数据库安全概述
# 0x1.数据库安全性概述
# 1.数据库的不安全因素
# 2.安全标准简介
信息安全标准的发展历史 :
# 2-1.TCSEC标准
按系统可靠或可信程度逐渐增高
各安全级别之间:偏序向下兼容
# 2-2.CC标准
# 0x2.数据库安全性控制
非法操作
计算机系统的安全模型:
数据库安全性控制的常用方法:
# 1.用户标识与鉴别
# 2.存取控制 (C2 DAC B1 MAC)
# 3.自主存取控制方法
# 4.授权与回收
# 4-0.总览
# 4-1.授予权限grant
一般格式:
操作对象:
指定再授予权限:
例子:
总览:
# 4-2.收回权限revoke
一般格式:
例子:
总览:
# 4-3.创建数据库模式的权限
# 4-3-1.创建用户creat user
# 5.数据库角色
# 5-1.创建角色create role
创建代码一般格式:
例子:
# 6.强制存取控制方法
# 6-1.自主存取控制(DAC)缺点:
# 6-2.强制存取控制(MAC)
基本概念:
敏感度标记(等级):
强制存取控制规则:
规则的共同点:
# 6-3.DAC与MAC共同构成DBMS的安全机制
# 0x3.视图机制
例子:
# 0x4.审计(Audit)
什么是审计:
审计事件:
审计功能:
基本功能
提供多套审计规则 预定义
提供审计分析和报表功能
审计日志管理功能
查询审计设置及记录信息的专门视图
语句:
AUDIT语句:设置审计功能
NOAUDIT语句:取消审计功能
1
2
2
例子:
# 0x5.数据加密
# 0x6.其他安全性保护
1.DAC和MAC之上的保护
推理控制 避免用户利用数据推知更高密级的数据
隐蔽信道 不同等级主体的串谋
数据隐私 敏感信息
2.统计数据库
允许用户查询聚集类型的信息(如合计、平均值等)
不允许查询单个记录信息
3.统计数据库中特殊的安全性问题
隐蔽的信息通道
能从合法的查询中推导出不合法的信息
例子:
问题:
就设定如下规则:
所以单个用户是不可能查到所需信息,可是付出相应的代价就可以查到,任何安全机制都会存在绕过途径,但是我们设计安全机制的设计目标就是:
试图破坏安全的人所花费的代价 >> 得到的利益