数据库安全中的机密性和完整性冲突

Question

我读了一些关于数据库安全的主题。现在我有两个关于保密和违反诚信的问题，谢谢任何回答我的人：

1. 如果我们考虑将数据的可用性作为一种机密性公开，那么数据库安全中的参考完整性问题是什么？
2. 机密性违规会导致诚信违规吗？

Answer 1

1)如果我们认为知道数据的可用性是一种机密性披露？

是的，知道数据的可用性是一种违反机密性的行为。示例是显示数据库中是否存在用户名的错误消息。

2)数据库安全中的参考完整性问题是什么？

为了使数据库元素保持一致的同步，必须正确地链接多个表，这些表分离单个属性的数据。换句话说，不应该存在流氓数据集。

假设我有一个有两个数据库表user_credentials & user_activity的应用程序。

user_credentials有user_name和user_passwd列。user_activity有user_name & user_lastlogintime。

引用完整性是两个表在user_name字段中具有完全相同值的属性。这确保了访问或删除表元素时的一致性。

( 3)违反机密性会否导致违反完整性？

这是可能的。但两者必须分开考虑。考虑一个场景，其中使用了具有已知collission的破坏散列算法。有关故障算法的知识可以用来绕过完整性检查。但是从信息安全的角度来看，完整性的违背是因为使用了破坏的算法，尽管这是机密性妥协的结果。

Answer 2

引用完整性是否会披露数据库中数据的可用性，从而导致机密性的违反

这是可能的。在一个简单的例子中，如果存在属于客户的订单或付款记录，删除客户记录的尝试可能失败。但是，只有在允许删除的情况下，这才有效。通常数据项从未被“硬删除”(删除)，而只是简单地标记为“删除”、“存档”或“非活动”。

另一方面，如果客户不存在，则可能拒绝插入付款记录。但是，如果标识符是任意的，那么攻击者通常在不知道客户标识符的情况下就无法尝试此方法。更有可能的是，他们将能够估计雇员的人数，客户，发票等.在系统里。

唯一性约束更有可能导致信息泄漏(如信用卡、电话号码或电子邮件地址已经在系统中)。