数据库第7章要点.ppt

Of 大连工业大学信息学院——计算机系 Principle DB 信息学院计算机系 * 数据库系统概论 An Introduction to Database System 大连工业大学信息学院——计算机系 第7章 数据库安全性 概述 1 计算机安全性控制 2 安全机制 3 大连工业大学信息学院——计算机系 概述 数据库的重要性：是电子商务、金融以及ERP系统的基础，通常都保存着重要的商业伙伴和客户信息。 数据库的安全威胁包括： 密码策略 系统后门 数据库操作 本身的安全方案 大连工业大学信息学院——计算机系 概述 数据库安全的重要性： 数据库同系统紧密相关，并且更难正确地配置和保护，安全漏洞和不当的配置通常会造成严重的后果，而且都难以发现。 大连工业大学信息学院——计算机系 概述 数据库安全的重要性： 少数数据库安全漏洞除威胁数据库的安全，也威胁到操作系统和其他系统的安全。 有些数据库提供机制威胁着网络安全低层。 比如：某公司的数据库里面保存着所有技术文档、手册和白皮书。运行在一个非常安全的操作系统上。 入侵者仍然可以执行某些扩展存储过程（这些存储过程能提供一些执行操作系统命令的接口，而且能访问所有的系统资源）入侵数据库。 如果这个数据库服务器还同其他服务器建立着信任关系，入侵者就能够对整个域机器的安全产生严重威胁。 大连工业大学信息学院——计算机系 计算机安全性控制 数据库安全性： 指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 大连工业大学信息学院——计算机系 计算机安全性控制 在计算机系统中，安全措施是一层一层设置的，如下图： 用户 DBMS OS DB 用户标识 与鉴别 存取控制 操作系统 安全保护 数据密码 存储 大连工业大学信息学院——计算机系 计算机安全性控制 用户标识与鉴别：Identification Authentication 是系统提供的最外层的保护措施。系统提供一定的方式，让用户标识自己的名字和身份。 通常有三种方法： 用一个用户名或者用户标识号来标明用户身份。 口令（Password） 系统提供一个随机数，用户根据预先约定好的某一过程和函数进行计算。 大连工业大学信息学院——计算机系 计算机安全性控制 存取控制机制： 根据预先定义好的用户权限来进行存取控制，保证用户只能存取他有权限存取的数据。 包括两部分： 定义用户权限 合法权限检查 大连工业大学信息学院——计算机系 计算机安全性控制 存取控制机制： 用户权限的两个要素：数据对象、操作类型。 定义存取权限（授权）：某个用户可在哪些数据对象上进行哪些类型的操作。 这些定义经过编译后存储在数据字典中。每当用户发出存取数据的操作请求后，DBMS就会查找数据字典，根据数据字典中的用户权限进行合法权检查。如果用户的操作请求超出了定义的权限，系统就会拒绝执行此操作。 大连工业大学信息学院——计算机系 计算机安全性控制 存取控制机制——授权与回收权限 GRANT：授予 格式： GRANT 权限[,权限]…… [ON对象类型对象名] TO用户[,用户]…… [WITH GRANT OPTION]（可以传播权限） 大连工业大学信息学院——计算机系 计算机安全性控制 存取控制机制——授权与回收权限 GRANT：授予 GRANT权限……ON 对象 TO 用户…… 大连工业大学信息学院——计算机系 计算机安全性控制 存取控制机制——授权与回收权限 GRANT：授予 例：将插入和修改Book表的权限授予用户xx。 Grant INSERT,UPDATE ON Book To xx 例：将在Book表上进行UPDATE的权限授予用户xx，并允许他传播该权限。 GRANT UPDATE ON Book TO xx WITH GRANT OPTION 大连工业大学信息学院——计算机系 计算机安全性控制 存取控制机制——授权与回收权限 REVOKE：回收授予用户的权限 格式： REVOKE 权限 [,权限]…… [ON 对象类型 对象名 ] FROM 用户[,用户]…… 当涉及多个用户传播权限时，收回上级用户某权限的同时，也收回下级的该种类型的权限。 大连工业大学信息学院——计算机系 计算机安全性控制 存取控制机制——授权与回收权限 REVOKE：回收授予用户的权限 例1：将用户xx对stud_info的INSERT权限回收。 REVOKE INSERT ON Book From xx 例2：将用户xx更新stud_info的权限收回。 REVOKE UPDATE ON TABLE Book FROM xx 大连工业大学信息学院——计算机系 安全