【文章內(nèi)容簡(jiǎn)介】 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 數(shù)據(jù)庫(kù)的安全性 ? 安全性問(wèn)題是所有計(jì)算機(jī)系統(tǒng)共有的問(wèn)題，并不是數(shù)據(jù)庫(kù)系統(tǒng)特有的，但由于數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)量龐大且多用戶(hù)存取，安全性問(wèn)題就顯得尤其突出。由于安全性問(wèn)題有系統(tǒng)問(wèn)題與人為問(wèn)題，所以一方面用戶(hù)可以從法律、政策、倫理、道德等方面控制約束人們對(duì)數(shù)據(jù)庫(kù)的安全使用；另一方面還可以從物理設(shè)備、操作系統(tǒng)等方面加強(qiáng)保護(hù)，保證數(shù)據(jù)庫(kù)的安全；另外，也可以從數(shù)據(jù)庫(kù)本身實(shí)現(xiàn)數(shù)據(jù)庫(kù)的安全性保護(hù)。 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 數(shù)據(jù)庫(kù)安全控制模型 ? 用戶(hù)標(biāo)識(shí)和鑒定 ? 通過(guò)核對(duì)用戶(hù)的名字或身份（ ID），決定該用戶(hù)對(duì)系統(tǒng)的使用權(quán) ? 訪問(wèn)控制 ? 給不同的用戶(hù)對(duì)象授予不同的操作權(quán)力 ? 數(shù)據(jù)分級(jí) ? 為每一數(shù)據(jù)對(duì)象（文件、記錄或字段等）賦予一定的保密級(jí) ? 數(shù)據(jù)庫(kù)加密 ? 對(duì)數(shù)據(jù)庫(kù)文件進(jìn)行加密處理是解決數(shù)據(jù)安全問(wèn)題的最有效辦法 用戶(hù) DBMS OS DB 用戶(hù)標(biāo)識(shí)和鑒定 存取控制 操作系統(tǒng)安全保護(hù) 密碼存儲(chǔ) 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 1．用戶(hù)標(biāo)識(shí)和鑒定 ? 通過(guò)核對(duì)用戶(hù)的名字或身份（ ID），決定該用戶(hù)對(duì)系統(tǒng)的使用權(quán)。數(shù)據(jù)庫(kù)系統(tǒng)不允許一個(gè)未經(jīng)授權(quán)的用戶(hù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作。 ? 用戶(hù)用身份和口令登錄時(shí)，系統(tǒng)用一張用戶(hù)口令表去驗(yàn)證用戶(hù)身份。表中只有兩個(gè)字段：用戶(hù)名和口令。并且用戶(hù)輸入的口令并不顯示在屏幕上，而只是以某種符號(hào)代替，如“ *”號(hào)。系統(tǒng)根據(jù)用戶(hù)的輸入驗(yàn)證此用戶(hù)是否為合法用戶(hù)。這種方法簡(jiǎn)便易行，但保密性不是很高。 ? 另外一種標(biāo)識(shí)鑒定的方法是用戶(hù)先標(biāo)識(shí)自己，系統(tǒng)提供相應(yīng)的口令表，這個(gè)口令表不是簡(jiǎn)單地與用戶(hù)輸入的口令比較，而是系統(tǒng)給出一個(gè)隨機(jī)數(shù)，用戶(hù)按照某個(gè)特定的過(guò)程或函數(shù)進(jìn)行計(jì)算后給出結(jié)果值，系統(tǒng)同樣按照這個(gè)過(guò)程或函數(shù)對(duì)隨機(jī)數(shù)進(jìn)行計(jì)算，如果與用戶(hù)輸入的相等則證明此用戶(hù)為合法用戶(hù)，可以再接著為用戶(hù)分配權(quán)限；否則，系統(tǒng)認(rèn)為此用戶(hù)根本不是合法用戶(hù)，拒絕進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng)。 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 2．訪問(wèn)控制 ? 數(shù)據(jù)庫(kù)系統(tǒng)中，不同的用戶(hù)對(duì)象有不同的操作權(quán)力。對(duì)數(shù)據(jù)庫(kù)的操作權(quán)限一般包括查詢(xún)權(quán)、記錄的修改權(quán)、索引的建立權(quán)、數(shù)據(jù)庫(kù)的創(chuàng)建權(quán)。把這些權(quán)力按一定的規(guī)則授予用戶(hù)，以保證用戶(hù)的操作在自己的權(quán)限范圍之內(nèi)。授權(quán)規(guī)則可以見(jiàn)下表。 ? 數(shù)據(jù)庫(kù)的授權(quán)由 SQL的 GRANT（授權(quán)）和 REVOKE（回收）來(lái)完成。 關(guān)系 S 關(guān)系 S 關(guān)系 SC 用戶(hù) 1 NONE SELECT ALL 用戶(hù) 2 SELECT UPDATE SELECT DELETE UPDATE 用戶(hù) 3 NONE NONE SELECT 用戶(hù) 4 NONE INSERT SELECT NONE 用戶(hù) 5 ALL NONE NONE 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 3．?dāng)?shù)據(jù)分級(jí) ? 有些數(shù)據(jù)庫(kù)系統(tǒng)對(duì)安全性的處理是把數(shù)據(jù)分級(jí)。這種方案為每一數(shù)據(jù)對(duì)象（文件、記錄或字段等）賦予一定的保密級(jí)。如絕密級(jí)、機(jī)密級(jí)、秘密級(jí)和公用級(jí)。對(duì)于用戶(hù)，也分成類(lèi)似的級(jí)別。系統(tǒng)便可規(guī)定兩條規(guī)則： ? 用戶(hù) I只能查看比他級(jí)別低的或同級(jí)的數(shù)據(jù)。 ? 用戶(hù) I只能修改和他同級(jí)的數(shù)據(jù)。 ? 在第 2條中，用戶(hù) I顯然不能修改比他級(jí)別高的數(shù)據(jù)，但同時(shí)也不能修改比他級(jí)別低的數(shù)據(jù)，這是為了管理上的方便。如果用戶(hù) I要修改比他級(jí)別低的數(shù)據(jù)，那么首先要降低用戶(hù) I的級(jí)別或提高數(shù)據(jù)的級(jí)別使得兩者之間的級(jí)別相等才能進(jìn)行修改操作。 ? 數(shù)據(jù)分級(jí)法是一種獨(dú)立于數(shù)值的一種簡(jiǎn)單的控制方式，它的優(yōu)點(diǎn)是系統(tǒng)能執(zhí)行“信息流控制”。 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 4．?dāng)?shù)據(jù)庫(kù)加密（ 1） ? 數(shù)據(jù)庫(kù)加密的特點(diǎn)： ? 數(shù)據(jù)庫(kù)密碼系統(tǒng)應(yīng)采用公開(kāi)密鑰。因?yàn)閿?shù)據(jù)庫(kù)的數(shù)據(jù)是共享的，有權(quán)限的用戶(hù)隨時(shí)需要使用密鑰來(lái)查詢(xún)數(shù)據(jù)。因此，數(shù)據(jù)庫(kù)密碼系統(tǒng)宜采用公開(kāi)密鑰的加密方法。 ? 多級(jí)密鑰結(jié)構(gòu)。數(shù)據(jù)庫(kù)關(guān)系運(yùn)算中參與運(yùn)算的最小單位是字段，查詢(xún)路徑依次是庫(kù)名、表名、記錄名和字段名。因此，字段是最小的加密單位。也就是說(shuō)當(dāng)查得一個(gè)數(shù)據(jù)后，該數(shù)據(jù)所在的庫(kù)名、表名、記錄名、字段名都應(yīng)是知道的。對(duì)應(yīng)的庫(kù)名、表名、記錄名、字段名都應(yīng)該具有自己的子密鑰，這些子密鑰組成了一個(gè)能夠隨時(shí)加、解密的公開(kāi)密鑰。 ? 加密體制。 ? 加密算法。 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 4．?dāng)?shù)據(jù)庫(kù)加密（ 2） ? 不同層次的加密?？梢栽谌齻€(gè)不同層次實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的加密，這三個(gè)層次分別是 OS層、 DBMS內(nèi)核層和DBMS外層。 ? 在 OS層加密。在 OS層無(wú)法辨認(rèn)數(shù)據(jù)庫(kù)文件中的數(shù)據(jù)關(guān)系，從而無(wú)法產(chǎn)生合理的密鑰，對(duì)密鑰合理的管理和使用也很難。所以，對(duì)大型數(shù)據(jù)庫(kù)來(lái)說(shuō)，在 OS層對(duì)數(shù)據(jù)庫(kù)文件進(jìn)行加密很難實(shí)現(xiàn)。 ? 在 DBMS內(nèi)核層實(shí)現(xiàn)加密。這種加密是指數(shù)據(jù)在物理存取之前完成加 /解密工作。這種加密方式的優(yōu)點(diǎn)是加密功能強(qiáng)，并且加密功能幾乎不會(huì)影響 DBMS的功能，可以實(shí)現(xiàn)加密功能與數(shù)據(jù)庫(kù)管理系統(tǒng)之間的無(wú)縫耦合。其缺點(diǎn)是加密運(yùn)算在服務(wù)器端進(jìn)行，加重了服務(wù)器的負(fù)載，而且 DBMS和加密器之間的接口需要 DBMS開(kāi)發(fā)商的支持。 ? 在 DBMS外層實(shí)現(xiàn)加密。比較實(shí)際的做法是將數(shù)據(jù)庫(kù)加密系統(tǒng)做成DBMS的一個(gè)外層工具，根據(jù)加密要求自動(dòng)完成對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的加 /解密處理。采用這種加密方式進(jìn)行加密，加 /解密運(yùn)算可在客戶(hù)端進(jìn)行，它的優(yōu)點(diǎn)是不會(huì)加重?cái)?shù)據(jù)庫(kù)服務(wù)器的負(fù)載并且可以實(shí)現(xiàn)網(wǎng)上傳輸?shù)募用?，?duì)數(shù)據(jù)庫(kù)的最終用戶(hù)是完全透明的，不會(huì)影響數(shù)據(jù)庫(kù)服務(wù)器的效率。缺點(diǎn)是加密功能會(huì)受到一些限制，與數(shù)據(jù)庫(kù)管理系統(tǒng)之間的耦合性稍差。 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 4．?dāng)?shù)據(jù)庫(kù)加密（ 3） ? 數(shù)據(jù)庫(kù)加密的范圍。經(jīng)過(guò)加密的數(shù)據(jù)庫(kù)須經(jīng)得起來(lái)自 OS和 DBMS的攻擊；另一方面， DBMS要完成對(duì)數(shù)據(jù)庫(kù)文件的管理和使用，必須具有能夠識(shí)別部分?jǐn)?shù)據(jù)的條件。因此，只能對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行部分加密。數(shù)據(jù)庫(kù)中不能加密的部分包括： ? 索引字段不能加密。為了達(dá)到迅速查詢(xún)的目的，數(shù)據(jù)庫(kù)文件需要建立一些索引，它們的建立和應(yīng)用必須是明文狀態(tài)，否則將失去索引的作用。 ? 關(guān)系運(yùn)算的比較字段不能加密。 DBMS要組織和完成關(guān)系運(yùn)算，參與并、差、積、商、投影、選擇和連接等操作的數(shù)據(jù)一般都要經(jīng)過(guò)條件篩選，這種“條件”選擇項(xiàng)必須是明文，否則DBMS將無(wú)法進(jìn)行比較篩選。 ? 表間的連接碼字段不能加密。數(shù)據(jù)模型規(guī)范化以后，數(shù)據(jù)庫(kù)表之間存在著密切的聯(lián)系，這種相關(guān)性往往是通過(guò)“外部編碼”聯(lián)系的，這些編碼若加密就無(wú)法進(jìn)行表與表之間的連接運(yùn)算。 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 4．?dāng)?shù)據(jù)庫(kù)加密（ 4） ? 數(shù)據(jù)庫(kù)加密對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)原有功能的影響。數(shù)據(jù)庫(kù)數(shù)據(jù)加密以后， DBMS的一些功能將無(wú)法使用。