduction to Database System 118 數(shù)據(jù)加密（續(xù)） ?數(shù)據(jù)加密功能通常也作為可選特征，允許用戶自由選擇 – 數(shù)據(jù)加密與解密是比較費(fèi)時(shí)的操作 – 數(shù)據(jù)加密與解密程序會(huì)占用大量系統(tǒng)資源 – 應(yīng)該只對(duì)高度機(jī)密的數(shù)據(jù)加密 * An Introduction to Database System 119 統(tǒng)計(jì)數(shù)據(jù)庫安全性 計(jì)算機(jī)安全性概論 數(shù)據(jù)庫安全性控制 視圖機(jī)制 審計(jì) 數(shù)據(jù)加密 統(tǒng)計(jì)數(shù)據(jù)庫安全性 小結(jié) * An Introduction to Database System 120 統(tǒng)計(jì)數(shù)據(jù)庫安全性 ?統(tǒng)計(jì)數(shù)據(jù)庫的特點(diǎn) – 允許用戶查詢 聚集 類型的信息（例如合計(jì)、平均值等） – 不允許查詢 單個(gè) 記錄信息 例：允許查詢“程序員的平均工資是多少？” 不允許查詢“程序員張勇的工資？” * An Introduction to Database System 121 統(tǒng)計(jì)數(shù)據(jù)庫安全性（續(xù)） ?統(tǒng)計(jì)數(shù)據(jù)庫中特殊的安全性問題 – 隱蔽的信息通道 – 從合法的查詢中推導(dǎo)出不合法的信息 * An Introduction to Database System 122 統(tǒng)計(jì)數(shù)據(jù)庫安全性（續(xù)） 例 1：下面兩個(gè)查詢都是合法的： 1．本公司共有多少女高級(jí)程序員？ 2．本公司女高級(jí)程序員的工資總額是多少？ 如果第一個(gè)查詢的結(jié)果是“ 1”，那么第二個(gè)查詢的結(jié)果顯然就是這個(gè)程序員的工資數(shù)。 ? CSEC/TDI從 安全策略、責(zé)任、保證 和 文檔 四個(gè)方面描述了安全性級(jí)別的指標(biāo) * An Introduction to Database System 129 小結(jié)（續(xù)） ? 實(shí)現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性的技術(shù)和方法有多種，最重要的是存取控制 技術(shù)和 審計(jì) 技術(shù)。 原因：兩個(gè)查詢之間有很多重復(fù)的數(shù)據(jù)項(xiàng) 規(guī)則 2：任意兩個(gè)查詢的相交數(shù)據(jù)項(xiàng)不能超過 M個(gè) * An Introduction to Database System 124 統(tǒng)計(jì)數(shù)據(jù)庫安全性（續(xù)） 可以證明，在上述兩條規(guī)定下，如果想獲知用戶 B的工資額 A至少需要進(jìn)行 1+(N2)/M次查詢 規(guī)則 3：任一用戶的查詢次數(shù)不能超過 1+(N2)/M 如果兩個(gè)用戶合作查詢就可以使這一規(guī)定失效 * An Introduction to Database System 125 統(tǒng)計(jì)數(shù)據(jù)庫安全性（續(xù)） 數(shù)據(jù)庫安全機(jī)制的設(shè)計(jì)目標(biāo)： 試圖破壞安全的人所花費(fèi)的代價(jià) 得到的利益 * An Introduction to Database System 126 小結(jié) 計(jì)算機(jī)安全性概論 數(shù)據(jù)庫安全性控制 視圖機(jī)制 審計(jì) 數(shù)據(jù)加密 統(tǒng)計(jì)數(shù)據(jù)庫安全性 小結(jié) * An Introduction to Database System 127 小結(jié) ?隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)的共享日益加強(qiáng)，數(shù)據(jù)的安全保密越來越重要 ? DBMS是管理數(shù)據(jù)的核心，因而其自身必須具有一整套完整而有效的安全性機(jī)制。 * An Introduction to Database System 111 審計(jì)（續(xù)） ?強(qiáng)制性機(jī)制 : 用戶識(shí)別和鑒定、存取控制、視圖 ?預(yù)防監(jiān)測(cè)手段 : 審計(jì)技術(shù) * An Introduction to Database System 112 審計(jì)（續(xù)） ?例題 15 對(duì)修改 SC表結(jié)構(gòu)或修改 SC表數(shù)據(jù)的操作進(jìn)行審計(jì)。 * An Introduction to Database System 105 視圖機(jī)制（續(xù)） ?視圖機(jī)制與授權(quán)機(jī)制配合使用 : ?首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù) ?視圖上面再進(jìn)一步定義存取權(quán)限 ?間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義 * An Introduction to Database System 106 視圖機(jī)制（續(xù)） 例：建立計(jì)算機(jī)系學(xué)生的視圖，把該視圖的檢索權(quán)限（ Select）授予王平，把該視圖上的所有操作權(quán)限授予張明。 – MAC適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門 ? 軍事部門 ? 政府部門 * An Introduction to Database System 94 強(qiáng)制存取控制方法（續(xù)） ?主體與客體 – 在 MAC中， DBMS所管理的全部實(shí)體被分為主體和客體兩大類 – 主體 是系統(tǒng)中的活動(dòng)實(shí)體 ? DBMS所管理的實(shí)際用戶 ? 代表用戶的各進(jìn)程 – 客體 是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的 ? 文件 ? 基表 ? 索引 ? 視圖 * An Introduction to Database System 95 強(qiáng)制存取控制方法（續(xù)） ?敏感度標(biāo)記 – 對(duì)于主體和客體， DBMS為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（ Label） – 敏感度標(biāo)記分成若干級(jí)別 ? 絕密（ Top Secret） ? 機(jī)密（ Secret） ? 可信（ Confidential） ? 公開（ Public） * An Introduction to Database System 96 強(qiáng)制存取控制方法（續(xù)） – 主體的敏感度標(biāo)記稱為許可證級(jí)別（ Clearance Level） – 客體的敏感度標(biāo)記稱為密級(jí)（ Classification Level） – MAC機(jī)制就是通過對(duì)比主體的 Label和客體的 Label，最終確定主體是否能夠存取客體 * An Introduction to Database System 97 強(qiáng)制存取控制方法（續(xù)） ? 強(qiáng)制存取控制規(guī)則 – 當(dāng)某一用戶（或某一主體）以標(biāo)記 label注冊(cè)入系統(tǒng)時(shí)，系統(tǒng)要求他對(duì)任何客體的存取必須遵循下面兩條規(guī)則： （ 1）僅當(dāng)主體的許可證級(jí)別 大于或等于 客體的密級(jí)時(shí)，該主體才能 讀 取相應(yīng)的客體； （ 2）僅當(dāng)主體的許可證級(jí)別 等于 客體的密級(jí)時(shí)，該主體才能 寫 相應(yīng)的客體。使他們具有角色 R1的全部權(quán)限。 ?角色是權(quán)限的集合。 ?功能：從指定 用戶 那里收回對(duì)指定 對(duì)象的指定 權(quán)限 * An Introduction to Database System 80 例題 例 7 把用戶 U4修改學(xué)生學(xué)號(hào)的權(quán)限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4。 同樣 ， U6還可以將此權(quán)限授予 U7： GRANT INSERT ON TABLE SC TO U7。 * An Introduction to Database System 74 例題（續(xù)） 例 3 把對(duì)表 SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC。 ?誰定義 ？ DBA和表的建立者 （ 即表的屬主 ） ? REV