【文章內(nèi)容簡介】 計 算 機 網(wǎng) 絡 安 全 技 術(shù) 數(shù)據(jù)庫的安全性 ? 安全性問題是所有計算機系統(tǒng)共有的問題，并不是數(shù)據(jù)庫系統(tǒng)特有的，但由于數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)量龐大且多用戶存取，安全性問題就顯得尤其突出。由于安全性問題有系統(tǒng)問題與人為問題，所以一方面用戶可以從法律、政策、倫理、道德等方面控制約束人們對數(shù)據(jù)庫的安全使用；另一方面還可以從物理設備、操作系統(tǒng)等方面加強保護，保證數(shù)據(jù)庫的安全；另外，也可以從數(shù)據(jù)庫本身實現(xiàn)數(shù)據(jù)庫的安全性保護。 計 算 機 網(wǎng) 絡 安 全 技 術(shù) 數(shù)據(jù)庫安全控制模型 ? 用戶標識和鑒定 ? 通過核對用戶的名字或身份（ ID），決定該用戶對系統(tǒng)的使用權(quán) ? 訪問控制 ? 給不同的用戶對象授予不同的操作權(quán)力 ? 數(shù)據(jù)分級 ? 為每一數(shù)據(jù)對象（文件、記錄或字段等）賦予一定的保密級 ? 數(shù)據(jù)庫加密 ? 對數(shù)據(jù)庫文件進行加密處理是解決數(shù)據(jù)安全問題的最有效辦法 用戶 DBMS OS DB 用戶標識和鑒定 存取控制 操作系統(tǒng)安全保護 密碼存儲 計 算 機 網(wǎng) 絡 安 全 技 術(shù) 1．用戶標識和鑒定 ? 通過核對用戶的名字或身份（ ID），決定該用戶對系統(tǒng)的使用權(quán)。數(shù)據(jù)庫系統(tǒng)不允許一個未經(jīng)授權(quán)的用戶對數(shù)據(jù)庫進行操作。 ? 用戶用身份和口令登錄時，系統(tǒng)用一張用戶口令表去驗證用戶身份。表中只有兩個字段：用戶名和口令。并且用戶輸入的口令并不顯示在屏幕上，而只是以某種符號代替，如“ *”號。系統(tǒng)根據(jù)用戶的輸入驗證此用戶是否為合法用戶。這種方法簡便易行，但保密性不是很高。 ? 另外一種標識鑒定的方法是用戶先標識自己，系統(tǒng)提供相應的口令表，這個口令表不是簡單地與用戶輸入的口令比較，而是系統(tǒng)給出一個隨機數(shù)，用戶按照某個特定的過程或函數(shù)進行計算后給出結(jié)果值，系統(tǒng)同樣按照這個過程或函數(shù)對隨機數(shù)進行計算，如果與用戶輸入的相等則證明此用戶為合法用戶，可以再接著為用戶分配權(quán)限；否則，系統(tǒng)認為此用戶根本不是合法用戶，拒絕進入數(shù)據(jù)庫系統(tǒng)。 計 算 機 網(wǎng) 絡 安 全 技 術(shù) 2．訪問控制 ? 數(shù)據(jù)庫系統(tǒng)中，不同的用戶對象有不同的操作權(quán)力。對數(shù)據(jù)庫的操作權(quán)限一般包括查詢權(quán)、記錄的修改權(quán)、索引的建立權(quán)、數(shù)據(jù)庫的創(chuàng)建權(quán)。把這些權(quán)力按一定的規(guī)則授予用戶，以保證用戶的操作在自己的權(quán)限范圍之內(nèi)。授權(quán)規(guī)則可以見下表。 ? 數(shù)據(jù)庫的授權(quán)由 SQL的 GRANT（授權(quán)）和 REVOKE（回收）來完成。 關(guān)系 S 關(guān)系 S 關(guān)系 SC 用戶 1 NONE SELECT ALL 用戶 2 SELECT UPDATE SELECT DELETE UPDATE 用戶 3 NONE NONE SELECT 用戶 4 NONE INSERT SELECT NONE 用戶 5 ALL NONE NONE 計 算 機 網(wǎng) 絡 安 全 技 術(shù) 3．數(shù)據(jù)分級 ? 有些數(shù)據(jù)庫系統(tǒng)對安全性的處理是把數(shù)據(jù)分級。這種方案為每一數(shù)據(jù)對象（文件、記錄或字段等）賦予一定的保密級。如絕密級、機密級、秘密級和公用級。對于用戶，也分成類似的級別。系統(tǒng)便可規(guī)定兩條規(guī)則： ? 用戶 I只能查看比他級別低的或同級的數(shù)據(jù)。 ? 用戶 I只能修改和他同級的數(shù)據(jù)。 ? 在第 2條中，用戶 I顯然不能修改比他級別高的數(shù)據(jù)，但同時也不能修改比他級別低的數(shù)據(jù)，這是為了管理上的方便。如果用戶 I要修改比他級別低的數(shù)據(jù)，那么首先要降低用戶 I的級別或提高數(shù)據(jù)的級別使得兩者之間的級別相等才能進行修改操作。 ? 數(shù)據(jù)分級法是一種獨立于數(shù)值的一種簡單的控制方式，它的優(yōu)點是系統(tǒng)能執(zhí)行“信息流控制”。 計 算 機 網(wǎng) 絡 安 全 技 術(shù) 4．數(shù)據(jù)庫加密（ 1） ? 數(shù)據(jù)庫加密的特點： ? 數(shù)據(jù)庫密碼系統(tǒng)應采用公開密鑰。因為數(shù)據(jù)庫的數(shù)據(jù)是共享的，有權(quán)限的用戶隨時需要使用密鑰來查詢數(shù)據(jù)。因此，數(shù)據(jù)庫密碼系統(tǒng)宜采用公開密鑰的加密方法。 ? 多級密鑰結(jié)構(gòu)。數(shù)據(jù)庫關(guān)系運算中參與運算的最小單位是字段，查詢路徑依次是庫名、表名、記錄名和字段名。因此，字段是最小的加密單位。也就是說當查得一個數(shù)據(jù)后，該數(shù)據(jù)所在的庫名、表名、記錄名、字段名都應是知道的。對應的庫名、表名、記錄名、字段名都應該具有自己的子密鑰，這些子密鑰組成了一個能夠隨時加、解密的公開密鑰。 ? 加密體制。 ? 加密算法。 計 算 機 網(wǎng) 絡 安 全 技 術(shù) 4．數(shù)據(jù)庫加密（ 2） ? 不同層次的加密。可以在三個不同層次實現(xiàn)對數(shù)據(jù)庫數(shù)據(jù)的加密，這三個層次分別是 OS層、 DBMS內(nèi)核層和DBMS外層。 ? 在 OS層加密。在 OS層無法辨認數(shù)據(jù)庫文件中的數(shù)據(jù)關(guān)系，從而無法產(chǎn)生合理的密鑰，對密鑰合理的管理和使用也很難。所以，對大型數(shù)據(jù)庫來說，在 OS層對數(shù)據(jù)庫文件進行加密很難實現(xiàn)。 ? 在 DBMS內(nèi)核層實現(xiàn)加密。這種加密是指數(shù)據(jù)在物理存取之前完成加 /解密工作。這種加密方式的優(yōu)點是加密功能強，并且加密功能幾乎不會影響 DBMS的功能，可以實現(xiàn)加密功能與數(shù)據(jù)庫管理系統(tǒng)之間的無縫耦合。其缺點是加密運算在服務器端進行，加重了服務器的負載，而且 DBMS和加密器之間的接口需要 DBMS開發(fā)商的支持。 ? 在 DBMS外層實現(xiàn)加密。比較實際的做法是將數(shù)據(jù)庫加密系統(tǒng)做成DBMS的一個外層工具，根據(jù)加密要求自動完成對數(shù)據(jù)庫數(shù)據(jù)的加 /解密處理。采用這種加密方式進行加密，加 /解密運算可在客戶端進行，它的優(yōu)點是不會加重數(shù)據(jù)庫服務器的負載并且可以實現(xiàn)網(wǎng)上傳輸?shù)募用?，對?shù)據(jù)庫的最終用戶是完全透明的，不會影響數(shù)據(jù)庫服務器的效率。缺點是加密功能會受到一些限制，與數(shù)據(jù)庫管理系統(tǒng)之間的耦合性稍差。 計 算 機 網(wǎng) 絡 安 全 技 術(shù) 4．數(shù)據(jù)庫加密（ 3） ? 數(shù)據(jù)庫加密的范圍。經(jīng)過加密的數(shù)據(jù)庫須經(jīng)得起來自 OS和 DBMS的攻擊；另一方面， DBMS要完成對數(shù)據(jù)庫文件的管理和使用，必須具有能夠識別部分數(shù)據(jù)的條件。因此，只能對數(shù)據(jù)庫中的數(shù)據(jù)進行部分加密。數(shù)據(jù)庫中不能加密的部分包括： ? 索引字段不能加密。為了達到迅速查詢的目的，數(shù)據(jù)庫文件需要建立一些索引，它們的建立和應用必須是明文狀態(tài)，否則將失去索引的作用。 ? 關(guān)系運算的比較字段不能加密。 DBMS要組織和完成關(guān)系運算，參與并、差、積、商、投影、選擇和連接等操作的數(shù)據(jù)一般都要經(jīng)過條件篩選，這種“條件”選擇項必須是明文，否則DBMS將無法進行比較篩選。 ? 表間的連接碼字段不能加密。數(shù)據(jù)模型規(guī)范化以后，數(shù)據(jù)庫表之間存在著密切的聯(lián)系，這種相關(guān)性往往是通過“外部編碼”聯(lián)系的，這些編碼若加密就無法進行表與表之間的連接運算。 計 算 機 網(wǎng) 絡 安 全 技 術(shù) 4．數(shù)據(jù)庫加密（ 4） ? 數(shù)據(jù)庫加密對數(shù)據(jù)庫管理系統(tǒng)原有功能的影響。數(shù)據(jù)庫數(shù)據(jù)加密以后， DBMS的一些功能將無法使用。