Bezpieczeństwo baz danych
Wykład
S. Kozielski
Bezpieczeństwo baz danych
Ogólna struktura zabezpieczeń systemów informatycznych:
- fizyczne zabezpieczenie dostępu do systemu,
- personalna odpowiedzialność za dostęp do systemu,
- mechanizmy zabezpieczeń systemu operacyjnego i sieci
komputerowej,
- mechanizmy zabezpieczeń baz danych
Zagrożenia dla baz danych
1) Zagrożenia wynikające z umyślnego działania nieuprawnionych
użytkowników.
a) nieuprawniony odczyt,
b) nieuprawniony i niepoprawny zapis / modyfikacja,
2) Zagrożenia wynikające z błędów (użytkowników, oprogramowania i
sprzętu) i zdarzeń losowych:
a) pomyłki użytkowników przy wprowadzaniu i aktualizacji
danych,
b) niepoprawna modyfikacja wynikająca z niekontrolowanego
współbieżnego dostępu do danych,
c) niepoprawna modyfikacja wynikająca z błędów programów
i awarii systemu,
d) zniszczenie danych przy poważnych awariach sprzętu,
Kierunki przeciwdziałania zagrożeniom
1) Polityka bezpieczeństwa w systemach baz danych:
a) kontrola dostępu,
b) monitorowanie b.d.,
c) szyfrowanie w b.d.,
2) Ochrona integralności baz danych:
a) Integralność semantyczna:
- ograniczenia dziedzin atrybutów,
- więzy referencyjne,
b) Integralność transakcyjna:
- mechanizmy blokad,
- prowadzenie dziennika transakcji.
Polityka bezpieczeństwa w systemach baz danych
Kontrola dostępu do baz danych:
- identyfikacja użytkowników,
- autentyfikacja (uwierzytelnianie) użytkowników,
- autoryzacja użytkowników  przydzielanie uprawnień
użytkownikom, a następnie egzekwowanie ograniczeń,
które z wynikają z tych uprawnień
Kontrola dostępu w języku SQL
(DCL - Data Control Language)
1. Tworzenie użytkowników,
2. Nadawanie uprawnień ogólnych (systemowych),
3. Nadawanie uprawnień szczegółowych (obiektowych).
Oracle, MS SQL Server
Tworzenie użytkowników:
CREATE USER IDENTIFIED BY
Nadawanie uprawnień ogólnych (systemowych)
GRANT TO
[WITH ADMIN OPTION]
uprawnienia systemowe (przykłady):
CREATE TABLE
SELECT ANY TABLE
UPDATE ANY TABLE
. . .
Odbieranie uprawnień ogólnych (systemowych):
REVOKE FROM
Nadawanie uprawnień szczegółowych
(obiektowych)
GRANT ON
TO [WITH GRANT OPTION]
uprawnienia obiektowe:
select [()]
insert
delete
alter
index
update [()]
Nadawanie uprawnień szczegółowych
(obiektowych)  c. d.
GRANT ON
TO [WITH GRANT OPTION]
obiekt:
tablica
perspektywa
Odbieranie uprawnień szczegółowych
(obiektowych)
REVOKE ON
FROM
Role
Rola jest nazwanym zbiorem uprawnień
CREATE ROLE
GRANT TO
GRANT ON TO
GRANT TO
GRANT TO
REVOKE FROM
DROP ROLE
Monitorowanie baz danych  instrukcja AUDIT
- monitorowanie operacji (poleceń),
- monitorowanie obiektów,
- monitorowanie uprawnień
Szyfrowanie w bazach danych
- szyfrowanie haseł,
- szyfrowanie procedur,
- szyfrowanie danych.