软考信息安全工程师学习笔记二十一(4.3 数据库系统的安全)
4.3 数据库系统的安全
数据库安全就是保证数据库信息的保密性,完整性,一致性和可用性
一般而言,数据库安全涉及以下这些问题★
1 问题数据库的完整性
2 逻辑数据库的完整性
3 元素安全性
4 可审计性
5 访问控制
6 身份认证
7 可用性
8 推理控制
9 多级保护
10 消除隐通道
数据库安全的发展可分为4个阶段:萌芽阶段,军事主导阶段,标准化阶段,多样化阶段。
访问控制技术提供了一种控制欧诺个户访问数据的机制。
安全策略表达模型一般分为两大类,★即自主访问控制(DAC)和强制访问控制(MAC)。自主访问控制中,用户对信息的访问是基于用于的鉴别和访问控制规则的确定,每个用户都要给予系统中每个访问对象的访问权限。在强制访问控制中,系统给主体和客体分配了不同的安全标记,通过比较主体和客体的安全标记是否匹配,来决定是否允许访问。
数据中需要满足的安全策略应该满足以下一些原则
1 最小特权原则
2 最大共享原则
3 开放系统原则和封闭系统原则
在开发系统中,存储规则规定的是哪些访问操作是不被允许的
在设计文芳控制策略时,还有一些特殊的规则约束。
数据库安全策略的实施★
1 子模式法:对于用户而言,他所能访问到的信息是数据库中模式的一部分,并且是模式的i中对外体现形式,而不能访问到或了解到整个模式。用户所能了解的那部分模式,称为子模式。
2 SQL修改查询法:该方法的核心思想是当用户进行SQL查询时,数据库系统对用户提交的SQL查询语句自动附加上更多的安全约束限制。
3 集合法
4 请求排序法
数据库加密技术是一种对计算机系统外存储器中数据进行保护的有效手段。
数据库加密技术还有其更为特殊的要求。★
(1)数据库中的数据保存的时间相对更长,因此对加密强度的要求也更高;
(2)数据库中数据量很大,对加密熟读要求更高
(3)数据库中数据通常是多用户共享的,对加密和解密的性能要求也会更高
(4)数据库中的数据规律性教强,某一个列的数据项往往取值于某一个限定范围,往往呈现一定的概率分布。引出数据库的加密技术需要消除密文之间的关联性。确保相同或雷士的明文在加密后的密文无规律性。
多级安全数据库是数据库在具体设计,实现方面中药的研究领域。它将数据库中的重要数据进行安全等级划分,通过融合访问控制,数据库加密等技术实施的综合保障技术来实现符合标准规范的安全数据库。
推理通道通常分为三大类:★
1 演绎推理通道:在这类推理通道中,高级数据可以完全从低级数据中形式化的推理得出。
2 不明推理通道:在这类推理通道中,如果确定一些低级别上的推理依据公里,由低级数据就可以推理出高级数据,完成演绎推理及其证明这类推理通道相比于演绎推理通道,需要一些推理假设,因此其完备性相对较弱。
3 概率推理通道:在这类推理通道中,由低等级数据可以降低高等级数据的不确定性。
数据库备份分为物理备份和逻辑备份,其中文理备份又分为:冷备份和热备份。
1 冷备份:通过定期的对系统数据库进行备份,并将备份数据存储在磁带,磁盘等介质上。在冷备份过程中,数据库必须是关闭状态。
2 热备份:热备份是指当数据库正在运行时进行的备份,又称联机备份。热备份的实现通常徐璈一个备用的数据库系统。
3 逻辑备份:物理备份的一种补充,它使用软件技术,利用到处工具执行SQL语句方式,从数据库中读取数据,将其到处到一个数据文件中。该文件的格式一般与原数据库的文件格式不同,而是原数据库中数据内容的一个映像。因此,逻辑备份文件只能用来对数据库进行逻辑恢复,即数据导入,而不能按数据库原来的存储特征进行物理恢复。逻辑备份一般用于增量备份。