第三节 统计数据库安全性
    统计数据库的特点：允许用户查询聚集类型的信息（例如合计、平均值等），不允许查询单个记录信息。
    例：允许查询“程序员的平均工资是多少？”不允许查询“程序员张勇的工资？”
    统计数据库中特殊的安全性问题，隐蔽的信息通道。从合法的查询中推导出不合法的信息。
    例：下面两个查询都是合法的：1．本公司共有多少女高级程序员？2．本公司女高级程序员的工资总额
是多少？如果第一个查询的结果是“1”，那么第二个查询的结果显然就是这个程序员的工资数。
    规则1：任何查询至少要涉及N(N足够大)个以上的记录
    例：用户A发出下面两个合法查询：1．用户A和其他N个程序员的工资总额是多少？2．用户B和其他N个
程序员的工资总额是多少？若第一个查询的结果是X，第二个查询的结果是Y，由于用户A知道自己的工资是Z，
那么他可以计算出用户B的工资=Y-(X-Z)。原因：两个查询之间有很多重复的数据项。
    规则2：任意两个查询的相交数据项不能超过M个，可以证明，在上述两条规定下，如果想获知用户B的
工资额。A至少需要进行1+(N-2)/M次查询。
     规则3：任一用户的查询次数不能超过1+(N-2)/M，如果两个用户合作查询就可以使这一规定失效。
    数据库安全机制的设计目标：试图破坏安全的人所花费的代价得到的利益。