数据库安全保护概论.pptx

第6章 数据库安全保护 ;【本章重点】 理解数据库安全性控制含义，掌握数据库安全性控制方法； 理解数据库的完整性控制； 理解事务的概念，掌握数据库并发控制的方法； 掌握数据库备份及恢复的原理和技术。;3;4;针对以上四种对数据库破坏的可能情况，数据库管理系统（DBMS）已采取相应措施对数据库实施保护，具体如下： （1）利用权限机制。 （2）利用完整性约束，防止非法数据进入数据库。 （3）提供并发控制（Concurrent Control）机制，控制多个用户对同一数据的并发操作，以保证多个用户并发访问的顺利进行。 （4）提供故障恢复（Recovery）能力，以保证各种故障发生后，能将数据库中的数据从错误状态恢复到一致状态;2、数据库的安全标准;7;8;9;10;3、视图隔离 视图是是从一个或几个基表（或视图）导出的表，与基表不同，是一个虚表。数据库中只存放视图的定义，而不存放视???对应的数据，这些数据仍存放在原来的基本表中。 在实际应用中，常将视图机制与存取控制机制结合起来使用，首先用视图机制屏蔽一部分保密数据，再在视图上进一步定义存取权限。通过定义不同的视图及有选择地授予视图上的权限，可以将用户、组或角色限制在不同的数据子集内。;12;13;14;15;16;17;18;19;20;3、存取控制 SQL Server对权限的管理包含如下三个内容： （1）授予权限：允许用户或角色具有某种操作权。 （2）收回权限：删除以前在当前数据库内的用户上授予或拒绝的权限。 （3）拒绝权限：拒绝给当前数据库内的安全帐户授予权限并防止安全帐户通过其组或角 色成员继承权限。;在SQL Server2012中，权限分为对象权限、语句权限和隐含权限三种。 （1）对象权限 对象权限是指用户对数据库中的表、视图等对象的操作权，相当于数据操作语言的语句权限。表、视图的权限包括SELECT、INSERT、DELETE、UPDATE。列的权限包括SELECT和UPDATE。存储过程的权限包括EXECUTE。;①授权语句： GRANT 对象权限名[，…] ON {表名 | 视图名 | 存储过程名} TO {数据库用户名 | 用户角色名}[，…] [WITH GRANT OPTION] 例如 GRANT SELECT,INSERT ON Customer TO user1 WITH GRANT OPTION. 该语句把对Customer表的查询权和插入权授予??用户user1，user1同时获得将这些权限转授给别的用户的权限。;②收回权限语句： REVOKE 对象权限名[，…] ON {表名 | 视图名 | 存储过程名} FROM {数据库用户名|用户角色名}[，…] [RESTRICT | CASCADE] 例如 REVOKE INSERT ON Student FROM user1 CASCADE 该语句表示从用户user1处收回对Student表的插入权，若user1已把获得的对Student表的插入权转授给其他用户，则连锁收回。;③拒绝权限语句： DENY 对象权限名[，…] ON {表名 | 视图名 | 存储过程名} TO {数据库用户名|用户角色名}[，…] 例如 DENY UPDATE ON CustomerTO user1 该语句表示拒绝用户user1对Customer表进行修改;（2）语句权限 语句权限是指创建数据库或数据库中的项目的权限，相当于数据定义语言的语句权限。 语句权限包括CREATE DATABASE、CREATE TABLE、CREATE VIEW、CREATE DEFAULT、CREATE RULE、CREATE FUNCTION、CREATE PROCEDURE、BACKUP DATABASE、BACKUP LOG。 ①授予权限语句： GRANT 语句权限名[，…] TO {数据库用户名|用户角色名}[，…] 【例 6-1】授予用户user1创建数据库表的权限 GRANT CREATE TABLE TO user1;②收回权限语句： REVOKE 语句权限名[，…] FROM {数据库用户名|用户角色名}[，…] 【例 6-2】收回用户user1创建数据库表的权限 REVOKE CREATE TABLE FROM user1 ③拒绝权限语句： DENY 语句权限名[，…] TO {数据库用户名|用户角色名}[，…] 【例 6-3】拒绝用户user1创建视图的权限 DENY CREATE VIEW TO user1;（3）隐含权限 隐含权限是指由SQL Server预定义的服务器角色、数据库角色、数据库拥有者和数据库对象拥有者所具有的