中指关节疼痛,屈伸不利 匿名
2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系q 为什么要提供数据库的安全性保护和完整性保护功能?为什么要提供数据库的安全性保护和完整性保护功能? 常用的保护措施常用的保护措施 计算机系统外部的计算机系统外部的v环境的保护环境的保护v社会的保护社会的保护v设备的保护设备的保护 计算机系统内部的计算机系统内部的v计算机计算机v操作系统操作系统v数据库数据库v网络网络v应用系统应用系统2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系在上述这些保护措施中,数据库系统中的数据保护在上述这些保护措施中,数据库系统中的数据保护是至关重要的在本章中我们主要讨论是至关重要的在本章中我们主要讨论在数据库管在数据库管理系统内部设置一些必要的软件以达到数据保护的理系统内部设置一些必要的软件以达到数据保护的目的,这就是数据库的保护目的,这就是数据库的保护数据库管理系统提供的保护措施主要有两类:数据库管理系统提供的保护措施主要有两类:数据库的安全性(数据库的安全性(security)保护保护数据库的完整性(数据库的完整性(integrity)保护保护2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1 数据库的安全性数据库的安全性4.1.1 数据库的安全与安全数据库数据库的安全与安全数据库4.1.2 数据库安全的基本概念与内容数据库安全的基本概念与内容4.1.3 数据库的安全标准数据库的安全标准4.1.4 SQL对数据库安全的支持对数据库安全的支持2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.1 数据库的安全与安全数据库数据库的安全与安全数据库 数据库的安全数据库的安全(database security) 防止非法使用数据库。
即要求数据库的用户:防止非法使用数据库即要求数据库的用户:v通过通过规定规定的访问途径的访问途径v按照按照规定规定的访问规则(规范)的访问规则(规范)来访问数据库中的数据,并接受来自来访问数据库中的数据,并接受来自DBMS的各种检查的各种检查 访问数据库的规范有多种,但是:访问数据库的规范有多种,但是:v不同的规范适用于不同的应用不同的规范适用于不同的应用v可以根据应用的不同需求来选择不同的数据库访问可以根据应用的不同需求来选择不同的数据库访问规范,即选择具有不同安全级别的数据库规范,即选择具有不同安全级别的数据库v那些能适应网络环境下安全要求级别的数据库称为那些能适应网络环境下安全要求级别的数据库称为安全数据库安全数据库(secure database),),或称为或称为可信数可信数据库据库(trusted database)2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1 数据库的安全性数据库的安全性4.1.1 数据库的安全与安全数据库数据库的安全与安全数据库4.1.2 数据库安全的基本概念与内容数据库安全的基本概念与内容4.1.3 数据库的安全标准数据库的安全标准4.1.4 SQL对数据库安全的支持对数据库安全的支持2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.2 数据库安全的基本概念与内容数据库安全的基本概念与内容q 数据库安全的基本概念与内容数据库安全的基本概念与内容可信计算基可信计算基TCB(trusted computing base)主体(主体(subject)、)、客体(客体(object)与主客体分离与主客体分离身份标识与鉴别(身份标识与鉴别(identification and authentication)自主访问控制(自主访问控制(discretionary access control)强制访问控制(强制访问控制(mandatory access control)数据完整性(数据完整性(data integrity)隐蔽通道(隐蔽通道(hiding cannel)数据库安全的形式化模型(数据库安全的形式化模型(formulization of database security)审计(审计(audit)访问监控器(访问监控器(access monitor)2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )q 可信计算基可信计算基TCB它是为实现数据库安全所采用的所有实施策略与机它是为实现数据库安全所采用的所有实施策略与机制的集合制的集合它是实施、检查、监督数据库安全的机构它是实施、检查、监督数据库安全的机构2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) ) 主体主体、客体与主客体分离客体与主客体分离 客体客体v数据库中的数据及其载体数据库中的数据及其载体v如:表、视图、快照、存储过程、数据文件等如:表、视图、快照、存储过程、数据文件等 主体主体v数据库中数据的访问者数据库中数据的访问者2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )与数据库安全有关的所有实体都可以被抽象为与数据库安全有关的所有实体都可以被抽象为主体主体或或客体客体。
由所有主体构成的主体集合与由所有客体由所有主体构成的主体集合与由所有客体构成的客体集合之间存在着一种单向访问关系(如构成的客体集合之间存在着一种单向访问关系(如图所示)图所示) 数据库安全就是研究有关实体的主数据库安全就是研究有关实体的主/客体划分以及主客体划分以及主/客体之间的访问关系的控制客体之间的访问关系的控制 主体集 客体集 访问 2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )q 身份标识与鉴别身份标识与鉴别在数据库安全中,主体访问客体时需进行一定的安在数据库安全中,主体访问客体时需进行一定的安全控制与检查,目前存在三种控制方式:全控制与检查,目前存在三种控制方式: 身份标识与鉴别身份标识与鉴别 自主访问控制自主访问控制 强制访问控制强制访问控制其中身份标识与鉴别是系统提供的最外层安全保护其中身份标识与鉴别是系统提供的最外层安全保护措施措施每个主体必须有一个标志自己身份的标识符(以区每个主体必须有一个标志自己身份的标识符(以区别不同的主体)以及一个用以验证其身份的访问口别不同的主体)以及一个用以验证其身份的访问口令。
当主体访问客体时,令当主体访问客体时,TCB 将对主体所提交的身将对主体所提交的身份标识符和口令进行鉴别,以阻止非法访问份标识符和口令进行鉴别,以阻止非法访问2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )常用的控制措施常用的控制措施登录控制登录控制 对用户标识符和口令的鉴别对用户标识符和口令的鉴别 限制重复性登录失败次数限制重复性登录失败次数 保证登录的可信路径(本地或远程)保证登录的可信路径(本地或远程) 限制在一天当中允许访问的时间限制在一天当中允许访问的时间口令字选取口令字选取 控制用户口令字选取控制用户口令字选取如:最小长度,组合,历史等如:最小长度,组合,历史等 某些口令可由系统生成再分配给用户某些口令可由系统生成再分配给用户 强制实施口令字有效期机制强制实施口令字有效期机制2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )对鉴别数据的保护对鉴别数据的保护 输入口令字时不许回显输入口令字时不许回显 避免未授权的访问与修改避免未授权的访问与修改 防止重播攻击防止重播攻击 防止伪造或拷贝防止伪造或拷贝 防止重用防止重用如:只允许单次使用的口令字如:只允许单次使用的口令字 提供口令字修改的可信路径提供口令字修改的可信路径会话连接挂起会话连接挂起 在用户停止操作一段时间后挂起在用户停止操作一段时间后挂起 根据用户要求挂起根据用户要求挂起 在用户停止操作一段时间后终止在用户停止操作一段时间后终止2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )用户帐号和属性文件用户帐号和属性文件 控制对用户帐号的生成、删除、激活或停用控制对用户帐号的生成、删除、激活或停用 定义用户属性文件中所包含的安全属性定义用户属性文件中所包含的安全属性 控制对用户属性文件的修改控制对用户属性文件的修改2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )q 自主访问控制(自主访问控制(DAC)是一种基于存取矩阵的安全控制模型是一种基于存取矩阵的安全控制模型此模型由主体、客体和存此模型由主体、客体和存/取操作三部分内容构成了取操作三部分内容构成了一个矩阵(如图所示)一个矩阵(如图所示) 主体主体1主体主体2主体主体i客体客体1读/写客体客体2读/修改客体客体j插入修改/删除读/插入/删除存取矩阵模型图存取矩阵模型图2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )基于存取矩阵的自主访问控制功能基于存取矩阵的自主访问控制功能安全政策范围验证安全政策范围验证 主体、客体以及操作主体、客体以及操作控制主体访问客体的规则验证控制主体访问客体的规则验证 主体按存取矩阵模型的要求访问客体主体按存取矩阵模型的要求访问客体 凡不符合存取矩阵要求的访问均属非法访问凡不符合存取矩阵要求的访问均属非法访问超越超越DAC的特权验证的特权验证 如数据库管理员、客体的属主等如数据库管理员、客体的属主等2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )对对DAC属性的控制属性的控制改变客体的许可权限改变客体的许可权限对新建客体的缺省保护对新建客体的缺省保护改变客体的属主改变客体的属主改变用户组的隶属关系改变用户组的隶属关系DAC的特点的特点存取矩阵中的元素是可以随意改变的;存取矩阵中的元素是可以随意改变的;主体可以通过授权(主体可以通过授权(Grant)/回收(回收(Revoke)操)操作变更某些操作权限;作变更某些操作权限;适合于单机方式下的访问控制适合于单机方式下的访问控制2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )q 强制访问控制强制访问控制(MAC)是主体访问客体的一种强制性的安全控制方式,主要是主体访问客体的一种强制性的安全控制方式,主要用于网络环境,对网络中的数据库安全实体作统一的、用于网络环境,对网络中的数据库安全实体作统一的、强制性的访问管理强制性的访问管理主主/客体标记(客体标记(label)安全级别标记(安全级别标记(label of security level) 规定了主规定了主/ /客体的安全级别客体的安全级别安全范围标记(安全范围标记(label of security category) 规定了主体可以访问的范围(客体所处的范围)规定了主体可以访问的范围(客体所处的范围)在主体访问客体的过程中,主体与客体的标记必须满在主体访问客体的过程中,主体与客体的标记必须满足系统所采用的强制访问控制策略的要求,否则将被足系统所采用的强制访问控制策略的要求,否则将被视为非法访问视为非法访问2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )强制访问控制的实施机制:强制访问控制的实施机制:Bell-Lapadula模型模型每个标记由一个整数的分层每个标记由一个整数的分层密级密级和一个非分层和一个非分层范畴范畴的集合构成。
当主体访问客体时必须满足以下条件:的集合构成当主体访问客体时必须满足以下条件: (下读下读)仅当主体的分层密级大于或等于客体的)仅当主体的分层密级大于或等于客体的分层密级分层密级,且主体的非分层范畴集合包含或等于且主体的非分层范畴集合包含或等于客体的非分层范畴集合时客体的非分层范畴集合时,主体才能读客体主体才能读客体 (上写上写)仅当主体的分层密级小于或等于客体的)仅当主体的分层密级小于或等于客体的分层密级,且主体的非分层范畴集合被包含或等分层密级,且主体的非分层范畴集合被包含或等于客体的非分层范畴集合时,主体才能写客体于客体的非分层范畴集合时,主体才能写客体强制访问控制中的主、客体标记由专门的安全管理员设强制访问控制中的主、客体标记由专门的安全管理员设置,任何主体均无权设置与授权,它体现了在网上对数置,任何主体均无权设置与授权,它体现了在网上对数据库安全的强制性与统一性据库安全的强制性与统一性2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )强制性的访问控制措施强制性的访问控制措施安全政策范围验证安全政策范围验证 主体、客体以及操作主体、客体以及操作验证控制访问和信息流动的规则验证控制访问和信息流动的规则验证可超越验证可超越MAC特权特权对对MAC属性的控制属性的控制改变客体标记改变客体标记对新建客体的缺省标记对新建客体的缺省标记改变主体安全属性改变主体安全属性2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )q 数据完整性数据完整性防止非法使用插入(防止非法使用插入(insert)、)、删除(删除(delete)、)、修修改(改(update)等影响数据完整性的操作等影响数据完整性的操作控制手段控制手段对存储数据错误的检测对存储数据错误的检测事务回卷功能事务回卷功能常用的控制手段:三类数据完整性常用的控制手段:三类数据完整性实体完整性实体完整性关联完整性关联完整性用户定义完整性约束用户定义完整性约束2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )q 隐蔽通道隐蔽通道在主体对客体的访问过程中,可通过自主及强制访问控在主体对客体的访问过程中,可通过自主及强制访问控制措施来提供安全保护制措施来提供安全保护公开通道公开通道正规的、接受正规的、接受TCB的(自主的(自主/强制)访问控制检查的强制)访问控制检查的访问通道访问通道隐蔽通道隐蔽通道非正规的、不受非正规的、不受 TCB 控制的访问通道控制的访问通道为了真正保证数据的安全性,就必须分析、发现隐蔽通为了真正保证数据的安全性,就必须分析、发现隐蔽通道,防止隐蔽通道的产生道,防止隐蔽通道的产生2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )q 数据库安全的形式化模型数据库安全的形式化模型用数学形式对数据安全模型的安全策略作形式化描述、用数学形式对数据安全模型的安全策略作形式化描述、验证与证明,形成严格的形式化体系验证与证明,形成严格的形式化体系建立一个数据库安全的形式化模型,有利于发现并填建立一个数据库安全的形式化模型,有利于发现并填补安全漏洞,防止隐蔽通道,并为数据安全的进一步补安全漏洞,防止隐蔽通道,并为数据安全的进一步研究提供理论基础研究提供理论基础2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )q 审计审计跟踪记录用户对数据的访问操作:跟踪记录用户对数据的访问操作:访问时间访问时间/访问内容访问内容/用户名用户名/终端名终端名/操作类型操作类型/操作操作结果结果并可根据审计结果给出报警信息并可根据审计结果给出报警信息由于执行审计操作需要额外的时间和空间开销,因此由于执行审计操作需要额外的时间和空间开销,因此在在DBMS中,中,审计审计通常是一个可选择的安全保护通常是一个可选择的安全保护手段,主要用于安全性要求较高的部门手段,主要用于安全性要求较高的部门2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )与审计有关的保护措施有:与审计有关的保护措施有:审计事件控制审计事件控制 对可审计事件和需记录信息的说明对可审计事件和需记录信息的说明 对需审计事件选择的控制对需审计事件选择的控制 对单个身份审计对单个身份审计入侵检测和应对入侵检测和应对 生成报警信息,并对即将发生的安全违规行为采生成报警信息,并对即将发生的安全违规行为采取应对措施取应对措施 定义用于指示潜在或即将发生的安全违规行为的定义用于指示潜在或即将发生的安全违规行为的那些那些规则、事件、事件序列或系统使用模式规则、事件、事件序列或系统使用模式2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )审计记录的保护审计记录的保护 避免数据丢失避免数据丢失如:审计记录饱和、操作中断等如:审计记录饱和、操作中断等 避免未授权的修改避免未授权的修改 / 访问访问审计记录的分析审计记录的分析 / 查阅查阅 提供相应的分析提供相应的分析 / 查阅工具查阅工具2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系数据库安全的基本概念与内容数据库安全的基本概念与内容( (续续) )q 访问监控器访问监控器上述的安全策略须有一个网络中的实体来完成,即访上述的安全策略须有一个网络中的实体来完成,即访问监控器问监控器访问监控器是一个独立的(既非主体,亦非客体)、访问监控器是一个独立的(既非主体,亦非客体)、最小的、抗篡改的、自主机构,用来监控主体和客最小的、抗篡改的、自主机构,用来监控主体和客体之间的授权访问关系体之间的授权访问关系TCB是一个抽象的功能是一个抽象的功能/策略集合,而访问监控器则是策略集合,而访问监控器则是一个客观存在的实体,是一个客观存在的实体,是TCB在网络中的实现在网络中的实现2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1 数据库的安全性数据库的安全性4.1.1 数据库的安全与安全数据库数据库的安全与安全数据库4.1.2 数据库安全的基本概念与内容数据库安全的基本概念与内容4.1.3 数据库的安全标准数据库的安全标准4.1.4 SQL对数据库安全的支持对数据库安全的支持2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 安全标准的制订历史安全标准的制订历史 美国美国(早期早期):可信计算机系统评估标准:可信计算机系统评估标准TCSEC(Trusted Computer System Evaluation Criteria)v1970年由美国国防科学委员会提出,年由美国国防科学委员会提出,1985年公年公布为国防部标准,后扩展至民用布为国防部标准,后扩展至民用 安全级别从低到高分为四类七级(安全级别从低到高分为四类七级(D, C1, C2, B1, B2, B3, A)v后扩展至:后扩展至: 1987年:年:TNI(TCSEC)可信网络解释可信网络解释 1991年:年:TDI(TCSEC)可信数据库解释可信数据库解释2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 安全标准的制订历史安全标准的制订历史(续)(续)欧共体的安全测评标准(欧共体的安全测评标准(ITSEC)1991年公布,以超越年公布,以超越TCSEC为目的,将安全概为目的,将安全概念分为念分为功能功能与与功能评估功能评估两部分两部分 功能准则:功能准则:10级(级(F1 F10) 评估准则:评估准则:6级(级(E1 E6)2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 安全标准的制订历史安全标准的制订历史(续)(续)美国联邦准则(美国联邦准则(FC)1992年年12月公布,是对月公布,是对TCSEC的升级的升级引入了引入了保护轮廓保护轮廓(PP)这一重要概念这一重要概念 每个轮廓都包括:每个轮廓都包括:功能部分功能部分开发保证部分开发保证部分评测部分评测部分分级方式与分级方式与TCSEC不同,吸取了不同,吸取了ITSEC中的优点中的优点供美国政府用、民用、商用供美国政府用、民用、商用2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 安全标准的制订历史安全标准的制订历史(续)(续)ISO:通用标准通用标准CC (Common Criteria)ISO为统一现有多种标准所作的努力为统一现有多种标准所作的努力制订过程制订过程 1993年开始制订年开始制订 1996年出年出V1.0 1998年出年出V2.0 1999年年5月成为月成为ISO-15408主要思想和框架取自主要思想和框架取自ITSEC和和FC是目前最全面的评价准则是目前最全面的评价准则2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 安全标准的制订历史安全标准的制订历史(续)(续)中国中国1999年:计算机信息系统安全保护等级划分准则年:计算机信息系统安全保护等级划分准则(GB 17859-1999) 参照美国的参照美国的TCSEC标准标准GB 17859-1999分分级级 TCSEC分分级级 - D 第第 1级级:自自主主安安全全保保护护级级 C1 第第 2级级:系系统统审审计计保保护护级级 C2 第第 3级级:安安全全标标记记保保护护级级 B1 第第 4级级:结结构构化化保保护护级级 B2 第第 5级级:访访问问验验证证保保护护级级 B3 - A 2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q安全标准的制订历史安全标准的制订历史(续)(续)中国中国GB/T18336-2001:信息技术安全性评估准则信息技术安全性评估准则 参照参照CC标准标准GJB2646-96:军用计算机安全评估标准军用计算机安全评估标准 参照美国的参照美国的TCSEC标准标准GJB5023-2001:军用数据库安全评估准则军用数据库安全评估准则2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 安全标准的制订历史安全标准的制订历史(续)(续)中国中国2002年(公安部):计算机信息系统安全等级保护年(公安部):计算机信息系统安全等级保护 网络技术要求(网络技术要求(GA/T 387 2002) 操作系统技术要求(操作系统技术要求(GA/T 388 2002) 数据库管理系统技术要求(数据库管理系统技术要求(GA/T 389 2002) 通用技术要求(通用技术要求(GA/T 390 2002) 管理技术要求(管理技术要求(GA/T 391 2002)2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 安全标准的制订历史安全标准的制订历史(续)(续)中国中国GB/T200092005信息安全技术信息安全技术 数据库管理系统安全评估准则数据库管理系统安全评估准则GB/T202732006信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 计算机信息系统安全保护等级划分准则(计算机信息系统安全保护等级划分准则(GB 17859-1999)第第1级:用户自主保护级级:用户自主保护级第第2级:系统审计保护级级:系统审计保护级第第3级:安全标记保护级级:安全标记保护级第第4级:结构化保护级级:结构化保护级第第5级:访问验证保护级级:访问验证保护级2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 第一级:用户自主保护级第一级:用户自主保护级本级的计算机信息系统可信计算基通过本级的计算机信息系统可信计算基通过隔离用户与隔离用户与数据,使用户具备自主安全保护的能力数据,使用户具备自主安全保护的能力。
它具有多它具有多种形式的控制能力,对用户实施访问控制,即为用种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏其他用户对数据的非法读写与破坏具体内容包括:具体内容包括:自主访问控制自主访问控制身份鉴别身份鉴别数据完整性数据完整性2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准自主访问控制自主访问控制由由TCB定义和控制系统中命名用户对命名客体的访问定义和控制系统中命名用户对命名客体的访问实施机制(例如:访问矩阵)允许命名用户以用户和实施机制(例如:访问矩阵)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享(或)用户组的身份规定并控制客体的共享实施目的:阻止非授权用户读取敏感信息实施目的:阻止非授权用户读取敏感信息身份鉴别身份鉴别TCB初始执行时,首先要求用户标识自己的身份,并使初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份用保护机制(例如:口令)来鉴别用户的身份阻止非授权用户访问用户身份鉴别数据阻止非授权用户访问用户身份鉴别数据数据完整性数据完整性TCB通过自主完整性策略,阻止非授权用户修改或破坏通过自主完整性策略,阻止非授权用户修改或破坏敏感信息敏感信息2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 第二级:系统审计保护级第二级:系统审计保护级与用户自主保护级相比,本级的计算机信息系统可与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责户对自己的行为负责具体内容包括:具体内容包括:自主访问控制自主访问控制身份鉴别身份鉴别客体重用客体重用审计审计数据完整性数据完整性2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准自主访问控制自主访问控制在第在第1级的基础上进一步控制访问权限的扩散。
级的基础上进一步控制访问权限的扩散自主访问控制机制根据用户指定方式或默认方式,自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体阻止非授权用户访问客体访问控制的粒度是单个用户访问控制的粒度是单个用户没有存取权的用户只允许由授权用户指定对客体没有存取权的用户只允许由授权用户指定对客体的访问权的访问权身份鉴别身份鉴别通过为用户提供唯一标识、通过为用户提供唯一标识、TCB能够使用户对自能够使用户对自己的行为负责己的行为负责TCB还具备将身份标识与该用户所有可审计行为还具备将身份标识与该用户所有可审计行为相关联的能力相关联的能力2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准客体重用客体重用在在TCB的空闲存储客体空间中,对客体初始指定、分的空闲存储客体空间中,对客体初始指定、分配或再分配给一个主体之前,撤销该客体所含信息的配或再分配给一个主体之前,撤销该客体所含信息的所有授权所有授权当主体获得对一个已被释放的客体的访问权时,当前当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息主体不能获得原主体活动所产生的任何信息2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准审计审计TCB能创建和维护受保护客体的访问审计跟踪记录,能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对审计信息的访问或破坏并能阻止非授权的用户对审计信息的访问或破坏可以审计的事件有:可以审计的事件有: 使用身份鉴别机制使用身份鉴别机制 将客体引入用户地址空间将客体引入用户地址空间例如:打开文件、程序初始化例如:打开文件、程序初始化 删除客体删除客体 由操作员、系统管理员或(和)系统安全管理员由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件实施的动作,以及其他与系统安全有关的事件2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准审计审计(续)(续)审计记录的内容包括:审计记录的内容包括: 事件的日期和时间、用户、事件类型、事件是事件的日期和时间、用户、事件类型、事件是否成功;否成功; 对于身份鉴别事件,审计记录包含事件的来源对于身份鉴别事件,审计记录包含事件的来源(例如:终端标识符);(例如:终端标识符); 对于客体引入用户地址空间的事件及删除客体对于客体引入用户地址空间的事件及删除客体事件,审计记录包含客体名事件,审计记录包含客体名对不能由对不能由TCB独立分辨的审计事件,审计机制提独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用供审计记录接口,可由授权主体调用 这些审计记录区别于这些审计记录区别于TCB独立分辨的审计记录独立分辨的审计记录2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 第三级:安全标记保护级第三级:安全标记保护级本级的计算机信息系统可信计算基具有系统审计保本级的计算机信息系统可信计算基具有系统审计保护级所有功能。
此外,还提供有关护级所有功能此外,还提供有关安全策略模型、安全策略模型、数据标记以及主体对客体强制访问控制的非形式化数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误测试发现的任何错误具体的内容有:具体的内容有:自主访问控制自主访问控制客体重用客体重用强制访问控制强制访问控制审计审计标记标记数据完整性数据完整性身份鉴别身份鉴别2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准强制访问控制强制访问控制TCB对所有主体及其所控制的客体(例如:进程、文对所有主体及其所控制的客体(例如:进程、文件、段、设备、表、视图)实施强制访问控制为这件、段、设备、表、视图)实施强制访问控制为这些主体及客体指定敏感标记,这些标记是等级分类些主体及客体指定敏感标记,这些标记是等级分类(安全级别)和非等级类别(范畴)的组合,它们是(安全级别)和非等级类别(范畴)的组合,它们是实施强制访问控制的依据实施强制访问控制的依据TCB支持两种或两种以上成分组成的安全级:支持两种或两种以上成分组成的安全级: 层次密级:安全级别层次密级:安全级别 非层次范围:范畴非层次范围:范畴2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准强制访问控制强制访问控制(续)(续)受受TCB控制的所有主体对客体的访问应满足:控制的所有主体对客体的访问应满足: 下读下读:仅当主体安全级中的等级分类高于或等于客:仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级体安全级中的等级分类,且主体安全级中的非等级范畴包含了客体安全级中的全部非等级范畴,主体范畴包含了客体安全级中的全部非等级范畴,主体才能读客体;才能读客体; 上写上写:仅当主体安全级中的等级分类低于或等于客:仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级中的非等级体安全级中的等级分类,且主体安全级中的非等级范畴包含了客体安全级中的非等级范畴,主体才能范畴包含了客体安全级中的非等级范畴,主体才能写一个客体写一个客体TCB使用身份鉴别数据鉴别用户的身份,并保证用户使用身份鉴别数据鉴别用户的身份,并保证用户创建的创建的TCB外部主体的安全级和授权受该用户的安全外部主体的安全级和授权受该用户的安全级和授权的控制级和授权的控制2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准标记标记TCB应维护与主体及其控制的存储客体(例如:进程、应维护与主体及其控制的存储客体(例如:进程、文件、段、设备、表、视图)相关的敏感标记。
这些文件、段、设备、表、视图)相关的敏感标记这些标记是实施强制访问的基础标记是实施强制访问的基础为了输入未加安全标记的数据,为了输入未加安全标记的数据,TCB向授权用户要求向授权用户要求并接受这些数据的安全级别,且可由并接受这些数据的安全级别,且可由TCB 审计审计身份鉴别身份鉴别TCB维护用户身份识别数据并确定用户访问权及授权维护用户身份识别数据并确定用户访问权及授权数据数据TCB使用这些数据鉴别用户身份使用这些数据鉴别用户身份2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准审计审计对于客体引入用户地址空间的事件及删除客体对于客体引入用户地址空间的事件及删除客体事件,审计记录包含客体名事件,审计记录包含客体名及客体的安全级别及客体的安全级别数据完整性数据完整性在网络环境中,使用完整性敏感标记来确信信在网络环境中,使用完整性敏感标记来确信信息在传送中未受损息在传送中未受损2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 第四级:结构化保护级第四级:结构化保护级本级的计算机信息系统可信计算基建立于一个明确本级的计算机信息系统可信计算基建立于一个明确定义的定义的形式化安全策略模型形式化安全策略模型之上,它要求将第三级之上,它要求将第三级系统中的自主和强制访问控制扩展到系统中的自主和强制访问控制扩展到所有主体与客所有主体与客体体。
此外,还要考虑此外,还要考虑隐蔽通道隐蔽通道本级的计算机信息本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关系统可信计算基必须结构化为关键保护元素和非关键保护元素计算机信息系统可信计算基的接口也键保护元素计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审加强了鉴别机制;支持系统管试和更完整的复审加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了理员和操作员的职能;提供可信设施管理;增强了配置管理控制系统具有相当的抗渗透能力配置管理控制系统具有相当的抗渗透能力2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准自主访问控制自主访问控制强制访问控制强制访问控制标记标记身份鉴别身份鉴别客体重用客体重用审计审计数据完整性数据完整性隐蔽信道分析隐蔽信道分析可信路径可信路径具体内容包括:具体内容包括:2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准强制访问控制强制访问控制TCB对外部主体能够直接或间接访问的所有资源实施对外部主体能够直接或间接访问的所有资源实施强制访问控制强制访问控制 例如:主体、存储客体和输入输出资源例如:主体、存储客体和输入输出资源TCB外部的所有主体对客体的直接或间接访问应满足:外部的所有主体对客体的直接或间接访问应满足: 下读上写下读上写标记标记TCB维护与可被外部主体直接或间接访问到的计算机维护与可被外部主体直接或间接访问到的计算机信息系统资源相关的敏感标记信息系统资源相关的敏感标记 例如:主体、存储客体、只读存储器例如:主体、存储客体、只读存储器审计审计TCB能够审计利用隐蔽存储信道时可能被使用的事件能够审计利用隐蔽存储信道时可能被使用的事件2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准隐蔽信道分析隐蔽信道分析系统开发者应彻底搜索隐蔽存储信道,并根据系统开发者应彻底搜索隐蔽存储信道,并根据实际测量或工程估算确定每一个被标识信道的实际测量或工程估算确定每一个被标识信道的最大带宽最大带宽可信路径可信路径对用户的初始登录和鉴别,对用户的初始登录和鉴别,TCB在它与用户之在它与用户之间提供可信通信路径。
该路径上的通信只能由间提供可信通信路径该路径上的通信只能由该用户初始化该用户初始化2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准q 第五级:访问验证保护级第五级:访问验证保护级本级的计算机信息系统可信计算基本级的计算机信息系统可信计算基满足访问监控器满足访问监控器需求需求访问监控器仲裁主体对客体的全部访问访问监控器仲裁主体对客体的全部访问访问监控器本身是抗篡改的;必须足够小,能够分析问监控器本身是抗篡改的;必须足够小,能够分析和测试为了满足访问监控器需求,计算机信息系和测试为了满足访问监控器需求,计算机信息系统可信计算基在其构造时,排除那些对实施安全策统可信计算基在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度支持安全管工程角度将其复杂性降低到最小程度支持安全管理员职能;扩充审计机制,当发生与安全相关的事理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制系统具有很高件时发出信号;提供系统恢复机制系统具有很高的抗渗透能力的抗渗透能力2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准自主访问控制自主访问控制强制访问控制强制访问控制标记标记身份鉴别身份鉴别客体重用客体重用审计审计数据完整性数据完整性隐蔽信道分析隐蔽信道分析可信路径可信路径可信恢复可信恢复具体内容包括:具体内容包括:2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准自主访问控制自主访问控制访问控制能够为每个命名客体指定命名用户和用访问控制能够为每个命名客体指定命名用户和用户组,并规定他们对客体的访问模式户组,并规定他们对客体的访问模式审计审计TCB包含能够监控可审计安全事件发生与积累的包含能够监控可审计安全事件发生与积累的机制,当超过阈值时,能够立即向安全管理员发机制,当超过阈值时,能够立即向安全管理员发出报警。
如果这些与安全相关的事件继续发生或出报警如果这些与安全相关的事件继续发生或积累,系统应以最小的代价中止它们积累,系统应以最小的代价中止它们2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.3 数据库的安全标准数据库的安全标准可信路径可信路径当连接用户时(如注册、更改主体安全级),当连接用户时(如注册、更改主体安全级),TCB提供它与用户之间的可信通信路径可信路提供它与用户之间的可信通信路径可信路径上的通信只能由该用户或径上的通信只能由该用户或TCB激活,且在逻辑激活,且在逻辑上与其他路径上的通信相隔离,且能正确地加以上与其他路径上的通信相隔离,且能正确地加以区分区分可信恢复可信恢复TCB提供过程和机制,保证计算机信息系统失效提供过程和机制,保证计算机信息系统失效或中断后,可以进行不损害任何安全保护性能的或中断后,可以进行不损害任何安全保护性能的恢复恢复2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1 数据库的安全性数据库的安全性4.1.1 数据库的安全与安全数据库数据库的安全与安全数据库4.1.2 数据库安全的基本概念与内容数据库安全的基本概念与内容4.1.3 数据库的安全标准数据库的安全标准4.1.4 SQL对数据库安全的支持对数据库安全的支持2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.4 SQL对数据库安全的支持对数据库安全的支持q在在SQL92中提供了中提供了C1级数据库安全的支持,级数据库安全的支持,它们是:它们是:主体、客体及主主体、客体及主/客体分离客体分离身份标识与鉴别身份标识与鉴别数据完整性数据完整性自主访问控制与授权功能自主访问控制与授权功能2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.4 SQL对数据库安全的支持对数据库安全的支持q 自主访问控制与授权功能自主访问控制与授权功能SQL中的自主访问控制是通过(用户,操作对象,中的自主访问控制是通过(用户,操作对象,操作权限)这样的三元组来定义用户对于数据的访操作权限)这样的三元组来定义用户对于数据的访问权限的,并可通过授权(问权限的,并可通过授权(Grant)和回收)和回收(Revoke)语句来改变用户的访问权限)语句来改变用户的访问权限操作权限操作权限v SELECT权权v INSERT权权v DELETE权权v UPDATE权权v REFERENCE权权v EXECUTE权权v USAGE权权2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.4 SQL对数据库安全的支持对数据库安全的支持操作对象操作对象 表,视图表,视图 属性属性 域(域(type),UDT(用户定义数据类型)(用户定义数据类型) 存储过程存储过程/函数,触发器函数,触发器用户用户数据库用户数据库用户2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.4 SQL对数据库安全的支持对数据库安全的支持授权语句授权语句GRANT ON TO WITH GRANT OPTION例:例:grant SELECT,UPDATE on Sto XULIN with grant optiongrant UPDATE (G) on SC to XULIN2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.1.4 SQL对数据库安全的支持对数据库安全的支持回收语句回收语句REVOKE ON FROM RESTRICT | CASCADECASCADE:连锁回收连锁回收RESTRICT:在不存在连锁回收问题时才能回收权限,在不存在连锁回收问题时才能回收权限,否则拒绝回收否则拒绝回收例:例: revoke UPDATE on S from XULIN cascade 2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.2 数据库的完整性数据库的完整性2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.2 数据库的完整性数据库的完整性q 数据库的完整性数据库的完整性指数据库中数据的正确性和一致性,包括:指数据库中数据的正确性和一致性,包括:正确性:数据的有效性、有意义正确性:数据的有效性、有意义一致性:在多用户(多程序)并发访问数据库的情况一致性:在多用户(多程序)并发访问数据库的情况下,保证对数据的更新不会出现与实际不一致的情况下,保证对数据的更新不会出现与实际不一致的情况我们一方面要避免在数据库中出现错误的数据,即防止我们一方面要避免在数据库中出现错误的数据,即防止数据的完整性受到破坏。
同时,如果因为某些不可抗拒数据的完整性受到破坏同时,如果因为某些不可抗拒的原因而导致数据库中的数据被破坏,也要能够及时发的原因而导致数据库中的数据被破坏,也要能够及时发现并采取一定的措施将数据库中的数据恢复到正确的状现并采取一定的措施将数据库中的数据恢复到正确的状态下去态下去2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.2 数据库的完整性数据库的完整性q 完整性保护完整性保护对数据库中数据的正确性和一致性的维护,包括:对数据库中数据的正确性和一致性的维护,包括:在执行更新操作时,检查是否违反完整性约束条在执行更新操作时,检查是否违反完整性约束条件,并且在证明其无效后作出适当的反应件,并且在证明其无效后作出适当的反应防止有存取权的合法用户的误操作防止有存取权的合法用户的误操作q 完整性保护的目的完整性保护的目的及时发现错误及时发现错误能够采取措施防止错误的进一步蔓延能够采取措施防止错误的进一步蔓延最终将数据库恢复到正确状态最终将数据库恢复到正确状态q 完整性保护的实现措施完整性保护的实现措施完整性约束条件的定义及检查完整性约束条件的定义及检查触发器触发器并发控制技术并发控制技术2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.2 数据库的完整性数据库的完整性4.2.1 数据库完整性保护的功能数据库完整性保护的功能4.2.2 完整性规则的三个内容完整性规则的三个内容4.2.3 完整性约束的设置、检查与处理完整性约束的设置、检查与处理4.2.4 触发器触发器2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.2.1 数据库完整性保护的功能数据库完整性保护的功能q三个基本功能三个基本功能设置功能设置功能检查功能检查功能处理功能处理功能2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.2 数据库的完整性数据库的完整性4.2.1 数据库完整性保护的功能数据库完整性保护的功能4.2.2 完整性规则的三个内容完整性规则的三个内容4.2.3 完整性约束的设置、检查与处理完整性约束的设置、检查与处理4.2.4 触发器触发器2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.2.2 完整性规则的三个内容完整性规则的三个内容q在关系数据库系统中提供了下述三类数据完整在关系数据库系统中提供了下述三类数据完整性约束:性约束:实体完整性规则实体完整性规则在一个基表的主关键字(主码)中,其属性的取在一个基表的主关键字(主码)中,其属性的取值不能为空值值不能为空值参照完整性规则参照完整性规则用户定义的完整性规则用户定义的完整性规则由用户来定义的数据完整性要求由用户来定义的数据完整性要求由数据库管理系统来提供数据完整性约束条件由数据库管理系统来提供数据完整性约束条件的定义和检查的优点?的定义和检查的优点?2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.2.2 完整性规则的三个内容完整性规则的三个内容参照完整性规则参照完整性规则若关系若关系R中有属性集中有属性集F与另一个关系与另一个关系S的主关的主关键字键字Ks相对应(即具有相同的语义和取值范相对应(即具有相同的语义和取值范围),则称关系围),则称关系R引用关系引用关系S中的元组中的元组这样的属性集这样的属性集F被称为关系被称为关系R的外关键字的外关键字(关系(关系R和关系和关系S可以是同一个关系)可以是同一个关系)参照完整性规则要求参照完整性规则要求关系关系R中的每个元组在外关键字中的每个元组在外关键字F上的值或上的值或者是空值(者是空值(NULL),或必须引用在关系或必须引用在关系S中存在的元组,即不能引用不存在的实体中存在的元组,即不能引用不存在的实体2007年度-教育部-IBM精品课程-南京大学计算机科学与技术系4.2.2 完整性规则的三个内容完整性规则的三个内容学学生生关关系系 学学 号号 姓姓 名名 系系 别别 年年龄龄 993501 刘刘英英 计计算算机机 18 选选课课关关系系 学学 号号。
