第九章数据库安全性DBMS提供了统一的数据保护功能来保证数据的安全可靠和正确有效。数据库的数据保护主要包括：数据的安全性和数据的完整性。9.1计算机安全性概论数据库的安全性：保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。为何要讨论计算机安全性？数据库的安全性与计算机系统（包括操作系统、网络系统等）的安全性密切相关。9.1.1计算机系统的三类安全性问题所谓计算机系统安全性，是指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。计算机安全不仅涉及到计算机系统本身的技术问题、管理问题，还涉及法学、犯罪学、心理学的问题。其内容包括了计算机安全理论与策略，计算机安全技术、安全管理、安全评价、安全产品以及计算机犯罪与侦察、计算机安全法律、安全监察等。概括起来，计算机系统的安全性问题可分为三大类，包括：技术安全类：计算机安全理论与策略、计算机安全技术；管理安全类：安全管理、安全评价、安全产品及计算机犯罪与侦察等；政策法律类：计算机安全法律、安全监察等。注：随着计算机资源共享和网络技术的应用，特别是Internet技术的发展，计算机安全性问题越来越得到人们的重视。9.1.2可信计算机系统评测标准1985年美国国防部(DoD)颁布了《DoD可信计算机系统评估标准》(TrustedComputerSystemEvaluationCriteria，简称TCSEC)。制定这个标准的目的主要有：(1)提供一种标准，使用户可以对其计算机系统内敏感信息安全操作的可信程度做评估。(2)给计算机行业的制造商提供一种可循的指导规则，使其产品能够更好地满足敏感应用的安全需求。TCSEC又称桔皮书，1991年4月美国NCSC(国家计算机安全中心)颁布了《可信计算机系统评估标准关于可信数据库系统的解释》（TrustedDatabaseInterpretation，简称TDI，即紫皮书），将TCSEC扩展到数据库管理系统。TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准。以下着重介绍TDI/TCSEC标准的基本内容。一、安全性指标该标准从四个方面描述了安全性级别划分的指标，即：安全策略、责任、保证和文档。R1安全策略R1.1自主存取控制(DAC)R1.2客体重用R1.3标记R1.3.1标记完整性R1.3.2标记信息的扩散R1.3.3主体敏感度标记R1.3.4设备标记R1.4强制存取控制(MAC)R2责任R2.1标识与鉴别R2.1.1可信路径R2.2审计R3保证R3.1操作保证R3.1.1系统体系结构R3.1.2系统完整性R3.1.3隐蔽信道分析R3.1.4可信设施管理R3.1.5可信恢复R3.2生命周期保证R3.2.1安全测试R3.2.2设计规范和验证R3.2.3配置管理R3.2.4可信分配R4文档R4.1安全特性用户指南R4.2可信设施手册R4.3测试文档R4.4设计文档二、安全性级别共七个级别：D；C(C1,C2)；B(B1,B2,B3)；A(A1)D级：最低级别，一切不符合更高标准的系统C1级：能够实现对用户和数据的分离，进行自主存取控制(DAC)，保护或限制用户权限的传播。注：该级别的产品不是安全产品。C2级：是安全产品的最低档次，提供受控的存取保护。如：WindowsNT3.5，Oracle7，SybaseSQLServer11.0.6。注：该级别的产品不贴安全标记。B1级：标记安全保护。对系统数据加以标记，并对标记的主体和客体实施强制存取控制(MAC)和审计等安全机制。注：该级别的产品认为是真正意义上安全产品的最低级别。B2级：结构化保护。建立形式化的安全策略模型，并对系统内的所有主体和客体实施DAC和MAC。注：经过认证的、B2级以上的安全系统非常稀少。B3级：安全域。该级别的TCB必须满足访问监控器的要求，审计跟踪能力更强，并提供系统恢复过程。A1级：验证设计。除具有B3级的要求外，还要给出系统的形式化设计说明和验证，以确保各安全保护真正实现。三、安全性级别与指标的关系图9.2数据库安全性控制在一般的计算机系统中，安全措施是一级一级层层设置的，如下：①用户标识和鉴别：输入用户名，才能登录计算机或数据库服务器。②存取控制：对已经进入数据库系统的用户，只允许用户执行规定的操作。③操作系统安全保护：④数据密码存储：对数据加密后存储到数据库中。9.2.1用户标识与鉴别方法：使用用户名和口令。注1：首先使用用户名和口令得到使用机器的权利，然后再使用用户名和口令得到使用数据库系统的权利。