数据库安全培训课件.ppt

6.5.2 间接攻击(续) 随机数据扰乱 有时，用一个小错误扰乱数据库的值还是有用的。xi 是数据库中数据项i的真实值，我们可以产生一个随机数据?i附加在xi上作为统计结果。像“和”以及平均值这些统计方法可能使结果接近真实值，但又不是精确值。为了使相同的查询产生相同的结果，必须存储所有?值。由于存储该值很容易，所以数据扰乱比随机样本选择更容易使用。 精品 6.5.2 间接攻击(续) 查询分析 更复杂的安全形式是查询分析。这个方法要求维护每个用户过去的查询，根据过去查询的结果判断这个查询可能推理出的结果。 推理问题的总结 对于推理问题没有完善的解决方法，可以按下述三种思路来控制推理问题。 (1) 禁止明显的敏感数据：行动相当容易，但常常错误地选择了要禁止的数据，因而降低了可用性。 精品 6.5.2 间接攻击(续) (2) 追踪用户已知的数据：虽然这种方法在提供数据时可能有最大的安全性，但是实现它的代价十分昂贵。 (3) 伪装数据：随机数扰乱或舍入可以限制依靠精确值进行逻辑和代数运算的统计攻击。但得到的数据是不精确或可能不一致的结果。 # 与安全中的其他问题一样，重视推理问题有助于理解控制这个问题的目的，同时对这个问题带来的潜在威胁更为敏锐，然而也不意味可以实现保护以防止这些攻击。 精品 6.5.3 聚集 聚集(aggregation)意味着从较低敏感性的输入构造出敏感数据，它与推理问题相关。解决聚集问题很困难，因为它要求数据库管理系统追踪每个用户获得了哪些数据，以便回避一些可以让用户推导出更多敏感信息的数据。对聚集计算尤其困难，因为聚集是在系统外发生的。几乎没有什么方法提出来阻止聚集攻击。 最近对数据挖掘(data mining)的兴趣使聚集问题重新得到重视。数据挖掘是指在多个数据库中过滤数据并在相关联的数据元素中找到有用的信息。在一定事实的聚集下，要使谎言有说服力是很困难的。 精品 6.6 多级数据库 到此为止，我们主要考虑了两种类型的数据：敏感数据和非敏感数据。我们提到一些数据项比其他数据项更敏感，但是只有允许访问和拒绝访问两种选择。 Name Department Salary Phone Performance Hogers training 43,800 4-5067 A2 Jenkins research 62,900 6-4281 D4 Poling training 38,200 4-4501 B1 Garland user services 54,600 6-6600 A4 Hilten user services 44,500 4-5351 B1 Davis administration 51,400 4-9505 A3 表 6.13 属性级敏感性(具有敏感性的属性加有阴影) 精品 6.6.1 区分安全级别的实例 表 6.14 数据与属性级敏感性(具有敏感性的属性加有阴影) Name Department Salary Phone Performance Hogers training 43,800 4-5067 A2 Jenkins research 62,900 6-4281 D4 Poling training 38,200 4-4501 B1 Garland user services 54,600 6-6600 A4 Hilten user services 44,500 4-5351 B1 Davis administration 51,400 4-9505 A3 精品 6.6.1 区分安全级别的实例(续) 数据库显现出三个安全特性： (1) 一个元素的敏感度可能不同于同一记录的其他元素或同一属性的其他值。这种情形暗示了应该对每个元素单独实现安全保护。 (2) 敏感和不敏感两种级别不足以描述某些安全情况，而是需要多个安全级别。这些安全级别常常形成格。 (3) 数据库中的和、计数或一组值，其安全可能不同于单个元素的安全。集合安全可能高于也可能低于单个元素的安全。 精品 6.6.2 粒度 为整个数据库中的每个数据定义敏感级别，类似于在一个文件中为每个词定义敏感级别。而且实际问题更加复杂，不仅每个元素有不同的敏感性，而且元素之间不同的组合也具有特殊的敏感性。此外，元素的组合敏感性可能高于或低于组成它的任何一个子元素。 保护每个元素的方法是：首先，需要访问控制策略来指定每个用户允许访问的数据。实现这一策略通常是为每个数据项定义访问限制。其次，需要保证元素值不会被未授权用户改变。这两个要求都涉及机密性和完整性。 精品 6.6.3 安全问题 机密性/完整性 将*-特性应