无意中想起来考研复试的时候,老师提问的一个问题,当时没有答上来,记录一下。
问:描述实现数据库安全性控制的常用方法和技术。
TCSEC(Trusted Computer System Evaluation Criteria)(又称为桔皮书)将系统分为四组(division)七个等级,由高到低依次为:A1、B3、B2、B1、C2、C1、D。
(1)用户标识和鉴别(Identification & Authentication):该方法是系统提供的最外层安全保护措施。其方法由系统提供一定的方式让用户标识自己的名字或身份。每次 用户要求进入系统时,由系统进行核对,通过鉴定后才提供系统的使用权。
(2)存取控制(Access Control):通过用户权限定义和合法权检查确保只有合法权限的用户访问数据库,所有未被授权的人员无法存取数据。一般分为自主存取控制DAC(Discretionary Access Control) 和 强制存取控制MAC(Mandatory Access Control)。
SQL标准对DAC 提供支持,grant 语句授予权限,revoke 语句收回权限的授权。
MAC 对数据本身进行密级标记,无论数据怎么复制,标记和数据是不可分的整体,只有符合密级标记要求的用户才能操作数据。
(3)视图机制(View):为不同的用户定义视图,通过视图机制把要保密的数据对无权存取的用户隐藏起来,从而自动地对数据提供一定程度的安全保护。
(4)审计(Audit):建立审计日志, 把用户对数据库的所有操作自动记录下来放入审计日志中, DBA 可以利用审计跟踪的信息, 重现导致数据库现有状况的一系列事件, 找出非法存取数据的人、 时间和内容等。审计代价高,一般用于安全性较高的部门。
(5)数据加密:对存储和传输的数据进行加密处理,从而使得不知道解密算法的人无法获 知数据的内容。