第六章计算机系统安全_自学_讲解.ppt

视图机制（续） 在视图上进一步定义存取权限 GRANT SELECT ON CS_Student TO 王平 ； GRANT ALL PRIVILIGES ON CS_Student TO 张明； 网络与信息安全 * * 6.3.3 审计 什么是审计 审计日志（Audit Log） 将用户对数据库的所有操作记录在上面 DBA利用审计日志 找出非法存取数据的人、时间和内容 C2以上安全级别的DBMS必须具有 网络与信息安全 * * 6.3.3.审计（续） 审计分为 用户级审计 针对自己创建的数据库表或视图进行审计 记录所有用户对这些表或视图的一切成功和（或）不成功的访问要求以及各种类型的SQL操作 系统级审计 DBA设置 监测成功或失败的登录要求 监测GRANT和REVOKE操作以及其他数据库级权限下的操作 网络与信息安全 * * 6.3.3审计（续） AUDIT语句：设置审计功能 NOAUDIT语句：取消审计功能 网络与信息安全 * * 6.3.3审计（续） ［例11］对修改SC表结构或修改SC表数据的操作进行审计 AUDIT ALTER，UPDATE ON SC； ［例12］取消对SC表的一切审计 NOAUDIT ALTER，UPDATE ON SC； 网络与信息安全 * * 6.3.4 数据加密 数据加密 防止数据库中数据在存储和传输中失密的有效手段 加密的基本思想 加密方法 替换方法 置换方法 混合方法 DBMS中的数据加密 网络与信息安全 * * 6.3.5 统计数据库安全性 统计数据库 允许用户查询聚集类型的信息（如合计、平均值等） 不允许查询单个记录信息 统计数据库中特殊的安全性问题 隐蔽的信息通道 能从合法的查询中推导出不合法的信息 网络与信息安全 * * 6.3.5 统计数据库安全性（续） 规则1：任何查询至少要涉及N(N足够大)个以上的记录 规则2：任意两个查询的相交数据项不能超过M个 规则3：任一用户的查询次数不能超过1+(N-2)/M 网络与信息安全 * * 6.3.5 统计数据库安全性（续） 数据库安全机制的设计目标： 试图破坏安全的人所花费的代价 得到的利益 网络与信息安全 * * 6.3.6 小结 数据的共享日益加强，数据的安全保密越来越重要 DBMS是管理数据的核心，因而其自身必须具有一整套完整而有效的安全性机制 TCSEC和CC 网络与信息安全 * * 6.3.6 小结（续） 实现数据库系统安全性的技术和方法 存取控制技术 视图技术 审计技术 自主存取控制功能 通过SQL 的GRANT语句和REVOKE语句实现 角色 使用角色来管理数据库权限可以简化授权过程 CREATE ROLE语句创建角色 GRANT 语句给角色授权 网络与信息安全 * * 计算机病毒防治 恶意软件简介 计算机病毒概述 计算机病毒机理分析 计算机病毒防治 网络与信息安全 * * * * permission 是当前授予的对象权限。当在表、表值函数或视图上授予对象权限时，权限列表可以包括这些权限中的一个或多个：SELECT、INSERT、DELETE、REFENENCES 或 UPDATE。列列表可以与 SELECT 和 UPDATE 权限一起提供。如果列列表未与 SELECT 和 UPDATE 权限一起提供，那么该权限应用于表、视图或表值函数中的所有列。 网络与信息安全 * * column 是当前数据库中授予权限的列名。 table 是当前数据库中授予权限的表名。 view 是当前数据库中被授予权限的视图名。 stored_procedure 是当前数据库中授予权限的存储过程名。 extended_procedure 是当前数据库中授予权限的扩展存储过程名。 网络与信息安全 * * user_defined_function 是当前数据库中授予权限的用户定义函数名。 WITH GRANT OPTION 表示给予了 security_account 将指定的对象权限授予其它安全帐户的能力。WITH GRANT OPTION 子句仅对对象权限有效。 AS {group | role} 指当前数据库中有执行 GRANT 语句权力的安全帐户的可选名。当对象上的权限被授予一个组或角色时使用 AS，对象权限需要进一步授予不是组或角色的成员的用户。因为只有用户（而不是组或角色）可执行 GRANT 语句，组或角色的特定成员授予组或角色权力之下的对象的权限。 网络