ch08数据库安全与完整性约束.pptVIP

Last update: Nov. 2009 Lecture Notes - Principles of Databases Systems. By Zhuoming Xu 第1部分 数据库系统引论 第8章  数据库的安全与完整性约束 2009.11 目录 Contents 8.1 数据库的安全 8.1.1 何谓数据库的安全 8.1.2 DBMS的安全机制 8.2 完整性约束 8.2.1 完整性约束及其类型 8.2.2 完整性约束的SQL实现 8.1.1 何谓数据库的安全？ 数据库的安全(database security) 防止非法使用数据库。即要求数据库的用户： 通过规定的访问途径 按照规定的访问规则（规范） 访问数据库中的数据，并接受来自DBMS的各种检查。 安全 保护数据库，使其免受因不合法的存取所造成的数据泄密、更改甚至破坏。 安全 保密(Privacy) 安全－更多的是技术上的问题。 保密－更多的是法律、法规、道德上的问题 。 两个层次的安全 物理----如：防火、防盗、防破坏、…。 系统----包括：OS安全机制 / DBMS安全机制。 8.1.1 何谓数据库的安全？ 访问数据库的规范有多种，但是： 不同的规范适用于不同的应用。 可以根据应用的不同需求来选择不同的数据库访问规范，即选择具有不同安全级别的数据库。 那些能适应网络环境下安全要求级别的数据库称为安全数据库(secure database)，或称为可信数据库(trusted database)。 目录 Contents 8.1 数据库的安全 8.1.1 何谓数据库的安全 8.1.2 DBMS的安全机制 8.2 完整性约束 8.2.1 完整性约束及其类型 8.2.2 完整性约束的SQL实现 8.1.2 DBMS的安全机制 视图机制 用户标识与鉴别（User Identification Verification） 存取控制（Access Control） 审计（Audit） 数据加密（Data Encryption） 8.1.2 DBMS的安全机制 视图机制 一般用户在使用数据库时，其使用范围要受到一定的限制，即每个用户只能访问数据库中的一部分数据，此种限制可用SQL中的视图功能来实现。 例：定义一个公司有关销售人员的视图。 CREATE VIEW salesman_view (empno, ename, deptno, mgr, sal, com) AS SELECT empno, ename, deptno, mgr, sal, com FROM emp WHERE job＝‘salesman’; 8.1.2 DBMS的安全机制 用户标识与鉴别 用户标识 每个数据库合法用户均有一个用户帐户，其中包括： User-Name----作为数据库用户的身份标识（ID）。 例如：Oracle中，缺省用户：SYSTEM, SYS DBA事后可创建用户：User1, User2, ... 鉴别方法 User-Name Password 其他 8.1.2 DBMS的安全机制 存取控制 DBMS根据用户的“存取权限”来控制用户对系统及数据对象的存取方式。－“授权/证实”。 授权(Authorization): 对用户存取权限的定义。 集中式授权：由DBA统一定义和管理。 分散式授权：由DBA及授权的用户分散定义和管理。 也称：任意存取控制技术(Discretionary Access Control)，常用，如: System R, Oracle, Sybase, etc. 证实(Authentication) 在查询处理时由DBMS统一实施权限检查。只有检查“通过”才能执行相应的操作。 8.1.2 DBMS的安全机制 存取控制(cont.) 特权(Privilege): 执行一种特殊类型的SQL语句或存取(另一用户的)模式对象的权力。 系统特权(System Privilege) 执行某种特定动作的权力。 系统总是预定义了许多（如：Oracle 9i中116种）命名的系统特权，用于直接授予用户/角色。 对象特权(Object Privilege) 对某个具体（数据）对象执行某种特定操作的权力。系统总是预定义了许多对象特权名（如：SQL2标准建议6种；Oracle中8种 ），供对用户/角色授权时使用。 8.1.2 DBMS的安全机制 存取控制(cont