第04 数据库安全性.pptVIP

*/37 4.3 视图机制 视图是实施安全性控制的一种有效机制。 通过视图机制把要保密的数据对无权存取的用户隐藏 起来，从而自动地对数据提供一定程度的安全保护。 视图机制间接地实现了支持存取谓词的用户权限定 义。 通过为不同的用户定义不同的视图，可以限制各个用 户的访问范围。 */37 [例14] 建立计算机系学生的视图，把对该视图的SELECT权 限授于王平，把该视图上的所有操作权限授于张明 1)先建立计算机系学生的视图CS_Student CREATE VIEW CS_Student AS SELECT * FROM Student WHERE Sdept=‘CS’; 2)在视图上进一步定义存取权限 GRANT SELECT ON CS_Student TO 王平; GRANT ALL PRIVILIGES ON CS_Student TO 张明; 4.3 视图机制（续） */37 4.4 审计（Audit） 什么是审计 审计日志（Audit Log） 将用户对数据库的所有操作记录在上面 DBA利用审计日志 找出非法存取数据的人、时间和内容 C2以上安全级别的DBMS必须具有 */37 用户级审计 针对自己创建的数据库表或视图进行审计 记录所有用户对这些表或视图的一切成功和（或）不成功的访问要求以及各种类型的SQL操作 系统级审计 DBA设置 监测成功或失败的登录要求 监测GRANT和REVOKE操作以及其他数据库级权限下的操作 */37 4.5 数据加密 ◇对高度敏感性数据，例如，财务数据、军事数据、国家机密，除以上安全性措施外，还可以采用数据加密技术，以密文形式存储和传输数据。这样即使企图通过不正常渠道获取数据，也只能看到一些无法辨认的二进制码。 ◇数据加密的方法基本上有三种：信息编码、信息置换和信息替换。常用的密码方法有：DES、公钥密码等。 ◇由于数据加解密是比较耗时的操作，而且数据加密与解密程序会占用大量系统资源，增加了系统的开销，降低了数据库的效率，因此数据加解密功能通常作为可选特征。 * * * * */37 第四章 数据库安全性 4.1 计算机安全性概述 4.2 数据库安全性控制 4.3 视图机制 4.4 审计 4.5 数据加密 */37 4.1 计算机安全性概述 ◇什么是数据库的安全性 数据库的安全性是指保护数据库，防止因用户非法使用 数据库造成数据泄露、更改或破坏。 ◇什么是计算机系统安全性 为计算机系统建立和采取的各种安全保护措施，以保护 计算机系统中的硬件、软件及数据，防止其因偶然或 恶意的原因使系统遭到破坏，数据遭到更改或泄露 等。 ◇数据库的安全性和计算机系统的安全性是紧密联系、相互支持的。 */37 1.计算机系统的三类安全性问题 ◇技术安全类 采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护。 ◇管理安全类 软硬件意外故障、场地的意外事故、管理不善导致的计算机设备和数据介质的物理破坏、丢失等安全问题。 ◇政策法律类 政府部门建立的有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法令。 4.1 计算机安全性概述（续） */37 4.1 计算机安全性概述（续） 2.安全标准简介 TCSEC标准(桔皮书)，四组7级/TDI(紫皮书) （数据库安全常用的级别是C2级、B1级和B2级） 安全级别 定义 A1 验证设计（Verified Design） B3 安全域（Security Domains） B2 结构化保护（Structural Protection） B1 标记安全保护（Labeled Security Protection） C2 受控的存取保护（Controlled Access Protection） C1 自主安全保护（Discretionary Security Protection） D 最小保护（Minimal Protection） (1)D级标准，为基本无安全保护的系统。 如DOS就是操作系统中安全标准为D的典型例子。它具有操作系统的基本功能，如文件系统，进程调度等等，但在安全性方面几乎没有什么专门的机制来保障。 (3)C1级标准 只提供了非常初级的自主安全保护。能够实现对用户和数据的分离，进行自主存取控制（DAC），保护或限制用户权限的传播。现有的商业系统往往稍作改进即可满足要求。 (3)C2