6-5

6.5.1 安全性问题

1.数据库安全性的定义
(1)定义

数据库的安全性（Security）：	是指保护数据库，防止不合法的使用，以免数据的泄密、更改或破坏。

(2)安全性和完整性的区别

区别	安全性	完整性
	是保护数据以防止非法用户故意造成的破坏	是保护数据以防止合法用户无意中造成的破坏
	确保用户被限制在做其想做的事情	确保用户所做的事情是正确的

2.安全性级别

安全性级别
名称	说明
环境级	计算机系统的机房和设备应加以保护，防止有人进行物理破坏。属于社会伦理道德问题，不是本教材的内容。
职员级	工作人员应清正廉洁，正确授予用户访问数据库的权限。属于社会伦理道德问题，不是本教材的内容。
OS级	应防止未经授权的用户从OS处着手访问数据库。属于OS的内容。
网络级	由于大多数DBS都允许用户通过网络进行远程访问，因此网络软件内部的安全性是很重要的。属于网络教材中的内容。
DBS级	DBS的职责是检查用户的身份是否合法及使用数据库的权限是否正确。最高级别。本课程讨论的访问。

3.权限问题
(1)定义

“权限”（Authorization）：	用户（或应用程序）使用数据库的方式称为“权限”（Authorization）。

(2)访问数据的四个权限
　　 ①读（Read）权限：允许用户读数据，但不能修改数据。
　　 ②插入（Insert）权限：允许用户插入新的数据，但不能修改数据。
　　 ③修改（Update）权限：允许用户修改数据，但不能删除数据。
　　 ④删除（Delete）权限：允许用户删除数据。
(3)修改数据库模式的四个权限
　　 ①索引（Index）权限：允许用户创建和删除索引。
　　 ②资源（Resourse）权限：允许用户创建新的关系。
　　 ③修改（Alteration）权限：允许用户在关系结构中加入或删除属性。
　　 ④撤销（Drop）权限：允许用户撤销关系。

6.5.2 SQL中的安全性机制

1.视图

视图（View）：	是从一个或多个基本表导出的表。但视图仅是一个定义，视图本身没有数据，不占磁盘空间。视图一经定义就可以和基本表一样被查询，也可以用来定义新的视图，但更新（插、删、改）操作将有一定限制。

　　视图机制使系统具有三个优点：数据安全性、逻辑数据独立性和操作简便性。
　　视图被用来对无权用户屏蔽数据。用户只能使用视图定义中的数据，而不能使用视图定义外的其他数据，从而保证了数据安全性。

2.权限
(1)用户权限
　　 SELECT
　　 INSERT
　　 DELETE
　　 UPDATE
　　 REFERENCES：允许用户定义新关系时，引用其他关系的主键作为外键。
　　 USAGE：允许用户使用已定义的域。
(2)授权语句
　　 ①语句格式
　　 GRANT <权限表> ON <数据库元素> TO <用户名表> [WITH GRANT OPTION]
　　 ②说明
　　这里权限表中的权限可以是前面提到的六种权限。
　　如果权限表中包括全部六种权限，那么可用关键字“ALL PRIVILEGES”代替。
　　数据库元素可以是关系、视图或域，但是在域名前要加关键字DOMAIN。
　　短语WITH GRANT OPTION表示获得权限的用户还能获得传递权限，把获得的权限转授给其他用户。
　　在授权语句中，关键字PUBLIC表示系统中所有目前的和将来可能出现的所有用户。
(3)实例
　　 GRANT SELECT, UPDATE ON S TO WANG WITH GRANT OPTION
　　 /* 把对关系S的查询、修改权限授给用户WANG，并且WANG还可以把这些权限转授给其他用户。*/
　　 GRANT INSERT (S#, C#) ON SC TO LOU WITH GRANT OPTION
　　 /* 把对关系SC的插入（只能插入S#，C#值）权限授给用户LOU，同时LOU还获得了转授权。*/
　　 GRANT UPDATE (GRADE) ON SC TO WEN
　　 /* 把对关系SC的成绩修改权限授给用户WEN。*/
　　 GRANT REFERENCES (CNO) ON C TO BAO WITH GRANT OPTION
　　 /* 允许用户BAO建立新关系时，可以引用关系C的主键CNO作为新关系的外键，并有转让权限。*/
　　 GRANT USAGE ON DOMAIN AGE TO CHEN
　　 /* 允许用户CHEN使用已定义过的域AGE。*/
(4)回收语句
　　 ①语句格式
　　 REVOKE <权限表> ON <数据库元素> FROM <用户名表> [RESTRICT | CASCADE]
　　 ②说明
　　该语句中带CASCADE，表示回收权限时要引起连锁回收。即用户Ui从用户Uj回收权限时，要把用户Uj转授出去的同样的权限同时回收。如果语句中带RESTRICT，则当不存在连锁回收现象时，才能回收权限，否则系统拒绝回收。
　　回收语句中“REVOKE”可用“REVOKE GRANT OPTION FOR”代替，其意思是回收转授出去的转让权限，而不是回收转授出去的权限。
　　 ③权限回收的实例
　　 REVOKE SELECT, UPDATE ON S FROM WANG CASCADE
　　 /* 该语句表示从用户WANG回收对关系S的查询、修改权限，并且是连锁回收。*/
　　 REVOKE INSERT (S#, C#) ON SC FROM ZHANG RESTRICT
　　 /* 如果ZHANG已把获得的插入权限转授给其他用户，那么上述回收语句执行失败，否则回收成功。*/
　　 REVOKE GRANT OPTION FOR REFERENCES (C#) ON C FROM BAO
　　 /* 该语句从用户BAO回收对关系C中主键CNO引用的转授权。*/

3.角色
(1)角色的概念
　　在SQL中，用户（User）是实际的人或是访问数据库的应用程序。而角色（Role）是一组具有相同权限的用户，实际上角色是属于目录一级的概念。
(2)用户与角色的关系
　　 ①SQL标准并不包含CREATE USER和DROP USER语句，由具体的系统确定如何创建和撤销用户、如何组成一个合理的用户标识和口令系统。
　　 ②用户和角色之间存在着多对多联系，即一个用户可以参与多个角色，一个角色也可授予多个用户。
　　 ③可以把使用数据库的权限用GRANT语句授予角色，再把角色授予用户，这样用户也就拥有了使用数据库的权限。
　　 ④角色之间可能存在一个角色链。即可以把一个角色授予另一角色，则后一个角色也就拥有了前一个角色的权限。
(3)角色的定义语句
　　 GRANT <权限列表> ON <基本表名或视图名> TO <角色名>
　　 GRANT <角色名> TO <用户名>
　　 GRANT <角色名> TO <角色名>
　　用REVOKE语句把权限或角色收回。

4.审计

审计追踪（Audit Trail）：	用于安全性目的的数据库日志，称为审计追踪（Audit Trail）。

　　审计追踪是一个对数据库作更改（插、删、修）的日志，还包括一些其他信息，如哪个用户执行了更新和什么时候执行的更新等。
　　如果怀疑数据库被篡改了，那么就开始执行DBMS的审计软件。该软件将扫描审计追踪中某一时间段内的日志，以检查所有作用于数据库的存取动作和操作。当发现一个非法的或未授权的操作时，DBA就可以确定执行这个操作的账号。

6.5.3 常用的安全性措施

　　在DBMS中还有许多措施可用于实现系统的安全性，下面将介绍强制存取控制、统计数据库的安全性等方法，最后指出自然环境的安全性也是系统应注意的问题。

1.强制存取控制（Mandatory Access Control）
　　有些DBS的数据具有很高的保密性，通常具有静态的严格的分层结构，强制存取控制对于存放这样的数据的数据库非常适用。
(1)强制存取控制的基本思想
　　这个方法的基本思想在于每个数据对象（文件、记录或字段等）赋予一定的密级。
　　

　　级别从高到低有：绝密级（Top Secret）、机密级（Secret）、秘密级（Confidential）和公用级（Unclassified）。
　　每个用户也具有相应的级别，称为许可证级别（clearance level）。
　　密级和许可证级别都是严格有序的，如：绝密 > 机密 > 秘密 > 公用。
(2)密级访问的两条简单规则
　　 ①用户i只能查看比它级别低或同级的数据；
　　 ②用户i只能修改和它同级的数据。
　　在第②种，用户i显然不能修改比它级别高的数据，但规定也不能修改比它级别低的数据，主要是为了防止具有较高级别的用户将该级别的数据复制到较低级别的文件中。
(3)强制存取控制的优点
　　强制存取控制是一种独立于值的一种简单的控制方法。
　　它的优点是系统能执行“信息流控制”。
　　在前面介绍授权方法中，允许凡有权查看保密数据的用户就可以把这种数据拷贝到非保密的文件中，造成无权用户也可接触保密数据。
　　而强制存取控制可以避免这种非法的信息流动。

2.统计数据库的安全性
(1)统计数据库的概念
　　有一类数据库称为“统计数据库”，例如人口调查数据库，它包含大量的记录，但其目的只是向公众提供统计、汇总信息，而不是提供单个记录的内容。也就是查询仅仅是某些记录的统计值，例如求记录数、和、平均值等。
(2)统计数据库的安全威胁
　　在统计数据库中，虽然不允许用户查询单个记录的信息，但是用户可以通过处理足够多的汇总信息来分析出单个记录的信息，这就给统计数据库的安全性带来严重的威胁。
(3)实例
　　有一个职工关系，包含工资信息。一般的用户只能查询统计数据，而不能查看个别的记录。有一个用户LIU欲窃取ZHANG的工资数目。LIU可通过下面两步实现：
　　 ①用SELECT命令查找LIU自己和其它n-1个人（譬如30岁的女职工）的工资总额x；
　　 ②用SELECT命令查找ZHANG和上述的n-1个人的工资总额y。
　　随后，LIU可以很方便地通过下列式子得到ZHANG的工资数是：
　　 y–x +“LIU自己的工资数”
　　这样，LIU就窃取到了ZHANG的工资数目。
　　统计数据库应防止上述问题发生。上述问题产生的原因是两个查询包含了许多相同的信息（即两个查询的“交”）。系统应对用户查询得到的记录数加以控制。
(4)统计数据库对查询的限制
　　 ①一个查询查到的记录个数至少是n；
　　 ②两个查询查到的记录的“交”数目至多是m。
　　系统可以调整n和m的值，使得用户很难在统计数据库中获取其它个别记录的信息，但要做到完全杜绝是不可能的。我们应限制用户计算和、个数、平均值的能力。如果一个破坏者只知道他自己的数据，那么已经证明，他至少要花1+(n-2)/m次查询才有可能获取其它个别记录的信息。因而，系统应限制用户查询的次数在1+(n-2)/m次以内。但是这个方法还不能防止两个破坏者联手查询导致数据的泄露。
(5)保证数据库安全性的另一个方法
　　保证数据库安全性的另一个方法是“数据污染”，也就是在回答查询时，提供一些偏离正确值的数据，以免数据泄露。
　　当然，这个偏离要在不破坏统计数据的前提下进行。
　　此时，系统应该在准确性和安全性之间作出权衡。当安全性遭到威胁时，只能降低准确性的标准。

3.自然环境的安全性
　　这里是指DBS的设备和硬件的安全性。
　　影响DBS的祸害来源

　　为防止计算机系统瘫痪，在国外已开展“数据银行”服务，可以把本地数据库的数据通过网络通信传输到远地的数据库中储存起来。

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。