第4章数据的安全性.ppt

第四章 数据库的安全性 4.1 计算机安全性概述 4.2 数据库安全性控制 4.3 视图机制 4.4 审计 4.5 数据加密 4.6 统计数据库安全性 4.1 计算机安全性概述 数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄漏、更改和破坏。 安全性不仅仅是数据库的安全性，还有计算机系统的安全性。 系统安全保护措施是否有效是数据库系统的主要技术指标。 1 计算机系统的安全性 计算机系统安全性是指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统的硬件、软件及数据，防止其因偶然或恶意的原因是系统遭到破坏、数据遭到更改或泄漏等。 包括三类： 技术安全 管理安全 政策法律 2 安全标准简介 计算机以及信息安全技术方面有一系列的安全标准，最有影响的是TCSEC和CC两个标准。 4.2数据库安全性控制 在一般的计算机系统中，安全措施是一级一级层层设置。 1 用户标识与鉴别 用户标识和鉴别是系统提供的最外层安全保护措施。 用户标识(User Identification) 用一个用户名或者用户标识号来标明用户身份。 口令(Password) 为了进一步核实用户要求用户输入口令。 2存取控制 数据库安全性主要是DBMS的存取控制机制。 存取控制机制主要包括两个部分： 定义用户权限，并将用户权限登记到数据字典中。 合法权限检查。 自主存取控制 强制存取控制 自主存取控制（DAC）方法 自主存取控制通过SQL的GRANT语句和REVOKE语句来实现。 DBMS实现数据安全性保护的过程 用户或DBA把授权决定告知系统 SQL的GRANT和REVOKE DBMS把授权的结果存入数据字典 当用户提出操作请求时，DBMS根据授权定义进行检查，以决定是否执行操作请求 安全性(续) 谁定义？ DBA和表的建立者（即表的属主） 如何定义？ SQL语句： GRANT REVOKE 授 权 GRANT语句的一般格式： GRANT 权限[,权限]... [ON 对象类型 对象名] TO 用户[,用户]... [WITH GRANT OPTION]; 谁定义？DBA和表的建立者（即表的属主） REVOKE功能：将对指定操作对象的指定操作权限授予指定的用户。 (1) 操作权限 (2) 用户的权限 建表（CREATETAB）的权限:属于DBA DBA授予--普通用户 基本表或视图的属主拥有对该表或视图的一切操作权限 接受权限的用户: 一个或多个具体用户 PUBLIC（全体用户） (3) WITH GRANT OPTION子句 指定了WITH GRANT OPTION子句: 获得某种权限的用户还可以把这种权限再授予别的用户。 没有指定WITH GRANT OPTION子句: 获得某种权限的用户只能使用该权限，不能传播该权限 例题 例1 把查询Student表权限授给用户U1 GRANT SELECT ON TABLE Student TO U1; 例题（续） 例2 把对Student表和Course表的全部权限授予用户U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3; 例题（续） 例3 把对表SC的查询权限授予所有用户 GRANT SELECT ON TABLE SC TO PUBLIC; 例题（续） 例4 把查询Student表和修改学生学号的权限授给用户U4 　 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4; 例题（续） 例5 把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION; 传播权限 执行例5后，U5不仅拥有了对表SC的INSERT权限， 还可以传播此权限： GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPT