【正文】 中安全策略的要求，所采取的強制存取檢查手段。 * An Introduction to Database System 99 強制存取控制方法（續(xù)） ?規(guī)則的共同點 禁止了擁有 高許可證級別 的主體 更新低密級的數(shù)據(jù)對象 * An Introduction to Database System 100 強制存取控制方法（續(xù)） ?強制存取控制的特點 – MAC是對數(shù)據(jù)本身進行密級標(biāo)記 – 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個不可分的整體 – 只有符合密級標(biāo)記要求的用戶才可以操縱數(shù)據(jù) – 從而提供了更高級別的安全性 * An Introduction to Database System 101 MAC與 DAC ?DAC與 MAC共同構(gòu)成 DBMS的安全機制 –原因：較高安全性級別提供的安全保護要包含較低級別的所有保護 ?先進行 DAC檢查，通過 DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進行 MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。CS39。 Noaudit alter,update On sc * An Introduction to Database System 114 數(shù)據(jù)加密 計算機安全性概論 數(shù)據(jù)庫安全性控制 視圖機制 審計 數(shù)據(jù)加密 統(tǒng)計數(shù)據(jù)庫安全性 小結(jié) * An Introduction to Database System 115 數(shù)據(jù)加密 ?數(shù)據(jù)加密 – 防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段 ?加密的基本思想 – 根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，Plain text）變換為不可直接識別的格式（術(shù)語為密文， Cipher text） – 不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容 * An Introduction to Database System 116 數(shù)據(jù)加密（續(xù)） ?加密方法 – 替換方法 ?使用密鑰（ Encryption Key）將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符 – 置換方法 ?將明文的字符按不同的順序重新排列 – 混合 方法 美國 1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（ Data Encryption Standard，簡稱 DES） * An Introduction to Database System 117 數(shù)據(jù)加密（續(xù)） ?DBMS中的數(shù)據(jù)加密 – 有些數(shù)據(jù)庫產(chǎn)品提供了數(shù)據(jù)加密例行程序 – 有些數(shù)據(jù)庫產(chǎn)品本身未提供加密程序，但提供了接口 * An Introduction to Database System 118 數(shù)據(jù)加密（續(xù)） ?數(shù)據(jù)加密功能通常也作為可選特征，允許用戶自由選擇 – 數(shù)據(jù)加密與解密是比較費時的操作 – 數(shù)據(jù)加密與解密程序會占用大量系統(tǒng)資源 – 應(yīng)該只對高度機密的數(shù)據(jù)加密 * An Introduction to Database System 119 統(tǒng)計數(shù)據(jù)庫安全性 計算機安全性概論 數(shù)據(jù)庫安全性控制 視圖機制 審計 數(shù)據(jù)加密 統(tǒng)計數(shù)據(jù)庫安全性 小結(jié) * An Introduction to Database System 120 統(tǒng)計數(shù)據(jù)庫安全性 ?統(tǒng)計數(shù)據(jù)庫的特點 – 允許用戶查詢 聚集 類型的信息（例如合計、平均值等） – 不允許查詢 單個 記錄信息 例：允許查詢“程序員的平均工資是多少？” 不允許查詢“程序員張勇的工資？” * An Introduction to Database System 121 統(tǒng)計數(shù)據(jù)庫安全性（續(xù)） ?統(tǒng)計數(shù)據(jù)庫中特殊的安全性問題 – 隱蔽的信息通道 – 從合法的查詢中推導(dǎo)出不合法的信息 * An Introduction to Database System 122 統(tǒng)計數(shù)據(jù)庫安全性（續(xù)） 例 1：下面兩個查詢都是合法的： 1．本公司共有多少女高級程序員？ 2．本公司女高級程序員的工資總額是多少？ 如果第一個查詢的結(jié)果是“ 1”，那么第二個查詢的結(jié)果顯然就是這個程序員的工資數(shù)。 ? CSEC/TDI從 安全策略、責(zé)任、保證 和 文檔 四個方面描述了安全性級別的指標(biāo) * An Introduction to Database System 129 小結(jié)（續(xù)） ? 實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性的技術(shù)和方法有多種，最重要的是存取控制 技術(shù)和 審計 技術(shù)。 原因：兩個查詢之間有很多重復(fù)的數(shù)據(jù)項 規(guī)則 2：任意兩個查詢的相交數(shù)據(jù)項不能超過 M個 * An Introduction to Database System 124 統(tǒng)計數(shù)據(jù)庫安全性（續(xù)） 可以證明，在上述兩條規(guī)定下，如果想獲知用戶 B的工資額 A至少需要進行 1+(N2)/M次查詢 規(guī)則 3：任一用戶的查詢次數(shù)不能超過 1+(N2)/M 如果兩個用戶合作查詢就可以使這一規(guī)定失效 * An Introduction to Database System 125 統(tǒng)計數(shù)據(jù)庫安全性（續(xù)） 數(shù)據(jù)庫安全機制的設(shè)計目標(biāo)： 試圖破壞安全的人所花費的代價 得到的利益 * An Introduction to Database System 126 小結(jié) 計算機安全性概論 數(shù)據(jù)庫安全性控制 視圖機制 審計 數(shù)據(jù)加密 統(tǒng)計數(shù)據(jù)庫安全性 小結(jié) * An Introduction to Database System 127 小結(jié) ?隨著計算機網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)的共享日益加強，數(shù)據(jù)的安全保密越來越重要 ? DBMS是管理數(shù)據(jù)的核心，因而其自身必須具有一整套完整而有效的安全性機制。 * An Introduction to Database System 111 審計（續(xù)） ?強制性機制 : 用戶識別和鑒定、存取控制、視圖 ?預(yù)防監(jiān)測手段 : 審計技術(shù) * An Introduction to Database System 112 審計（續(xù)） ?例題 15 對修改 SC表結(jié)構(gòu)或修改 SC表數(shù)據(jù)的操作進行審計。 * An Introduction to Database System 105 視圖機制（續(xù)） ?視圖機制與授權(quán)機制配合使用 : ?首先用視圖機制屏蔽掉一部分保密數(shù)據(jù) ?視圖上面再進一步定義存取權(quán)限 ?間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義 * An Introduction to Database System 106 視圖機制（續(xù)） 例：建立計算機系學(xué)生的視圖，把該視圖的檢索權(quán)限（ Select）授予王平，把該視圖上的所有操作權(quán)限授予張明。 – MAC適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門 ? 軍事部門 ? 政府部門 * An Introduction to Database System 94 強制存取控制方法（續(xù)） ?主體與客體 – 在 MAC中， DBMS所管理的全部實體被分為主體和客體兩大類 – 主體 是系統(tǒng)中的活動實體 ? DBMS所管理的實際用戶 ? 代表用戶的各進程 – 客體 是系統(tǒng)中的被動實體，是受主體操縱的 ? 文件 ? 基表 ? 索引 ? 視圖 * An Introduction to Database System 95 強制存取控制方法（續(xù)） ?敏感度標(biāo)記 – 對于主體和客體， DBMS為它們每個實例（值）指派一個敏感度標(biāo)記（ Label） – 敏感度標(biāo)記分成若干級別 ? 絕密（ Top Secret） ? 機密（ Secret） ? 可信（ Confidential） ? 公開（ Public） * An Introduction to Database System 96 強制存取控制方法（續(xù)） – 主體的敏感度標(biāo)記稱為許可證級別（ Clearance Level） – 客體的敏感度標(biāo)記稱為密級（ Classification Level） – MAC機制就是通過對比主體的 Label和客體的 Label，最終確定主體是否能夠存取客體 * An Introduction to Database System 97 強制存取控制方法（續(xù)） ? 強制存取控制規(guī)則 – 當(dāng)某一用戶（或某一主體）以標(biāo)記 label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則： （ 1）僅當(dāng)主體的許可證級別 大于或等于 客體的密級時，該主體才能 讀 取相應(yīng)的客體； （ 2）僅當(dāng)主體的許可證級別 等于 客體的密級時，該主體才能 寫 相應(yīng)的客體。使他們具有角色 R1的全部權(quán)限。 ?角色是權(quán)限的集合。 ?功能：從指定 用戶 那里收回對指定 對象的指定 權(quán)限 * An Introduction to Database System 80 例題 例 7 把用戶 U4修改學(xué)生學(xué)號的權(quán)限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4。 同樣 ， U6還可以將此權(quán)限授予 U7： GRANT INSERT ON TABLE SC TO U7。 * An Introduction to Database System 74 例題（續(xù)） 例 3 把對表 SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC。 ?誰定義 ？ DBA和表的建立者 （ 即表的屬主 ） ? REV