- 1、本文档共48页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第六章 数据库安全性; 数据库安全性;第六章 数据库安全性;计算机系统中,安全措施是一级一级层层设置
;数据库安全性控制的常用方法
用户标识和鉴定
存取控制
视图
审计
密码存储;6.1 数据库安全性控制;6.1.1 用户标识与鉴别;用户标识与鉴别(续);6.1 数据库安全性控制;6.1.2 存取控制;存取控制(续);自主存取控制方法;强制存取控制方法 ;6.1 数据库安全性控制;6.1.3 自主存取控制方法;自主存取控制方法(续);自主存取控制(小结);自主存取控制(小结) ;6.1 数据库安全性控制;6.1.4 强制存取控制方法;主体是系统中的活动实体
DBMS所管理的实际用户
代表用户的各进程
客体是系统中的被动实体,是受主体操纵的
文件
基表
索引
视图;敏感度标记(Label)
绝密(Top Secret)
机密(Secret)
可信(Confidential)
公开(Public)
主体的敏感度标记称为许可证级别(Clearance Level)
客体的敏感度标记称为密级(Classification Level); 强制存取控制规则
(1)仅当主体的许可证级别大于或等于客体的密级时,该主体才能读取相应的客体
(2)仅当主体的许可证级别等于客体的密级时,该主体才能写相应的客体
修正规则
主体的许可证级别 <=客体的密级 ? 主体能写客体
;规则的共同点
禁止了拥有高许可证级别的主体更新低密级的数据对象
;MAC与DAC;DAC + MAC安全检查示意图
? SQL语法分析 & 语义检查
?
DAC 检 查
安全检查
MAC 检 查
继 续;6.1 数据库安全性控制;6.1.5 数据库角色;(一)角色的创建
CREATE ROLE <角色名>
(二)给角色授权
GRANT <权限>[,<权限>]…
ON <对象类型>对象名
TO <角色>[,<角色>]…
;(三)将一个角色授予其他的角色或用户
GRANT <角色1>[,<角色2>]…
TO <角色3>[,<用户1>]…
[WITH ADMIN OPTION]
(四)角色权限的收回
REVOKE <权限>[,<权限>]…
ON <对象类型> <对象名>
FROM <角色>[,<角色>]…;第六章 数据库安全性;6.2 视图机制;[例] 建立计算机系学生的视图,把对该视图的SELECT权限授于王平,把该视图上的所有操作权限授于张明
先建立计算机系学生的视图CS_Student
CREATE VIEW CS_Student
AS
SELECT *
FROM Student
WHERE Sdept='CS';;在视图上进一步定义存取权限
GRANT SELECT
ON CS_Student
TO 王平 ;
GRANT ALL PRIVILIGES
ON CS_Student
TO 张明; ;6.3 审计;审计分为
用户级审计
针对自己创建的数据库表或视图进行审计
记录所有用户对这些表或视图的一切成功和(或)不成功的访问要求以及各种类型的SQL操作
系统级审计
DBA设置
监测成功或失败的登录要求
监测GRANT和REVOKE操作以及其他数据库级权限下的操作;AUDIT语句:设置审计功能
NOAUDIT语句:取消审计功能 ;[例]对修改SC表结构或修改SC表数据的操作进行审计
AUDIT ALTER,UPDATE
ON SC;
[例]取消对SC表的一切审计
NOAUDIT ALTER,UPDATE
ON SC;;6.4 数据加密;加密方法
替换方法
使用密钥(Encryption Key)将明文中的每一个字符转换为密文中的一个字符
置换方法
将明文的字符按不同的顺序重新排列
混合方法
美国1977年制定的官方加密标准:数据加密标准(Data Encryption Standard,简称DES)
;DBMS中的数据加密
有些数据库产品提供了数据加密例行程序
有些数据库产品本身未提供加密程序,但提供了接口
文档评论(0)