数据库系统概论-数据库安全性

1. 什么是数据库的安全性？

• 数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。

2. 举例说明对数据库安全性产生威胁的因素。

• （1）非授权用户对数据库的恶意存储和破坏。
• （2）数据库中重要或敏感的数据被泄露。
• （3）安全环境的脆弱性。（例如操作系统和网络）

3. 试述信息安全标准的发展历史，试述CC评估保证级划分的基本内容。

• 信息安全标准的发展历史
  • 1985年美国国防部颁布可信计算机系统评估标准（TCSEC）；
  • 未来十年不同国家开始启动开发建立在TCSEC概念上的评估标准，如1993年加拿大的可信计算机产品评估标准（CTCPEC）、1991年的欧洲信息技术安全评估准则（ITSEC）、1993年的美国信息技术安全联邦标准草案（FC）；
  • 为满足全球IT市场上互认标准化安全评估结果的需要，CTCPEC、 FC、TCSEC和ITSEC的发起组织于1993年起开始联合行动，这一行动被称为通用准则(Common Criteria, CC)项目。
• CC评估保证级划分的基本内容
  • 安全级别 定义
    A1 验证设计
    B3 安全域
    B2 机构化保护
    B1 标记安全保护
    C2 受控的存取保护
    C1 自主安全保护
    D 最小保护
  • 安全级别 基本内容
    D级 D级是最低级别。一切不符合更高标准的系统，统统归于D组
    C1级 只提供了非常初级的自主安全保护，能够实现对用户和世界的分离，进行自主存取控制（DAC），保护或限制用户权限的传播。
    C2级 际是安全产品的最低档次，提供受控的存取保护，即将C1级的DAC进一步细化，以个人身份注册负责，并实施审计和资源隔离。
    B1级 标记安全保护。对系统的数据加以标记，并对标记的主体和客体实施强制存取控制（MAC）以及审计等安全机制。
    B2级 结构化保护。建立形式化的安全策略模型并对系统内的所有主体和客体实施DAC和MAC。
    B3 级 安全域。该级的TCB必须满足访问控制器的要求，审计跟踪能力更强，并提供系统恢复过程。
    A1 级 验证设计，即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现。

4. 试述实现数据库安全性控制的常用方法和技术。

• （1）用户标识和鉴别：该方法由系统提供一定的方式让用户标识自己的名字或身份。每次用户要求进入系统时，由系统进行核对，通过鉴定后才提供系统的使用权。（静态口令、动态口令、生物特征、智能卡）
• ( 2）多层存取控制：通过用户权限定义和合法权检查确保只有合法权限的用户访问数据库，所有未被授权的人员无法存取数据。例如自主存取控制( DAC）和强制存取控制（MAC）。
• ( 3）视图机制：为不同的用户定义视图，通过视图机制把要保密的数据对无权存取的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。
• ( 4）审计：建立审计日志，把用户对数据库的所有操作自动记录下来放入审计日志中，审计员可以利用审计日志监控数据库中的各种行为。
• （5）数据加密：根据一定的算法将原始数据变换为不可直接识别的格式，从而使得不知道解密算法的人无法获知数据的内容。包括存储加密和传输加密。

5. 什么是数据库中的自主存取控制方法和强制存取控制方法？

• 自主存取控制方法：定义各个用户对不同数据对象的存取权限。当用户对数据库访问首先检查用户的存取权限。防止不合法用户对世界库的存取。
• 强制存取控制方法：每一个数据对象被(强制地)标以一定的密级，每一个用户也被（强制地）授予某一个级别的许可证。系统规定只有某一许可证级别的用户才能存取某一个密级的数据对象。

6. 详见N

7. 详见N

8. 详见N

9. 解释强制存取控制机制中主体、客体、敏感度标记的含义。

• 主体：是系统中的活动实体，既包括数据库管理系统所管理的实际用户，也包括代表用户的各进程。
• 客体：是系统中的被动实体，是受主体操纵的，包括文件、基表、索引、视图等。
• 敏感度标记：对于实体和客体，DBMS为它们每个实例指派一个敏感度标记。敏感度标记分为若干级别，例如绝密(Top Secret)，机密(Secrect),可信(Confidential)，公开(Public)等。主题的敏感度标记为许可证级别，客体的敏感度标记为密级。强制存取控制机制就是通过对比主体的敏感度标记和客体的敏感度标记，最终确定主体是否能够存取客体。

10. 举例说明强制存取控制机制是如何确定主体能否存取客体的。

• 假设要对关系变最S 进行强制存取控制，为简化起见，假设要控制存取的数据单元是元组， 则每个元组标以密级，如下表所示(4= 绝密，3= 机密，2 = 秘密）。
• 假设系统的存取规则是：
  （1）仅当主体的许可证级别大于或等于客体的密级时才能读取相应的客体；
  （2）仅当主体的许可证级别小千或等于客体的密级时才能写相应的客体。
• 假定用户Ul 和U2 的许可证级别分别为3 和2 , 则根据规则用户U1 能读元组Sl 和S2 ，可修改元组S2; 用户U2 只能读元组Sl, 修改元组S1。

11. 什么是数据库的审计功能，为什么要提供审计功能？

• 审计功能：用户对数据库的所有操作自动记录下来放入审计日志中。
• 原因：因为任何系统的安全保护措施都不是完美无缺的，蓄意盗窃破坏数据的人总可能存在。利用审计日志，审计员可以监控数据库的各种行为，重现导致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等。这样就可以对潜在的威胁提前采取措施加以防范。