第八章数据库隐私概要.ppt

第八章 数据库隐私与数据库安全的其他问题 本 章 概 要 8.1 隐私 8.2 隐私的形式 8.3 数据库隐私 8.4 SQL注入攻击 8.1 隐私 8.1.1 隐私权的产生 1948联合国大会通过的《世界人权宣言》就在第12条明文规定：“任何人的私生活、家庭、住宅和通信不得任意干涉，他的荣誉和名誉不得加以攻击。人人有权享受法律保护，以免受干涉或攻击。”1966年联合国大会通过的《公民权利和政治权利国际公约》在第17条中作了几乎相同的规定，只是在“干涉”的前面加上了“非法”字样，即“不得加以任意或非法的干涉”，使其含义更加确切。 8.1.2 隐私权的内容 隐私权：是自然人享有的私人生活安宁和私人信息依法受保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权，它包含主体和客体两部分。 隐私权的主体：应为自然人，不包括法人。隐私权的宗旨是保持人的心情舒畅、维护人格尊严。 隐私权的客体：是隐私。 8.2 隐私形式 8.2.1 信息时代的隐私 在网络所带来隐私权问题当中，一个关键的问题就是有关个人数据的权利问题。 1995年7月，《欧洲联盟数据保护规章》给个人数据下的定义是：“有关一个人被识别或可识别的自然人的任何信息，包括身体的、生理的、经济的、文化的、社会的、”。由此可见，所谓个人数据，是指用来标识个人基本情况的一组数据资料，其范围非常广泛。 在网络上，这些个人数据主要包括四个方面。 个人登录的身份、健康状况、兴趣爱好。 个人的信用和财产状况，包括信用卡、电子消费卡、上网卡、上网账号和密码、交易账号和密码等。 邮箱地址，邮箱地址同样是个人隐私，用户大多数不愿将之公开。 网络活动踪迹。个人在网上的活动踪迹。 8.3 数据库隐私8.3 1 数据库隐私保护的原则 数据库隐私保护的10条规则。 目标定义(Purpose Specification)。对收集和存储在数据库中的每条个人信息都应该给出相应的目的描述。 提供者同意(Consent)。每条个人信息的相应目的都应该获得信息提供者的同意。 收集限制(Limited Collection)。个人信息的收集应该限制在满足相应目的的最小需求内。 使用限制(Limited use)。数据库仅仅运行与收集信息的目的相一致的查询。 泄露限制(Limited Disclosure)。存储在数据库中的数据不允许同与信息提供者同意目的不符的外界进行交流。 保留限制（Limited Retention）。个人信息只在为完成必要目的的时候才加以保留。 准确(Accuracy)。存储器在数据库中的个人信息必须是正确的、必威体育精装版的。 安全（Safety）。个人信息有安全措施保护，以防被盗或挪作它用。 开放(Openness)。信息拥有者应该能够访问自己存储在数据库中的所有信息。 遵从（Compliance）。信息拥有者能够验证以上规则的遵守情况，相应地，数据库也应该重视对这些规则的挑战。 10.3.2 基于访问控制的隐私保护 Oracle系统的隐私保护 Oracle一直都提供授权（或拒绝）用户访问数据库对象的能力，但是这些访问权限是在对象级别上定义的，即对于整个表或者整个数据库，而不是针对表中某个特定的行而定义。 Oracle8i中引入的Oracle行级安全性(Row-Level Security, RLS)特性在表的行这一级上进行控制。行级安全性并不向对表有任何访问权限的用户打开整个表，而是将访问限定到表中某个特定的行，其操作结果就是每个用户看到完全不同的数据集。 例：假设银行的账户经理（AM）向高资金账户持有者提供个人客户支持。规定账户经理只能访问管辖之内特定的客户信息，而不是所有客户信息。 本例有两个关键表，其一是CUSTOMER（客户）表，其二是ACCOUNT（账户）表 表8.2 ACCOUNT表 表8.3 ACCESS_POLICY表 表 8.4 ACCESS_POLICY表记录 10.3.3 数据加密 数据库安全措施不能抵御的几种攻击: 通过非法获取用户名和口令，窃取和篡改数据库中的信息; 用户绕过操作系统或DBMS的控制入侵系统，窃取和篡改数据库中的信息; 数据存储介质(如磁盘、光盘、磁带等)失窃导致数据库中的数据泄漏; 恶意的数据库管理员(DBA)窃取和篡改数据库中的信息。 数据库加密要求 数据库中信息保存时间比较长,采用合适的加密方式,从根本上达到不可破译; 加密后,加密数据占用的存储空间不宜明显增大; 加密/解密速度要快,尤其是解密速度,要使用户感觉不到加密/解密过程中产生的时延,以及系统性能的变化; 授权机制要尽可能灵活。 提供一套安全的、灵活的密钥管