【正文】 規(guī)則 1：任何查詢至少要涉及 N(N足夠大 )個(gè)以上的記錄 * An Introduction to Database System 123 統(tǒng)計(jì)數(shù)據(jù)庫安全性（續(xù)） 例 2：用戶 A發(fā)出下面兩個(gè)合法查詢： 1．用戶 A和其他 N個(gè)程序員的工資總額是多少？ 2．用戶 B和其他 N個(gè)程序員的工資總額是多少？ 若第一個(gè)查詢的結(jié)果是 X，第二個(gè)查詢的結(jié)果是 Y， 由于用戶 A知道自己的工資是 Z， 那么他可以計(jì)算出用戶 B的工資 =Y(XZ)。 * An Introduction to Database System 102 強(qiáng)制存取控制方法（續(xù)） DAC + MAC安全檢查示意圖 SQL語法分析 語義檢查 DAC 檢 查 安全檢查 MAC 檢 查 繼 續(xù) * An Introduction to Database System 103 視圖機(jī)制 計(jì)算機(jī)安全性概論 數(shù)據(jù)庫安全性控制 視圖機(jī)制 審計(jì) 數(shù)據(jù)加密 統(tǒng)計(jì)數(shù)據(jù)庫安全性 小結(jié) * An Introduction to Database System 104 視圖機(jī)制 ?視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來， ? 視圖機(jī)制更主要的功能在于提供數(shù)據(jù)獨(dú)立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。 Grant select,update,insert On table student To R1 * An Introduction to Database System 88 數(shù)據(jù)庫角色 ?將一個(gè)角色授予其他的角色或用戶 Grant 角色 1[， 角色 2]… To 角色 3 [， 用戶 1]… [with check option] * An Introduction to Database System 89 數(shù)據(jù)庫角色 ?例題 ?將 R1角色授予 U1,U2,U3。 * An Introduction to Database System 79 收回權(quán)限（ Revoke） ?REVOKE語句的一般格式為： REVOKE 權(quán)限 [,權(quán)限 ]... [ON 對(duì)象類型 對(duì)象名 ] FROM 用戶 [,用戶 ]...。 * An Introduction to Database System 73 例題（續(xù)） 例 2 把對(duì) Student表和 Course表的全部權(quán)限授予用戶 U2和 U3 GRANT ALL PRIVILEGES ON TABLE Student, Course TO U2, U3。但另一方面，因數(shù)據(jù)字典變大變復(fù)雜，系統(tǒng)定義與檢查權(quán)限的開銷也會(huì)相應(yīng)地增大。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內(nèi)的一組人的平均工資 然后查用自己替換張三后這組人的平均工資 從而推導(dǎo)出張三的工資 – 破壞安全性的行為可能是無意的，故意的，惡意的?！鞍踩?(Security)或“可信的” (Trusted)產(chǎn)品。 ?給計(jì)算機(jī)行業(yè)的 制造商提供 一種可循的 指導(dǎo)規(guī)則 ，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。 * An Introduction to Database System 5 第四章 數(shù)據(jù)庫安全性 計(jì)算機(jī)安全性概論 數(shù)據(jù)庫安全性控制 視圖機(jī)制 審計(jì) 數(shù)據(jù)加密 統(tǒng)計(jì)數(shù)據(jù)庫安全性 小結(jié) * An Introduction to Database System 6 計(jì)算機(jī)安全性概論 計(jì)算機(jī)系統(tǒng)的三類安全性問題 可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn) * An Introduction to Database System 7 計(jì)算機(jī)系統(tǒng)的三類安全性問題 ?什么是 計(jì)算機(jī)系統(tǒng)安全性 – 為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的 硬件 、 軟件 及 數(shù)據(jù) ，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。s Guide） 可信設(shè)施手冊(cè)（ Trusted Facility Manual） 測(cè)試文檔（ Test Documentation） 設(shè)計(jì)文檔（ Design Documentation） * An Introduction to Database System 22 可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（續(xù)） ?TCSEC/TDI安全級(jí)別劃分 安 全 級(jí) 別 定 義 A1 驗(yàn)證設(shè)計(jì) （ Verified Design） B3 安全域 （ Security Domains） B2 結(jié)構(gòu)化保護(hù) （ Structural Protection） B1 標(biāo)記安全保護(hù) （ Labeled Security Protection） C2 受控的存取保護(hù) （ Controlled Access Protection） C1 自主安全保護(hù) （ Discretionary Security Protection） D 最小保護(hù) （ Minimal Protection） * An Introduction to Database System 23 可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（續(xù)） – 四組 (division)七個(gè)等級(jí) ? D ? C（ C1， C2） ? B（ B1， B2， B3） ? A（ A1） – 按系統(tǒng)可靠或可信程度逐漸增高 – 各安全級(jí)別之間具有一種偏序 向下兼容 的關(guān)系，即 較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)要求，同時(shí)提供更多或更完善的保護(hù)能力。 * An Introduction to Database System 34 可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（續(xù)） ?B2以上的系統(tǒng) – 還 處于理論研究階段 – 應(yīng)用多限于一些特殊的部門如軍隊(duì)等 – 美國(guó)正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的 B2安全級(jí)別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。 ?授權(quán)定義中數(shù)據(jù)對(duì)象的粒度 越細(xì) ，即可以定義的數(shù)據(jù)對(duì)象的 范圍越小 ，授權(quán)子系統(tǒng)就 越靈活 。 ?誰定義 ？ DBA和表的建立者 （ 即表的屬主 ） ? REVOKE功能：將對(duì)指定操作對(duì)象的指定操作權(quán)限授予指定的用戶 。 同樣 ， U6還可以將此權(quán)限授予 U7： GRANT INSERT ON TABLE SC TO U7。 ?角色是權(quán)限的集合。 – MAC適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門 ? 軍事部門 ? 政府部門 * An Introduction to Database System 94 強(qiáng)制存取控制方法（續(xù)） ?主體與客體 – 在 MAC中， DBMS所管理的全部實(shí)體被分為主體和客體兩大類 – 主體 是系統(tǒng)中的活動(dòng)實(shí)體 ? DBMS所管理的實(shí)際用戶 ? 代表用戶的各進(jìn)程 – 客體 是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的 ? 文件 ? 基表 ? 索引 ? 視圖 * An Introduction to Database System 95 強(qiáng)制存取控制方法（續(xù)） ?敏感度標(biāo)記 – 對(duì)于主體和客體， DBMS為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（ Label） – 敏感度標(biāo)記分成若干級(jí)別 ? 絕密（ Top Secret） ? 機(jī)密（ Secret） ? 可信（ Confidential） ? 公開（ Public） * An Introduction to Database System 96 強(qiáng)制存取控制方法（續(xù)） – 主體的敏感度標(biāo)記稱為許可證級(jí)別（ Clearance Level） – 客體的敏感度標(biāo)記稱為密級(jí)（ Classification Level） – MAC機(jī)制就是通過對(duì)比主體的 Label和客體的 Label，最終確定主體是否能夠存取客體 * An Introduction to Database System 97 強(qiáng)制存取控制方法（續(xù)） ? 強(qiáng)制存取控制規(guī)則 – 當(dāng)某一用戶（或某一主體）以標(biāo)記 label注冊(cè)入系統(tǒng)時(shí)，系統(tǒng)要求他對(duì)任何客體的存取必須遵循下面兩條規(guī)則： （ 1）僅當(dāng)主體的許可證級(jí)別 大于或等于 客體的密級(jí)時(shí)，該主體才能 讀 取相應(yīng)的客體； （ 2）僅當(dāng)主體的許可證級(jí)別 等于 客體的密級(jí)時(shí)，該主體才能 寫 相應(yīng)的客體。 * An Introduction to Database System 111 審計(jì)（續(xù)） ?強(qiáng)制性機(jī)制 : 用戶識(shí)別和鑒定、存取控制、視圖 ?預(yù)防監(jiān)測(cè)手段 : 審計(jì)技術(shù) * An Introduction to Database System 112 審計(jì)（續(xù)） ?例題 15 對(duì)修改 SC表結(jié)構(gòu)或修改 SC表數(shù)據(jù)的操作進(jìn)行審計(jì)。 ? CSEC/TDI從 安全策略、責(zé)任、保證 和 文檔 四個(gè)方面描述了安全性級(jí)別的指標(biāo) * An Introduction to Database System 129 小結(jié)（續(xù)） ? 實(shí)現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性的技術(shù)和方法有多種，最重要的是存取控制 技術(shù)和 審計(jì) 技術(shù)。CS39。 Revoke R1 From