第二章数据库安全策略.ppt

5.3.4 中国墙模型 中国墙模型是一种同等的考虑机密性和完整性的安全策略模型，该模型主要用于解决商业上的利益冲突问题。 引入一个布尔矩阵N=S×O。 true， 如果主体s访问过客体o Ns,o false，如果主体s从未访问过客体o * * 允许主体S对客体O进行读访问，当且仅当以下任一个条件成立： (1)存在一个O’是S曾经访问过的客体，并且包含O’的数据集与包含O的数据集相同。 (2)对于所有曾经被S读取过的客体O’,O不和客体O’在同一利益冲突类内。 从条件(1)(2)可知，如果某个主体S读取了某一利益冲突类的任一个客体O，那么S之后只能读取与O属于同一个数据集的客体。一个利益冲突类包含N个公司数据集，那么读取这些数据集的客体至少为N个。 * 事实上，中国墙模型将数据分为有害数据和无害数据，分别表示不可以公开的数据和可以公开的公司数据。 (3)O是无害客体。 允许主体S对客体O进行写访问，当且仅当： (1)允许S对O进行读访问。 (2)对于所有有害客体O’，当O’与O在同一数据集中时，S能读O’。 5.3.5 信息流模型 另一类重要的安全策略则针对客体之间实际的信息传递进行控制，其中最主要的是信息流模型。 信息流模型考虑任何形式的信息流，可以是显式或隐式，而不只是通过访问操作的直接信息流。 * * 信息流模型FM定义为五元组FM=O,P,SC, ⊕,→，其中： O={o1,o2,……}为一组带标签的客体集合，表示信息的存储，如文件、程序、变量及比特等。 P={p1,p2,……}是进程集合，表示与信息流有关的活动实体，所有信息流是由P产生的。 SC={sc1,sc2,……}是安全等级集合，与互不相关的离散的信息等级相对应。系统中每个客体oi被指派一个访问等级。 * ⊕是一个对安全等级作组合操作的二元操作符，他服从交换律、结合律，并且是封闭的。 →是一个流关系。用于决定在任何一对安全等级之间，信息是否能从一个安全等级流向另一个安全等级。 * 5.4 安全策略模型特性分析 必威体育官网网址性 完整性 多策略 应用领域 主要优点 主要缺点 状态机模型 支持 支持 不支持 各个领域 能准确捕捉与问题相关的那些系统方面。有成熟的理论 定义状态转移函数和初始状态及其安全性证明比较困难 BLP模型 支持 不支持 军事 将操作转化为规则，支持多级安全 过于抽象，实施困难，存在隐通道 Biba模型 支持 不支持 商业 使用了层次级别 判定完整性等级和类别的标准不完善 CW模型 支持 不支持 商业军事 引入访问控制元组概念，有效地实现责任隔离 难以实现 HRU模型 支持 支持 不支持 操作系统数据库系统 使用了访问控制表来实现访问控制 效率低下 * 必威体育官网网址性 完整性 多策略 应用领域 主要优点 主要缺点 中国墙模型 支持 支持 不支持 商业 同等的考虑机密性和完整性，后续操作基于历史操作 限制随着主体访问客体数量的增加而增加 信息流模型 支持 不支持 各个领域 比访问控制模型的精确度要高，引入了格的概念 不能解决多安全级别信息处理的问题，流分析复杂 * 5.5.1 基于SQL的安全策略执行 SQL语言可以定义安全策略。最简单的情形就是SQL语言具有GRANT和REVOKE子构件，可以向用户授予访问权限，撤销用户访问权限。 5.5 安全策略的执行 * 第 五 章 数据库安全策略 * 本 章 概 要 5.1 安全策略的定义 5.2 安全策略语言 5.3 安全策略模型 5.4 安全策略模型特性分析 5.5 安全策略的执行 5.6 关系数据库的授权机制 * 安全策略:是粗线条描述安全需求以及规则的说明，是一组规定如何管理、保护和指派敏感信息的法律、规则及实践经验的集合。 5.1 安全策略的定义 * 数据库系统至少具有以下一些安全策略 保证数据库的存在安全。确保数据库系统的安全首先要确保数据库系统的存在安全。 保证数据库的可用性。数据库管理系统的可用性表现在两个方面：一是需要阻止发布某些非保护数据以防止敏感数据的泄漏；二是当两个用户同时请求同一纪录时进行仲裁。 保障数据库系统的机密性。主要包括用户身份认证、访问控制和可审计性等。 * 保证数据库的完整性。数据库的完整性包括物理完整性、逻辑完整性和元素完整性。物理完整性是指存储介质和运行环境的完整性。逻辑完整性主要有实体完整性和引用完整性。元素完整性是指数据库元素的正确性和准确性。 * 安全策略语言用来描述定义不同层次的安全策略。 5.2 安全策略语言 5.2.1 安全策略基本