数据库的不安全因素(续)1.非授权用户对数据库的恶意存取和破坏+一些黑客(hacker)和犯罪分子在用户存取数据库时猎取用户名和用户口令,然后假冒合法用户偷取、修改甚至破坏用户数据十有的黑客还故意锁定并修改数据,进行勒索和破坏等犯罪活动十必须阻正有损数据库安全的非法操作
1.非授权用户对数据库的恶意存取和破坏 一些黑客(hacker)和犯罪分子在用户存取 数据库时猎取用户名和用户口令,然后假冒 合法用户偷取、修改甚至破坏用户数据。 有的黑客还故意锁定并修改数据,进行勒索 和破坏等犯罪活动 必须阻止有损数据库安全的非法操作 数据库的不安全因素(续)
数据库的不安全因素(续)2.数据库中重要或敏感的数据被泄露黑客和敌对分子千方百计盗窃数据库中的重要敏感的机密数据,造成数据泄露。■SQL注入导致数据库被破坏的相关例子■攻击者利用SQL注入技术,在入侵检测不严的情况下欺骗数据库服务器执行非授权的查询和操作,使得机密数据被泄露、篡改或锁定
2.数据库中重要或敏感的数据被泄露 黑客和敌对分子千方百计盗窃数据库中的重要敏 感的机密数据, 造成数据泄露。 SQL注入导致数据库被破坏的相关例子 攻击者利用SQL注入技术,在入侵检测不严的情 况下欺骗数据库服务器执行非授权的查询和操作, 使得机密数据被泄露、篡改或锁定 数据库的不安全因素(续)
3.安全环境的脆弱性■数据库的安全性与计算机系统的安全性紧密联系计算机硬件、操作系统、网络系统等的安全性■建立一套可信(trusted)计算机系统的概念和标准
3.安全环境的脆弱性 数据库的安全性与计算机系统的安全性 紧密联系 计算机硬件、操作系统、网络系统等的 安全性 建立一套可信(trusted)计算机系统的 概念和标准
4.1.2安全标准简介x1985年美国国防部(D0D)正式颁布《DOD(简称TCSEC或可信计算机系统评估准则》DoD85)1991年,颁布TCSEC/TDI,把TCSEC扩展到福数据库系统1993年起多个国家组织专门委员会开发了IT安全通用准则(CommonCriteria,CC)1999年CCV2.1版被IS0采用为国际标准X2001年CCV2.1版被我国采用为国家标准
4.1.2 安全标准简介 1985年美国国防部(DoD)正式颁布《DoD 可信计算机系统评估准则》(简称TCSEC或 DoD85) 1991年,颁布TCSEC/TDI,把TCSEC扩展到 数据库系统 1993年起多个国家组织专门委员会开发了IT 安全通用准则(Common Criteria,CC) 1999年 CC V2.1版被ISO采用为国际标准 2001年 CC V2.1版被我国采用为国家标准
TCSEC/TDI安全级别划分+ 4组(division)7个等级DC(C1, C2)B(B1,B2,B3)A(A1)+系统可靠或可信程度逐渐增高
TCSEC/TDI安全级别划分 4组(division)7个等级 D C(C1,C2) B(B1,B2,B3) A(A1) 系统可靠或可信程度逐渐增高