【大学课件】UNIT three安全性与目录

1UNIT threeUNIT three安全性与目录安全性与目录 http:/ DBMS. DBMS的存取控制子系统的存取控制子系统四四. . 审计审计五五. . 数据加密与统计数据库的安全数据加密与统计数据库的安全六六. . 角色角色七七. . 数据库产品间的不同数据库产品间的不同八八. . 系统目录系统目录http:/ 保护数据库以防保护数据库以防止止不合法的使用不合法的使用所造成的数据泄露、更所造成的数据泄露、更改或破坏。改或破坏。不合法的使用不合法的使用的操作包括了对数据库的操作包括了对数据库的的查询查询与与修改修改。因此，对数据库的任何操作都要进行因此，对数据库的任何操作都要进行安全性检查。安全性检查。 http:/ computing base,TCB)TCB是实现数据库安全的所有实施策略与机制的集合,它是实施,检查,监督数据库安全的机构u主体,客体u身份标识与鉴别u自主访问控制u强制访问控制http:/ (trusted computer system evaluation criteria, 可信计算机系统评估标准)uTDI (trusted database interpretation, 可信数据库系统解释)uTCSEC(TDI)标准目前国际上广泛采用的美国标准,此标准将数据安全划分为四组七级u我国1999年颁布了”计算机信息系统评估准则”,将数据安全划分为五个级别http:/ - 无安全保护的系统2.C1级标准 具有自主访问控制3.C2级标准 满足C1级标准,并有审计功能4.B1级标准 满足C2级标准,并有强制访问控制5.B2级标准 满足B1级标准,并解决隐蔽通道问题和具有数据库安全的形式化6.B3级标准 满足B2级标准,并具有访问监控器7.A级标准 满足B3级标准,并具有较高的形式化http:/ 2.C1级标准 目前国内使用的大都符合该标准3.C2级标准 目前国内使用的一部分符合该标准4.B1级标准 目前国内使用的系统基本不符合该标准,在国际上有部分系统符合此标准5.B2级标准 国内外均尚无符合此类标准的系统,主要难点是数据库安全的形式化表示困难6.B3级标准 国内外均尚无符合此类标准的系统7.A级标准 目前尚无法实现,仅是一种理想化等级http:/ 用户自主保护级C2级标准第2级: 系统审计保护级B1级标准第3级: 安全标记保护级B2级标准第4级: 结构化保护级http:/ SELECT, INSERT, DELETE, UPDATE, REFERENCE, USAGEu数据域:用户访问的数据对象的粒度 表,属性,视图u用户:数据库中登录的用户u授权与回收语句GRANT, REVOKEhttp:/ ServerVerifies Trusted ConnectionSQL ServerVerifies Name and PasswordOrSQL ServerWindows 2000 Group or UserWindows 2000SQL ServerLogin Accounthttp:/ - （用户，数据对象，存取权限）（用户，数据对象，存取权限）u灵活性灵活性- - 转授权限转授权限 http:/ 存取权限模式（型）数据数据对象模式（基本表）外模式（视图）内模式（索引）表操作类型建立、修改、检索建立、修改、检索建立、修改、检索查找、插入、修改、删除没有元组级，不支持存取谓词DBA授权数据对象的创建者授权http:/ http:/ - 若授权依赖于数据对象的内容，则若授权依赖于数据对象的内容，则称为是与数据值有关的授权。称为是与数据值有关的授权。与数据值有关与数据值有关的授权的实现的授权的实现难点？难点？难以判断难以判断存存取谓词取谓词之间之间的语义关系的语义关系http:/ http:/ http:/ - 系统中的活动实体，即包括DBMS所管理的实际用户，也包括代表用户的各进程。u客体客体 - 系统中的被动实体，是受主体操纵的，包括文件、基表、索引、视图等。u敏感度标记敏感度标记 - 对于主体和客体，DBMS为它们每个实例（值）指派一个敏感度标记。主体的敏感度标记称为许可证级别；客体的敏感度标记称为密级。http:/ 主体主体绝密机密可信公开客体客体绝密机密可信公开读取读取写写http:/ ServerChecks PermissionsPermissions OK; Performs CommandPermissions not OK; Returns ErrorSELECT * FROM MembersDatabase UserExecutes Commandhttp:/ 数据对象数据对象对象类型对象类型操作权限操作权限属性列TABLESELECT，INSERT，UPDATE，DELETE，ALL PRIVILEGES视图TABLESELECT，INSERT，UPDATE，DELETE，ALL PRIVILEGES基本表TABLESELECT，INSERT，UPDATE，DELETE，ALL PRIVILEGES，ALTER，INDEX数据库DATABASECREATETABhttp:/ GRANT 权力权力 ，权力，权力 ON ON 表名表名| | 视图名视图名TO TO 用户名用户名 ，用户名，用户名 WITH GRANT OPTIONWITH GRANT OPTION；http:/ S表的权限授予用户表的权限授予用户U1U1。GRANT GRANT SELECT SELECT ON ON TABLETABLE S STO U1TO U1；v可同时向多个用户授予对同一对象的多种权力可同时向多个用户授予对同一对象的多种权力例把查询例把查询S S表的权限授予用户表的权限授予用户U1U1和和U2U2。GRANT SELECT GRANT SELECT ON TABLE SON TABLE STO TO U1U1，U2U2；http:/ GRANT OPTIONWITH GRANT OPTION选项选项使用使用WITH GRANT OPTIONWITH GRANT OPTION时，被授权的用户不仅具有对指定时，被授权的用户不仅具有对指定对象的指定的操作特权，而且，也可以将这个对象特权授予其对象的指定的操作特权，而且，也可以将这个对象特权授予其他用户。他用户。例把查询例把查询S S表的权限授予用户表的权限授予用户U1U1，并允许，并允许U1U1将此权限再授将此权限再授予其它用户。予其它用户。GRANT SELECT GRANT SELECT ON TABLE SON TABLE STO U1TO U1WITH GRANT OPTIONWITH GRANT OPTION；http:/ REVOKE 权力权力 ，权力，权力 ON ON 表名表名| | 视图名视图名FROM FROM 用户名用户名 ，用户名，用户名 ；用法与用法与GRANTGRANT相同，是相同，是GRANTGRANT的反操作。的反操作。 http:/ 计计http:/ 将明文中的每一个字符转换为密文中的一个字符u置换方法 - 将明文的字符按不同的顺序重新排列http:/ - - 允许用户查询聚集类型允许用户查询聚集类型的信息（例如合计、平均值等），但是不允的信息（例如合计、平均值等），但是不允许查询单个记录信息。许查询单个记录信息。统计数据库中的安全性问题统计数据库中的安全性问题：可能存在着：可能存在着隐蔽的信息通道，使得可以从合法的查询中隐蔽的信息通道，使得可以从合法的查询中推导出不合法的信息。推导出不合法的信息。解决办法：解决办法：u规定任何查询至少涉及N个以上的记录u规定两个查询的相交数据项不能超过M个 http:/ 色色http:/ 就是操作权限的集合用户用户操作对象操作对象用户用户角色角色操作对象操作对象http:/ GRANT 权力权力 ，权力，权力 ON ON 表名表名| | 视图名视图名TO TO PUBLICPUBLIC| |用户名用户名 ，用户名，用户名 WITH GRANT OPTIONWITH GRANT OPTION；u用户必须能够连上包含表的数据库,这项权限(connect)是由DBA授予的u表的所有者自动拥有表的所有权限,而且不能被取消http:/ REVOKE 权力权力 ，权力，权力 ON ON 表名表名| | 视图名视图名FROM FROM PUBLICPUBLIC| |用户名用户名 ，用户名，用户名 CASCADE | RESTRICT CASCADE | RESTRICT ；uCASCADE的作用是删除与当前被撤消的权限有依赖关系的视图或删除依赖于REFERENCES权限的外键约束;如果有这样的依赖关系,RESTRICT将不允许执行REVOKE语句http:/ SQL标准的Grant和Revoke语句的语法,只是在CASCADE|RESTRICT子句等细节方面不同u三种产品都有很多附加权限http:/ 允许进入数据库uRESOURCE 允许创建数据库对象uDBA 除拥有CONNECT和RESOURCE权限外,还能对表的数据作操纵,并具有控制权限与数据库管理权限u自主访问控制u通过角色授权u通过正常方式授权u审计uAUDIT语句uNOAUDIT语句http:/ UDB的安全性特征uDB2为用户赋予不同级别的权限(authorities)级和特权或权力(Privileges)u数据库的4级权限uSYSADM 系统管理uSYSCTRL 系统控制uSYSMAINT 系统维护uDBADM 数据库管理u数据库特权u只有具有系统管理或数据库管理权限的用户才可以向其他用户授予或收回特权http:/ Server 2000中的角色：u固定的服务器角色系统预先定义了一些服务器固有角色，这些角色各自具有某种或某些操作SQL Server服务器的权限。用户不能删除也不能创建新的服务器固有角色。u固定的数据库角色 系统为每一个数据库预先定义数据库固有的角色，用户不能删除数据库固有角色，但用户可以在具体的数据库中再创建新的数据库安全角色u用户定义的数据库角色http:/ 系统目录也称为数据字典，或目录表、或系统目录、或系统视图。目录表中的信息有时称为元数据。http:/ SQL SELECT语句来获取这些信息；执行动态SQL的应用程序时，为了作出某个决定可能需要访问目录表；数据库系统本身也根据目录表来转化视图上的查询，对运行期间的更新语句加上约束http:/