【正文】 是真正意義上的安全產(chǎn)品。n 典型例子n 操作系統(tǒng)： Microsoft的 Windows 202 數(shù)字設(shè)備公司的 Open VMS VAX n 數(shù)據(jù)庫： Oracle公司的 Oracle Sybase公司的 SQL Server 22可信計算機系統(tǒng)評測標準（ 11）n B1級（標記安全保護）n 標記安全保護。n C2級（受控的存取保護）n 安全產(chǎn)品的最低檔次n 提供受控的存取保護，將 C1級的 DAC進一步細化，以個人身份注冊負責，并實施審計和資源隔離。20可信計算機系統(tǒng)評測標準（ 9）nD級（最小保護）n 將一切不符合更高標準的系統(tǒng)均歸于 D組n 典型例子： DOS是安全標準為 D的操作系統(tǒng)，DOS在安全性方面幾乎沒有什么專門的機制來保障。16可信計算機系統(tǒng)評測標準（ 5）nR2 責任（ Accountability） 標識與鑒別（ Identification amp。 MAC機制就是通過對比主體的 Label和客體的 Label， 最終確定主體是否能夠存取客體。15強制存取控制方法 （ 2）n 敏感度標記被分成若干級別，例如絕密 (Top Secret)、 機密(Secret)、 可信 (Confidential)、 公開 (Public)等?？腕w是系統(tǒng)中的被動實體，是受主體操縱的，包括文件、基表、索引、視圖等等。 n 在 MAC中， DBMS所管理的全部實體被分為主體和客體兩大類。它不是用戶能直接感知或進行控制的。在這種授權(quán)機制下，仍可能存在數(shù)據(jù)的 “無意泄露 ”。 n 自主存取控制能夠通過授權(quán)機制有效地控制其他用戶對敏感數(shù)據(jù)的存取。另外，我們還可以在存取謂詞中引用系統(tǒng)變量。 n 有的系統(tǒng)還允許存取謂詞中引用系統(tǒng)變量，如一天中的某個時刻，某臺終端設(shè)備號。上面的授權(quán)定義是獨立于數(shù)據(jù)值的，即用戶能否對某類數(shù)據(jù)對象執(zhí)行的操作與數(shù)據(jù)值無關(guān)，完全由數(shù)據(jù)名決定。授權(quán)粒度越細，授權(quán)子系統(tǒng)就越靈活，但系統(tǒng)定義與檢查權(quán)限的開銷也會相應(yīng)地增大。 n 用戶權(quán)限定義中數(shù)據(jù)對象范圍越小授權(quán)子系統(tǒng)就越靈活。定義一個用戶的存取權(quán)限就是要定義這個用戶可以在哪些數(shù)據(jù)對象上進行哪些類型的操作。10可信計算機系統(tǒng)評測標準（ 3）nTDI/TCSEC標準的基本內(nèi)容nTDI與 TCSEC一樣，從 四個方面 來描述安全性級別劃分的指標n 安全策略n 責任n 保證n 文檔11可信計算機系統(tǒng)評測標準（ 4）nR1 安全策略（ Security Policy） 自主存取控制 （ Discretionary Access Control， 簡記為 DAC） 客體重用（ Object Reuse） 標記（ Labels） 強制存取控制（ Mandatory Access Control， 簡記為 MAC）12自主存取控制方法（ 1）n 大型數(shù)據(jù)庫管理系統(tǒng)幾乎都支持自主存取控制，目前的 SQL標準也對自主存取控制提供支持，這主要通過 SQL 的GRANT語句和 REVOKE語句來實現(xiàn)。它將 TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)。n 給計算機行業(yè)的 制造商 提供 一種可循的 指導(dǎo)規(guī)則 ，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。n 為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標準，最有影響的當推 TCSEC (桔皮書 )和 CC。返回 6 安全標準簡介n 隨著資源共享和網(wǎng)絡(luò)技術(shù)應(yīng)用的日益廣泛和深入，特別是Inter的發(fā)展，計算機安全性問題越來越得到人們的重視，為此在計算機安全技術(shù)方面逐步發(fā)展建立了一套可信（Trusted） 計算機系統(tǒng)的概念和標準。n 計算機安全涉及問題n 計算機系統(tǒng)本身的技術(shù)問題n 計算機安全理論與策略、計算機安全技術(shù)n 管理問題n 安全管理、安全評價、安全產(chǎn)品n 法學(xué)n 計算機安全法律n 犯罪學(xué)n 計算機犯罪與偵察n 安全監(jiān)察n 心理學(xué)5計算機系統(tǒng)的三類安全性問題（ 2） n 技術(shù)安全類n 指計算機系統(tǒng)中采用具有一定 安全性 的 硬件、軟件 來實現(xiàn) 對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護 ，當計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。n 通過制訂法律道德準則和政策法規(guī)來保證。數(shù)據(jù)庫系統(tǒng)概論An Introduction to Database System第四章 數(shù)據(jù)庫安全性1第四章 數(shù)據(jù)庫安全性n 問題的提出n 數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享n 但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題n 數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例：軍事秘密、 國家機密、 新產(chǎn)品實驗數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、 醫(yī)療檔案、 銀行儲蓄數(shù)據(jù)n 數(shù)據(jù)庫中數(shù)據(jù)的共享是在 DBMS統(tǒng)一的嚴格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù)n 數(shù)據(jù)庫系統(tǒng)的安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標之一n 什么是數(shù)據(jù)庫的安全性n 數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。n 什么是數(shù)據(jù)的保密n 數(shù)據(jù)保密是指用戶合法地訪問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。2第四章 數(shù)據(jù)庫安全性 計算機安全性概述 數(shù)據(jù)庫安全性控制 視圖機制 審計（ Audit） 數(shù)據(jù)加密 統(tǒng)計數(shù)據(jù)庫安全性 小結(jié)3 計算機安全性概述 計算機系統(tǒng)的三類安全性問題 安全標準簡介返回 4 計算機系統(tǒng)的三類安全性問題 n 什么是計算機系統(tǒng)安全性n 為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的 硬件、軟件及數(shù)據(jù) ，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。n 管理安全類n 指由于管理不善導(dǎo)致的計算機設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等軟硬件意外故障以及場地的意外事故等安全問題n 政策法律類n 政府部門建立的有關(guān)計算機犯罪、數(shù)據(jù)安全保密的法律道德準則和政策法規(guī)、法令。只有建立了完善的可信或安全標準，才能規(guī)范和指導(dǎo)安全計算機系統(tǒng)部件的生產(chǎn)，比較準確地測定產(chǎn)品的安全性能指標，滿足民用和國防的需要。78可信計算機系統(tǒng)評測標準n 1985年美國國防部（ DoD） 正式頒布 《 DoD可信計算機系統(tǒng)評估標準 》 （簡稱 TCSEC或 DoD85）nTCSEC又稱桔皮書nTCSEC標準的目的n 提供一種標準，使 用戶 可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的 可信程度 做 評估 。9可信計算機系統(tǒng)評測標準（ 2）n 1991年 4月美國 NCSC（ 國家計算機安全中心）頒布了 《 可信計算機系統(tǒng)評估標準關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋 》 （ Trusted Database Interpretation 簡稱 TDI）nTDI又稱紫皮書。nTDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需滿足和用以進行安全性級別評估的標準。n 用戶權(quán)限是由兩個要素組成的：數(shù)據(jù)對象和操作類型。在數(shù)據(jù)庫系統(tǒng)中，定義存取權(quán)限稱為授權(quán)（ Authorization）。例如上面的授權(quán)定義可精細到字段級，而有的系統(tǒng)只能對關(guān)系授權(quán)。 13自主存取控制方法（ 2）n 衡量授權(quán)子系統(tǒng)精巧程度的另一個尺度是能否提供與數(shù)據(jù)值有關(guān)的授權(quán)。反之，若授權(quán)依賴于數(shù)據(jù)對象的內(nèi)容，則稱為是與數(shù)據(jù)值有關(guān)的授權(quán)。這樣用戶只能在某臺終端、某段時間內(nèi)存取有關(guān)數(shù)據(jù)，這就是與時間和地點有關(guān)的存取權(quán)限。如終端設(shè)備號，系統(tǒng)時鐘等，這就是與時間地點有關(guān)的存取權(quán)限，這樣用戶只能在某段時間內(nèi)，某臺終端上存取有關(guān)數(shù)據(jù)。但是由于用戶對數(shù)據(jù)的存取權(quán)限是 “自主 ”的，用戶可以自由地決定將數(shù)據(jù)的存取權(quán)限授予何人、決定是否也將 “授權(quán) ”的權(quán)限授予別人。 14強制存取控制方法 （ 1）n 所謂 MAC是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標準中安全策略的要求，所采取的強制存取檢查手段。 MAC適用于那些對數(shù)據(jù)有嚴格而固定密級分類的部門，例如軍事部門或政府部門。 n 主體是系統(tǒng)中的活動實體，既包括 DBMS所管理的實際用戶，也包括代表用戶的各進程。對于主體和客體， DBMS為它們每個實例（值）指派一個敏感度標記（ Label）。主體的敏感度標記稱為許可證級別 (Clearance Level)， 客體的敏感度標記稱為密級（ Classification Level）。 n 當某一用戶（或一主體）以標記 label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循如下規(guī)則： (1)僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體； (2)僅當主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體。 Authentication） 審計（ Audit）nR3 保證（ Assurance） 操作保證（ Operational Assurance） 生命周期保證（ Life Cycle Assurance）17可信計算機系統(tǒng)評測標準（ 6）nR4 文檔（ Documentation） 安全特性用戶指南（ Security Features User‘s Guide） 可信設(shè)施手冊（ Trusted Facility Manual） 測試文檔（ Test Documentation） 設(shè)計文檔（ Design Documentation）18可信計算機系統(tǒng)評測標準（ 7） nTCSEC/TDI安全級別劃分安 全 級 別 定 義 A1 驗證設(shè)計（ Verified Design） B3 安全域（ Security Domains） B2 結(jié)構(gòu)化保護（ Structural Protection） B1 標記安全保護（ Labeled Security Protection）C2 受控的存取保護 （ Controlled Access Protection）C1 自主安全保護 （ Discretionary Security Protection） D 最小保護（ Minimal Protection）19可信計算機系統(tǒng)評測標準（ 8）n 四組 (division)七個等級n Dn C（ C1， C2）n B（ B1， B2， B3）n A（ A1）n 按系統(tǒng)可靠或可信程度逐漸增高n 各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。21可信計算機系統(tǒng)評測標準（ 10）n C1級（自主安全保護）n 非常初級的自主安全保護n 能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控制（ DAC）， 保護或限制用戶權(quán)限的傳播。n 達到 C2級的產(chǎn)品在其名稱中往往不突出 “安全 ”(Security)這一特色。 “安全 ”(Security)或 “可信的 ”(Trusted)產(chǎn)品。n 典型例子n 操作系統(tǒng)：數(shù)字設(shè)備公司的 SEVMS VAX Version 、惠普公司的 HPUX BLS releas