《数据库原理与应用》课件第7章.ppt

(1)定义每个模式的主码；(2)定义参照完整性；(3)定义职工年龄不得超过60岁。6．为银行数据库写一个断言，保证第一支行的资产额等于第一支行借出的金额总和。7．写一个SQL触发器来执行下列动作：在对账户进行DELETE操作时，对账户的每一个拥有者，检查该拥有者是否有其他账户，如果没有，把他从depositor关系中删除。8．试述实现数据库安全性控制的常用方法和技术。9．使用连锁超市经营管理系统的例子，分别写出定义如下视图的SQL表达式：(1)包含在No.11连锁店的所有会员的姓名和联系电话的视图。(2)包含在仓库有记录但没库存的商品的名称和生产商的视图。(3)包含在No.7连锁店的每位会员的姓名及其积分的视图。10．在第3章中，那些只需要访问数据库的一部分用户可以用视图来简化对数据库的访问。在这一章里，视图作为安全性机制进行应用。视图的这两个目的有冲突吗？为什么。11．在第5题的基础上，用SQL的GRANT和REVOKE语句(加上视图机制)完成以下授权定义或存取控制功能：(1)用户王明对两个表有SELECT权力；(2)用户李勇对两个表有INSERT和DELETE的权力；(3)每个职工只对自己的记录有SELECT权力；(4)用户刘星对职工表有SELECT权力，对工资字段具有更新权力；(5)用户张新具有修改这两个表结构的权力；(6)用户周平具有对两个表的所有权力(读、插、删、改)，并具有给其他用户授权的权力；(7)用户杨兰具有从每个部门的职工中SELECT最高工资、最低工资、平均工资的权力，但她不能查看每个人的工资。12．对习题7中(1)～(7)的每一种情况，撤销授予各用户的权力。13．什么是数据库的审计功能，为什么要提供审计功能？14．对存储在数据库中的数据进行加密有哪两个好处？图7.2计算机系统安全模型(1)数据库层次(也称物理层次)：物理层次的安全性主要针对强力逼迫透露口令、在通信线路上窃听、甚至盗窃物理存储设备等行为。因此数据以密码形式存储在数据库中，这样，即使窃密者以其他手段从数据库中获取了数据，也无法理解。(2)网络层次：由于几乎所有的数据库系统都允许通过终端或网络进行远程访问，网络软件的软件层安全性和物理安全性一样重要，不管在因特网上还是在私有的网络内。(3)操作系统层次：数据库系统是建立在操作系统之上的，操作系统的各种保护措施也可以对数据库起到保护作用。另一方面，操作系统在安全方面的漏洞也可能成为对数据库进行非法访问的一种手段。(4)数据库系统层次：数据库系统根据预先定义好的用户权限进行存取控制，保证用户只能存取他有权存取的数据。例如某些用户获得的授权可能只允许他访问数据库中有限的部分，而另外一些用户获得的授权可能允许他进行查询，但不允许他修改数据。(5)人员层次：系统提供一定的方式让用户标识自己的名字或身份，由系统进行核实，通过鉴定后才提供使用权。常用的方式有用户标识、口令、随机密码以及授权证书等。对用户的授权必须格外小心，以减少授权用户给入侵者提供访问机会的可能性。为了保证数据库安全，必须在上述所有层次上进行安全性维护。其中，操作系统的安全性在多个层次上实现，其范围从访问系统所需口令到系统中运行的并发进程间的隔离。文件系统也提供了一定程度上的保护。另外，网络层次安全性也已经获得了广泛的关注，网络监控、防火墙等网络安全软件为网络层的安全提供了保护机制。但是，如果其他层次上(如人员层次或物理层次)存在安全性缺陷，高级的安全性措施即使很严格也可能被绕过。在这一节的后续内容中，将基于关系数据模型在数据库系统层次上讨论安全性，其中的概念对所有数据模型来说是同样适用的。7.5.2授权、视图数据库系统通过授权对用户权限进行控制，从而实现对数据的存取控制。所谓“用户权限”是指不同的用户对于不同的数据对象允许执行的操作权限，它由数据对象和操作类型两部分构成，如表7.1所示。在数据库系统中，为了对数据进行保护，通常以视图的形式将数据呈现给用户。视图是给用户提供个性化数据库模型的一种手段，可以隐藏用户不需要看见的数据。这种隐藏数据的能力既可以用于简化系统的使用，又可以用于实现数据库系统的安全性。比如系统可能不允许用户直接访问某个关系,但可以允许用户通过视图访问该关系的一部分。因此，关系级的安全性和视图级的安全性可以结合起来，用于限制用户的访问权限。表7.1关系数据库系统中的存取权限在连锁超市经营管理系统例子中，假设要查询在超市的每个加盟店工作的营业员姓名，而不能看到营业员详细的个人信