数据库的安全性精编版

第6章 数据库的安全性 P130,数据库的特点之一是DBMS提供统一的数据保护功能，以保证数据的安全可靠和正确有效。 数据库的数据保护主要包括： 数据的安全性和数据的完整性。 本章讨论数据的安全性,6.1 计算机安全性概论,数据库的安全性：指保护数据库以防止不合法的使用造成数据泄露、更改或破坏。 数据库的安全性和计算机系统的安全性，包括操作系统、网络系统的安全性是紧密联系、相互支持的。,1.计算机系统的安全性,指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。,计算机系统的安全性分为： （1）技术安全类 （2）管理安全类 （3）政策法律类,2. 安全标准简介 P131TCSEC、ITSEC和 CC,制定标准的目的： (1)提供一种标准，使用户可以对其计算机系统内敏感信息安全操作的可信程度进行评估。 (2)给计算机行业的制造商提供一种可循的指导规则，使其产品能够更好地满足敏感应用的安全需求。,信息安全发展的历史：P132 图4.1,1991年4月美国国家计算机安全中心发布了可信计算机系统评估标准关于可信数据库系统的解释简称TDI，将TCSEC (美国国防部Trusted Computer Systems Evaluation Criteria) 扩展到数据库管理系统。 TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全级别评估的标准。,TDITCSEC标准的基本内容,TDI从四个方面描述安全性级别划分的指标： （1）安全策略 （2）责任 （3）保证 （4）文档 每个方面又细分为若干项。,安全等级的划分 根据计算机系统对上述各项指标的支持情况，TDl将系统划分为四组七个等级： D C(Cl，C2) B(B1，B2，B3) A(A1)， 按系统可靠或可信程度逐渐增高， P132,10,ITSEC-欧洲标准,ITSEC Information Technology Security Evaluation Criteria 英法德荷四国制定 是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1F10共分10级。 15级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性。 与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。,11,CC (Common Criteria),美英法德荷加六国制定的共同标准 包含的类 FAU安全审计 FCO通信 FCS密码支持 FDP用户数据保护 FIA标识与鉴别 FMT安全管理 FPR隐私 FPTTSF保护(固件保护，TOE Security Functions, TOE Security Policy，(Target Of Evaluation) FRU资源利用 FTATOE访问 FTP可信信道/路径,12,CC分为三个部分： 第1部分简介和一般模型，正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架，附录部分主要介绍保护轮廓（PP）和安全目标（ST）的基本内容。 第2部分安全功能要求，按类-子类-组件的方式提出安全功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释。 第3部分“安全保证要求”，定义了评估保证级别，介绍了PP和ST的评估，并按“类-子类-组件”的方式提出安全保证要求,13,CC的三个部分相互依存，缺一不可。 第1部分是介绍CC的基本概念和基本原理 第2部分提出了技术要求 第3部分提出了非技术要求和对开发过程、工程过程的要求。 这三部分的有机结合具体体现在PP和ST 中，PP和ST的概念和原理由第1部分介绍，PP和ST中的安全功能要求和安全保证要求在第2、3部分选取，这些安全要求的完备性和一致性，由第2、3两部分来保证。 CC 作为评估信息技术产品和系统安全性的世界性通用准则，是信息技术安全性评估结果国际互认的基础。,14,CC、TCSEC、ITSEC对应关系,CCTCSECITSEC -DE0 EAL1- EAL2C1E1 EAL3C2E2 EAL4B1E3 EAL5B2E4 EAL6B3E5 EAL7A1E6,6.2 数据库安全性控制,在一般计算机系统中，安全措施是一级一级层层设置的。 P135 6.2.1 用户标识与鉴别 用户标识和鉴别是系统提供的最外层安全保护措施。 其方法是由系统提供一定的方式让用户标识自己的名字或身份，每次用户要求进入系统时，由系统进行核对，通过鉴定后才提供机器使用权。,常用的方法,（1）用户名+口令 （2）更复杂的方法 例：每个用户都预先约定好一个函数，鉴别用户身份时，系统提供一个随机数，用户根据自己预先约定的函数进行计算，系统根据计算结果是否正确进一步鉴定用户身份。,6.2.2 存取控制 P136,数据库安全最重要的一点：确保只授权给有资格的用户访问数据库，主要通过数据库系统的存取控制机制实现。 存取控制机制主要包括两部分： 1定义用户权限，系统必须提供适当的语言定义用户权限，这些定义经过编译后存放在数据字典中，被称为安全规则或授权规则。 用户权限：指不同的用户对于不同的数据对象允许执行的操作权限。,2合法权限检查，用户发出存取数据库的操作请求后， DBMS查找数据字典，根据安全规则进行合法权限检查，若用户的操作请求超出了定义的权限，系统拒绝执行此操作。 用户权限定义和合法权检查机制一起组成了DBMS的安全子系统。,6.2.2.1 自主存取控制(DAC)方法,自主存取控制方法： （Discretionary Access Control） （1）用户对于不同的数据对象有不同的存取权限； （2）不同的用户对同一对象也有不同的权限，而且用户还可将其拥有的存取权限转授给其他用户。 大型数据库管理系统几乎都支持自主存取控制，目前的SQL标准也对自主存取控制提供支持。 通过SQL的GRANT语句和REVOKE语句实现。 P137 表4.3 RDB中的存取权限,1. 数据库用户的操作权限 在SQL Server中，可授予数据库用户的权限分为三个层次： （1）在当前数据库中创建数据库对象及进行数据库备份的权限 主要有： 创建表、视图、存储过程、规则、缺省值对象、函数的权限及备份数据库、日志文件的权限。,（2）用户对数据库表的操作权限及执行存储过程的权限 主要有： SELECT：对表或视图执行 SELECT 语句的权限； INSERT：对表或视图执行 INSERT 语句的权限； UPDATE：对表或视图执行 UPDATE 语句的权限； DELETE：对表或视图只 DELETE 语句的权限； REFERENCES：用户对表的主键和唯一索引字段生成外码引用的权限； EXECUTE：执行存储过程的权限。,(3) 用户对数据库中指定表字段的操作权限 主要有： SELECT：对表字段进行查询操作的权限； UPDATE、DELETE、INSERT：对表字段进行更新操作的权限,2. 书上的语法形式及例子：P137 GRANT 权限, ON TO 用户或数据库角色, WITH GRANT OPTION 注意：必须以合适的身份登录，才能执行以上语句。,收回权限 P139 书上的语句形式： REVOKE 权限, ON FROM 用户角色1, ，用户角色 n,1.SQL Server的身份认证模式 身份认证模式 指系统确认用户的方式。 有两种方式： （1）Windows NT认证模式 必须将NT网络帐号加入SQL Server中，才能采用此方式。 （2） SQL Server认证模式 在SQL Server认证模式下， SQL Server服务器要对登录的用户进行身份认证。,2.SQL Server的安全管理 用户如何才能使用数据库？ SQL Server系统登录帐号 某个数据库用户或用户组（数据库角色）中的成员 具有对数据库中数据进行操作的权限。,例：（1）创建登录帐号 /利用系统存储过程sp_addlogin创建登录帐号，ID：wang，密码： dongdong，缺省数据库student。 exec sp_addlogin wang,dongdong,student Go 界面方式创建登录？,注意sp_addlogin与sp_grantlogin的区别。 sp_grantlogin用于建立SQL Server与windows帐号的信任关系。 exp： Exec sp_grantlogin Nanjingchengfang 建立与windows帐号的信任关系。 windows帐号格式：“域用户名”,（2）创建数据库用户 /为登录帐号 wang创建数据库用户，其名为wan。 use student exec sp_grantdbaccess wang,wan (3)给数据库用户赋予操作权限 /给wan用户授予对表student 的select权限。 use student grant select on student to wan,问题： 如果要创建数据库用户，并对该用户赋予权限，必须以何种身份登录？,3.服务器角色与数据库角色 角色是被赋予一定权限的组。一个用户如果为某角色的成员，则该用户具有该角色的所有权限。 SQL Server给用户提供两类预定义的角色： （1）服务器角色-固定服务器角色） （2）数据库角色-固定数据库角色） 一个角色可有一个或若干个成员，同一角色的成员有相同的权限。,固定服务器角色和固定数据库角色都是SQL Server内置的，不能进行添加、修改和删除。 用户也可根据需要，创建自己的数据库角色，以便对具有同样操作权限的用户进行统一管理。,4.固定服务器角色： sysadmin：系统管理员，可对SQL Server服务器进行所有的管理工作，为最高管理角色。 securityadmin：安全管理员，可以管理登录和 CREATE DATABASE 权限，还可以读取错误日志和更改密码。 serveradmin：服务器管理员，具有对服务器进行设置及关闭服务器的权限。 setupadmin：设置管理员，添加和删除链接服务器，并执行某些系统存储过程（如 sp_serveroption）。 processadmin：进程管理员，可以管理磁盘文件。,dbcreator：数据库创建者，可以创建、更改和删除数据库。 bulkadmin：可执行BULK INSERT语句，但是这些成员对要插入数据的表必须有INSERT权限。 BULK INSERT语句的功能是以用户指定的格式复制一个数据文件至数据库表或视图。,给服务器角色添加成员 use st exec sp_addsrvrolemember wang,sysadmin / wang为登录帐号,5.固定数据库角色 db_owner：数据库所有者，可执行数据库的所有管理操作。 SQL Server 数据库中的每个对象都有所有者，通常创建该对象的用户即为其所有者。其他用户只有在相应所有者对其授权后，方可访问该对象。 用户发出的所有SQL语句均受限于该用户具有的权限。例如，CREATE DATABASE仅限于 sysadmin 和 dbcreator 固定服务器角色的成员使用。,sysadmin 固定服务器角色的成员、 固定数据库角色的成员以及数据库对象的所有者db_owner都可授予、或收