第4章数据库安全性.pptxVIP

4.1 数据库安全性概述 4.2 数据库安全性控制 4.3 视图机制 4.4 审计 4.5 数据加密 4.6 其他安全性保护 ;4.1 数据库安全性概述;非授权用户对数据库的恶意存取和破坏 指黑客(hacker)或犯罪分子猎取数据库用户名和口令，以合法用户偷取、修改甚至破坏用户数据。 数据库中重要或敏感的数据被泄露 黑客和敌对分子盗窃数据库中的重要数据，导致一些机密信息被暴露。 安全环境的脆弱性 计算机硬件、操作系统、网络系统漏洞造成数据库安全性的破坏。; 可信计算机系统评测标准 ;4.1.2 安全标准介绍;4.2 数据库安全性控制;静态口令鉴别：静态口令用户可以自己设定，鉴别时只要口令正确，用户就可以进入DBMS。口令容易破解，安全性较低。 动态口令鉴别：目前较为安全的鉴别方式。鉴别时需使用动态产生的新口令登录DBMS，即采用一次一密的方法，难破解。 生物特征鉴别：采用生物特征认证技术，如指纹、虹膜和掌纹等唯一性特征。安全性较高。 智能卡鉴别：智能卡是一种不可复制的硬件(内置芯片)，记录了个人身份识别码(PIN)，通过专用读卡器进行鉴别。通过内存扫描或网络监听等技术可盗取PIN，有安全隐患。;存取控制机制作用 确保只授权给有资格的用户访问数据库的权限，同时令所有未授权的人员无法接近数据库。 存取控制机制的组成 定义用户权限。用户权限存放在数据字典中。 被称为安全规则或授权规则。 合法权限检查。若用户的操作请求超出了定义的权限，系统将拒绝执行此操作。 常用存取控制方法 自主存取控制(Discretionary Access Control，简称DAC) 只有达到C2级，才支持自主存取控制(灵活) 强制存取控制(Mandatory Access Control，简称 MAC) 只有达到B1级，才支持强制存取控制(严格) ;用户存取权限的组成：数据库对象和操作类型 自主存取控制SQL语句：GRANT和REVOKE 定义用户存取权限称为授权。同一用户对于不同的数据库对象可有不同的权限，不同用户对同一数据库对象可有不同的权限。用户还可将其拥有的权限转授给其他用户。 数据库对象类型：数据库模式和数据。P141表4.3(关系数据库);SQL Server 2008权限管理;对象授权;对象授权-举例;对象授权-举例;语句授???;收回权限;授权与收回—举例;角色： 数据库角色：被命名的一组与数据库操作相关的权限，角色是权限的集合。 如果一组用户具有相同权限, 可以创建一个拥有这些权限的角色，然后把这一角色授予这一组用户。这样可以简化授权。;创建角色格式1：create role 角色名 创建角色格式2：sp_addrole 角色名 例：create role ‘dbrole1’; sp_addrole ‘dbrole2’; 为角色授权 GRANT 权限1[,权限2]...[ON 对象名] TO 角色1[,角色2]... [WITH GRANT OPTION]; GRANT 语句权限[,语句权限]... TO 角色[,角色]... grant select on course to role2 with grant option; grant create table to role2; ;创建系统登录名 create login 登录名 with password=‘密码’ [, default_database=默认数据库] 删除登录名：drop login 登录名 修改登录名信息 alter login 登录名 with name=新登录名 [, password=‘新密码’][, default_database=默认数据库] 禁用/启用登录名： alter login 登录名 disable/enable 例.创建登录名:db001,密码:db123，默认数据库:dbuser create login db001 with password=db123, default_database=dbuser; 例.将登录名db001更名为db002 alter login db001 with name=db002;;创建当前数据库用户名 create user 用户名 [for|from login 登录名] [ with default_schema=默认架构名] 注：应存在”默认架构”名。 删