数据库与安全课件第五章.数据库安全的策略.ppt

授权链中的环 多用户间的授权序列（授权传播树 ） 多用户间的授权序列 假定在t=35时，B执行命令 B：REVOKE ALL RIGHTS ON EMP FROM D； E的DELETE权利被撤销。 5.4.6 授权的检查 动态进行授权检查，将授权检查与撤销操作分开，减少重新计算授权表的时间。 执行事务进行授权检查时只计算一次授权表。 对于表的创建者，直接返回“YES” 非创建者访问SYSAUTH授权表，可以授权执行有关操作返回“YES”，否则返回“NO”。 授权表保存在内存中，相同事务的后续授权检查直接在缓存中实现。 5.4.7 视图的授权与撤销 一、视图的授权 视图创建者不具备完全权限的两个原因： 视图语义：有些操作不能在视图上执行，如创建索引，统计类型的视图无法更新。 取决于定义者本身具备的访问权限：对视图的访问权限是底层所有相关表访问权限的交集。 视图可以被授予权限： 被授予者即使不具备底层表的访问权限也可以访问上层视图。 视图的授权方法与表的授权方法一致，是所有授权者所有可授予权限的并集。 视图的授权 二、视图的撤销 视图的撤销方法 首先撤销视图的权限 视图的重新授权：计算视图剩余的权限集合。 结束视图：已结束视图A的所有权限都自动撤销。结束视图A的同时，建立在已结束视图上的视图B应自动结束，删除其视图定义。 执行多用户授权序列后SYSAUTH有关数据 * 30 0 30 C EMP D 25 25 25 D EMP E 20 0 20 B EMP D 0 15 15 A EMP D DELETE INSERT READ GRANTOR TNAME USERID 执行多用户授权序列后SYSAUTH有关数据（t=35时，撤销B对D的授权命令） * 30 0 30 C EMP D 0 25 25 D EMP E 0 15 15 A EMP D DELETE INSERT READ GRANTOR TNAME USERID 5.4.5 标签GRANT 标签授权的格式： GRANT [ALL RIGHTS]|privileges|ALL BUT privileges|ONtable TO user-list WITH [GRANT OPTION AND] LABEL name。 例: * (t=5)A: GRANT ALL RIGHTS ON EMP TO C WITH GRANT OPTION AND LABEL L1 (t=10)B: GRANT ALL RIGHTS ON EMP TO C WITH GRANT OPTION AND LABEL L2 (t=15)C: GRANT ALL RIGHTS ON EMP TO D WITH LABEL L1 * 安全策略语言用来描述定义不同层次的安全策略。 出现于20世纪70年代，使用丰取控制表ACL来实现访问控制。应用于OS和关系数据库安全控制。 中国墙模型和信息流模型 1.授权John访问关系EMP 2. 3.在发现互相冲突规则时如何解决。例John可访问关系EMP，John不以访问EMP中salary属性，冲突，最小特权原则：John可访问除salary外所有其他属性。 4.强授权不论是否存在冲突，必须保持。弱授权在出现冲突时不需要保持。 5.主要解决如何传播规则 6.特殊规则主要是强制策略的扩展，包括基于内容和基于上下文的约束。也可用于自主策略，如不允许john同时访问性名和工资属性。 7.确保约束一致和完整。 * 第 五 章 数据库安全策略 * 本 章 概 要 5.1 安全策略的定义 5.2 安全策略语言 5.3 安全策略模型 5.4 关系数据库的授权机制 * 安全策略:是粗线条描述安全需求以及规则的说明，是一组规定如何管理、保护和指派敏感信息的法律、规则及实践经验的集合。 5.1 安全策略的定义 * 数据库系统的安全策略：是由物理控制、使用方案、操作系统安全及数据库管理系统构成的一个整体安全策略。 物理控制:数据库系统的使用环境和硬件应保证安全。 使用方案：是数据库系统使用过程中应该采取的安全手段。 操作系统安全：是支撑数据库的操作系统必须稳定、漏洞少而效率高。 数据库管理：是数据库系统自身提供的安全机制。 * 针对数据库管理而言，数据库系统至少具有以下一些安全策略 保证数据库的存在安全:确保主机硬件、操作系统及网络的安全。 保证数据库的可用性。数据库管理系统的可用性表现在两个方面：一是需要阻止发布某些非保护数据以防止敏感数据的泄漏；二是当两个用户同时请求同一记录时进行仲裁。 保障数据库系统的