【正文】 規(guī)則 1：任何查詢至少要涉及 N(N足夠大 )個以上的記錄 * An Introduction to Database System 123 統(tǒng)計數(shù)據(jù)庫安全性（續(xù)） 例 2：用戶 A發(fā)出下面兩個合法查詢： 1．用戶 A和其他 N個程序員的工資總額是多少？ 2．用戶 B和其他 N個程序員的工資總額是多少？ 若第一個查詢的結果是 X，第二個查詢的結果是 Y， 由于用戶 A知道自己的工資是 Z， 那么他可以計算出用戶 B的工資 =Y(XZ)。 * An Introduction to Database System 102 強制存取控制方法（續(xù)） DAC + MAC安全檢查示意圖 SQL語法分析 語義檢查 DAC 檢 查 安全檢查 MAC 檢 查 繼 續(xù) * An Introduction to Database System 103 視圖機制 計算機安全性概論 數(shù)據(jù)庫安全性控制 視圖機制 審計 數(shù)據(jù)加密 統(tǒng)計數(shù)據(jù)庫安全性 小結 * An Introduction to Database System 104 視圖機制 ?視圖機制把要保密的數(shù)據(jù)對無權存取這些數(shù)據(jù)的用戶隱藏起來， ? 視圖機制更主要的功能在于提供數(shù)據(jù)獨立性，其安全保護功能太不精細，往往遠不能達到應用系統(tǒng)的要求。 Grant select,update,insert On table student To R1 * An Introduction to Database System 88 數(shù)據(jù)庫角色 ?將一個角色授予其他的角色或用戶 Grant 角色 1[， 角色 2]… To 角色 3 [， 用戶 1]… [with check option] * An Introduction to Database System 89 數(shù)據(jù)庫角色 ?例題 ?將 R1角色授予 U1,U2,U3。 * An Introduction to Database System 79 收回權限（ Revoke） ?REVOKE語句的一般格式為： REVOKE 權限 [,權限 ]... [ON 對象類型 對象名 ] FROM 用戶 [,用戶 ]...。 * An Introduction to Database System 73 例題（續(xù)） 例 2 把對 Student表和 Course表的全部權限授予用戶 U2和 U3 GRANT ALL PRIVILEGES ON TABLE Student, Course TO U2, U3。但另一方面，因數(shù)據(jù)字典變大變復雜，系統(tǒng)定義與檢查權限的開銷也會相應地增大。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內的一組人的平均工資 然后查用自己替換張三后這組人的平均工資 從而推導出張三的工資 – 破壞安全性的行為可能是無意的，故意的，惡意的?！鞍踩?(Security)或“可信的” (Trusted)產品。 ?給計算機行業(yè)的 制造商提供 一種可循的 指導規(guī)則 ，使其產品能夠更好地滿足敏感應用的安全需求。 * An Introduction to Database System 5 第四章 數(shù)據(jù)庫安全性 計算機安全性概論 數(shù)據(jù)庫安全性控制 視圖機制 審計 數(shù)據(jù)加密 統(tǒng)計數(shù)據(jù)庫安全性 小結 * An Introduction to Database System 6 計算機安全性概論 計算機系統(tǒng)的三類安全性問題 可信計算機系統(tǒng)評測標準 * An Introduction to Database System 7 計算機系統(tǒng)的三類安全性問題 ?什么是 計算機系統(tǒng)安全性 – 為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的 硬件 、 軟件 及 數(shù)據(jù) ，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。s Guide） 可信設施手冊（ Trusted Facility Manual） 測試文檔（ Test Documentation） 設計文檔（ Design Documentation） * An Introduction to Database System 22 可信計算機系統(tǒng)評測標準（續(xù)） ?TCSEC/TDI安全級別劃分 安 全 級 別 定 義 A1 驗證設計 （ Verified Design） B3 安全域 （ Security Domains） B2 結構化保護 （ Structural Protection） B1 標記安全保護 （ Labeled Security Protection） C2 受控的存取保護 （ Controlled Access Protection） C1 自主安全保護 （ Discretionary Security Protection） D 最小保護 （ Minimal Protection） * An Introduction to Database System 23 可信計算機系統(tǒng)評測標準（續(xù)） – 四組 (division)七個等級 ? D ? C（ C1， C2） ? B（ B1， B2， B3） ? A（ A1） – 按系統(tǒng)可靠或可信程度逐漸增高 – 各安全級別之間具有一種偏序 向下兼容 的關系，即 較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。 * An Introduction to Database System 34 可信計算機系統(tǒng)評測標準（續(xù)） ?B2以上的系統(tǒng) – 還 處于理論研究階段 – 應用多限于一些特殊的部門如軍隊等 – 美國正在大力發(fā)展安全產品，試圖將目前僅限于少數(shù)領域應用的 B2安全級別下放到商業(yè)應用中來，并逐步成為新的商業(yè)標準。 ?授權定義中數(shù)據(jù)對象的粒度 越細 ，即可以定義的數(shù)據(jù)對象的 范圍越小 ，授權子系統(tǒng)就 越靈活 。 ?誰定義 ？ DBA和表的建立者 （ 即表的屬主 ） ? REVOKE功能：將對指定操作對象的指定操作權限授予指定的用戶 。 同樣 ， U6還可以將此權限授予 U7： GRANT INSERT ON TABLE SC TO U7。 ?角色是權限的集合。 – MAC適用于對數(shù)據(jù)有嚴格而固定密級分類的部門 ? 軍事部門 ? 政府部門 * An Introduction to Database System 94 強制存取控制方法（續(xù)） ?主體與客體 – 在 MAC中， DBMS所管理的全部實體被分為主體和客體兩大類 – 主體 是系統(tǒng)中的活動實體 ? DBMS所管理的實際用戶 ? 代表用戶的各進程 – 客體 是系統(tǒng)中的被動實體，是受主體操縱的 ? 文件 ? 基表 ? 索引 ? 視圖 * An Introduction to Database System 95 強制存取控制方法（續(xù)） ?敏感度標記 – 對于主體和客體， DBMS為它們每個實例（值）指派一個敏感度標記（ Label） – 敏感度標記分成若干級別 ? 絕密（ Top Secret） ? 機密（ Secret） ? 可信（ Confidential） ? 公開（ Public） * An Introduction to Database System 96 強制存取控制方法（續(xù)） – 主體的敏感度標記稱為許可證級別（ Clearance Level） – 客體的敏感度標記稱為密級（ Classification Level） – MAC機制就是通過對比主體的 Label和客體的 Label，最終確定主體是否能夠存取客體 * An Introduction to Database System 97 強制存取控制方法（續(xù)） ? 強制存取控制規(guī)則 – 當某一用戶（或某一主體）以標記 label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則： （ 1）僅當主體的許可證級別 大于或等于 客體的密級時，該主體才能 讀 取相應的客體； （ 2）僅當主體的許可證級別 等于 客體的密級時，該主體才能 寫 相應的客體。 * An Introduction to Database System 111 審計（續(xù)） ?強制性機制 : 用戶識別和鑒定、存取控制、視圖 ?預防監(jiān)測手段 : 審計技術 * An Introduction to Database System 112 審計（續(xù)） ?例題 15 對修改 SC表結構或修改 SC表數(shù)據(jù)的操作進行審計。 ? CSEC/TDI從 安全策略、責任、保證 和 文檔 四個方面描述了安全性級別的指標 * An Introduction to Database System 129 小結（續(xù)） ? 實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性的技術和方法有多種，最重要的是存取控制 技術和 審計 技術。CS39。 Revoke R1 From