【正文】 一規(guī)定失效,統(tǒng)計(jì)數(shù)據(jù)庫安全性（續(xù)）,數(shù)據(jù)庫安全機(jī)制的設(shè)計(jì)目標(biāo)： 試圖破壞安全的人所花費(fèi)的代價(jià) 得到的利益,第九章 數(shù)據(jù)庫安全性,9.1 計(jì)算機(jī)安全性概論 9.2 數(shù)據(jù)庫安全性控制 9.3 統(tǒng)計(jì)數(shù)據(jù)庫安全性 9.4 Oracle數(shù)據(jù)庫的安全性措施 9.5 小結(jié),9.4 Oracle數(shù)據(jù)庫的安全性措施,ORACLE的安全措施: 用戶標(biāo)識和鑒定 授權(quán)和檢查機(jī)制 審計(jì)技術(shù) 用戶通過觸發(fā)器靈活定義自己的安全性措施,一、ORACLE的用戶標(biāo)識和鑒定,ORACLE允許用戶重復(fù)標(biāo)識三次 如果三次仍未通過，系統(tǒng)自動(dòng)退出,二、ORACLE的授權(quán)與檢查機(jī)制,ORACLE授權(quán)和檢查機(jī)制的特色 ORACLE的權(quán)限包括系統(tǒng)權(quán)限和數(shù)據(jù)庫對象的權(quán)限 采用非集中式的授權(quán)機(jī)制 每個(gè)用戶授予與回收自己創(chuàng)建的數(shù)據(jù)庫對象的權(quán)限 DBA負(fù)責(zé)授予與回收系統(tǒng)權(quán)限，也可以授予與回收所有數(shù)據(jù)庫對象的權(quán)限 允許重復(fù)授權(quán)，即可將某一權(quán)限多次授予同一用戶，系統(tǒng)不會出錯(cuò) 允許無效回收，即用戶不具有某權(quán)限，但回收此權(quán)限的操作仍是成功的。,審計(jì)（續(xù)）,強(qiáng)制性機(jī)制: 用戶識別和鑒定、存取控制、視圖 預(yù)防監(jiān)測手段: 審計(jì)技術(shù),9.2 數(shù)據(jù)庫安全性控制,9.2.1 數(shù)據(jù)庫安全性控制概述 9.2.2 用戶標(biāo)識與鑒別 9.2.3 存取控制 9.2.4 自主存取控制方法 9.2.5 強(qiáng)制存取控制方法 9.2.6 視圖機(jī)制 9.2.7 審計(jì) 9.2.8 數(shù)據(jù)加密,9.2.8 數(shù)據(jù)加密,數(shù)據(jù)加密 防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段 加密的基本思想 根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，Plain text）變換為不可直接識別的格式（術(shù)語為密文，Cipher text） 不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容,數(shù)據(jù)加密（續(xù)）,加密方法 替換方法 使用密鑰（Encryption Key）將明文中的每一個(gè)字符轉(zhuǎn)換為密文中的一個(gè)字符 置換方法 將明文的字符按不同的順序重新排列 混合方法 美國1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，簡稱DES）,數(shù)據(jù)加密（續(xù)）,DBMS中的數(shù)據(jù)加密 有些數(shù)據(jù)庫產(chǎn)品提供了數(shù)據(jù)加密例行程序 有些數(shù)據(jù)庫產(chǎn)品本身未提供加密程序，但提供了接口,數(shù)據(jù)加密（續(xù)）,數(shù)據(jù)加密功能通常也作為可選特征，允許用戶自由選擇 數(shù)據(jù)加密與解密是比較費(fèi)時(shí)的操作 數(shù)據(jù)加密與解密程序會占用大量系統(tǒng)資源 應(yīng)該只對高度機(jī)密的數(shù)據(jù)加密,第九章 數(shù)據(jù)庫安全性,9.1 計(jì)算機(jī)安全性概論 9.2 數(shù)據(jù)庫安全性控制 9.3 統(tǒng)計(jì)數(shù)據(jù)庫安全性 9.4 Oracle數(shù)據(jù)庫的安全性措施 9.5 小結(jié),9.3 統(tǒng)計(jì)數(shù)據(jù)庫安全性,統(tǒng)計(jì)數(shù)據(jù)庫的特點(diǎn) 允許用戶查詢聚集類型的信息（例如合計(jì)、平均值等） 不允許查詢單個(gè)記錄信息 例：允許查詢“程序員的平均工資是多少？” 不允許查詢“程序員張勇的工資？”,統(tǒng)計(jì)數(shù)據(jù)庫安全性（續(xù)）,統(tǒng)計(jì)數(shù)據(jù)庫中特殊的安全性問題 隱蔽的信息通道 從合法的查詢中推導(dǎo)出不合法的信息,統(tǒng)計(jì)數(shù)據(jù)庫安全性（續(xù)）,例1：下面兩個(gè)查詢都是合法的： 1．本公司共有多少女高級程序員？ 2．本公司女高級程序員的工資總額是多少？ 如果第一個(gè)查詢的結(jié)果是“1”， 那么第二個(gè)查詢的結(jié)果顯然就是這個(gè)程序員的工資數(shù)。CS39。 語義檢查 DAC 檢 查 安全檢查 MAC 檢 查 繼 續(xù),9.2 數(shù)據(jù)庫安全性控制,9.2.1 數(shù)據(jù)庫安全性控制概述 9.2.2 用戶標(biāo)識與鑒別 9.2.3 存取控制 9.2.4 自主存取控制方法 9.2.5 強(qiáng)制存取控制方法 9.2.6 視圖機(jī)制 9.2.7 審計(jì) 9.2.8 數(shù)據(jù)加密,9.2.6 視圖機(jī)制,視圖機(jī)制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來， 視圖機(jī)制更主要的功能在于提供數(shù)據(jù)獨(dú)立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。,強(qiáng)制存取控制方法（續(xù)）,規(guī)則的共同點(diǎn) 禁止了擁有高許可證級別的主體 更新低密級的數(shù)據(jù)對象,強(qiáng)制存取控制方法（續(xù)）,強(qiáng)制存取控制的特點(diǎn) MAC是對數(shù)據(jù)本身進(jìn)行密級標(biāo)記 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個(gè)不可分的整體 只有符合密級標(biāo)記要求的用戶才可以操縱數(shù)據(jù) 從而提供了更高級別的安全性,MAC與DAC,DAC與MAC共同構(gòu)成DBMS的安全機(jī)制 原因：較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù) 先進(jìn)行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進(jìn)行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。 MAC適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門 軍事部門 政府部門,強(qiáng)制存取控制方法（續(xù)）,主體與客體 在MAC中，DBMS所管理的全部實(shí)體被分為主體和客體兩大類 主體是系統(tǒng)中的活動(dòng)實(shí)體 DBMS所管理的實(shí)際用戶 代表用戶的各進(jìn)程 客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的 文件 基表 索引 視圖,強(qiáng)制存取控制方法（續(xù)）,敏感度標(biāo)記 對于主體和客體，DBMS為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（Label） 敏感度標(biāo)記分成若干級別 絕密（Top Secret） 機(jī)密（Secret） 可信（Confidential） 公開（Public）,強(qiáng)制存取控制方法（續(xù)）,主體的敏感度標(biāo)記稱為許可證級別（Clearance Level） 客體的敏感度標(biāo)記稱為密級（Classification Level） MAC機(jī)制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體,強(qiáng)制存取控制方法（續(xù)）,強(qiáng)制存取控制規(guī)則 當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊入系統(tǒng)時(shí)，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則： （1）僅當(dāng)主體的許可證級別大于或等于客體的密級時(shí)，該主體才能讀取相應(yīng)的客體； （2）僅當(dāng)主體的許可證級別等于客體的密級時(shí)，該主體才能寫相應(yīng)的客體。 解決：對系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略,9.2 數(shù)據(jù)庫安全性控制,9.2.1 數(shù)據(jù)庫安全性控制概述 9.2.2 用戶標(biāo)識與鑒別 9.2.3 存取控制 9.2.4 自主存取控制方法 9.2.5 強(qiáng)制存取控制方法 9.2.6 視圖機(jī)制 9.2.7 審計(jì) 9.2.8 數(shù)據(jù)加密,9.2.5 強(qiáng)制存取控制方法,什么是強(qiáng)制存取控制 強(qiáng)制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強(qiáng)制存取檢查手段。但另一方面，因數(shù)據(jù)字典變大變復(fù)雜，系統(tǒng)定義與檢查權(quán)限的開銷也會相應(yīng)地增大。,自主存取控制方法（續(xù)）,關(guān)系數(shù)據(jù)庫中授權(quán)的數(shù)據(jù)對象粒度 數(shù)據(jù)庫 表 屬性列 行 能否提供與數(shù)據(jù)值有關(guān)的授權(quán)反映了授權(quán)子系統(tǒng)精巧程度,自主存取控制方法（續(xù)）,實(shí)現(xiàn)與數(shù)據(jù)值有關(guān)的授權(quán) 利用存取謂詞 存取謂詞可以很復(fù)雜 可以引用系統(tǒng)變量，如終端設(shè)備號，系統(tǒng)時(shí)鐘等，實(shí)現(xiàn)與時(shí)間地點(diǎn)有關(guān)的存取權(quán)限，這樣用戶只能在某段時(shí)間內(nèi)，某臺終端上存取有關(guān)數(shù)據(jù) 例：規(guī)定“教師只能在每年1月份和7月份星期一至星期五上午8點(diǎn)到下午5點(diǎn)處理學(xué)生成績數(shù)據(jù)”。,存取控制（續(xù)）,常用存取控制方法 自主存取控制（Discretionary A