数据库安全策略

B2级 B2级
结构化保护。 结构化保护。建立形式化的安全策略模 型并对系统内的所有主体和客体实施 DAC和MAC。 现在还没有符合B2标准 DAC和MAC。 现在还没有符合B2标准 的数据库产品。 的数据库产品。
B3级 B3级
安全域。该级的TCB（可信计算基）必 安全域。该级的TCB（可信计算基） 须满足访问监控器的要求， 须满足访问监控器的要求，审计跟踪能 力更强，并提供系统恢复过程。 力更强，并提供系统恢复过程。 可信计算机TCB指实现系统安全特性的 可信计算机TCB指实现系统安全特性的 关键硬件、软Baidu Nhomakorabea和固件的全集。 关键硬件、软件和固件的全集。
2.1.2 安全性控制的一般方法
要尽可能地杜绝所有可能的数据库非法访问。 要尽可能地杜绝所有可能的数据库非法访问。 非法访问 非法访问包括 1）编写合法程序绕过 ）编写合法程序绕过DBMS； ； 2）数据流动； ）数据流动； 3）利用允许访问的结果逻辑推理得到无权访问的 ） 数据。 数据。
安全保护策略就是： 安全保护策略就是： 策略就是 以最小的代价来防止对数据的非法访问， 以最小的代价来防止对数据的非法访问， 层层设置安全措施。 层层设置安全措施。 安全措施包括： 安全措施包括： 1）用户标识和鉴定； ）用户标识和鉴定； 2）存取控制； ）存取控制； 3）定义视图； ）定义视图； 4）数据加密； ）数据加密； 5）审计 ）
TCSEC-TDI安全级别划分 TCSEC-TDI安全级别划分
A1 B3 B2 B1 C2 C1 D 验证设计（Verified Design） Design） 验证设计（ 安全域（ Domains） 安全域（Security Domains） 结构化保护（ Protection） 结构化保护（Structural Protection） 标记安全保护（ 标记安全保护（Labeled Security Protection） Protection） 受控的存取保护（ 受控的存取保护（Controlled Access Protection） Protection） 自主安全保护（ 自主安全保护（Discretionary Security Protection） Protection） 最小保护（ Protection） 最小保护（Minimal Protection）
A1级 A1级
验证设计，即提供B3级保护的同时给出 验证设计，即提供B3级保护的同时给出 系统的形式化设计说明和验证以确信各 安全保护真正实现。 安全保护真正实现。
小结
B2以上的系统标准更多地还处于理论研究阶段， B2以上的系统标准更多地还处于理论研究阶段 以上的系统标准更多地还处于理论研究阶段， 产品化以至商品化的程度都不高， 产品化以至商品化的程度都不高，其应用也多 限于一些特殊的部门如军队等。 限于一些特殊的部门如军队等。但美国正在大 力发展安全产品， 力发展安全产品，试图将目前仅限于少数领域 应用的B2安全级别或更高安全级别下放到商业 应用的B2安全级别或更高安全级别下放到商业 应用中来，并逐步成为新的商业标准。 应用中来，并逐步成为新的商业标准。 支持自主存取控制的DBMS大致属于 支持自主存取控制的DBMS大致属于C级，而 大致属于C 支持强制存取控制的DBMS则可以达到 级 则可以达到B1 支持强制存取控制的DBMS则可以达到B1级。
TCSEC-TDI基本内容（一） TCSEC-TDI基本内容（一）
R1 安全策略（Security Policy） 安全策略（ Policy） R1.1 自主存取控制（Discretionary 自主存取控制（ Access Control，简记为DAC） Control，简记为DAC） R1.2 客体重用（Object Reuse） 客体重用（ Reuse） R1.3 标记（Labels） 标记（Labels） R1.3.1 标记完整性（Label Integrity） 标记完整性（ Integrity） R1.3.2 标记信息的扩散（Labeled 标记信息的扩散（ Information Exploration） Exploration） R1.3.3 主体敏感度标记（Subject 主体敏感度标记（ Sensitivity Labels） Labels） R1.3.4 设备标记（Device Labels） 设备标记（ Labels） R1.4 强制存取控制（Mandatory Access 强制存取控制（ Control，简记为MAC） Control，简记为MAC）
B1级 B1级
标记安全保护。对系统的数据加以标记， 标记安全保护。对系统的数据加以标记， 并对标记的主体和客体实施强制存取控 MAC）以及审计等安全机制。B1级 制（MAC）以及审计等安全机制。B1级 能够较好地满足大型企业或一般政府部 门对于数据的安全需求， 门对于数据的安全需求，这一级别的产 品才认为是真正意义上的安全产品。 品才认为是真正意义上的安全产品。满 足此级别的产品前一般多冠以“ 足此级别的产品前一般多冠以“安 全”(Security)或“可信的”(Trusted) (Security)或 可信的” 字样，作为区别于普通产品的安全产品 字样， 出售， Oracle公司的 公司的Trusted 出售，如Oracle公司的Trusted Oracle 7和ORACLE 9i， Sybase公司的 9i， Sybase公司的 Secure SQL Server version 11.0.6等。 11.0.6等
数据库系统安全级别
根据计算机系统对上述各项指标的支持 情况，TCSEC-TDI将数据库系统划分为 情况，TCSEC-TDI将数据库系统划分为 四类七个等级，依次是D C1， 四类七个等级，依次是D、C（C1， C2）、B（B1，B2，B3）、A（A1）， C2）、 ）、B B1，B2，B3）、 ）、A A1）， 按系统可信程度逐渐增高，如下表所示。 按系统可信程度逐渐增高，如下表所示。
TCSEC-TDI基本内容（三） TCSEC-TDI基本内容（三）
R3 保证（Assurance） 保证（Assurance） R3.1 操作保证（Operational Assurance） 操作保证（ Assurance） R3.1.1 系统体系结构（System Architecture） 系统体系结构（ Architecture） R3.1.2 系统完整性（System Integrity） 系统完整性（ Integrity） R3.1.3 隐蔽信道分析（Covert Channel 隐蔽信道分析（ Analysis） Analysis） R3.1.4 可信设施管理（Trusted Facility 可信设施管理（ Management） Management） R3.1.5 可信恢复（Trusted Recovery） 可信恢复（ Recovery） R3.2 生命周期保证（Life Cycle Assurance） 生命周期保证（ Assurance） R3.2.1 安全测试（Security Testing） 安全测试（ Testing） R3.2.2 设计规范和验证（Design Specification 设计规范和验证（ & Verification） Verification） R3.2.3 配置管理（Configuration Management） 配置管理（ Management） R3.2.4 可信分配（Trusted Distribution） 可信分配（ Distribution）
数据库安全策略
一、数据库安全标准
1985年 1985年，可信计算机系统评估标准 TCSEC）的颁布， （TCSEC）的颁布，为计算机安全产品 的评测提供了测试和方法， 的评测提供了测试和方法，指导信息安 全产品的制造和应用。 全产品的制造和应用。
1987年 1987年，美国国家计算机安全中心为 TCSEC橘皮书提出可信网络解释 TCSEC橘皮书提出可信网络解释 TNI），通常被称作红皮书。 ），通常被称作红皮书 （TNI），通常被称作红皮书。
1991年 1991年，美国国家计算机安全中心 NCSC） TCSEC橘皮书提出可 （NCSC）为TCSEC橘皮书提出可 信数据库管理系统解释（TDI）。 信数据库管理系统解释（TDI）。
CC（Common Criteria）:通用标准， CC（ Criteria） 通用标准， 很多产品开始申请CC证书 证书， 很多产品开始申请CC证书，比如 ORACLE9i，已经通过EAL4级认证 ORACLE9i，已经通过EAL4级认证。 级认证。
1、用户标识和鉴定
（1）用一个用户名或用户标识符来标明用户 ） 的身份 2） （2）用户名和口令相结合 （3）更复杂的方法：用一个函数或公式去决 ）更复杂的方法： 定。
2、用户存取权限控制 存取权限： 存取权限： 不同的用户对于不同的数据对象允许执行 的操作权限。 的操作权限。 grant语句授权 revoke语句收回 grant语句授权，revoke语句收回 语句授权， 授权表：用户标识、数据对象和操作类型。 授权表：用户标识、数据对象和操作类型。 基本表、属性列、模式、内模式、 基本表、属性列、模式、内模式、外模式
D级
D级是最低级别。保留D级的目的是为了 级是最低级别。保留D 将一切不符合更高标准的系统， 将一切不符合更高标准的系统，统统归 于D组，在安全性方面几乎没有什么专门 的机制来提供保障。 的机制来提供保障。
C1级 C1级
只提供了非常初级的自主安全保护。 只提供了非常初级的自主安全保护。能 够实现对用户和数据的分离， 够实现对用户和数据的分离，进行自主 存取控制（DAC）， ），保护或限制用户权 存取控制（DAC），保护或限制用户权 限的传播。 限的传播。现有的商业系统往往稍作改 进即可满足要求。 进即可满足要求。
TCSEC-TDI基本内容（二） TCSEC-TDI基本内容（二）
R2 责任（Accountability） 责任（Accountability） R2.1 标识与鉴别（Identification & 标识与鉴别（ Authentication） Authentication） R2.1.1 可信路径（Trusted Path） 可信路径（ Path） R2.2 审计（Audit） 审计（Audit）
C2级 C2级
实际是安全产品的最低档次， 实际是安全产品的最低档次，提供受控 的存取保护，即将C1级的 级的DAC进一步细 的存取保护，即将C1级的DAC进一步细 以个人身份注册负责， 化，以个人身份注册负责，并实施审计 和资源隔离。 和资源隔离。很多商业产品已得到该级 别的认证， Oracle公司的 公司的Oracle 7， 别的认证，如Oracle公司的Oracle 7， Sybase公司的 Sybase公司的 SQL Server 11.0.6 等。
TCSEC-TDI基本内容（四） TCSEC-TDI基本内容（四）
R4 文档（Documentation） 文档（Documentation） R4.1 安全特性用户指南（Security 安全特性用户指南（ Features User’s Guide） Guide） R4.2 可信设施手册（Trusted 可信设施手册（ Facility Manual） Manual） R4.3 测试文档（Test 测试文档（ Documentation） Documentation） R4.4 设计文档（Design 设计文档（ Documentation） Documentation）
二、数据库的安全性技术
2.1 数据库安全性 2.1.1 数据库安全性的含义
1、保护数据库以防止非法使用所造成的数据 、保护数据库以防止非法使用所造成的数据 非法使用 泄漏、更改或破坏。 泄漏、更改或破坏。 2、数据库系统本身的安全性方面的问题： 、数据库系统本身的安全性方面的问题： 安全保护的策略，尤其是控制访问的策略 安全保护的策略，尤其是控制访问的策略 的策略 控制访问