数据库安全性PPT课件推荐

《数据库安全性PPT课件推荐》由会员分享，可在线阅读，更多相关《数据库安全性PPT课件推荐（93页珍藏版）》请在装配图网上搜索。

1、数据库应用数据库应用 Application of database第四章第四章 数据库安全性数据库安全性2上一章主要内容上一章主要内容vSQL概述概述v数据定义数据定义v数据查询数据查询v数据更新数据更新v视图视图3上一章主要内容（续）上一章主要内容（续）vSQL概述概述4上一章主要内容（续）上一章主要内容（续）v数据定义数据定义5上一章主要内容（续）上一章主要内容（续）v数据查询数据查询SELECT ALL|DISTINCT ，FROM，WHERE GROUP BY HAVING ORDER BY ASC|DESC ；6上一章主要内容（续）上一章主要内容（续）v数据更新数据更新INSERT

2、 INTO (，)VALUES(，)INSERT INTO (，)子查询子查询UPDATE SET =，=WHERE DELETE FROM WHERE；7上一章主要内容（续）上一章主要内容（续）v视图视图CREATE VIEW (，)AS WITH CHECK OPTION；8第四章第四章 数据库安全性数据库安全性v 问题的提出问题的提出数据库的一大特点是数据可以共享数据库的一大特点是数据可以共享但数据共享必然带来数据库的安全性问题但数据共享必然带来数据库的安全性问题数据库系统中的数据共享不能是无条件的共享数据库系统中的数据共享不能是无条件的共享例：军事秘密、例：军事秘密、国家机密、国家机密

3、、新产品实验数据、新产品实验数据、市场需求分析、市场营销策略、销售计划、市场需求分析、市场营销策略、销售计划、客户档案、客户档案、医疗档案、医疗档案、银行储蓄数据银行储蓄数据9数据库安全性（续）数据库安全性（续）v什么是数据库的安全性什么是数据库的安全性数据库的安全性是指保护数据库，防止因用户非法使用数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改或破坏。数据库造成数据泄露、更改或破坏。v各系统安全性之间是相互紧密联系、相互支持的各系统安全性之间是相互紧密联系、相互支持的v数据库系统的安全保护措施是否有效是数据库系统数据库系统的安全保护措施是否有效是数据库系统主要的性能

4、指标之一。主要的性能指标之一。10第四章第四章 数据库安全性数据库安全性v4.1 计算机安全性概述计算机安全性概述v4.2 数据库安全性控制数据库安全性控制v4.3 视图机制视图机制v4.4 审计审计v4.5 数据加密数据加密v4.6 统计数据库安全性统计数据库安全性v4.7 小结小结114.1 计算机安全性概论计算机安全性概论v4.1.1 计算机系统的三类安全性问题计算机系统的三类安全性问题 v4.1.2 安全标准简介安全标准简介124.1.1 计算机系统的三类安全性问题计算机系统的三类安全性问题v什么是计算机系统安全性什么是计算机系统安全性为计算机系统建立和采取的各种安全保护措施，以保护为

5、计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的计算机系统中的硬件硬件、软件软件及及数据数据，防止其因偶然或恶，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。意的原因使系统遭到破坏，数据遭到更改或泄露等。13计算机系统的三类安全性问题（续）计算机系统的三类安全性问题（续）v三类计算机系统安全性问题三类计算机系统安全性问题技术安全类技术安全类管理安全类管理安全类政策法律类政策法律类144.1.2 安全标准简介安全标准简介v为降低进而消除对系统的安全攻击，各国引用或制定了一系为降低进而消除对系统的安全攻击，各国引用或制定了一系列安全标准列安全标准TCSEC(桔皮书桔皮书

6、)TDI(紫皮书紫皮书)15安全标准简介（续）安全标准简介（续）v1985年美国国防部（年美国国防部（DoD）正式颁布）正式颁布 DoD可信计算机系统可信计算机系统评估标准评估标准（简称（简称TCSEC或或DoD85）TCSEC又称桔皮书又称桔皮书TCSEC标准的目的标准的目的v提供一种标准，使提供一种标准，使用户用户可以对其计算机系统内敏感信息安全操作可以对其计算机系统内敏感信息安全操作的的可信程度可信程度做做评估评估。v给计算机行业的给计算机行业的制造商制造商提供提供一种可循的一种可循的指导规则指导规则，使其产品能够，使其产品能够更好地满足敏感应用的安全需求。更好地满足敏感应用的安全需求。

7、16安全标准简介（续）安全标准简介（续）v1991年年4月美国月美国NCSC（国家计算机安全中心）颁布（国家计算机安全中心）颁布了了可信计算机系统评估标准关于可信数据库系统可信计算机系统评估标准关于可信数据库系统的解释的解释（Trusted Database Interpretation 简称简称TDI）TDI又称紫皮书。它将又称紫皮书。它将TCSEC扩展到数据库管理系统。扩展到数据库管理系统。TDI中定义了数据库管理系统的设计与实现中需满足和用中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准。以进行安全性级别评估的标准。17安全标准简介（续）安全标准简介（续）vTDI

8、/TCSEC标准的基本内容标准的基本内容TDI与与TCSEC一样，从一样，从四个方面四个方面来描述安全性级别划分来描述安全性级别划分的指标的指标v安全策略安全策略v责任责任v保证保证v文档文档18安全标准简介（续）安全标准简介（续）vR1 安全策略（安全策略（Security Policy）R1.1 自主存取控制自主存取控制（Discretionary Access Control，简记为，简记为DAC）R1.2 客体重用（客体重用（Object Reuse）R1.3 标记（标记（Labels）R1.4 强制存取控制（强制存取控制（Mandatory Access Control，简记为，简记

9、为MAC）19安全标准简介（续）安全标准简介（续）v自主存取控制自主存取控制定义各个用户对不同数据对象的存取权限，当用户对数定义各个用户对不同数据对象的存取权限，当用户对数据库访问时首先检查用户的存取权限，防止不合法用户据库访问时首先检查用户的存取权限，防止不合法用户对数据库的存取。对数据库的存取。v客体重用客体重用指在计算机信息系统可信计算机的空闲存储客体空间中，指在计算机信息系统可信计算机的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体之前，撤销该对客体初始指定、分配或再分配一个主体之前，撤销该客体所含信息的所有授权。当主体获得对一个已被释放客体所含信息的所有授权。当主体获得对一

10、个已被释放的客体的访问权时，当前主体不能获得原主体活动所产的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。客体重用功能可以防止重要的客体介质生的任何信息。客体重用功能可以防止重要的客体介质在重新分配给其他主体的时候产生信息泄漏。在重新分配给其他主体的时候产生信息泄漏。20v标记标记对每一个数据对象加以标记对每一个数据对象加以标记，标识数据的的安全级别，标识数据的的安全级别v强制存取控制强制存取控制每一个数据对象被（强制地）标以一定的密级，每一个每一个数据对象被（强制地）标以一定的密级，每一个用户也被（强制地）授予某一个级别的许可证。系统规用户也被（强制地）授予某一个级别的许可证。

11、系统规定只有具有某一许可证级别的用户才能存取某一个密级定只有具有某一许可证级别的用户才能存取某一个密级的数据对象。的数据对象。21安全标准简介（续）安全标准简介（续）vR2 责任（责任（Accountability）R2.1 标识与鉴别（标识与鉴别（Identification&Authentication）R2.2 审计（审计（Audit）vR3 保证（保证（Assurance）R3.1 操作保证（操作保证（Operational Assurance）R3.2 生命周期保证（生命周期保证（Life Cycle Assurance）22安全标准简介（续）安全标准简介（续）vR4 文档（文档（D

12、ocumentation）R4.1 安全特性用户指南（安全特性用户指南（Security Features Users Guide）R4.2 可信设施手册（可信设施手册（Trusted Facility Manual）R4.3 测试文档（测试文档（Test Documentation）R4.4 设计文档（设计文档（Design Documentation）23安全标准简介（续）安全标准简介（续）vTCSEC/TDI安全级别划分安全级别划分安安 全全 级级 别别 定定 义义A1验证设计（验证设计（Verified Design）B3安全域（安全域（Security Domains）B2结构化保护

13、（结构化保护（Structural Protection）B1标记安全保护（标记安全保护（Labeled Security Protection）C2受控的存取保护受控的存取保护（Controlled Access Protection）C1自主安全保护自主安全保护（Discretionary Security Protection）D最小保护（最小保护（Minimal Protection）24安全标准简介（续）安全标准简介（续）vTCSEC/TDI安全级别划分安全级别划分四组四组(division)七个等级七个等级v Dv C（C1，C2）v B（B1，B2，B3）v A（A1）按系统可靠

14、或可信程度逐渐增高按系统可靠或可信程度逐渐增高各安全级别之间具有一种偏序向下兼容的关系，即较高各安全级别之间具有一种偏序向下兼容的关系，即较高安全性级别提供的安全保护要包含较低级别的所有保护安全性级别提供的安全保护要包含较低级别的所有保护要求，同时提供更多或更完善的保护能力要求，同时提供更多或更完善的保护能力25安全标准简介（续）安全标准简介（续）vD级级将一切不符合更高标准的系统均归于将一切不符合更高标准的系统均归于D组组典型例子：典型例子：DOS是安全标准为是安全标准为D的操作系统的操作系统v DOS在安全性方面几乎没有什么专门的机制来保障在安全性方面几乎没有什么专门的机制来保障26安全标

15、准简介（续）安全标准简介（续）vC1级级非常初级的自主安全保护非常初级的自主安全保护能够实现对用户和数据的分离，进行自主存取控制能够实现对用户和数据的分离，进行自主存取控制（DAC），保护或限制用户权限的传播。），保护或限制用户权限的传播。现有的商业系统往往稍作改进即可满足要求。现有的商业系统往往稍作改进即可满足要求。27安全标准简介（续）安全标准简介（续）vC2级级安全产品的最低档次安全产品的最低档次提供受控的存取保护，将提供受控的存取保护，将C1级的级的DAC进一步细化，以个人身份注册进一步细化，以个人身份注册负责，并实施审计和资源隔离负责，并实施审计和资源隔离达到达到C2级的产品在其名称

16、中往往不突出级的产品在其名称中往往不突出“安全安全”(Security)这一特色这一特色典型例子典型例子v 操作系统操作系统Microsoft的的Windows 2000v数据库数据库Oracle公司的公司的Oracle 728安全标准简介（续）安全标准简介（续）vB1级级标记安全保护。标记安全保护。“安全安全”(Security)或或“可信的可信的”(Trusted)产品。产品。对系统的数据加以标记，对标记的主体和客体实施强制对系统的数据加以标记，对标记的主体和客体实施强制存取控制（存取控制（MAC）、审计等安全机制）、审计等安全机制29安全标准简介（续）安全标准简介（续）vB2级级结构化保

17、护结构化保护建立形式化的安全策略模型并对系统内的所有主体和客建立形式化的安全策略模型并对系统内的所有主体和客体实施体实施DAC和和MAC。经过认证的经过认证的B2级以上的安全系统非常稀少级以上的安全系统非常稀少30安全标准简介（续）安全标准简介（续）vB3级级安全域。安全域。该级的该级的TCB必须满足访问监控器的要求，审计跟踪能力必须满足访问监控器的要求，审计跟踪能力更强，并提供系统恢复过程。更强，并提供系统恢复过程。31安全标准简介（续）安全标准简介（续）vA1级级验证设计，即提供验证设计，即提供B3级保护的同时给出系统的形式化设级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正

18、实现。计说明和验证以确信各安全保护真正实现。32安全标准简介（续）安全标准简介（续）vB2以上的系统以上的系统还处于理论研究阶段还处于理论研究阶段应用多限于一些特殊的部门如军队等应用多限于一些特殊的部门如军队等美国正在大力发展安全产品，试图将目前仅限于少数领美国正在大力发展安全产品，试图将目前仅限于少数领域应用的域应用的B2安全级别下放到商业应用中来，并逐步成为安全级别下放到商业应用中来，并逐步成为新的商业标准。新的商业标准。33第四章第四章 数据库安全性数据库安全性v4.1 计算机安全性概述计算机安全性概述v4.2 数据库安全性控制数据库安全性控制v4.3 视图机制视图机制v4.4 审计审计

19、v4.5 数据加密数据加密v4.6 统计数据库安全性统计数据库安全性v4.7 小结小结344.2 数据库安全性控制数据库安全性控制v4.2.1 用户标识与鉴别用户标识与鉴别v4.2.2 存取控制存取控制v4.2.3 自主存取控制方法自主存取控制方法v4.2.4 授权与回收授权与回收v4.2.5 数据库角色数据库角色v4.2.6 强制存取控制方法强制存取控制方法35计算机系统中的安全模型计算机系统中的安全模型 应用应用DBMSOS DB 安全性控制层次安全性控制层次 方法：方法：用户标识用户标识和鉴定和鉴定 存取控制存取控制审计审计视图视图 操作系统操作系统 安全保护安全保护 密码存储密码存储

20、364.2.1 用户标识与鉴别用户标识与鉴别v用户标识与鉴别（用户标识与鉴别（Identification&Authentication）系统提供的最外层安全保护措施系统提供的最外层安全保护措施37用户标识与鉴别用户标识与鉴别v基本方法基本方法系统提供一定的方式让用户标识自己的名字或身份；系统提供一定的方式让用户标识自己的名字或身份；系统内部记录着所有合法用户的标识；系统内部记录着所有合法用户的标识；每次用户要求进入系统时，由系统核对用户提供的身份每次用户要求进入系统时，由系统核对用户提供的身份标识；通过鉴定后才提供机器使用权。标识；通过鉴定后才提供机器使用权。用户标识和鉴定可以重复多次用户标

21、识和鉴定可以重复多次38用户标识自己的名字或身份用户标识自己的名字或身份v用户名用户名/口令口令简单易行，容易被人窃取简单易行，容易被人窃取v每个用户预先约定好一个每个用户预先约定好一个计算过程计算过程或者或者函数函数系统提供一个随机数系统提供一个随机数用户根据自己预先约定的计算过程或者函数进行计算用户根据自己预先约定的计算过程或者函数进行计算系统根据用户计算结果是否正确鉴定用户身份系统根据用户计算结果是否正确鉴定用户身份394.2.2 存取控制存取控制v存取控制机制的功能存取控制机制的功能存取控制机制的组成存取控制机制的组成v 定义存取权限定义存取权限v 检查存取权限检查存取权限用户权限定义

22、和合法权检查机制一起组成了用户权限定义和合法权检查机制一起组成了DBMS的安全子系统的安全子系统40存取控制（续）存取控制（续）定义存取权限定义存取权限v在数据库系统中，为了保证用户在数据库系统中，为了保证用户只能访问他有权存取的数据只能访问他有权存取的数据，必，必须预先对每个用户定义存取权限。须预先对每个用户定义存取权限。检查存取权限检查存取权限v对于通过鉴定获得上机权的用户（即合法用户），系统根据他的对于通过鉴定获得上机权的用户（即合法用户），系统根据他的存取权限定义对他的各种操作请求进行控制，确保他只执行合法存取权限定义对他的各种操作请求进行控制，确保他只执行合法操作。操作。41存取控制

23、（续）存取控制（续）v常用存取控制方法常用存取控制方法自主存取控制自主存取控制（Discretionary Access Control，简称，简称DAC）v C2级级v 灵活灵活强制存取控制强制存取控制（Mandatory Access Control，简称，简称 MAC）v B1级级v严格严格42自主存取控制方法自主存取控制方法v同一用户对于不同的数据对象有不同的存取权限同一用户对于不同的数据对象有不同的存取权限v不同的用户对同一对象也有不同的权限不同的用户对同一对象也有不同的权限v用户还可将其拥有的存取权限转授给其他用户用户还可将其拥有的存取权限转授给其他用户43强制存取控制方法强制存取

24、控制方法v每一个数据对象被标以一定的密级每一个数据对象被标以一定的密级v每一个用户也被授予某一个级别的许可证每一个用户也被授予某一个级别的许可证v对于任意一个对象，只有具有合法许可证的用户才可对于任意一个对象，只有具有合法许可证的用户才可以存取以存取444.2.3自主存取控制方法自主存取控制方法优点优点v能够通过授权机制有效地控制其他用户对敏感数据的存取能够通过授权机制有效地控制其他用户对敏感数据的存取缺点缺点v可能存在数据的可能存在数据的“无意泄露无意泄露”v原因：这种机制仅仅通过对数据的存取权限来进行安全控制，而数原因：这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标

25、记。据本身并无安全性标记。v解决：对系统控制下的所有主客体实施强制存取控制策略解决：对系统控制下的所有主客体实施强制存取控制策略45关系型数据库系统中的存取权限关系型数据库系统中的存取权限464.2.4 授权与回收授权与回收v谁定义？谁定义？DBADBA和表的建立者（即表的属主）和表的建立者（即表的属主）v如何定义？如何定义？SQL语句：语句：GRANT REVOKE47一、授一、授 权权(GRANT)vGRANTGRANT语句的一般格式：语句的一般格式：GRANTGRANT ,.ON ON ,TOTO ,.WITH GRANT OPTION;WITH GRANT OPTION;v谁定义？谁定

26、义？DBADBA和表的建立者（即表的属主）和表的建立者（即表的属主）DBA DBA授予授予-普通用户普通用户 接受权限的用户接受权限的用户:一个或多个具体用户一个或多个具体用户 PUBLICPUBLIC（全体用户）（全体用户）vGRANT功能：将对指定操作对象的指定操作权限授予指定的功能：将对指定操作对象的指定操作权限授予指定的用户用户。48(1)用户的权限用户的权限v建表（建表（CREATETABCREATETAB）的权限）的权限:属于属于DBADBAvDBADBA授予授予-普通用户普通用户v基本表或视图的属主拥有对该表或视图的一切操作基本表或视图的属主拥有对该表或视图的一切操作权限权限v接

27、受权限的用户接受权限的用户:一个或多个具体用户一个或多个具体用户 PUBLICPUBLIC（全体用户）（全体用户）49(2)WITH GRANT OPTION(2)WITH GRANT OPTION子句子句v指定了指定了WITH GRANT OPTIONWITH GRANT OPTION子句子句:获得某种权限的用户还可以把这种权限获得某种权限的用户还可以把这种权限再授予再授予别的别的用户。用户。v没有指定没有指定WITH GRANT OPTIONWITH GRANT OPTION子句子句:获得某种权限的用户只能使用该权限，获得某种权限的用户只能使用该权限，不能传播不能传播该该权限。权限。v不允

28、许循环授权。不允许循环授权。50例题例题 例例1 1 把查询把查询StudentStudent表权限授给用户表权限授给用户U1U1 GRANT SELECT ON TABLE Student TO U1;51例题（续）例题（续）例例2 2 把对把对StudentStudent表和表和CourseCourse表的全部权限授予用表的全部权限授予用户户U2U2和和U3U3 GRANT GRANT ALL PRIVILIGESALL PRIVILIGES ON TABLE Student,Course ON TABLE Student,Course TO U2,U3;TO U2,U3;52例题（续）例

29、题（续）例例3 3 把对表把对表SCSC的查询权限授予所有用户的查询权限授予所有用户 GRANT SELECT GRANT SELECT ON TABLE SC ON TABLE SC TO TO PUBLICPUBLIC;53例题（续）例题（续）例例4 4 把查询把查询StudentStudent表和修改学生学号的权限授给表和修改学生学号的权限授给用户用户U4U4 GRANT GRANT UPDATE(Sno),UPDATE(Sno),SELECT SELECT ON TABLE Student ON TABLE Student TO U4;TO U4;54例题（续）例题（续）例例5 5 把

30、对表把对表SCSC的的INSERTINSERT权限授予权限授予U5U5用户，并允许他用户，并允许他再将此权限授予其他用户再将此权限授予其他用户 GRANT INSERT GRANT INSERT ON TABLE SC ON TABLE SC TO U5 TO U5 WITH GRANT OPTIONWITH GRANT OPTION;55传播权限传播权限 执行例执行例5 5后，后，U5U5不仅拥有了对表不仅拥有了对表SCSC的的INSERTINSERT权限，权限，还可以传播还可以传播此权限此权限：例例66 GRANT INSERT ON TABLE SC GRANT INSERT ON TA

31、BLE SC TO U6TO U6 WITH GRANT OPTIONWITH GRANT OPTION;同样，同样，U6U6还可以将此权限授予还可以将此权限授予U7U7：例例77 GRANT INSERT ON TABLE SC GRANT INSERT ON TABLE SC TO U7TO U7;但但U7U7不能再传播此权限。不能再传播此权限。U5-U6-U7U5-U6-U756用户权限定义表示例用户权限定义表示例57二、收回权限二、收回权限(REVOKE)vREVOKEREVOKE语句的一般格式为：语句的一般格式为：REVOKE REVOKE,.ON ON ,FROM FROM,.;.

32、;v功能：从指定功能：从指定用户用户那里收回对指定那里收回对指定对象对象的指定的指定权限权限58例题例题 例例8 8 把用户把用户U4U4修改学生学号的权限收回修改学生学号的权限收回REVOKE UPDATE(Sno)REVOKE UPDATE(Sno)ON TABLE Student ON TABLE Student FROM U4;FROM U4;59例题（续）例题（续）例例9 9 收回所有用户对表收回所有用户对表SCSC的查询权限的查询权限REVOKE SELECT REVOKE SELECT ON TABLE SC ON TABLE SC FROM FROM PUBLICPUBLIC;

33、60例题（续）例题（续）例例10 10 把用户把用户U5U5对对SCSC表的表的INSERTINSERT权限收回权限收回REVOKE INSERT REVOKE INSERT ON TABLE SC ON TABLE SC FROM U5;FROM U5;完整格式：完整格式：REVOKE INSERT REVOKE INSERT ON TABLE SC ON TABLE SC FROM U5 CASCADE;FROM U5 CASCADE;61用户权限定义表示例用户权限定义表示例62三、创建数据库模式的权限三、创建数据库模式的权限v对数据库模式的授权由对数据库模式的授权由DBA在创建用户时授权

34、在创建用户时授权vCREATE USER语句格式语句格式 CREATE USER WITHDBA|RESOURCE|CONNECTv注意注意只有系统的超级用户才有权创建一个新的数据库用户只有系统的超级用户才有权创建一个新的数据库用户新创建的数据库用户有三种权限新创建的数据库用户有三种权限 CONNECT、RESOURCE和和DBA63三、创建数据库模式的权限（续）三、创建数据库模式的权限（续）v三种权限三种权限CONNECT：只能连接数据库，不能创建新用户、模式：只能连接数据库，不能创建新用户、模式和基本表（默认权限）和基本表（默认权限）RESOURCE：可以创建基本表和视图，成为所创建对象：

35、可以创建基本表和视图，成为所创建对象的属主，可以使用的属主，可以使用GRANT语句授权该对象上的存取权限语句授权该对象上的存取权限给其它用户（但给其它用户（但不能创建模式不能创建模式）DBA：超级用户，可以创建用户、模式、基本表、视图：超级用户，可以创建用户、模式、基本表、视图等，拥有所有数据库对象的存取权限，还可以把这些权等，拥有所有数据库对象的存取权限，还可以把这些权限授权给一般用户限授权给一般用户64权限与可执行操作对照表权限与可执行操作对照表654.2.5 数据库角色数据库角色v数据库角色是被命名的一组与数据库操作相关的权数据库角色是被命名的一组与数据库操作相关的权限限,是权限的集合是

36、权限的集合角色的创建角色的创建给角色授权给角色授权将一个角色授予其他的角色或用户将一个角色授予其他的角色或用户角色权限的回收角色权限的回收66角色的创建角色的创建vCREATE ROLE 例：例：CREATE ROLE R1;v新创建的角色是空的，没有任何内容新创建的角色是空的，没有任何内容67给角色授权给角色授权vGRANT,ON 对象名对象名 TO ,v例：例：GRANT SELECT,UPDATE,INSERT ON TABLE STUDENT TO R1;68将一个角色授予其他的角色或用户将一个角色授予其他的角色或用户vGRANT,TO,WITH ADMIN OPTIONv 注意注意W

37、ITH ADMIN OPTION:获得权限的角色或用户还可以获得权限的角色或用户还可以把权限在授予其它的角色把权限在授予其它的角色授予者：角色创建者，或者拥有在这个角色上的授予者：角色创建者，或者拥有在这个角色上的ADMIN OPTION一个角色的权限：直接授予这个角色的权限一个角色的权限：直接授予这个角色的权限+其它角色授其它角色授予这个角色的全部权限予这个角色的全部权限69角色权限的回收角色权限的回收vREVOKE,ON FROM,执行者：角色创建者，或者拥有在这个角色上的执行者：角色创建者，或者拥有在这个角色上的ADMIN OPTIONv例：例：REVOKE SELECT ON TABL

38、E Student FROM R1704.2.6 强制存取控制方法强制存取控制方法v强制存取控制的特点强制存取控制的特点MAC是对数据本身进行密级标记是对数据本身进行密级标记无论数据如何复制，标记与数据是一个不可分的整体无论数据如何复制，标记与数据是一个不可分的整体只有符合密级标记要求的用户才可以操纵数据，从而提供只有符合密级标记要求的用户才可以操纵数据，从而提供了更高级别的安全性了更高级别的安全性71MAC与与DACvDAC与与MAC共同构成共同构成DBMS的安全机制的安全机制原因：较高安全性级别提供的安全保护要包含较低级别的所有保护原因：较高安全性级别提供的安全保护要包含较低级别的所有保护

39、v先进行先进行DAC检查，通过检查，通过DAC检查的数据对象再由系统进行检查的数据对象再由系统进行MAC检查，只有通过检查，只有通过MAC检查的数据对象方可存取。检查的数据对象方可存取。SQL语法分析语法分析&语义检查语义检查 DAC 检检 查查 安全检查安全检查 MAC 检检 查查 继继 续续724.3 视图机制视图机制v视图机制把要保密的数据对无权存取这些数据的用户隐藏起视图机制把要保密的数据对无权存取这些数据的用户隐藏起来，来，v视图机制能视图机制能间接实现间接实现支持存取谓词的用户权限定义支持存取谓词的用户权限定义73视图机制（续）视图机制（续）例：王平只能检索计算机系学生的信息例：王

40、平只能检索计算机系学生的信息 先建立计算机系学生的视图先建立计算机系学生的视图CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=CS；74视图机制（续）视图机制（续）在视图上进一步定义存取权限在视图上进一步定义存取权限 GRANT SELECT ON CS_Student TO 王平王平GRANT ALL PRIVILEGESON CS_StdentTO 张明张明754.4 审计审计v什么是审计什么是审计启用一个专用的审计日志（启用一个专用的审计日志（Audit Log）将用户对数据库）将用户对数据库的所有

41、操作记录在上面的所有操作记录在上面DBA可以利用审计日志中的追踪信息找出非法存取数据可以利用审计日志中的追踪信息找出非法存取数据的人的人C2以上安全级别的以上安全级别的DBMS必须具有审计功能必须具有审计功能76审计（续）审计（续）v审计功能的可选性审计功能的可选性审计很费时间和空间审计很费时间和空间DBA可以根据应用对安全性的要求，灵活地打开或关闭可以根据应用对安全性的要求，灵活地打开或关闭审计功能。审计功能。77审计（续）审计（续）v用户级审计用户级审计用户针对自己创建的数据库或视图进行审计，记录所有用户针对自己创建的数据库或视图进行审计，记录所有用户对这些表或视图的一切访问要求（成功的和

42、（或者）用户对这些表或视图的一切访问要求（成功的和（或者）不成功的）和各类型的不成功的）和各类型的SQL操作。（操作。（任何用户任何用户可设置的可设置的审计）审计）v系统级审计系统级审计用以监测成功或者失败的登录要求、监测用以监测成功或者失败的登录要求、监测GRANT和和REVOKE操作以及其他数据库级别权限下的操作。（只操作以及其他数据库级别权限下的操作。（只能有能有DBA设置）设置）78审计（续）审计（续）vAUDIT 语句语句例：例：对修改对修改SC表结构或修改表数据的操作进行审计表结构或修改表数据的操作进行审计AUDIT ALTER，UPDATE ON SCvNOAUDIT 语句语句例

43、：例：取消对取消对SC的一切审计的一切审计NOAUDIT ALTER，UPDATE ON SC794.5 数据加密数据加密v数据加密数据加密防止数据库中数据在存储和传输中失密的有效手段防止数据库中数据在存储和传输中失密的有效手段v加密的基本思想加密的基本思想根据一定的算法将原始数据（术语为明文，根据一定的算法将原始数据（术语为明文，Plain text）变换为不可直接识别的格式（术语为密文，变换为不可直接识别的格式（术语为密文，Cipher text）不知道解密算法的人无法获知数据的内容不知道解密算法的人无法获知数据的内容80数据加密（续）数据加密（续）v加密方法加密方法 替换方法替换方法v使

44、用密钥（使用密钥（Encryption Key）将明文中的每一个字符转换为密文中）将明文中的每一个字符转换为密文中的一个字符的一个字符置换方法置换方法v将明文的字符按不同的顺序重新排列将明文的字符按不同的顺序重新排列混合混合方法方法v美国美国1977年制定的官方加密标准：数据加密标准（年制定的官方加密标准：数据加密标准（Data Encryption Standard，简称，简称DES）81数据加密（续）数据加密（续）v数据加密功能通常也作为可选特征，允许用户自由数据加密功能通常也作为可选特征，允许用户自由选择选择数据加密与解密是比较费时的操作数据加密与解密是比较费时的操作数据加密与解密程序会

45、占用大量系统资源数据加密与解密程序会占用大量系统资源应该只对高度机密的数据加密应该只对高度机密的数据加密824.6 统计数据库安全性统计数据库安全性v统计数据库的特点统计数据库的特点允许用户查询允许用户查询聚集聚集类型的信息（例如合计、平均值等）类型的信息（例如合计、平均值等）不允许查询不允许查询单个单个记录信息记录信息例：允许查询例：允许查询“程序员的平均工资是多少？程序员的平均工资是多少？”不允许查询不允许查询“程序员张勇的工资？程序员张勇的工资？”83统计数据库安全性（续）统计数据库安全性（续）v统计数据库中特殊的安全性问题统计数据库中特殊的安全性问题 隐蔽的信息通道隐蔽的信息通道 从合

46、法的查询中推导出不合法的信息从合法的查询中推导出不合法的信息84统计数据库安全性（续）统计数据库安全性（续）例例1：下面两个查询都是合法的：下面两个查询都是合法的：1本公司共有多少女高级程序员？本公司共有多少女高级程序员？2本公司女高级程序员的工资总额是多少？本公司女高级程序员的工资总额是多少？如果第一个查询的结果是如果第一个查询的结果是“1”，那么第二个查询的结果显然就是这个程序员的工资数。那么第二个查询的结果显然就是这个程序员的工资数。规则规则1：任何查询至少要涉及：任何查询至少要涉及N(N足够大足够大)个以上的记录。个以上的记录。85统计数据库安全性（续）统计数据库安全性（续）例例2：用

47、户：用户A发出下面两个合法查询：发出下面两个合法查询：1用户用户A和其他和其他N个程序员的工资总额是多少？个程序员的工资总额是多少？2用户用户B和其他和其他N个程序员的工资总额是多少？个程序员的工资总额是多少？若第一个查询的结果是若第一个查询的结果是X，第二个查询的结果是，第二个查询的结果是Y，由于用户由于用户A知道自己的工资是知道自己的工资是Z，那么他可以计算出用户那么他可以计算出用户B的工资的工资=Y-(X-Z)。原因：两个查询之间有很多重复的数据项原因：两个查询之间有很多重复的数据项规则规则2：任意两个查询的相交数据项不能超过：任意两个查询的相交数据项不能超过M个个 86统计数据库安全性

48、（续）统计数据库安全性（续）可以证明，在上述两条规定下，如果想获知用户可以证明，在上述两条规定下，如果想获知用户B的工资额的工资额 A至少需要进行至少需要进行1+(N-2)/M次查询次查询规则规则3：任一用户的查询次数不能超过：任一用户的查询次数不能超过1+(N-2)/M 如果两个用户合作查询就可以使这一规定失效如果两个用户合作查询就可以使这一规定失效87本章小结本章小结v计算机安全概述计算机安全概述v数据库安全性控制数据库安全性控制88本章小结（续）本章小结（续）v计算机安全概述计算机安全概述三类安全性问题三类安全性问题v技术安全、管理安全和政策安全技术安全、管理安全和政策安全安全标准（安全

49、标准（TCSEC/TDI）安安 全全 级级 别别 定定 义义A1验证设计（验证设计（Verified Design）B3安全域（安全域（Security Domains）B2结构化保护（结构化保护（Structural Protection）B1标记安全保护（标记安全保护（Labeled Security Protection）C2受控的存取保护受控的存取保护（Controlled Access Protection）C1自主安全保护自主安全保护（Discretionary Security Protection）D最小保护（最小保护（Minimal Protection）89本章小结（续）本

50、章小结（续）v数据库安全性控制数据库安全性控制存取控制：定义存取权限、检查存取权限存取控制：定义存取权限、检查存取权限两类存取控制方法两类存取控制方法v自主存取控制（自主存取控制（DAC）v强制存取控制（强制存取控制（MAC）90本章小结（续）本章小结（续）vGRANTGRANT语句的一般格式：语句的一般格式：GRANTGRANT ,.ON ON TOTO ,.WITH GRANT OPTION;WITH GRANT OPTION;vREVOKEREVOKE语句的一般格式为：语句的一般格式为：REVOKEREVOKE ,.ON ON FROMFROM ,.;.;91本章小结（续）本章小结（续）vCREATE USER语句格式语句格式 CREATE USER WITHDBA|RESOURCE|CONNECT92个人观点供参考，欢迎讨论！