数据库与知识库原理 DBKB6.ppt

第六章 数据库的安全性与完整性 由于一些偶然因素而可能引起的数据破坏 包括用户误输入命令，应用程序中存在某些编程错误，等等 对数据库进行恶意的不合法操作 未经授权的人泄露、篡改或破坏数据库中的内容 当多个用户、多个应用程序并发访问数据库时，可以引起的数据不一致性 由于系统软件或硬件的突然失效而造成的数据丢失 主要内容 6.1 数据库系统的安全性 6.2 数据库系统的完整性 主要内容 6.1 数据库系统的安全性 6.2 数据库系统的完整性 数据库系统的安全性 安全性是在设计计算机系统时所遇到的一个普遍问题 安全性在数据库系统中占有举足轻重的地位 能否提供有效的安全保护措施，是衡量一个数据库系统性能优劣的主要指标之一 数据安全性的含义是很广泛的，诸如防盗、防破坏、防丢失等等 主要从怎样防止未经许可的用户对数据库中数据进行非法访问、更改甚至是破坏这个方面来讨论数据库系统的安全性 数据库系统的安全性保护 安全性保护的主要手段 用户身份鉴别（User Identification） 视图机制（View Mechanism） 存取控制（Access Control） 审计（Auditing） 数据加密（Data Encryption） 安全性保护的主要手段 用户身份鉴别（User Identification） 视图机制（View Mechanism） 存取控制（Access Control） 审计（Auditing） 数据加密（Data Encryption） User Identification 数据库中的数据是处在DBMS的统一管理和控制之下，一个操作系统的用户要想访问数据库的资源，还必须办理数据库系统的相应注册手续 数据库用户是指能登录到某个数据库，并能对这个数据库进行数据访问或数据存取的用户 在数据库系统中，每个合法用户都具有一个名字标识（又称用户标识），但这个标识是公开的，不足以成为用户身份鉴别的依据 用户身份鉴别的常用方式 利用只有用户知道的信息鉴别用户 口令（password）识别 为了防止口令泄露，用户最好要经常更换新的口令 用户与系统之间事先约定一个表达式，以后在用户登录时，系统先提供随机数，让用户进行计算 不怕别人偷看 别人想猜出表达式也比猜出口令要困难得多 利用只有用户具有的物品来鉴别用户 采用磁性卡片来作为用户身份的凭证 系统必须配备阅读磁卡的装置 用户要对磁卡进行妥善保存，以防丢掉或被盗 利用用户的个人特征来进行鉴别 利用指纹、声纹、个人签名等个人独有的特性 可靠性很高，但需要价钱昂贵的特殊鉴别装置 数据库管理员（DataBase Administrator，DBA） DBA有时又称为特权用户或超级用户，他拥有数据库系统中的最高权限，肩负着数据库系统的管理和维护的重任 利用数据库管理系统提供的各种安全性保护手段，确保数据库的安全性 决定数据库的恢复策略，定期复制后备版本，以便在出现故障时对数据库采取必要的恢复措施 决定数据库中所存放的信息内容与结构 确保数据库中数据的安全性、一致性与完整性以及数据的保密级别 决定数据库的存储结构与存取策略，减少存放不必要的数据冗余 完成对数据库数据的经常性备份工作 监督和控制数据库的运行以提高系统性能 控制用户对数据库的存取权限 在必要时负责对数据库进行重构 PUBLIC 一般不特指某一个用户，而是泛指除DBA以外的所有用户 在授权机制中，如果想将某权限授予给所有用户，就可采用PUBLIC这个标记，而不必去一一罗列所有的用户名 当一个用户刚刚被创建时，其拥有的特权域与PUBLIC的特权域相等 用户组 指一个数据库中的所有合法用户 数据库系统经过初始安装之后，其用户组中一般只有一个合法用户：DBA 新的用户可通过DBA或具有相应权限的用户加入到数据库用户组中? CREATE USER user_name IDENTIFIED BY password ； ALTER USER user_name IDENTIFIED BY password [INSTEAD OF old_ password ]； ?从数据库用户组中删除用户 DROP USER user_name [ CASCADE ]； 安全性保护的主要手段 用户身份鉴别（User Identification） 视图机制（View Mechanism） 存取控制（Access Control） 审计（Auditing） 数据加密（Data Encryption） 视图 自动地为数据库系统提供了一层保护设施 是一种特殊形式的“虚表” 对视图的查询，通过视图的增、删、改操作实际上最终都转换成了对基本表的有关操作 利用视