第四章 数据库安全性

1第四章数据库安全性数据库的一大特点是数据可以共享，但数据共享必然带来数据库的安全性问题，数据库系统中的数据共享不能是无条件的共享。数据库中数据的共享是在DBMS统一的严格的控制之下的共享，即只允许有合法使用权限的用户访问允许他存取的数据。数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一。数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改或破坏。数据库系统的安全性包括计算机安全性和数据库的安全性。本章只讨论数据库的安全性。2第四章数据库安全性本章内容：4.2数据库安全性控制4.2.1用户标识与鉴别4.2.2自主存取控制－授权与回收4.2.3强制存取控制4.2.4视图机制4.2.5审计4.2.6数据加密4.3统计数据库安全性34.2数据库安全性控制非法使用数据库的情况用户编写一段合法的程序绕过DBMS及其授权机制，通过操作系统直接存取、修改或备份数据库中的数据；直接或编写应用程序执行非授权操作；通过多次合法查询数据库从中推导出一些保密数据例：某数据库应用系统禁止查询单个人的工资，但允许查任意一组人的平均工资。用户甲想了解张三的工资，于是他：(1)首先查询包括张三在内的一组人的平均工资(2)然后查用自己替换张三后这组人的平均工资从而推导出张三的工资破坏安全性的行为可能是无意的，故意的，恶意的。数据库安全性控制的常用方法用户标识和鉴定、存取控制、视图、审计、数据加密。44.2.1用户标识与鉴别用户标识与鉴别(Identification&Authentication)是系统提供的最外层安全保护措施。基本方法系统提供一定的方式让用户标识自己的名字或身份；系统内部记录着所有合法用户的标识；每次用户要求进入系统时，由系统核对用户身份标识；通过鉴定后才提供机器使用权；用户标识和鉴定可以重复多次。用户名/口令简单易行，容易被人窃取每个用户预先约定好一个计算过程或者函数系统提供一个随机数用户根据自己预先约定的计算过程或者函数进行计算系统根据用户计算结果是否正确鉴定用户身份54.2.2自主存取控制－授权与回收存取控制机制的功能存取控制机制的组成定义存取权限在数据库系统中，为了保证用户只能访问他有权存取的数据，必须预先对每个用户定义存取权限。检查存取权限对于通过鉴定获得上机权的用户（即合法用户），系统根据他的存取权限定义对他的各种操作请求进行控制，确保他只执行合法操作。用户权限定义和合法权检查机制一起组成了DBMS的安全子系统64.2.2自主存取控制－授权与回收常用存取控制方法自主存取控制（DiscretionaryAccessControl，简称DAC）(1)同一用户对于不同的数据对象有不同的存取权限(2)不同的用户对同一对象也有不同的权限(3)用户还可将其拥有的存取权限转授给其他用户标准SQL提供了自主存取控制的语句，即GRANT/REVOKE优点能够通过授权机制有效地控制其他用户对敏感数据的存取缺点可能存在数据的“无意泄露”原因：这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标记。解决：对系统控制下的所有主客体实施强制存取控制策略74.2.2自主存取控制－授权与回收授权－－将数据库中的某些对象的某些操作权限赋予某些用户。权限一览表：对象类型对象操作类型数据库模式CREATESCHEMA基本表CREATETABLE,ALTERTABLE模式视图CREATEVIEW索引CREATEINDEX数据基本表和视图SELECT,INSERT,UPDATE,DELETE,REFERENCES,ALLPRIVILEGES数据属性列SELECT,INSERT,UPDATE,REFERENCES,ALLPRIVILEGES84.2.2自主存取控制－授权与回收授权使用GRANT语句：GRANT权限[,权限]...[ON对象类型对象名]TO用户[,用户]...[WITHGRANTOPTION];注：(1)DBA拥有数据库操作的所有权限，可以将权限赋予其他用户。(2)建立数据库对象有用户称为该对象的属主(OWNER)，他拥有该对象的所有操作权限。(3)接受权限的用户可以是一个或多个具体用户，也可以是全体用户(PUBLIC)。(4)指定了WITHGRANTOPTION子句,获得某种权限的用户还可以把这种权限再授予别的用户；没有指定WITHGRANTOPTION子句，获得某种权限的用户只能使用该权限，不能传播该权限。94.2.2自主存取控制－授权与回收[例1]把查询Student表权限授给用户U1。GRANTSELECTONTABLEStudentTOU1;[例2]把对Student表和Course表的全部权限授予用户U2和U3。GRANTALLPRIVILEGESONTABLEStudent,CourseTOU2,U3;[例3]把对表SC的查询权限授予所有用户GRANTSELECTONTABLESCTOPUBLIC;[例4]把查询Student表和修改学生学号的权限授给用户U4。GRANTUPDATE(Sno),SELECTONTABLEStudentTOU4;104.2.2自主存取控制－授权与回收[例5]把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户。GRANTINSERTONTABLESCTOU5WITHGRANTOPTION;执行例5后，U5不仅拥有了对表SC的INSERT权限，还可以传播此权限：GRANTINSERTONTABLESCTOU6WITHGRANTOPTION;同样，U6还可以将此权限授予U7：GRANTINSERTONTABLESCTOU7;但U7不能再传播此权限。U5－U6－U7114.2.2自主存取控制－授权与回收收回权限－－从指定用户那里收回对指定对象的指定权限。使用REVOKE语句：REVOKE权限[,权限]...[ON对象类型对象名]FROM用户[,用户]...[CASCADE|RESTRICT];[例6]把用户U4修改学生学号的权限收回。REVOKEUPDATE(Sno)ONTABLEStudentFROMU4;[例7]收回所有用户对表SC的查询权限。REVOKESELECTONTABLESCFROMPUBLIC;124.2.2自主存取控制－授权与回收[例8]把用户U5对SC表的INSERT权限收回REVOKEINSERTONTABLESCFROMU5CASCADE;级联逐级收回由U5传递出去的权限授权图系统用授权图表示权限的传递链用户具有授权当且仅当存在从授权图的根到代表该用户的结点的路径原授权链为：DBA－U5－U6－U7收回U5权限后：DBAU5－U6－U7由于没有从根到U6(U7)的路径，U6(U7)不再拥有U5传递的权限134.2.2自主存取控制－授权与回收数据库角色：被命名的一组与数据库操作相关的权限角色是权限的集合可以为一组具有相同权限的用户创建一个角色简化授权的过程角色的创建/删除CREATE/DROPROLE角色名;给角色授权/收回权限－角色被视作用户GRANT/REVOKE将角色授予给其他角色或用户－角色被视作权限GRANT角色1[,角色2]...TO角色3[,用户1]...WITHADMINOPTION;注：WITHADMINOPTION表示角色或用户可以传播该权限144.2.2自主存取控制－授权与回收[例9]通过角色来实现将一组权限授予一个用户。1.首先创建一个角色R1CREATEROLER1;2.然后使用GRANT语句，使角色R1拥有Student表的SELECT,UPDATE,INSERT权限GRANTSELECT,UPDATE,INSERTONTABLEStudentTOR1;3.将这个角色授予王平，张明，赵玲。使他们具有角色R1所包含的全部权限GRANTR1TO王平,张明,赵玲;4.可以一次性通过R1来回收王平的这3个权限REVOKER1FROM王平;154.2.2自主存取控制－授权与回收[例10]给角色R1增加Student表的DELETE权限GRANTDELETEONTABLEStudentTOR1；执行完成后张明、赵玲对Student表有DELETE权限[例11]从角色R1收回Student表的SELECT权限REVOKESELECTONTABLEStudentFROMR1；执行完成后张明、赵玲对Student表没有SELECT权限164.2.2自主存取控制－授权与回收权限总结：(1)DBA拥有对数据库中所有对象的所有权限，并可以根据应用的需要将不同的权限授予不同的用户；(2)用户对自己建立的基本表和视图拥有全部的操作权限，并且可以用GRANT语句把其中某些权限授予其他用户；(3)被授权的用户如果有“继续授权”的许可，还可以把获得的权限再授予其他用户；(4)所有授予出去的权力在必要时可以用REVOKE语句收回；(5)使用角色管理数据库可以简化授权的过程；174.2.3强制存取控制强制存取控制（MandatoryAccessControl，简称MAC）(1)每一个数据对象被标以一定的密级(2)每一个用户也被授予某一个级别的许可证(3)对于任意一个对象，只有具有合法许可证的用户才可以存取主体与客体在MAC中，DBMS所管理的全部实体被分为主体和客体两大类：主体是系统中的活动实体DBMS所管理的实际用户代表用户的各进程客体是系统中的被动实体，是受主体操纵的包括：文件、基表、索引、视图184.2.3强制存取控制敏感度标记对于主体和客体，DBMS为它们每个实例（值）指派一个敏感度标记（Label）敏感度标记分成若干级别：绝密（TopSecret）、机密（Secret）、可信（Confidential）、公开（Public）。主体的敏感度标记称为许可证级别（ClearanceLevel）客体的敏感度标记称为密级（ClassificationLevel）MAC机制就是通过对比主体的Label和客体的Label，最终确定主体是否能够存取客体194.2.3强制存取控制强制存取控制规则当某一用户（或某一主体）以标记label注册入系统时，系统要求他对任何客体的存取必须遵循下面两条规则：（1）仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体；（2）仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体。204.2.3强制存取控制DAC与MAC共同构成DBMS的安全机制原因：较高安全性级别提供的安全保护要包含较低级别的所有保护先进行DAC检查，通过DAC检查的数据对象再由系统进行MAC检查，只有通过MAC检查的数据对象方可存取。DAC+MAC安全检查示意图SQL语法分析&语义检查DAC检查MAC检查继续214.2.4视图机制视图机制把要保密的数据对无权存取这些数据的用户隐藏起来；视图机制更主要的功能在于提供数据独立性，其安全保护功能太不精细，往往远不能达到应用系统的要求。视图机制与授权机制配合使用:首先用视图机制屏蔽掉一部分保密数据视图上面再进一步定义存取权限间接实现了支持存取谓词的用户权限定义，注：(1)有的DBMS只支持表上的权限，不支持列的权限，如SELECT(Sno)；(2)有的DBMS授予权限不能带条件，如每个学生只能访问自己的信息；224.2.4视图机制[例12]建立计算机系学生的视图，把对该视图的SELECT权限授予王平，把该视图的所有操作权限授予张明。CREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept='CS';GRANTSELECTONVIEWCS_StudentTO王平;GRANTALLPRIVILEGESONVIEWCS_StudentTO张明；234.2.4视图机制[例13]在学籍管理数据库中，每个学生有以