<4D F736F F F696E74202D20B5DABEC5D5C220CAFDBEDDBFE2B0B2C8ABD0D42D6E6577>

第九章 : 数据库安全性对数据库安全的威胁数据库安全性概述数据库安全性控制 Oracle 数据库数据安全性控制介绍心存不满的专业人员天窗无意损坏数据库物理损坏火灾, 水灾等工业间谍数据复制受保护数据非法访问黑客通信损坏蓄意破坏者数据库安全概述数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一数据库的安全性指保护数据库, 防止因用户非法使用数据库所造成的数据泄漏更改或破坏数据的保密指用户合法地访问到机密数据后能否对这些数据保密通过制订法律道德准则和政策法规来保证非法使用数据库的情况用户编写一段合法的程序绕过 DBMS 及其授权机制, 通过操作系统直接存取修改或备份数据库中的数据直接或编写应用程序执行非授权操作通过多次合法查询数据库从中推导出一些保密数据例如 : 某数据库应用系统禁止查询单个人的工资, 但允许查任意一组人的平均工资用户甲想了解张三的工资首先查询包括张三在内的一组人的平均工资然后查用自己替换张三后这组人的平均工资推导出张三的工资破坏安全性的行为可能是无意的, 故意的, 恶意的数据库系统的安全机制计算机系统中的安全模型用户身份验证操作系统授权机制约束机制审计存储过程数据库服务器 (RDBMS) 触发器视图高方法 : 用户标识和鉴定安全性控制层次应用 DBMS OS DB 存取控制审计视图操作系统安全保护密码存储低

数据库安全性控制的常用方法用户标识和鉴定 (Identification & Authentication ) 系统提供的最外层安全保护措施存取控制访问权限通过视图调整授权定义可向用户授权数据库特定部分的用户视图审计追踪信息, 重现导致数据库现有状况的一系列事件密码存储使用加密技术保护机密数据用户标识与鉴定基本方法系统提供一定的方式让用户标识自己的名字或身份 ; 系统内部记录着所有合法用户的标识 ; 每次用户要求进入系统时, 由系统核对用户提供的身份标识 ; 通过鉴定后才提供机器使用权用户标识和鉴定可以重复多次用户标识与鉴定用户标识和鉴定让用户标识自己的名字或身份的方法用户名 / 口令简单易行, 容易被人窃取每个用户预先约定好一个计算过程或者函数系统提供一个随机数用户根据自己预先约定的计算过程或者函数进行计算系统根据用户计算结果是否正确鉴定用户身份 SQL Server 提供两种不同的方法来验证用户进入服务器用户可以根据自己的网络配置决定使用其中一种 Windows 验证 NT 以上 O.S.: 允许 SQL Server 使用 O.S. 的用户名和口令 SQL Server 验证用户传给服务器的登录信息与系统表 syslogins 中的信息进行比较如果两个口令匹配,SQL Server 允许用户访问服务器如果不匹配,SQL Server 不允许访问, 并且用户会从服务器上收到一个出错信息用户标识和鉴定用户标识和鉴定服务器登录标识管理 sa 和 Administrator 是系统在安装时创建的分别用于 SQL Server 混合验证模式和 Windows 验证模式的系统登录名如果用户想创建新的登录名或删除已有的登录名, 可使用下列两种方法使用 SQL Server 企业管理器管理登录名使用 SQL Server 系统存储过程管理登录名数据库用户管理在 SQL Server 中, 登录对象和用户对象是 SQL Server 进行权限管理的两种不同的对象登录对象 : 服务器方的一个实体, 使用一个登录名可以与服务器上的所有数据库进行交互用户对象 : 一个或多个登录对象在数据库中的映射, 可以对用户对象进行授权, 以便为登录对象提供对数据库的访问权限, 一个登录名可以被授权访问多个数据库, 一个登录名在每个数据库中只能映射一次

用户标识和鉴定存取控制数据库用户管理 SQL Server 可使用下列两种方法来管理数据库用户使用 SQL Server 企业管理器管理数据库用户 ; 使用 SQL Server 系统存储过程 sp_grantdbaccess 管理数据库用户在 SQL Server 中主要有两种类型的角色服务器角色数据库角色用户权限 : 用户对数据库中的不同数据对象允许执行的操作权限不同类型的数据对象有不同的操作权力数据本身 : 表属性列外模式, 模式, 内模式关系系统中的存取权限 : 不同的 DBMS 具体实现方法是存在一些差别的 DBMS 的存取控制存取控制机制包括 : 定义用户权限, 该定义被存放到数据字典中合法权限检查, 根据数据字典检查用户权限用户 DBA 定 SQL: 义 Grant 存 Revoke 储权限 DBMS 数据字典用户 SQL: 查询数据库检查存储权限安全检查 SQL 语法分析语义检查 DAC 检查 MAC 检查继续任意控制 (DAC) 强制控制 (MAC) 存取控制授权 (Authorization) 谁定义? DBA 和表的建立者 ( 即表的属主 ) 如何定义? SQL 语句 : GRANT - 将对指定操作对象的指定操作权限授予指定的用户 REVOKE - 从指定用户那里收回对指定对象的指定权限存取控制授权存取控制授权 GRANT 语句的一般格式 : grant < 权限 >[,< 权限 >] [on < 对象类型 > < 对象名 >] to < 用户 >[,< 用户 > ] [with grant option]; 例子 : 把查询 Students 表的权限授给用户 wang grant select on table Students to wang; 例子 : 把对 Students 和 SC 表的所有访问权限授给全部用户 grant all priviliges on table Students, SC to public; DBA 把在数据库 SC 中建立表的权限授予用户 zhao grant createtab on database SC to zhao; with grant option 子句例子 : 把对表 SC 的查询权限修改成绩权限授给 wang 和 zhang, 并允许 wang 和 zhang 将该权限授予他人 grant select, update(grade) on table SC to wang, zhang with grant option; DBA 对象的建立者和经过 with grant option 授权的用户可以把他们对该对象具有的操作权限授予其它的合法用户 USER1 USER2 USER3 USER4

操作权限用户权限对象对象类型操作权限属性列 TABLE SELECT,INSERT,UPDATE DELETE,ALL PRIVIEGES 视图 TABLE SELECT,INSERT,UPDATE DELETE,ALL PRIVIEGES 基本表 TABLE SELECT,INSERT,UPDATE DELETE,ALTER, INDEX, ALL PRIVIEGES 数据库 DATABASE CREATETAB 建表 (CREATETAB) 的权限 : 属于 DBA DBA 授予 --> 普通用户基本表或视图的属主拥有对该表或视图的一切操作权限接受权限的用户一个或多个具体用户 PUBLIC( 全体用户 ) 存取控制授权回收授出的权限可以由 DBA 或其他的授权者收回 revoke < 权限 >[,< 权限 >] [on < 对象类型 > < 对象名 >] from < 用户 >[,< 用户 > ] 例子 : 把用户 wang 和 zhang 修改成绩的权限收回 revoke update(grade) on table SC from wang, zhang; 例子 : 收回所有用户对 SC 表的查询授权 revoke SELECT on TABLE SC from PUBLIC; 授权回收操作是级联的数据库角色 (Role) 如果要给成千上万个雇员分配许可, 将面临很大的管理难题, 每次有雇员到来或者离开时, 就得有人分配或去除可能与数百张表或视图有关的权限这项任务不但耗时, 而且容易出错一个相对简单有效的解决方案就是定义数据库角色数据库角色是被命名的一组与数据库操作相关的权限, 即一组相关权限的集合可以为一组具有相同权限的用户创建一个角色使用角色来管理数据库权限可以简化授权的过程 USER1 USER2 USER3 USER4 授权管理属于任意控制 DBA 授权授权 Role 用户用户用户用户强制控制任意访问控制是关系数据库的传统方法, 可对数据库提供充分保护, 但它不支持随数据库各部分的机密性而变化, 技术高超的专业人员可能突破该保护机制获得未授权访问另外, 由于用户对数据的存取权限是自主的, 用户可以自由地决定将数据的存取权限授予何人决定是否也将授权的权限授予别人在这种授权机制下, 仍可能存在数据的无意泄露

强制控制强制控制强制访问控制克服了任意访问控制的缺点在强制访问控制方法中, 不能由一个用户不加控制地将访问权限授予或传递给另一用户强制访问控制方法是指系统为了保证更高程度的安全性, 它不是用户能直接感知或进行控制的强制访问控制主要适用于对数据有严格要求而固定密级分类的部门, 如军事部门或政府部门强制访问控制模型基于与每个数据项和每个用户关联的安全性标识 (Security Label) 安全性标识被分为若干级别绝密 (Top Secret) 机密 (Secret) 秘密 (Confidential) 一般 (Public) 数据的标识称为密级 (Security Classification) 用户的标识称为许可证级别 (Security Clearance) 强制控制视图机制当某一用户以某一密级进入系统时, 在确定该用户能否访问系统上的数据时应遵守如下规则 (1) 当且仅当用户许可证级别大于等于数据的密级时, 该用户才能对该数据进行读操作 (2) 当且仅当用户的许可证级别小于或等于数据的密级时, 该用户才能对该数据进行写操作视图机制把要保密的数据对无权存取这些数据的用户隐藏起来, 从而自动地对数据提供一定程度的安全保护视图机制更主要的功能在于提供数据独立性, 其安全保护功能太不精细, 往往远不能达到应用系统的要求视图机制视图机制在实际应用中通常是视图机制与授权机制配合使用, 首先用视图机制屏蔽掉一部分保密数据, 然后在视图上面再进一步定义存取权限这时视图机制实际上间接实现了支持存取谓词的用户权限定义例如 :USER1 只能检索计算机系学生的信息 (1) 先建立计算机系学生的视图 CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept= CS ; (2) 在视图上进一步定义存取权限 GRANT SELECT ON CS_Student TO USER1;

审计审计审计功能启用一个专用的审计日志 (Audit Log), 系统自动将用户对数据库的所有操作记录在上面 DBA 可以利用审计日志中的追踪信息, 重现导致数据库现有状况的一系列事件, 以找出非法存取数据的人 C2 以上安全级别的 DBMS 必须具有审计功能审计日志一般包括下列内容 : (1) 操作类型 ( 如修改查询等 ) (2) 操作终端标识与操作人员标识 (3) 操作日期和时间 (4) 操作的数据对象 ( 如表视图记录属性等 ) (5) 数据修改前后的值审计功能的可选性审计审计很费时间和空间, 所以 DBMS 往往都将其作为可选特征 DBA 可以根据应用对安全性的要求, 灵活地打开或关闭审计功能审计技术是预防手段, 监测可能的不合法行为当数据相当敏感, 或者对数据的处理极为重要时, 就必须使用审计技术审计一般可以分为用户级审计是任何用户可设置的审计, 主要是针对自己创建的数据库或视图进行审计, 记录所有用户对这些表或视图的一切成功和 ( 或 ) 不成功的访问要求以及各种类型的 SQL 操作系统级审计只能由 DBA 设置, 用以监测成功或失败的登录要求监测 Grant 和 Revoke 操作以及其他数据库级权限下的操作数据库加密技术加密的基本思想防止数据库中数据在存储和传输中失密的有效手段针对的情况入侵者绕过系统访问数据库的信息内容入侵者通过物理移除磁盘或备份磁盘盗走数据库入侵者接入载有真实用户数据的通信链路聪明的入侵者通过运行程序突破操作系统防线来检索数据在这些情况下, 数据库系统的各种授权规则或许不能提供充分的保护标准安全技术无法防范绕过系统访问数据的侵扰, 这就需要采取其他保护措施来加强安全系统根据一定的算法将原始数据 ( 术语为明文, Plain text) 变换为不可直接识别的格式 ( 术语为密文,Cipher text) 不知道解密算法的人无法获知数据的内容

加密方法数据库加密技术替换方法使用密钥 (Encryption Key) 将明文中的每一个字符转换为密文中的一个字符置换方法将明文的字符按不同的顺序重新排列这两种方法结合能提供相当高的安全程度例 : 美国 1977 年制定的官方加密标准 : 数据加密标准 (Data Encryption Standard, 简称 DES) 基于文件的加密把数据库文件作为整体, 用加密算法对整个数据库文件加密来保证信息的真实性和完整性数据的共享是通过用户用解密密钥对整个数据库文件进行解密来实现的实际应用受到多方面的限制数据修改的工作将变得十分困难, 需要进行解密修改复制和加密四个操作, 极大地增加了系统的时空开销即使用户只是需要查看某一条记录, 也必须将整个数据库文件解密, 这样无法实现对文件中不需要让用户知道的信息的控制数据库加密技术字段加密 ( 字段是最小的加密单位 ) 字段加密的原理将重要的字段内容进行加密, 当使用查询语句获取结果集后, 再将这些重要的字段内容进行解密每个字段可以使用不同的密钥, 也可以使用共同的密钥字段加密的特点较高的安全性影响数据库的访问速度 : 对一个记录进行存取时需要多次的加 / 解密处理对数据库管理系统 (DBMS) 的功能影响也很大在实际应用中, 一般不会对所有记录都进行加密处理, 而是对部分安全性要求高的字段进行加密处理数据库加密技术通常情况下, 以下几种字段不宜加密索引字段不能加密关系运算的比较字段不能加密表间的连接码字段不能加密数据库加密技术数据库加密对 DBMS 的影响记录加密将表中的行的所有字段或部分字段组成一个整体, 进行统一加密, 当应用程序访问数据库中的表记录时, 再将行的所有字段或部分字段进行统一解密数据库加密后对 DBMS 原有功能的主要影响无法实现对数据制约因素的定义 ; 密文数据的排序分组和分类 ; SQL 语言中的内部函数不能作用于加 / 解密数据 ; DBMS 的一些应用开发工具的使用受到限制在对数据库进行加密时, 应注意以下几点选择合适的加密算法选择合适的加密方法测试加密后访问数据库的效率

统计数据库的安全性统计数据库的安全性统计数据库的特点允许用户查询聚集类型的信息 ( 如合计平均值等 ) 不允许查询单个记录信息示例 : 允许查询程序员的平均工资是多少不允许查询程序员张勇的工资统计数据库中特殊的安全性问题隐蔽的信息通道从合法的查询中推导出不合法的信息统计数据库的安全性统计数据库的安全性例 1: 下面两个查询都是合法的本公司共有多少女高级程序员? 本公司女高级程序员的工资总额是多少? 如果第一个查询的结果是 1, 那么第二个查询的结果显然就是这个程序员的工资数规则 1: 任何查询至少要涉及 N(N 足够大 ) 个以上的记录例 2: 用户 A 发出下面两个合法查询用户 A 和其他 N 个程序员的工资总额是多少? 用户 B 和其他 N 个程序员的工资总额是多少? 若第一个查询的结果是 X, 第二个查询的结果是 Y, 由于用户 A 知道自己的工资是 Z, 那么他可以计算出用户 B 的工资 =Y-(X-Z) 原因 : 两个查询之间有很多重复的数据项规则 2: 任意两个查询的相交数据项不能超过 M 个统计数据库的安全性数据库安全机制的设计目标可以证明, 在上述两条规定下, 如果想获知用户 B 的工资额 A 至少需要进行 1+(N-2)/M 次查询试图破坏安全的人所花费的代价 >> 得到的利益规则 3: 任一用户的查询次数不能超过 1+(N-2)/M 如果两个用户合作查询就可以使这一规定失效

SQL Server 的安全机制 SQL Server 的安全机制 SQL Server 采用 4 个等级的安全验证 : 操作系统安全验证 ; SQL Server 安全验证 ; SQL Server 数据库安全验证 ; SQL Server 数据库对象安全验证权限管理 : 在 SQL Server 中有三种类型的权限语句权限 : 可以委派给其它用户对象权限 : 可以委派给其它用户隐含权限 : 只允许属于特定角色的人使用在 SQL Server 中主要有两种类型的角色服务器角色与数据库角色 SQL Server 的安全机制 SQL Server 的安全机制语句权限是 SQL Server 中功能最强大的一些权限, 这些权限只限分配在单个数据库, 跨数据库的权限是不可能的通常只给那些需要在数据库中创建或修改对象执行数据库或事务日志备份的用户当分配语句权限给用户时, 就给了他们创建对象的能力, 通常使用对应的 SQL Server 命令来引用语句权限 SQL Server 的安全机制 Oracle 数据库的安全性措施对象权限对象权限分配给数据库层次上的对象, 并允许用户访问和操作数据库中已存在的对象没有这些权限, 用户将不能访问数据库里的任何对象这些权限实际上给了用户运行特定 SQL 语句的能力 ORACLE 的安全措施 : 用户标识和鉴定授权和检查机制审计技术用户通过触发器灵活定义自己的安全性措施

ORACLE 的用户标识和鉴定 ORACLE 的授权与检查机制 ORACLE 允许用户重复标识三次如果三次仍未通过, 系统自动退出 ORACLE 授权和检查机制的特色 ORACLE 的权限包括系统权限和数据库对象的权限采用非集中式的授权机制每个用户授予与回收自己创建的数据库对象的权限 DBA 负责授予与回收系统权限, 也可以授予与回收所有数据库对象的权限允许重复授权, 即可将某一权限多次授予同一用户, 系统不会出错允许无效回收, 即用户不具有某权限, 但回收此权限的操作仍是成功的 ORACLE 的授权与检查机制 Oracle 系统权限 ORACLE 的权限系统权限 (80 多种 ) 创建会话创建表创建视图创建用户 DBA 在创建一个用户时需要将其中的一些权限授予该用户角色 ORACLE 支持角色的概念 ORACLE 允许 DBA 定义角色 ORACLE 提供的预定义角色 CONNECT RESOURCE DBA 数据库对象的权限 Oracle 系统权限 Oracle 系统权限 CONNECT 角色允许用户登录数据库并执行数据查询和操纵 ALTER TABLE CREATE VIEW / INDEX DROP TABLE / VIEW / INDEX GRANT, REVOKE INSERT, UPDATE, DELETE SELETE AUDIT / NOAUDIT RESOURCE 角色允许用户建表, 即执行 CREATE TABLE 操作由于创建表的用户将拥有该表, 因此他具有对该表的任何权限

Oracle 系统权限 Oracle 系统权限 DBA 角色允许用户执行授权命令, 建表, 对任何表的数据进行操纵 DBA 角色涵盖了前两种角色, 此外还可以执行一些管理操作 DBA 角色拥有最高级别的权限例 :DBA 建立一用户 U12 后, 欲将 ALTER TABLE CREATE VIEW CREATE INDEX DROP TABLE DROP VIEW DROP INDEX, GRANT,REVOKE INSERT SELETE UPDATE DELETE AUDIT NOAUDIT 等系统权限授予 U12, 则可以只简单地将 CONNECT 角色授予 U12 即可 : GRANT CONNECT TO U12; 这样就可以省略十几条 GRANT 语句 Oracle 数据库对象的权限 Oracle 数据库对象的权限 ORACLE 可以授权的数据库对象基本表视图序列利用它可生成唯一的整数一般用于自动生成主码值避免了在应用层实现序列而引起的性能瓶颈同义词 : 一种映射关系 create public synonym table_name for user.table_name 存储过程函数基本表的安全性级别表级行级列级 Oracle 数据库对象的权限表级安全性表的创建者或 DBA 可以把对表的权限授予其他用户表级权限 ALTER: 修改表定义 DELETE: 删除表记录 INDEX: 在表上建索引 INSERT: 向表中插入数据记录 SELECT: 查找表中记录 UPDATE: 修改表中的数据 ALL: 上述所有权限表级授权使用 GRANT/REVOKE 语句例 : GRANT SELECT ON SC TO U12; Oracle 数据库对象的权限行级安全性 ORACLE 行级安全性由视图间接实现例 : 用户 U1 只允许用户 U12 查看自己创建的 Student 表中有关信息系学生的信息, 则首先创建视图信息系学生视图 S_IS: CREATE VIEW S_IS AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept='IS'; 然后将关于该视图的 SELECT 权限授予 U12 用户 : GRANT SELECT ON S_IS TO U12;

Oracle 数据库对象的权限列级安全性借助视图实现列级安全性 CREATE VIEW S_V AS SELECT Sno, Sname FROM Student; GRANT SELECT ON S_V TO U12; 直接在基本表上定义列级安全性例 :GRANT UPDATE (Sno, Cno) ON SC TO U12; Oracle 数据库对象的权限三级对象的层次结构表行列三级对象自上而下构成一个层次结构上一级对象的权限制约下一级对象的权限例 : 当一个用户拥有了对某个表的 UPDATE 权限, 即相当于在表的所有列了都拥有了 UPDATE 权限 Oracle 数据库对象的权限 ORACLE 的授权与检查机制 ORACLE 对数据库对象的权限采用分散控制方式允许具有 WITH GRANT OPTION 的用户把相应权限或其子集传递授予其他用户 ORACLE 不允许循环授权, 即授权者不能把权限再授予其授权者或祖先 U1 U2 U3 U4 ORACLE 的权限检查机制 ORACLE 把所有权限信息记录在数据字典中当用户进行数据库操作时,ORACLE 首先根据数据字典中的权限信息, 检查操作的合法性在 ORACLE 中, 安全性检查是任何数据库操作的第一步

<4D6963726F736F667420506F776572506F696E74202D20B5DABEC5D5C220CAFDBEDDBFE2B0B2C8ABD0D42D6E6577>