【正文】 可信計算機系統(tǒng)評測標準（續(xù)） ? TDI/TCSEC標準的基本內(nèi)容 ? TDI與 TCSEC一樣，從 四個方面 來描述安全性級別劃分的指標 ? 安全策略 ? 責(zé)任 ? 保證 ? 文檔 可信計算機系統(tǒng)評測標準（續(xù)） ? R1 安全策略（ Security Policy） 自主存取控制 （ Discretionary Access Control，簡記為DAC） 客體重用（ Object Reuse） 標記（ Labels） 強制存取控制（ Mandatory Access Control，簡記為MAC） 可信計算機系統(tǒng)評測標準（續(xù)） ? R2 責(zé)任（ Accountability） 標識與鑒別（ Identification Authentication） 審計（ Audit） ? R3 保證（ Assurance） 操作保證（ Operational Assurance） 生命周期保證（ Life Cycle Assurance） 可信計算機系統(tǒng)評測標準（續(xù)） ? R4 文檔（ Documentation） 安全特性用戶指南（ Security Features User39。 可信計算機系統(tǒng)評測標準（續(xù)） ? A1級 ? 驗證設(shè)計，即提供 B3級保護的同時給出系統(tǒng)的形式化設(shè)計說明和驗證以確信各安全保護真正實現(xiàn)。 存取控制（續(xù)） ? 常用存取控制方法 ? 自主存取控制 （ Discretionary Access Control ，簡稱 DAC） ? C2級 ? 靈活 ? 強制存取控制 （ Mandatory Access Control，簡稱 MAC） ? B1級 ? 嚴格 自主存取控制方法 ? 同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限 ? 不同的用戶對同一對象也有不同的權(quán)限 ? 用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶 強制存取控制方法 ? 每一個數(shù)據(jù)對象被標以一定的密級 ? 每一個用戶也被授予某一個級別的許可證 ? 對于任意一個對象，只有具有合法許可證的用戶才可以存取 數(shù)據(jù)庫安全性控制 數(shù)據(jù)庫安全性控制概述 用戶標識與鑒別 存取控制 自主存取控制方法 強制存取控制方法 視圖機制 審計 數(shù)據(jù)加密 自主存取控制方法 ? 定義存取權(quán)限 ? 存取權(quán)限 ? 存取權(quán)限由兩個要素組成 ? 數(shù)據(jù)對象 ? 操作類型 自主存取控制方法（續(xù)） ? 關(guān)系系統(tǒng)中的存取權(quán)限 ? 類型 數(shù)據(jù)對象 操作類型 模 式 模 式 建立、修改、刪除、檢索 外模式 建立、修改、刪除、檢索 內(nèi)模式 建立、刪除、檢索 數(shù) 據(jù) 表 查找、插入、修改、刪除 屬性列 查找、插入、修改、刪除 自主存取控制方法（續(xù)） ? 關(guān)系系統(tǒng)中的存取權(quán)限 (續(xù) ) ? 定義方法 ? GRANT/REVOKE 自主存取控制方法（續(xù)） ? 關(guān)系系統(tǒng)中的存取權(quán)限 (續(xù) ) ? 例 : 一張授權(quán)表 用戶名 數(shù)據(jù)對象名 允許的操作類型 王 平 關(guān)系 Student SELECT 張明霞 關(guān)系 Student UPDATE 張明霞 關(guān)系 Course ALL 張明霞 SC. Grade UPDATE 張明霞 SC. Sno SELECT 張明霞 SC. Cno SELECT 自主存取控制方法（續(xù)） ? 檢查存取權(quán)限 ? 對于獲得上機權(quán)后又進一步發(fā)出存取數(shù)據(jù)庫操作的用戶 ? DBMS查找數(shù)據(jù)字典，根據(jù)其存取權(quán)限對操作的合法性進行檢查 ? 若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作 自主存取控制方法（續(xù)） ? 授權(quán)粒度 ? 授權(quán)粒度是指可以定義的數(shù)據(jù)對象的范圍 ? 它是衡量授權(quán)機制是否靈活的一個重要指標。 ? MAC適用于對數(shù)據(jù)有嚴格而固定密級分類的部門 ? 軍事部門 ? 政府部門 強制存取控制方法（續(xù)） ? 主體與客體 ? 在 MAC中， DBMS所管理的全部實體被分為主體和客體兩大類 ? 主體 是系統(tǒng)中的活動實體 ? DBMS所管理的實際用戶 ? 代表用戶的各進程 ? 客體 是系統(tǒng)中的被動實體，是受主體操縱的 ? 文件 ? 基表 ? 索引 ? 視圖 強制存取控制方法（續(xù)） ? 敏感度標記 ? 對于主體和客體， DBMS為它們每個實例（值）指派一個敏感度標記（ Label） ? 敏感度標記分成若干級別 ? 絕密（ Top Secret） ? 機密（ Secret） ? 可信（ Confidential） ? 公開（ Public） 強制存取控制方法（續(xù)） ? 主體的敏感度標記稱為許可證級別（ Clearance Level） ? 客體的敏感度標記稱為密級（ Classification Level） ? MAC機制就是通過對比主體的 Label和客體的 Label，最終確定主體是否能夠存取客體 強制存取控制方法（續(xù)） ? 強制存取控制規(guī)則 ? 當某一用戶（或某一主體）以標記 label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則： （ 1）僅當主體的許可證級別 大于或等于 客體的密級時，該主體才能 讀 取相應(yīng)的客體； （ 2）僅當主體的許可證級別 等于 客體的密級時，該主體才能 寫 相應(yīng)的客體。 規(guī)則 1：任何查詢至少要涉及 N(N足夠大 )個以上的記錄 統(tǒng)計數(shù)據(jù)庫安全性（續(xù)） 例 2：用戶 A發(fā)出下面兩個合法查詢： 1．用戶 A和其他 N個程序員的工資總額是多少？ 2．用戶 B和其他 N個程序員的工資總額是多少？ 若第一個查詢的結(jié)果是 X，第二個查詢的結(jié)果是 Y， 由于用戶 A知道自己的工資是 Z， 那么他可以計算出用戶 B的工資 =Y(XZ)。 數(shù)據(jù)庫對象的權(quán)限（續(xù)） ? 行級安全性 ? ORACLE行級安全性由視圖間接實現(xiàn) 數(shù)據(jù)庫對象的權(quán)限（續(xù)） 例：用戶 U1只允許用戶 U12查看自己創(chuàng)建的Student表中有關(guān)信息系學(xué)生的信息，則首先創(chuàng)建視圖信息系學(xué)生視圖 S_IS： CREATE VIEW S_IS AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept=39。DY39。You may only change data during normal business hours.39。 休息一會兒。 END。SAT39。 然后將關(guān)于該視圖的 SELECT權(quán)限授予 U12用戶： GRANT SELECT ON S_IS TO U12。 80多種系統(tǒng)權(quán)限 ? 創(chuàng)建會話 ? 創(chuàng)建表 ? 創(chuàng)建視圖 ? 創(chuàng)建用戶 系統(tǒng)權(quán)限（續(xù)） ? DBA在創(chuàng)建一個用戶時需要將其中的一些權(quán)限授予該用戶 ? 角色 ? 一組系統(tǒng)權(quán)限的集合，目的在于簡化權(quán)限管理。 強制存取控制方法（續(xù)） ? 規(guī)則的共同