收藏
下载资源

数据库第四章教学ppt

上传人:ldj****22 文档编号:51700595 上传时间:2018-08-16 格式:PPT 页数:36 大小:274.50KB
返回 下载 相关 举报
数据库第四章教学ppt_第1页
第1页 / 共36页
数据库第四章教学ppt_第2页
第2页 / 共36页
数据库第四章教学ppt_第3页
第3页 / 共36页
数据库第四章教学ppt_第4页
第4页 / 共36页
数据库第四章教学ppt_第5页
第5页 / 共36页
点击查看更多>>
资源描述

《数据库第四章教学ppt》由会员分享,可在线阅读,更多相关《数据库第四章教学ppt(36页珍藏版)》请在金锄头文库上搜索。

1、数据库系统原理Database System Principles四川大学计算机学院张天庆 2016.9第四章 数据库安全性n 数据库的安全性是指保护数据库以防 止不合法的使用所造成的数据泄露、更改 或破坏。n 数据库的安全性和计算机系统的安全 性是紧密联系、相互支持的。*数据库系统概论- 第4章3/36本章目录n4.1 计算机安全性概述n4.2 数据库安全性控制n4.3 视图机制n4.4 审计n4.5 数据加密n4.6 统计数据库的安全性*数据库系统概论- 第4章4/364.1 计算机安全性概述4.1.1 计算机系统的三类安全性问题n技术安全类采用具有一定安全性的硬件、软件来实现对计算机 系

2、统及其所存数据的安全保护。n管理安全类软硬件意外故障,场地的意外事故,计算机设备 和数据介质的物理破坏、丢失等安全问题。n政策法律类政府部门建立的有关计算机犯罪、数据安全保密 的法律道德准则和政策法规、法令。*数据库系统概论- 第4章5/364.1.2 安全标准简介 (了解)nTCSEC(桔皮书)/TDI(紫皮书)四组7级nA1, B3, B2, B1, C2, C1, DnCC(通用准则) 7个等级nEAL1EAL7*数据库系统概论- 第4章6/36本章目录n4.1 计算机安全性概述n4.2 数据库安全性控制n4.3 视图机制n4.4 审计n4.5 数据加密n4.6 统计数据库的安全性*数据

3、库系统概论- 第4章7/364.2 数据库安全性控制n在一般计算机系统中,安全措施是一级一级 层层设置的:用户DBMS OS DB用户标识 和鉴别存取控制操作系统 安全保护数据密码存储*数据库系统概论- 第4章8/364.2.1 用户标识与鉴别n一般通过用户名和口令来实现。n用户标识 用户名 用户标识号n口令 用于核实用户*数据库系统概论- 第4章9/364.2.2 存取控制n数据库安全性所关心的主要是 DBMS的存取 控制机制。n确保只有合法用户才能访问数据库,一般通 过授权来实现。*数据库系统概论- 第4章10/364.2.2 存取控制n存取控制机制主要包括两部分:(1)定义用户权限定义不

4、同用户对于不同的数据对象允许执行的 操作权限。(2)合法权限检查用户发出存取数据库的操作请求后,DBMS查找 数据字典中存储的权限定义,检查用户操作的合 法性。*数据库系统概论- 第4章11/364.2.2 存取控制n自主存取控制 DACn用户对于不同的数据对象有不同的存取权限, 不同的用户对同一对象也有不同的权限,而且 用户还可将其拥有的存取权限转授给其他用户 。n当前大型的DBMS一般都支持C2级中的自主存取 控制(DAC),SQL标准也通过GRANT语句和 REVOKE语句对其提供了支持。n强制存取控制 MACn每一数据对象被标以一定的密级,每一个用户也被授予某一个级别的许可证。对于 任

5、一个对象,只有具有合法许可证的用户才可以存取。n有些DBMS也支持B1级中的强制存取控制(MAC)。*数据库系统概论- 第4章12/364.2.2 存取控制n自主存取控制 DACn用户对于不同的数据对象有不同的存取权限,不同的用户对同一对象也有不同的权 限,而且用户还可将其拥有的存取权限转授给其他用户。n当前大型的DBMS一般都支持C2级中的自主存取控制(DAC),SQL标准也通过 GRANT语句和REVOKE语句对其提供了支持。n强制存取控制 MACn每一数据对象被标以一定的密级,每一个用户 也被授予某一个级别的许可证。对于任一个对 象,只有具有合法许可证的用户才可以存取。n有些DBMS也支

6、持B1级中的强制存取控制(MAC) 。*数据库系统概论- 第4章13/364.2.3 自主存取控制(DAC)方法n用户权限是由两个要素组成的:(1) 数据对象(2) 操作类型n定义一个用户的存取权限就是要定义这个用 户可以在哪些数据对象上进行哪些类型的操 作。n存取权限的定义称为授权。*数据库系统概论- 第4章14/364.2.3 自主存取控制(DAC)方法n表4.3 关系系统中的存取权限数据对象操作类型模式 (建表)模式 外模式 内模式建立、修改、检索 建立、修改、检索 建立、修改、检索数据表 属性列查找、插入、修改、删除 查找、插入、修改、删除*数据库系统概论- 第4章15/364.2.4

7、 授权(Authorization)与回收nSQL的授权n授权语句 GRANTn格式 GRANT , , ON , TO , WITH GRANT OPTION;*数据库系统概论- 第4章16/364.2.4 授权(Authorization)与回收n例1:把查询Student表的权限授给U1。GRANT SELECT ON StudentTO U1;n例2:将Student, Course两个表上的全部权 限授给U2,U3。GRANT ALL PRIVILEGESON Student, CourseTO U2,U3;*数据库系统概论- 第4章17/364.2.4 授权(Authorizati

8、on)与回收nSQL权限回收nREVOKEn格式 REVOKE , , ON , FROM , CASCADE|RESTRICT;*数据库系统概论- 第4章18/364.2.4 授权(Authorization)与回收n例8 把用户修改学生学号的权限收回 REVOKE UPDATE (Sno) ON TABLE Student FROM U4;n例9 收回所有用户对表SC的查询权限 REVOKE SELECT ON TABLE SC FROM PUBLIC;*数据库系统概论- 第4章19/36创建数据库模式的权限n对模式的授权可在由DBA创建用户时实现 CREATE USER WITH DBA

9、|RESOURCE|CONNECTnDBA 数据库的超级用户nRESOURCE 不能创建用户和模式,可以创建表 等对象*数据库系统概论- 第4章20/364.2.5 数据库角色n数据库角色 被命名的一组与数据库操作相 关的权限(权限的集合)n创建角色nCREATE ROLE ;n角色授权nGRANT命令*数据库系统概论- 第4章21/364.2.5 数据库角色n将一个角色授予其它角色或用户nGRANT , TO |, |n角色权限的收回nREVOKE*数据库系统概论- 第4章22/36Tips: Postgres的角色与用户n在语法结构上,Postgres对角色和用户几乎 同样处理n用户就是默

10、认有LOGIN权限的角色,下面两条 语句完全等价:CREATE ROLE U1 LOGIN;CREATE USER U1;nGRANT对角色或用户授权nREVOKE从角色或用户收回权限*数据库系统概论- 第4章23/364.2.6 强制存取控制(MAC)方法nDBMS管理的全部实体分为主体和客体两大 类n主体是系统中的活动实体n包括DBMS所管理的实际用户和代表用户的各进程。n客体是系统中的被动实体,受主体操纵n包括文件、基表、索引、视图等n对于主体和客体,DBMS为它们每个实例( 值)指派一个敏感度标记(Label)。*数据库系统概论- 第4章24/364.2.6 强制存取控制(MAC)方法

11、n敏感度标记被分成若干级别n例如绝密(Top Secret)、机密(Secret)、可信 (Confidential)、公开(Public)等。n主体的敏感度标记称为许可证级别(Clearance Level)n客体的敏感度标记称为密级(Classification Level)nMAC机制就是通过对比主体的Label和客体的Label,最终确定主体是否能够存取客体。 n当某一用户(或一主体)以标记label注册入系统时,系统要求他对任何客体的存取 必须遵循如下规则: n(1)仅当主体的许可证级别大于或等于客体的密级时,该主体才能读取相应的客体; (2)仅当主体的许可证级别等于客体的密级时,该

12、主体才能写相应的客体。*数据库系统概论- 第4章25/364.2.6 强制存取控制(MAC)方法n敏感度标记被分成若干级别n例如绝密(Top Secret)、机密(Secret)、可信(Confidential)、公开(Public)等。n主体的敏感度标记称为许可证级别(Clearance Level)n客体的敏感度标记称为密级(Classification Level)nMAC机制就是通过对比主体的Label和客体 的Label,最终确定主体是否能够存取客体 。 n当某一用户(一主体)以标记label注册入系统 时,系统要求他对任何客体的存取必须遵循如 下规则: 1.仅当主体的许可证级别大于

13、或等于客体的密级 时,该主体才能读取相应的客体;2.仅当主体的许可证级别等于客体的密级时,该主 体才能写相应的客体。*数据库系统概论- 第4章26/36本章目录n4.1 计算机安全性概述n4.2 数据库安全性控制n4.3 视图机制n4.4 审计n4.5 数据加密n4.6 统计数据库的安全性*数据库系统概论- 第4章27/364.3 视图机制n视图是实施安全性控制的一种有效机制。n通过为不同用户定义不同的视图,并对每个用 户授予在某个视图上的存取权限。可以严格限 制每个用户对基表的存取操作,如只能存取基 表中的某些列、某些行,从而把要保密的数据 对无权存取的用户隐藏起来,自动地对数据提 供一定程

14、度的安全保护。n视图机制间接地实现了支持存取谓词的用户权限 定义。*数据库系统概论- 第4章28/364.3 视图机制例14:nCREATE VIEW CS_StudentASSELECT *FROM StudentWHERE Sdept=CS;*数据库系统概论- 第4章29/364.3 视图机制GRANT SELECTON CS_StudentTO 王平; GRANT ALL PRIVILEGES ON CS_StudentTO 张明;*数据库系统概论- 第4章30/36本章目录n4.1 计算机安全性概述n4.2 数据库安全性控制n4.3 视图机制n4.4 审计n4.5 数据加密n4.6 统

15、计数据库的安全性*数据库系统概论- 第4章31/364.4 审计(Audit)n按照TDI/TCSEC标准中安全策略的要求,“ 审计”功能是DBMS达到C2以上安全级别必不 可少的一项指标。n审计功能把用户对数据库的所有操作自动记 录下来防入审计日志(Audit Log)中。DBA 可以利用审计跟踪的信息,找出非法存取数 据的人、时间和内容等。n审计通常是很费时间和空间的,一般可以根 据应用对安全性的要求,灵活地打开或关闭 审计功能。*数据库系统概论- 第4章32/36本章目录n4.1 计算机安全性概述n4.2 数据库安全性控制n4.3 视图机制n4.4 审计n4.5 数据加密n4.6 统计数

16、据库的安全性*数据库系统概论- 第4章33/364.5 数据加密n对于高度敏感性数据,除以上安全性措施外 ,还可以采用数据加密技术。n数据加密是防止数据库中数据在存储和传输 中失密的有效手段。nDES,RSA*数据库系统概论- 第4章34/36本章目录n4.1 计算机安全性概述n4.2 数据库安全性控制n4.3 视图机制n4.4 审计n4.5 数据加密n4.6 统计数据库的安全性*数据库系统概论- 第4章35/364.6 统计数据库的安全性(简单了解)n统计数据库运行用户查询聚集型信息n统计数据库常存在的安全性隐患n多个合法查询组合起来推算出个别元组的详细 信息n解决的一般方法n限制查询次数n数理统计方法 如数据污染*数据库系统概论- 第4章36/36Any Question?Th

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号