数据库安全性
数据库不安全因素及保护措施
1、非授权用户对数据库的恶意存取和破坏——用户身份鉴别,存取控制和视图技术
2、数据库中重要或者铭感的数据被泄露——强制存取控制,数据加密储存和加密传输
3、安全环境的脆弱性
数据安全性控制
引出数据库安全性控制的常用方法为如下:
-
-
- 用户标识和鉴定
- 存取控制
- 视图
- 审计
- 数据加密
-
1、用户身份鉴别
2、存取控制
存取控制机制主要包括定义用户权限和合法权限检查两部分
两种存取控制方法
a、自主存取控制
用户权限是由两个要素组成的:数据库对象和操作类型
定义存取类型称为授权
b、强制存取控制
绝密 TS
机密 S
可信 C
公开 P
主体的敏感度标记称为许可证级别,客体的称为密级
·仅当主题的许可证级别大于或等于客体的密级时,该主体才能读取相应的客体
·仅当主题的许可证级别小于或等于客体的密级时,该主体才能写相应的客体
3、数据加密
存储加密
其一般提供透明和非透明两种存储加密方式。透明存储加密是内核级加密保护方式,对用户完全透明,非透明存储加密则是通过多个加密函数来实现的。
透明存储加密是数据在写到磁盘时对数据进行加密,授权用户读取数据时再对其进行解密。由于数据加密对用户透明,数据库的应用程序不需要做任何修改,只需在创建表语句中说明需加密的字段即可。当对加密数据进行增删改查操作时,数据库管理系统将自动对数据进行加,解密工作。基于数据库内核的数据存储加密,解密方法性能较好,安全完备性较高。
传输加密
在客户/服务器结构中,数据库用户与服务器之间若采用明文方式传输数据,容易被网络恶意用户截获或篡改,存在安全隐患。因此,为了保证二者之间的安全数据交换,数据库管理系统提供了传输加密功能。而常用的传输加密方式有链路加密(报头,报文均加密)和端到端加密(只加密报文)。其中链路加密对传输数据在链路层进行加密,它的传输信息由报头和报文两部分组成,前者是路由选择信息,而后者是传送的数据信息。这种方式对报文和报头均加密。相对地,端对端加密对传输数据在发送端加密,接受端解密。它只加密报文,不加密报头,与链路加密相比,它只在发送端和接收端需要密码设备,而中间节点不需要密码设备,因此它所需密码设备数量相对较少,但这种方式不加密报头,容易被非法监听者发现并从中获取敏感信息。
标签:加密,存取控制,数据库,报文,用户,报头,安全性 From: https://www.cnblogs.com/hinima/p/16897802.html