数据库系统概论第二章数据库安全性剖析.pptVIP

第四章 数据库安全性 要点和难点 数据库安全性的含义 数据库安全性控制方法 SQL Server 2000中的安全性控制 第四章 数据库安全性 4.1 计算机安全性概论 数据库的安全性是指：保护数据库以防止不合法的使用所造成的数据泄漏、更改或破坏 安全性问题不是数据库系统所独有的，所有计算机系统都有这个问题，只是数据库系统中安全性更为突出 数据库系统的安全性和计算机系统的安全性（包括操作系统、网络系统的安全性）是紧密联系、相互支持的 安全措施的总目标：花费的代价远远超过得到的利益 一、计算机系统的三类安全性问题 计算机系统的安全性，是指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。它可分为三类： 第四章 数据库安全性 4.1 计算机安全性概论 1、技术安全：采取具有一定安全性的硬件、软件来保护计算机系统中的硬件、软件及数据，计算机系统受到无意或恶意的攻击时仍能保证系统正常运行，保证数据不丢失、不泄露。 2、管理安全：防止软硬件意外故障、场地的意外事故、管理不善所导致的计算机设备和数据介质的物理破坏和丢失 3、政策法规：政府部门建立的有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法令等 二、安全标准简介（略讲） 1985年美国国防部正式颁布，简称TCSEC或DoD85分D、C1、C2、B1、B2、B3、A1七个级别。 C2级是安全产品的最低标准，B1级产品才是真正意义上的安全产品，它提供MAC以及审计等安全机制。 第四章 数据库安全性 4.2 数据库安全性控制 用户 DBMS OS DB 用户识别和鉴别 存取控制 操作系统安全保护 数据密码存取 一、用户标识与鉴别 1、系统鉴别合法用户才能使用系统 2、口令：但为了防止窃取口令，可由系统提供一个随机数，用户根据预先约定的计算方法进行计算后输入结果，这种方法可进行多次。 二、存取控制 数据库安全性主要是DBMS的存取控制机制，确保只授权给有资格的用户访问数据库的权限。 第四章 数据库安全性 4.2 数据库安全性控制 存取控制机制(DBMS的安全子系统)有以下两部分组成： 1、定义用户权限：用户权限定义经过编译后存放在数据字典中，被称作安全规则或授权规则 2、合法权限检查：DBMS查找数据字典，拒绝执行越权操作 当前大型的DBMS一般支持C2级中的自主存取控制(DAC) 有些DBMS还支持B1级中的强制存取控制(MAC) 三、自主存取控制(DAC)方法 主要通过SQL中的GRANT语句和REVOKE语句来实现 用户权限由两个要素组成：数据对象和操作类型 定义一个用户的存取权限就是定义这个用户可以在哪些数据对象上进行哪些类型的操作 第四章 数据库安全性 4.2 数据库安全性控制 关系系统中的存取权限（详见教科书P.137） 数据对象 操作类型 模式、外模式、内模式 建立、修改、检索 表、属性列 查找、插入、修改、删除 四、授权与回收 例：（详见教科书P.138） GRANT SELECT ON SC TO U1 GRANT SELECT ON Course TO PUBLIC GRANT ALL PRIVILIGES ON Student TO U2 GRANT UPDATE(Sage) ON Student TO U3 GRANT SELECT,INSERT ON Student TO 王平 WITH GRANT OPTION REVOKE INSERT ON Student FROM 王平 CASCADE 第四章 数据库安全性 4.2 数据库安全性控制 DBA拥有对数据库中所有对象的所有权限 用户对自己建立的基本表和视图拥有全部的操作权限 粒度：用户权限定义中数据对象的范围大小 授权粒度越细，授权子系统就越灵活，系统开销也越大 与数据值有关的授权 与时间地点有关的授权 六、强制存取控制(MAC)方法 在MAC中DBMS所管理的全部实体被分为主体和客体 主体：系统中活动的实体，包括用户和进程 客体：系统中被动的实体，是受主体操纵的，包括文件、基表、索引、视图等 第四章 数据库安全性 4.2 数据库安全性