第6章數(shù)據(jù)庫(kù)安全導(dǎo)學(xué)問(wèn)題數(shù)據(jù)庫(kù)安全面臨哪些威脅？研究數(shù)據(jù)庫(kù)的安全有什么重要意義？

6.1節(jié)數(shù)據(jù)庫(kù)有哪些安全需求？

6.2.1節(jié)針對(duì)數(shù)據(jù)庫(kù)的安全需求有哪些安全控制方法和技術(shù)？

6.2.2~6.2.6節(jié)大數(shù)據(jù)時(shí)代如何進(jìn)行數(shù)據(jù)庫(kù)的隱私保護(hù)？

6.2.6節(jié)數(shù)據(jù)庫(kù)安全研究面臨哪些新挑戰(zhàn)？

6.3節(jié)2計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）6.1數(shù)據(jù)庫(kù)安全問(wèn)題6.1.1數(shù)據(jù)庫(kù)安全的重要性6.1.2數(shù)據(jù)庫(kù)面臨的安全問(wèn)題3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）6.1.1數(shù)據(jù)庫(kù)安全的重要性4數(shù)據(jù)庫(kù)安全的重要性體現(xiàn)在以下兩個(gè)方面：1）包含敏感數(shù)據(jù)和信息資產(chǎn)。2）計(jì)算機(jī)信息系統(tǒng)安全的關(guān)鍵環(huán)節(jié)。計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）6.1.2數(shù)據(jù)庫(kù)面臨的安全性問(wèn)題5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）6.1.2數(shù)據(jù)庫(kù)面臨的安全性問(wèn)題6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1）硬件故障與災(zāi)害破壞。支持?jǐn)?shù)據(jù)庫(kù)系統(tǒng)的硬件環(huán)境發(fā)生故障，如斷電造成信息丟失；硬盤(pán)故障致使數(shù)據(jù)庫(kù)中數(shù)據(jù)讀不出來(lái)；地震等自然災(zāi)害造成硬件損毀等。2）數(shù)據(jù)庫(kù)系統(tǒng)/應(yīng)用軟件的漏洞被利用。網(wǎng)絡(luò)黑客或內(nèi)部惡意用戶(hù)針對(duì)數(shù)據(jù)庫(kù)系統(tǒng)或應(yīng)用系統(tǒng)的漏洞進(jìn)行攻擊。例如典型的SQL注入漏洞，直接威脅網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全。3）人為錯(cuò)誤。操作人員或系統(tǒng)用戶(hù)的錯(cuò)誤輸入，應(yīng)用程序的不正確使用，都可能導(dǎo)致系統(tǒng)內(nèi)部的安全機(jī)制失效，導(dǎo)致非法訪問(wèn)數(shù)據(jù)的可能，也可能造成系統(tǒng)拒絕提供數(shù)據(jù)服務(wù)。6.1.2數(shù)據(jù)庫(kù)面臨的安全性問(wèn)題7計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）4）管理漏洞。數(shù)據(jù)庫(kù)管理員專(zhuān)業(yè)知識(shí)不夠，不能很好地利用數(shù)據(jù)庫(kù)的保護(hù)機(jī)制和安全策略。例如，不能合理地分配用戶(hù)的權(quán)限；不按時(shí)維護(hù)數(shù)據(jù)庫(kù)（備份、恢復(fù)、日志整理等）；不能堅(jiān)持審核審計(jì)日志，從而不能及時(shí)發(fā)現(xiàn)并阻止黑客或惡意用戶(hù)對(duì)數(shù)據(jù)庫(kù)的攻擊。5）不掌握數(shù)據(jù)庫(kù)核心技術(shù)。目前我國(guó)使用的DBMS大多來(lái)自國(guó)外，這些系統(tǒng)的安全建筑在了國(guó)外公司的“良知”與“友好”上，這是很大的不安全因素。6）隱私數(shù)據(jù)的泄漏。數(shù)據(jù)庫(kù)中的隱私數(shù)據(jù)是指公開(kāi)范圍應(yīng)該受到限制的那些數(shù)據(jù)。6.2數(shù)據(jù)庫(kù)安全控制6.2.1數(shù)據(jù)庫(kù)的安全需求和安全策略6.2.2數(shù)據(jù)庫(kù)的訪問(wèn)控制6.2.3數(shù)據(jù)庫(kù)的完整性控制6.2.4數(shù)據(jù)庫(kù)的可用性保護(hù)6.2.5數(shù)據(jù)庫(kù)的可控性實(shí)現(xiàn)6.2.6數(shù)據(jù)庫(kù)的隱私性保護(hù)8計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）6.2.1數(shù)據(jù)庫(kù)的安全需求和安全策略9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.數(shù)據(jù)庫(kù)的安全需求（1）數(shù)據(jù)庫(kù)安全的概念數(shù)據(jù)庫(kù)安全是指，保證數(shù)據(jù)庫(kù)信息的保密性、完整性、可用性、可控性和隱私性的理論、技術(shù)與方法。數(shù)據(jù)庫(kù)的安全主要針對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)，但是操作系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序與數(shù)據(jù)庫(kù)安全也緊密相關(guān)。隨著數(shù)據(jù)庫(kù)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)的迅猛發(fā)展，數(shù)據(jù)庫(kù)安全的內(nèi)容也在不斷發(fā)展變化之中。6.2.1數(shù)據(jù)庫(kù)的安全需求和安全策略10計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.數(shù)據(jù)庫(kù)的安全需求（2）數(shù)據(jù)庫(kù)的安全需求1）保密性：指保護(hù)數(shù)據(jù)庫(kù)中的數(shù)據(jù)不被泄露和未授權(quán)地獲取。2）完整性：包括數(shù)據(jù)庫(kù)物理完整性、數(shù)據(jù)庫(kù)邏輯完整性和數(shù)據(jù)庫(kù)數(shù)據(jù)元素取值的準(zhǔn)確性和正確性。3）可用性/可存活性：指確保數(shù)據(jù)庫(kù)服務(wù)不因人為的和自然的原因?qū)κ跈?quán)用戶(hù)不可用，尤其是在遭受攻擊或發(fā)生錯(cuò)誤的情況下能夠繼續(xù)提供核心服務(wù)并及時(shí)恢復(fù)全部服務(wù)。4）可控性：指對(duì)數(shù)據(jù)操作和數(shù)據(jù)庫(kù)系統(tǒng)事件的監(jiān)控屬性，也指對(duì)違背保密性、完整性、可用性的事件具有監(jiān)控、記錄和事后追查的屬性。5）隱私性：指在使用基于數(shù)據(jù)庫(kù)的信息系統(tǒng)時(shí)，保護(hù)使用主體的個(gè)人隱私不被泄露和濫用。6.2.1數(shù)據(jù)庫(kù)的安全需求和安全策略11計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.數(shù)據(jù)庫(kù)的安全策略數(shù)據(jù)庫(kù)的安全策略是指導(dǎo)信息安全的高級(jí)準(zhǔn)則，即組織、管理、保護(hù)和處理敏感信息的法律、規(guī)章及方法的集合。它包括安全管理策略和訪問(wèn)控制策略。安全管理策略的目的是定義用戶(hù)共享數(shù)據(jù)和控制它的使用，這種功能可由擁有者完成，也可由數(shù)據(jù)庫(kù)管理員實(shí)現(xiàn)。這兩種管理的區(qū)別是，擁有者可以訪問(wèn)所有可能的數(shù)據(jù)類(lèi)型，而管理員只有控制數(shù)據(jù)的權(quán)利。訪問(wèn)控制策略主要考慮如何控制一個(gè)程序去訪問(wèn)數(shù)據(jù)。數(shù)據(jù)庫(kù)的控制方式可分為集中式控制和分布式控制兩類(lèi)。6.2.1數(shù)據(jù)庫(kù)的安全需求和安全策略12計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.數(shù)據(jù)庫(kù)的安全策略對(duì)不同的數(shù)據(jù)庫(kù)形式，有不同的安全策略。一般可以分為：1）按實(shí)際要求決定粒度大小策略。2）寬策略或嚴(yán)策略。3）最小特權(quán)策略。4）與內(nèi)容有關(guān)的訪問(wèn)控制策略。5）上下文相關(guān)的訪問(wèn)控制策略。6）與歷史有關(guān)的訪問(wèn)控制。7）按存取類(lèi)型控制策略。6.2.2數(shù)據(jù)庫(kù)的訪問(wèn)控制13計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）數(shù)據(jù)庫(kù)的首要安全問(wèn)題是保護(hù)數(shù)據(jù)庫(kù)不被非授權(quán)地訪問(wèn)造成數(shù)據(jù)泄露、更改或破壞。訪問(wèn)控制是實(shí)現(xiàn)這一目的重要途徑。數(shù)據(jù)庫(kù)的訪問(wèn)控制包括在數(shù)據(jù)庫(kù)系統(tǒng)這一級(jí)中提供用戶(hù)認(rèn)證和訪問(wèn)控制，以及在數(shù)據(jù)存儲(chǔ)這一級(jí)采用密碼技術(shù)加密存儲(chǔ)。6.2.2數(shù)據(jù)庫(kù)的訪問(wèn)控制14計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.用戶(hù)認(rèn)證用戶(hù)認(rèn)證包括用戶(hù)的標(biāo)識(shí)與鑒別。用戶(hù)認(rèn)證通過(guò)核對(duì)用戶(hù)的ID和口令等認(rèn)證信息，決定該用戶(hù)對(duì)系統(tǒng)的使用權(quán)。通過(guò)認(rèn)證來(lái)阻止未經(jīng)授權(quán)的用戶(hù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作。DBMS的認(rèn)證是在操作系統(tǒng)認(rèn)證之后進(jìn)行的，一個(gè)用戶(hù)進(jìn)入數(shù)據(jù)庫(kù)，需要進(jìn)行操作系統(tǒng)和DBMS兩次認(rèn)證，這種機(jī)制增加了數(shù)據(jù)庫(kù)的安全性。6.2.2數(shù)據(jù)庫(kù)的訪問(wèn)控制15計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.訪問(wèn)控制（1）數(shù)據(jù)庫(kù)訪問(wèn)控制的困難點(diǎn)和操作系統(tǒng)相比，數(shù)據(jù)庫(kù)的訪問(wèn)控制難度要大得多。在操作系統(tǒng)中，文件之間沒(méi)有關(guān)聯(lián)關(guān)系，但在數(shù)據(jù)庫(kù)中，不僅庫(kù)表文件之間有關(guān)聯(lián)，在庫(kù)表內(nèi)部記錄、字段都是相互關(guān)聯(lián)的。對(duì)目標(biāo)訪問(wèn)控制的粒度和規(guī)模也不一樣，操作系統(tǒng)中控制的粒度是文件，數(shù)據(jù)庫(kù)中則需要控制到記錄和字段一級(jí)。操作系統(tǒng)中幾百個(gè)文件的訪問(wèn)控制表的復(fù)雜性遠(yuǎn)比具有幾百個(gè)庫(kù)表文件，且每個(gè)庫(kù)表文件又有幾十個(gè)字段和數(shù)十萬(wàn)條記錄的數(shù)據(jù)庫(kù)的訪問(wèn)控制表的復(fù)雜性要小得多。數(shù)據(jù)庫(kù)存在推理泄露問(wèn)題。6.2.2數(shù)據(jù)庫(kù)的訪問(wèn)控制16計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.訪問(wèn)控制（2）數(shù)據(jù)庫(kù)系統(tǒng)可采用的訪問(wèn)控制模型高安全等級(jí)數(shù)據(jù)庫(kù)都要求管理其數(shù)據(jù)的DBMS提供MAC機(jī)制，目前大部分主流數(shù)據(jù)庫(kù)產(chǎn)品都提供了基于標(biāo)簽的MAC功能，即通過(guò)標(biāo)簽組件機(jī)制讓用戶(hù)定義其組織的安全策略，當(dāng)用戶(hù)試圖訪問(wèn)受標(biāo)簽保護(hù)的數(shù)據(jù)庫(kù)中的數(shù)據(jù)時(shí)，DBMS將該用戶(hù)的安全級(jí)別與用于保護(hù)該數(shù)據(jù)的安全標(biāo)簽相比較，以判斷其是否能夠訪問(wèn)受標(biāo)簽保護(hù)的數(shù)據(jù)。隨著數(shù)據(jù)庫(kù)在大型開(kāi)放式網(wǎng)絡(luò)環(huán)境下的應(yīng)用，傳統(tǒng)基于資源請(qǐng)求者的身份做出授權(quán)決定的訪問(wèn)控制模型不再適用于安全問(wèn)題的解決，人們提出了信任管理、數(shù)字版權(quán)管理等新一代的訪問(wèn)控制技術(shù)。6.2.2數(shù)據(jù)庫(kù)的訪問(wèn)控制17計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.加密存儲(chǔ)數(shù)據(jù)庫(kù)的保密問(wèn)題不僅包括在傳輸過(guò)程中采用加密保護(hù)和控制非法訪問(wèn)，還包括對(duì)存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行加密保護(hù)，使得即使數(shù)據(jù)不幸泄露或者丟失，也難以造成泄密。數(shù)據(jù)庫(kù)加密可以由用戶(hù)用自己的密鑰加密自己的敏感信息，而不需要了解數(shù)據(jù)內(nèi)容的數(shù)據(jù)庫(kù)管理員無(wú)法進(jìn)行正常解密，從而可以實(shí)現(xiàn)個(gè)性化的用戶(hù)隱私保護(hù)。6.2.2數(shù)據(jù)庫(kù)的訪問(wèn)控制18計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.加密存儲(chǔ)（1）數(shù)據(jù)庫(kù)加密方式1）庫(kù)內(nèi)加密在DBMS內(nèi)核層實(shí)現(xiàn)加密，加密/解密過(guò)程對(duì)用戶(hù)與應(yīng)用透明。即數(shù)據(jù)進(jìn)入DBMS之前是明文，DBMS在數(shù)據(jù)物理存取之前完成加密/解密工作。優(yōu)點(diǎn)：加密功能強(qiáng)，并且加密功能幾乎不會(huì)影響DBMS原有的功能。對(duì)于數(shù)據(jù)庫(kù)應(yīng)用來(lái)說(shuō)，庫(kù)內(nèi)加密方式是完全透明的。缺點(diǎn)：對(duì)系統(tǒng)性能影響較大，DBMS除了完成正常的功能外，還需要進(jìn)行加密/解密運(yùn)算。加重了數(shù)據(jù)庫(kù)服務(wù)器的負(fù)擔(dān)。密鑰管理安全風(fēng)險(xiǎn)大，加密密鑰通常與數(shù)據(jù)庫(kù)一同保存，加密密鑰的安全保護(hù)依賴(lài)于DBMS中的訪問(wèn)控制機(jī)制。6.2.2數(shù)據(jù)庫(kù)的訪問(wèn)控制19計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.加密存儲(chǔ)（1）數(shù)據(jù)庫(kù)加密方式2）庫(kù)外加密是指在DBMS之外實(shí)現(xiàn)加密/解密，DBMS所管理的是密文。加密/解密過(guò)程可以在客戶(hù)端實(shí)現(xiàn)，或由專(zhuān)門(mén)的加密服務(wù)器完成。優(yōu)點(diǎn)：由于加密/解密過(guò)程在專(zhuān)門(mén)的加密服務(wù)器或客戶(hù)端實(shí)現(xiàn)，減少了數(shù)據(jù)庫(kù)服務(wù)器與DBMS的運(yùn)行負(fù)擔(dān)?？梢詫⒓用苊荑€與所加密的數(shù)據(jù)分開(kāi)保存，提高了安全性。由客戶(hù)端與服務(wù)器的配合，可以實(shí)現(xiàn)端到端的網(wǎng)上密文傳輸。。缺點(diǎn)：加密后的數(shù)據(jù)庫(kù)功能受到一些限制。6.2.2數(shù)據(jù)庫(kù)的訪問(wèn)控制20計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.加密存儲(chǔ)（2）影響數(shù)據(jù)庫(kù)加密的關(guān)鍵因素1）加密粒度。一般來(lái)說(shuō)，數(shù)據(jù)庫(kù)加密的粒度有4種：表、屬性、記錄和數(shù)據(jù)項(xiàng)。2）加密算法。目前還沒(méi)有公認(rèn)的針對(duì)數(shù)據(jù)庫(kù)加密的加密算法，因此一般根據(jù)數(shù)據(jù)庫(kù)特點(diǎn)選擇現(xiàn)有的加密算法來(lái)進(jìn)行數(shù)據(jù)庫(kù)加密。3）密鑰管理。對(duì)數(shù)據(jù)庫(kù)密鑰的管理一般有集中密鑰管理和多級(jí)密鑰管理兩種體制。6.2.3數(shù)據(jù)庫(kù)的完整性控制21計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）數(shù)據(jù)庫(kù)的完整性包括數(shù)據(jù)庫(kù)物理完整性、數(shù)據(jù)庫(kù)邏輯完整性和數(shù)據(jù)庫(kù)數(shù)據(jù)元素取值的準(zhǔn)確性和正確性。數(shù)據(jù)庫(kù)的完整性控制一方面是防止錯(cuò)誤信息的輸入和輸出，防止數(shù)據(jù)庫(kù)中存在不符合語(yǔ)義的數(shù)據(jù)。另一方面，完整性控制也包括保護(hù)數(shù)據(jù)庫(kù)中的數(shù)據(jù)不被非授權(quán)地插入、破壞和刪除。6.2.3數(shù)據(jù)庫(kù)的完整性控制22計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.物理完整性控制在物理完整性方面，要求從硬件或環(huán)境方面保護(hù)數(shù)據(jù)庫(kù)的安全，防止數(shù)據(jù)被破壞或不可讀。數(shù)據(jù)庫(kù)的物理完整性和數(shù)據(jù)庫(kù)留駐的計(jì)算機(jī)系統(tǒng)硬件可靠性與安全性有關(guān)，也與環(huán)境的安全保障措施有關(guān)。6.2.3數(shù)據(jù)庫(kù)的完整性控制23計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.邏輯完整性控制在邏輯完整性方面，要求保持?jǐn)?shù)據(jù)庫(kù)邏輯結(jié)構(gòu)的完整性，需要嚴(yán)格控制數(shù)據(jù)庫(kù)的創(chuàng)立與刪除、庫(kù)表的建立、刪除和更改的操作，這些操作只能允許具有數(shù)據(jù)庫(kù)擁有者或系統(tǒng)管理員權(quán)限的人進(jìn)行。邏輯完整性還包括數(shù)據(jù)庫(kù)結(jié)構(gòu)和庫(kù)表結(jié)構(gòu)設(shè)計(jì)的合理性，盡量減少字段與字段之間、庫(kù)表與庫(kù)表之間不必要的關(guān)聯(lián)，減少不必要的冗余字段，防止發(fā)生修改一個(gè)字段的值影響其他字段的情況。數(shù)據(jù)庫(kù)的邏輯完整性主要是設(shè)計(jì)者的責(zé)任，由系統(tǒng)管理員與數(shù)據(jù)庫(kù)擁有者負(fù)責(zé)保證數(shù)據(jù)庫(kù)結(jié)構(gòu)不被隨意修改。6.2.3數(shù)據(jù)庫(kù)的完整性控制24計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.元素完整性控制在元素完整性方面，元素完整性主要是指保持?jǐn)?shù)據(jù)字段內(nèi)容的正確性與準(zhǔn)確性。元素完整性需要由DBMS、應(yīng)用軟件的開(kāi)發(fā)者和用戶(hù)共同完成。1）提供定義完整性約束條件的機(jī)制。2）提供完整性檢查的方法。3）違約處理。6.2.3數(shù)據(jù)庫(kù)的完整性控制25計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.元素完整性控制具體方法（1）設(shè)置觸發(fā)器觸發(fā)器（Triger）是用戶(hù)定義在關(guān)系表上的一類(lèi)由事件驅(qū)動(dòng)的特殊過(guò)程。一旦定義，任何用戶(hù)對(duì)表的增、刪、改操作均有服務(wù)器自動(dòng)激活相應(yīng)的觸發(fā)器，在DBMS核心層進(jìn)行集中的完整性控制。觸發(fā)器可以完成的一些功能如下：1）檢查取值類(lèi)型與范圍。2）依據(jù)狀態(tài)限制。3）依據(jù)業(yè)務(wù)限制。

6.2.3數(shù)據(jù)庫(kù)的完整性控制26計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.元素完整性控制具體方法（2）兩階段提交為了保證數(shù)據(jù)更新結(jié)果的正確性，必須防止在數(shù)據(jù)更新過(guò)程中發(fā)生處理程序中斷或出現(xiàn)錯(cuò)誤。第一階段稱(chēng)為準(zhǔn)備階段。在這一階段中，DBMS收集更新所需要的信息和其他資源，其中可能包括收集數(shù)據(jù)、建立啞記錄、打開(kāi)文件、封鎖其他用戶(hù)、計(jì)算最終結(jié)果等處理，總之為最后的更新作好準(zhǔn)備，但不對(duì)數(shù)據(jù)庫(kù)作實(shí)際的改變。第二階段的工作是對(duì)需要更新的字段進(jìn)行真正地修改，這種修改是永久性的。上述第一階段和第二階段在數(shù)據(jù)庫(kù)中合稱(chēng)為一個(gè)“事務(wù)”（Transaction），所謂事務(wù)是指一組邏輯操作單元，使數(shù)據(jù)從一種狀態(tài)變換到另一種狀態(tài)。

6.2.3數(shù)據(jù)庫(kù)的完整性控制27計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.元素完整性控制具體方法（2）兩階段提交為了保證數(shù)據(jù)更新結(jié)果的正確性，必須防止在數(shù)據(jù)更新過(guò)程中發(fā)生處理程序中斷或出現(xiàn)錯(cuò)誤。第一階段稱(chēng)為準(zhǔn)備階段。在這一階段中，DBMS收集更新所需要的信息和其他資源，其中可能包括收集數(shù)據(jù)、建立啞記錄、打開(kāi)文件、封鎖其他用戶(hù)、計(jì)算最終結(jié)果等處理，總之為最后的更新作好準(zhǔn)備，但不對(duì)數(shù)據(jù)庫(kù)作實(shí)際的改變。第二階段的工作是對(duì)需要更新的字段進(jìn)行真正地修改，這種修改是永久性的。上述第一階段和第二階段在數(shù)據(jù)庫(kù)中合稱(chēng)為一個(gè)“事務(wù)”（Transaction），所謂事務(wù)是指一組邏輯操作單元，使數(shù)據(jù)從一種狀態(tài)變換到另一種狀態(tài)。

6.2.3數(shù)據(jù)庫(kù)的完整性控制28計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.元素完整性控制具體方法（3）糾錯(cuò)與恢復(fù)許多DBMS提供數(shù)據(jù)庫(kù)數(shù)據(jù)的糾錯(cuò)功能，主要方法是采用冗余的辦法，通過(guò)增加一些附加信息來(lái)檢測(cè)數(shù)據(jù)中的不一致性。1）附加校驗(yàn)糾錯(cuò)碼。2）使用鏡像（Mirror）技術(shù)。3）恢復(fù)。

6.2.3數(shù)據(jù)庫(kù)的完整性控制29計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.元素完整性控制具體方法（4）并發(fā)控制數(shù)據(jù)庫(kù)系統(tǒng)通常支持多用戶(hù)同時(shí)訪問(wèn)數(shù)據(jù)庫(kù)，為了有效地利用數(shù)據(jù)庫(kù)資源，可能多個(gè)程序或一個(gè)程序的多個(gè)進(jìn)程并行地運(yùn)行，這就是數(shù)據(jù)庫(kù)的并發(fā)操作。在多用戶(hù)數(shù)據(jù)庫(kù)環(huán)境中，多個(gè)用戶(hù)程序可并行地存取數(shù)據(jù)庫(kù)，但當(dāng)多個(gè)用戶(hù)同時(shí)讀寫(xiě)同一個(gè)字段的時(shí)候，會(huì)存取不正確的數(shù)據(jù)，或破壞數(shù)據(jù)庫(kù)數(shù)據(jù)的一致性。6.2.3數(shù)據(jù)庫(kù)的完整性控制30計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.元素完整性控制具體方法（4）并發(fā)控制并發(fā)操作帶來(lái)的數(shù)據(jù)不一致性包括3類(lèi)：丟失修改、不可重復(fù)讀和讀“臟”數(shù)據(jù)。產(chǎn)生上述3類(lèi)數(shù)據(jù)不一致性的主要原因是并發(fā)操作破壞了事務(wù)的隔離性。因此為了保持?jǐn)?shù)據(jù)庫(kù)的一致性，必須對(duì)并發(fā)操作進(jìn)行控制。并發(fā)控制就是要用正確的方式調(diào)度并發(fā)操作，使一個(gè)用戶(hù)事務(wù)的執(zhí)行不受其他事務(wù)的干擾，從而避免造成數(shù)據(jù)的不一致性。并發(fā)控制的主要技術(shù)是封鎖（Locking）。6.2.4數(shù)據(jù)庫(kù)的可用性保護(hù)31計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.備份與恢復(fù)數(shù)據(jù)庫(kù)管理系統(tǒng)必須具有把數(shù)據(jù)庫(kù)從錯(cuò)誤狀態(tài)恢復(fù)到某一已知的正確狀態(tài)（亦稱(chēng)為一致?tīng)顟B(tài)或完整狀態(tài)）的功能，這就是數(shù)據(jù)庫(kù)的恢復(fù)。數(shù)據(jù)庫(kù)的恢復(fù)機(jī)制涉及的兩個(gè)關(guān)鍵問(wèn)題是：如何建立冗余數(shù)據(jù)？如何利用這些冗余數(shù)據(jù)實(shí)施數(shù)據(jù)庫(kù)恢復(fù)？6.2.4數(shù)據(jù)庫(kù)的可用性保護(hù)32計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.備份與恢復(fù)建立數(shù)據(jù)冗余（1）數(shù)據(jù)轉(zhuǎn)儲(chǔ)：所謂“轉(zhuǎn)儲(chǔ)”，即數(shù)據(jù)庫(kù)管理員（DatabaseAdministrator，DBA）定期地將整個(gè)數(shù)據(jù)庫(kù)復(fù)制到磁帶或另一個(gè)磁盤(pán)上保存起來(lái)的過(guò)程，這些備用的數(shù)據(jù)文本稱(chēng)為后備副本或后援副本。（2）登記日志文件：日志文件是用來(lái)記錄事務(wù)對(duì)數(shù)據(jù)庫(kù)的更新操作的文件，不同數(shù)據(jù)庫(kù)系統(tǒng)采用的日志文件格式并不完全一樣。（3）數(shù)據(jù)庫(kù)鏡像（Mirror）：為避免磁盤(pán)介質(zhì)出現(xiàn)故障影響數(shù)據(jù)庫(kù)的可用性，許多數(shù)據(jù)庫(kù)管理系統(tǒng)提供了數(shù)據(jù)庫(kù)鏡像功能用于數(shù)據(jù)庫(kù)恢復(fù)。即根據(jù)DBA的要求，自動(dòng)把整個(gè)數(shù)據(jù)庫(kù)或其中的關(guān)鍵數(shù)據(jù)復(fù)制到另一個(gè)磁盤(pán)上。每當(dāng)主數(shù)據(jù)庫(kù)更新時(shí)，DBMS自動(dòng)把更新后的數(shù)據(jù)復(fù)制過(guò)去，即DBMS自動(dòng)保證鏡像數(shù)據(jù)與主數(shù)據(jù)的一致性。6.2.4數(shù)據(jù)庫(kù)的可用性保護(hù)33計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.入侵容忍（1）入侵容忍與可生存性可生存性強(qiáng)調(diào)的是入侵成功或者災(zāi)難發(fā)生之后，系統(tǒng)能夠繼續(xù)提供服務(wù)，以及條件狀況改善時(shí)系統(tǒng)能夠自動(dòng)恢復(fù)的能力。入侵容忍是指，當(dāng)一個(gè)網(wǎng)絡(luò)系統(tǒng)遭受入侵，即使系統(tǒng)的某些組件遭受攻擊者的破壞，但是整個(gè)系統(tǒng)仍能提供全部或者降級(jí)的服務(wù)，同時(shí)保持系統(tǒng)數(shù)據(jù)的機(jī)密性與完整性等安全屬性。6.2.4數(shù)據(jù)庫(kù)的可用性保護(hù)34計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.入侵容忍（2）入侵容忍技術(shù)1）冗余組件技術(shù)。2）復(fù)制技術(shù)。3）多樣性。4）門(mén)限密碼技術(shù)。5）代理。6）中間件技術(shù)。7）群組通信系統(tǒng)。6.2.4數(shù)據(jù)庫(kù)的可用性保護(hù)35計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.入侵容忍（3）數(shù)據(jù)庫(kù)入侵容忍技術(shù)1）對(duì)用戶(hù)可疑入侵行為進(jìn)行隔離。2）對(duì)受到攻擊破壞后的數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行破壞范圍評(píng)估和恢復(fù)。6.2.5數(shù)據(jù)庫(kù)的可控性實(shí)現(xiàn)36計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.審計(jì)數(shù)據(jù)庫(kù)審計(jì)是指監(jiān)視和記錄用戶(hù)對(duì)數(shù)據(jù)庫(kù)所施加的各種操作的機(jī)制。通過(guò)審計(jì)，把用戶(hù)對(duì)數(shù)據(jù)庫(kù)的所有操作自動(dòng)記錄下來(lái)放入審計(jì)日志中。審計(jì)跟蹤的信息，可以重現(xiàn)導(dǎo)致數(shù)據(jù)庫(kù)現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等，以便于追查有關(guān)責(zé)任。對(duì)于審計(jì)粒度與審計(jì)對(duì)象的選擇，需要考慮存儲(chǔ)空間的消耗問(wèn)題。審計(jì)日志也不一定能完全反映實(shí)際的訪問(wèn)情況。6.2.5數(shù)據(jù)庫(kù)的可控性實(shí)現(xiàn)37計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.可信記錄保持可信記錄保持是指在記錄的生命周期內(nèi)保證記錄無(wú)法被刪除、隱藏或篡改，并且無(wú)法恢復(fù)或推測(cè)已被刪除的記錄?？尚庞涗洷３值闹攸c(diǎn)是防止內(nèi)部人員惡意地篡改和銷(xiāo)毀記錄，即防止內(nèi)部攻擊?？尚庞涗洷３轴槍?duì)的是海量記錄的可信存儲(chǔ)，為了能在大量數(shù)據(jù)中快速查找記錄，需要對(duì)記錄建立索引。因?yàn)榇鎯?chǔ)服務(wù)器有使用壽命，組織也可能被兼并、轉(zhuǎn)型或重組，一條記錄在其生命周期中可能會(huì)在多臺(tái)存儲(chǔ)服務(wù)器中存儲(chǔ)過(guò)，因此記錄需要遷移?？尚胚w移技術(shù)就是要保證，即使遷移的執(zhí)行者就是擁有最高用戶(hù)權(quán)限的攻擊者，遷移后的記錄也是可信的。6.2.6數(shù)據(jù)庫(kù)的隱私性保護(hù)38計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.隱私的概念及面臨的問(wèn)題（1）隱私的概念隱私是與個(gè)人相關(guān)的具有不被他人搜集、保留和處分的權(quán)利的信息資料集合，并且它能夠按照所有者的意愿在特定時(shí)間、以特定方式、在特定程度上被公開(kāi)。隱私保護(hù)是對(duì)個(gè)人隱私采取一系列的安全手段防止其泄露和被濫用的行為。隱私保護(hù)的對(duì)象主體是個(gè)人隱私，其包含的內(nèi)容是使用一系列的安全措施來(lái)保障個(gè)人隱私安全的這一行為，而其用途則是防止個(gè)人隱私遭到泄露以及被濫用。6.2.6數(shù)據(jù)庫(kù)的隱私性保護(hù)39計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.隱私的概念及面臨的問(wèn)題（1）隱私的概念信息隱私權(quán)保護(hù)的客體可分為以下4個(gè)方面。1）個(gè)人屬性的隱私權(quán)。2）個(gè)人資料的隱私權(quán)。3）通信內(nèi)容的隱私權(quán)。4）匿名的隱私權(quán)。6.2.6數(shù)據(jù)庫(kù)的隱私性保護(hù)40計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.隱私的概念及面臨的問(wèn)題（2）隱私泄露的主要渠道1）新技術(shù)、新服務(wù)和新途徑。2）推理與隱通道。（3）隱私數(shù)據(jù)泄露的幾種類(lèi)型1）數(shù)據(jù)本身泄漏。2）范圍泄漏。3）從反面泄漏。4）可能的值。

6.2.6數(shù)據(jù)庫(kù)的隱私性保護(hù)41計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.數(shù)據(jù)庫(kù)隱私保護(hù)的原則1）用途定義（PurposeSpecification）：對(duì)收集和存儲(chǔ)在數(shù)據(jù)庫(kù)中的每一條個(gè)人信息都應(yīng)該給出相應(yīng)的用途描述。2）提供者同意（Consent）：每一條個(gè)人信息的相應(yīng)用途都應(yīng)該獲得提供者的同意。3）收集限制（LimitedCollection）：對(duì)個(gè)人信息的收集應(yīng)該限制在滿(mǎn)足相應(yīng)用途最小需求內(nèi)。4）使用限制（LimitedUse）：數(shù)據(jù)庫(kù)僅運(yùn)行與收集信息的用途相一致的查詢(xún)。5）泄露限制（LimitedDisclosure）：存儲(chǔ)在數(shù)據(jù)庫(kù)中數(shù)據(jù)不允許與外界進(jìn)行與信息提供者同意的用途不符的交流。6.2.6數(shù)據(jù)庫(kù)的隱私性保護(hù)42計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.數(shù)據(jù)庫(kù)隱私保護(hù)的原則6）保留限制（LimitedRetention）：個(gè)人信息只有為完成必要用途的時(shí)候才加以保留。7）準(zhǔn)確（Accuracy）：存儲(chǔ)在數(shù)據(jù)庫(kù)中的個(gè)人信息必須是準(zhǔn)確的，并且是最新的。8）安全（Safety）：個(gè)人信息有安全措施保護(hù)，以防被盜或挪作他用。9）開(kāi)放（Openness）：信息擁有者應(yīng)該能夠訪