数据库系统概论第四版课件及实验第4章数据库安全性幻灯片.ppt

视图机制（续） [例14]建立计算机系学生的视图，把对该视图的SELECT权限授于王平，把该视图上的所有操作权限授于张明 先建立计算机系学生的视图CS_Student CREATE VIEW CS_Student AS SELECT * FROM Student WHERE Sdept=CS； 视图机制（续） 在视图上进一步定义存取权限 GRANT SELECT ON CS_Student TO 王平 ； GRANT ALL PRIVILIGES ON CS_Student TO 张明； 4.4 审计 什么是审计 审计日志（Audit Log） 将用户对数据库的所有操作记录在上面 DBA利用审计日志 找出非法存取数据的人、时间和内容 C2以上安全级别的DBMS必须具有 审计（续） 审计分为 用户级审计 针对自己创建的数据库表或视图进行审计 记录所有用户对这些表或视图的一切成功和（或）不成功的访问要求以及各种类型的SQL操作 系统级审计 DBA设置 监测成功或失败的登录要求 监测GRANT和REVOKE操作以及其他数据库级权限下的操作 审计（续） AUDIT语句：设置审计功能 NOAUDIT语句：取消审计功能 审计（续） ［例15］对修改SC表结构或修改SC表数据的操作进行审计 AUDIT ALTER，UPDATE ON SC； ［例16］取消对SC表的一切审计 NOAUDIT ALTER，UPDATE ON SC； 4.5 数据加密 数据加密 防止数据库中数据在存储和传输中失密的有效手段 加密的基本思想 加密方法 替换方法 置换方法 混合方法 DBMS中的数据加密 4.6 统计数据库安全性 统计数据库 允许用户查询聚集类型的信息（如合计、平均值等） 不允许查询单个记录信息 统计数据库中特殊的安全性问题 隐蔽的信息通道 能从合法的查询中推导出不合法的信息 统计数据库安全性（续） 规则1：任何查询至少要涉及N(N足够大)个以上的记录 规则2：任意两个查询的相交数据项不能超过M个 规则3：任一用户的查询次数不能超过1+(N-2)/M 统计数据库安全性（续） 数据库安全机制的设计目标： 试图破坏安全的人所花费的代价 得到的利益 4.7 小结 数据的共享日益加强，数据的安全保密越来越重要 DBMS是管理数据的核心，因而其自身必须具有一整套完整而有效的安全性机制 TCSEC和CC 小结（续） 实现数据库系统安全性的技术和方法 存取控制技术 视图技术 审计技术 自主存取控制功能 通过SQL 的GRANT语句和REVOKE语句实现 角色 使用角色来管理数据库权限可以简化授权过程 CREATE ROLE语句创建角色 GRANT 语句给角色授权 下课了。。。 休息一会儿。。。 * * WITH GRANT OPTION子句 WITH GRANT OPTION子句: 指定：可以再授予 没有指定：不能传播 不允许循环授权 例题 [例1] 把查询Student表权限授给用户U1 GRANT SELECT ON TABLE Student TO U1; 例题（续） [例2] 把对Student表和Course表的全部权限授予用户U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3; 例题（续） [例3] 把对表SC的查询权限授予所有用户 GRANT SELECT ON TABLE SC TO PUBLIC; 例题（续） [例4] 把查询Student表和修改学生学号的权限授给用户U4 　 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4; 对属性列的授权时必须明确指出相应属性列名 例题（续） [例5] 把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION; 传播权限 执行例5后，U5不仅拥有了对表SC的INSERT权限， 还可以传播此权限： [