数据库中数据的共享是在DBMS统一的严格的控制之下的共享,即只允许有合法使用权限的用户访问允许他存取的数据
数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一
(一)计算机系统安全性概述
为计算机系统建立和采取的各种安全保护措施,以保护计算机系统中的硬件、软件及数据,防止其因偶然或恶意的原因使系统遭到破坏,数据遭到更改或泄露等
三类计算机系统安全性问题:
- 技术安全类
- 管理安全类
- 政策法律类
(二)数据库安全性控制概述
数据库的安全性是指保护数据库,防止因用户非法使用数据库造成数据泄露、更改或破坏。
数据库安全性控制的常用方法:
- 用户标识和鉴定
- 存取控制
- 视图
- 审计
- 密码存储
用户标识与鉴别(Identification & Authentication):
系统提供的最外层安全保护措施
存取控制:
存取控制机制的组成:
- 定义用户(存取)权限
- 合法(存取)权限检查
定义用户权限和合法权检查机制一起组成了DBMS的安全(存取控制)子系统
常用存取控制方法:
- 自主存取控制(Discretionary Access Control ,简称DAC)
同一用户对于不同的数据对象有不同的存取权限
不同的用户对同一对象也有不同的权限
用户还可将其拥有的存取权限转授给其他用户
通过 SQL 的 GRANT 语句和 REVOKE 语句实现
用户权限组成:
– 数据对象
– 操作类型
定义用户存取权限:定义用户可以在哪些数据库对象上进行哪些类型的操作
定义存取权限称为授权
检查存取权限
授权粒度: 指可以定义的数据对象的范围
– 衡量授权机制是否灵活的一个重要指标。
– 授权定义中数据对象的粒度越细,即可以定义的数据对象的范围越小,授权子系统就越灵活。
关系数据库中授权的数据对象粒度:数据库、表属性、列、行
能否提供与数据值有关的授权反映了授权子系统精巧程度
优点: 能够通过授权机制有效地控制其他用户对敏感数据的存取
缺点: 可能存在数据的“无意泄露”
原因:这种机制仅仅通过对数据的存取权限来进行安全控制,而数据本身并无安全性标记。
解决:对系统控制下的所有主客体实施强制存取控制策略
- 强制存取控制(Mandatory Access Control,简称 MAC)
每一个数据对象被标以一定的密级
每一个用户也被授予某一个级别的许可证
对于任意一个对象,只有具有合法许可证的用户才可以存取
指系统为保证更高程度的安全性,按照TDI/TCSEC标准中安全策略的要求,所采取的强制存取检查手段。MAC不是用户能直接感知或进行控制的
MAC适用于对数据有严格而固定密级分类的部门:军事部门, 政府部门
在MAC中,DBMS所管理的全部实体被分为主体和客体两大类
主体是系统中的活动实体
- DBMS所管理的实际用户
- 应用程序、进程以及线程等
客体是系统中的被动实体,是受主体操纵的文件、基表、索引、视图
对于主体和客体,DBMS为它们每个实例(值)指派一个敏感度标记
敏感度标记(Label):绝密、机密、可信、公开
主体的敏感度标记称为许可证级别,客体的敏感度标记称为密级。
MAC机制就是通过对比主体的Label和客体的Label,最终确定主体是否能够存取客体
当某一用户(或某一主体)以标记label注册入系统时,系统要求他对任何客体的存取必须遵循下面两条规则:
- (1)仅当主体的许可证级别大于或等于客体的密级时,该主体才能读取相应的客体。
- (2)仅当主体的许可证级别等于客体的密级时,该主体才能写相应的客体。
授权与回收
GRANT语句的一般格式:
GRANT <权限>[,<权限>]...
[ON <对象类型> <对象名>]
TO <用户>[,<用户>]...
[WITH GRANT OPTION];
语义:将对指定操作对象的指定操作权限授予指定的用户
附注:创建视图时,[WITH CHECK OPTION]:通过视图进行增删改操作时,不得破坏视图定义中的谓词条件(即子查询中的条件表达式)
发出GRANT:
- DBA
- 数据库对象创建者(即属主Owner)
- 拥有该权限的用户
按受权限的用户 :
- 一个或多个具体用户
- PUBLIC(全体用户)
WITH GRANT OPTION子句:
指定:可以再授予
没有指定:不能传播
不允许循环授权
对属性列的授权时必须明确指出相应属性列名
REVOKE
授予的权限可以由DBA或其他授权者用REVOKE语句收回
REVOKE语句的一般格式为:
REVOKE <权限>[,<权限>]...
[ON <对象类型> <对象名>]
FROM <用户>[,<用户>]...;
创建数据库模式的权限 :
- DBA在创建用户时实现
- CREATE USER语句格式
CREATE USER <username>
[WITH][DBA | RESOURCE | CONNECT]
数据的操作授权与数据库模式授权的区别
Grant和revoke语句用于向用户授予或收回对数据的操作权限,而对数据库模式的授权则由DBA在创建用户时实现
创建用户语句一般格式:
Create user <username>
[with][DBA|resource|connect]
说明:
只有系统的超级用户才有权创建新的用户
新建用户有三种权限:connect、resource和DBA
权限与可执行操作
connect权限(创建用户命令中若没指定建新用户的权限,默认该用户拥有connect权限)
- 不能创建新用户、不能创建模式、不能创建基本表
- 只能登录数据库
Resource权限
- 能创建基本表和视图
- 不能创建模式,也不能创建新的用户
DBA权限的用户是系统中的超级用户
- 拥有一切权限,还可以把这些权限授予一般用户。
数据库角色
被命名的一组与数据库操作相关的权限
- 角色是权限的集合
- 可以为一组具有相同权限的用户创建一个角色
- 简化授权的过程
角色的创建:
CREATE ROLE <角色名>
给角色授权 :
GRANT <权限>[,<权限>]…
ON <对象类型>对象名
TO <角色>[,<角色>]…
将一个角色授予其他的角色或用户:
GRANT <角色1>[,<角色2>]…
TO <角色3>[,<用户1>]…
[WITH ADMIN OPTION]
角色权限的收回 :
REVOKE <权限>[,<权限>]…
ON <对象类型> <对象名>
FROM <角色>[,<角色>]…
(三)视图机制
视图机制把要保密的数据对无权存取这些数据的用户隐藏起来。
视图机制更主要的功能在于提供数据独立性,其安全保护功能太不精细,往往远不能达到应用系统的要求。
视图机制与授权机制配合使用方法:
- 首先用视图机制屏蔽掉一部分保密数据
- 视图上面再进一步定义存取权限
- 间接实现了支持存取谓词的用户权限定义
(四)审计
对指定用户在数据库中的操作情况进行监控和记录,用以审查用户的相关活动
- 数据被非授权用户删除,用户越权管理,权限管理不正确,用户获得不应有的系统权限等
监视和收集关于指定数据库获得的数据
- 哪些表经常被修改,用户共执行了多少次I/O操作等,为优化提供依据
审计级别:
-
语句级
只审定某种类型的SQL语句 -
权限级
只审计某个系统权限的使用情况 -
实体级
只对一个指定模式上的实体的指定语句进行审计
审计类别:
按语句执行成功与否
- 只审计成功语句(whenever successful)
- 只审计不成功语句(whenever not successful)
- 不论成功与否都进行审计
按语句执行次数
- 会话审计(by session)
语句每执行一次就审计一次 - 存取方式审计(by assess)
多次执行的同一语句只审计一次
审计分为:
- 用户级审计
针对自己创建的数据库表或视图进行审计
记录所有用户对这些表或视图的一切成功和(或)不成功的访问要求以及各种类型的SQL操作 - 系统级审计
DBA设置
监测成功或失败的登录要求
监测GRANT和REVOKE操作以及其他数据库级权限下的操作
AUDIT语句:设置审计功能
NOAUDIT语句:取消审计功能
(五)数据加密
防止数据库中数据在存储和传输中失密的有效手段
加密的基本思想:
根据一定的算法将原始数据(术语为明文,Plain text)变换为不可直接识别的格式(术语为密文,Cipher text)
不知道解密算法的人无法获知数据的内容
加密方法
- 替换方法:使用密钥(Encryption Key)将明文中的每一个字符转换为密文中的一个字符
- 置换方法:将明文的字符按不同的顺序重新排列
- 混合方法:美国1977年制定的官方加密标准:数据加密标准(Data Encryption Standard,简称DES)
DBMS中的数据加密:
- 有些数据库产品提供了数据加密例行程序
- 有些数据库产品本身未提供加密程序,但提供了接口
数据加密功能通常也作为可选特征,允许用户自由选择:
- 数据加密与解密是比较费时的操作
- 数据加密与解密程序会占用大量系统资源
- 应该只对高度机密的数据加密
(六)统计数据库安全性
统计数据库的特点:
-
允许用户查询聚集类型的信息(例如合计、平均值等)
-
不允许查询单个记录信息
例:允许查询“程序员的平均工资是多少?”,不允许查询“程序员张勇的工资?”
统计数据库中特殊的安全性问题:
- 隐蔽的信息通道
- 从合法的查询中推导出不合法的信息