收藏
下载资源

安全生产_数据库安全性培训教材

上传人:F****n 文档编号:91278269 上传时间:2019-06-27 格式:PPT 页数:39 大小:205.50KB
返回 下载 相关 举报
安全生产_数据库安全性培训教材_第1页
第1页 / 共39页
安全生产_数据库安全性培训教材_第2页
第2页 / 共39页
安全生产_数据库安全性培训教材_第3页
第3页 / 共39页
安全生产_数据库安全性培训教材_第4页
第4页 / 共39页
安全生产_数据库安全性培训教材_第5页
第5页 / 共39页
点击查看更多>>
资源描述

《安全生产_数据库安全性培训教材》由会员分享,可在线阅读,更多相关《安全生产_数据库安全性培训教材(39页珍藏版)》请在金锄头文库上搜索。

1、第四章 数据库安全性,问题的提出 数据库的一大特点是数据可以共享,但数据共享必然带来 数据库的安全性问题。 数据库系统中的数据共享不能是无条件的共享 例: 军事秘密、 国家机密、 新产品实验数据、 客户档案、 医疗档案、 银行储蓄数据 数据库中数据的共享是在DBMS统一的严格的控制之下的共享,即只允许有合法使用权限的用户访问允许他存取的数据。 数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一。,第四章 数据库安全性,4.1 计算机系统安全性概述 4.2 数据库安全性控制 4.3 数据库存取控制方法 4.4 视图机制 4.5 审计 4.6 统计数据库安全性 4.7 小结,4.1 计

2、算机系统安全性概述,什么是数据库的安全性 数据库的安全性是指保护数据库,防止因用户非法使用数据库造成数据泄露、更改或破坏。数据库的安全性与计算机系统安全性紧密相关。 什么是计算机系统安全性 是指为计算机系统建立和采取的各种安全保护措施,以保护计算机系统中的硬件、软件及数据,防止其因偶然或恶意的原因使系统遭到破坏,数据遭到更改或泄露等。 计算机系统有三类安全性问题:技术安全类、管理安全类、政策法律类。,计算机系统的三类安全性问题,1)技术安全 指计算机系统中采用具有一定安全性的硬件、软件来实现对计 算机系统及其所存数据的安全保护,当计算机系统受到无意或 恶意的攻击时仍能保证系统正常运行,保证系统

3、内的数据不增 加、不丢失、不泄露。 2)管理安全 指管理不善导致的软硬件意外故障、场地的意外事故、计算机 设备和数据介质的物理破坏、丢失等安全问题。 3)政策法律类 政府部门建立的有关计算机犯罪、数据安全保密的法律道德准 则和政策法规、法令。,第四章 数据库安全性,4.1 计算机系统安全性概述 4.2 数据库安全性控制 4.3 数据库存取控制方法 4.4 视图机制 4.5 审计 4.6 统计数据库安全性 4.7 小结,4.2 数据库安全性控制,一、数据库安全性控制概述 二、用户标识与鉴别 三、存取控制,一、 数据库安全性控制概述,用户标识 和鉴定,存取控制、 视图、审计,操作系统 安全保护,数

4、据密码存储,计算机系统中的安全模型,数据库安全性控制概述(续),数据库安全性控制的常用方法 用户标识和鉴定 存取控制 视图 审计 密码存储,4.2 数据库安全性控制,一、数据库安全性控制概述 二、用户标识与鉴别 三、存取控制,二、用户标识与鉴别,基本方法 系统提供一定的方式让用户标识自己的名字或身份,系统内 部记录着所有合法用户的标识; 每次用户要求进入系统时,由系统核对用户提供的身份标 识,通过鉴定后才提供系统使用权。 用户标识和鉴定可以重复多次 用户名/口令 简单易行,容易被人窃取 其他方式 每个用户预先约定好一个计算过程或者函数,系统提供一个 随机数,用户根据自己预先约定的计算过程或者函

5、数进行计 算,系统根据用户计算结果是否正确鉴定用户身份。,4.2 数据库安全性控制,一、数据库安全性控制概述 二、用户标识与鉴别 三、存取控制,三、存取控制,存取控制机制的组成 1)定义存取权限 在数据库系统中,为了保证用户只能访问他有权存取的数 据,必须预先对每个用户定义存取权限。 2)检查存取权限 对于通过鉴定获得上机权的用户(即合法用户),系统根据 他的存取权限定义对他的各种操作请求进行控制,确保他只 执行合法操作。若用户的操作请求超出了定义的权限,系统 将拒绝执行此操作 用户权限定义和合法权检查机制一起组成了DBMS的安全子系统,存取控制(续),常用的存取控制方法 1)自主存取控制(D

6、iscretionary Access Control ,简称DAC) 同一用户对于不同的数据对象有不同的存取权限;不同的用户 对同一对象也有不同的权限;用户还可将其拥有的存取权限转 授给其他用户。 2)强制存取控制(Mandatory Access Control,简称 MAC) 每一个数据对象被标以一定的密级;每一个用户也被授予某一 个级别的许可证;对于任意一个对象,只有具有合法许可证的 用户才可以存取。 DAC比较灵活, MAC比较严格。,第四章 数据库安全性,4.1 计算机系统安全性概述 4.2 数据库安全性控制 4.3 数据库存取控制方法 4.4 视图机制 4.5 审计 4.6 统计

7、数据库安全性 4.7 小结,一、用户权限,用户权限由两个要素组成:数据对象和操作类型,关系数据库中用户的权限,二、建立用户,建立用户分两步: 1)建立服务器登录用户 点击服务器(local)双击“安全性”双击“登录”,按右键拉出菜单,选择“新建登录”输入新用户名称;选SQLServer身份验证,输入密码。点击“确定”退出。 2)数据库用户的建立 选定某数据库,点击展开点击“用户”,按右键拉出菜单, 选“新建数据库用户”,在服务器登录用户中选择登录名,用户名和登录名一致。点击“确定”退出。,三、授权与回收,1、授 权 使用GRANT语句为用户授权,其一般格式如下: GRANT ,. ON TO

8、,.WITH GRANT OPTION; 功能:将对指定操作对象的指定操作权限授予指定的用户。 带WITH GRANT OPTION选项,获得某种权限的用户还可以把这 种权限再授予别的用户。否则只能使用该权限,不能传播该 权限。 由DBA和表的建立者(即表的属主)发出命令 基本表或视图的属主拥有对该表或视图的一切操作权限,例题,例1 把查询Student表的权限授给用户U1 GRANT SELECT ON Student TO U1; 例2 把对Course表的全部权限授予用户U2和U3(P127) GRANT ALL ON Course TO U2, U3; 例3 把对表SC的查询权限授予所

9、有用户 GRANT SELECT ON SC TO PUBLIC; /PUBLIC表示全体用户 例4 把查询Student表和修改学号的权限授给用户U4 GRANT UPDATE(Sno), SELECT ON Student TO U4; 上机操作:点击某数据库如s_c数据库,进入查询分析器,输入上述命令并执行,以下各例相同。,例题(续),例5 把对表SC的INSERT权限授予U5用户,并允许他再将此权限 授予其他用户 GRANT INSERT ON SC TO U5 WITH GRANT OPTION; 执行例5后,U5不仅拥有了对表SC的INSERT权限,还可以传播此 权限: GRANT

10、 INSERT ON SC TO U6 WITH GRANT OPTION; 同样,U6还可以将此权限授予U7: GRANT INSERT ON SC TO U7; 但U7不能再传播此权限。 U5 U6 U7,2、收回权限,授予的权限可以由DBA或其他授权者使用REVOKE语句收回,其一般格式为: REVOKE ,. ON FROM ,.; 功能:从指定用户那里收回对指定对象的指定权限,例题,例6 把用户U4修改学生学号的权限收回 REVOKE UPDATE(Sno) ON Student FROM U4; 例7 收回所有用户对表SC的查询权限 REVOKE SELECT ON SC FROM

11、 PUBLIC;,例题(续),例8 把用户U5对SC表的INSERT权限收回 REVOKE INSERT ON SC FROM U5 CASCADE; 系统将收回直接或间接从U5处获得的对SC表 的INSERT权限,若U5将INSERT权限传给了 U6 和 U7,则收回U5、U6、U7获得的对SC表的 INSERT权限。,3、创建数据库模式的权限,GRANT CREATE TABLE TO CAO ; GRANT CREATE VIEW TO CAO ; /在某一数据库下完成,如点击student数据库,进入查询分析器,输入上述命令并执行。 GRANT CREATE DATABASE TO C

12、AO ; /在master数据库下完成。 REVOKE create view from cao,按右键拉出菜单,选择“属性”,查看用户即用户权限,4. 数据库角色,数据库角色是被命名的一组与数据库操作相关的权限,角色是 权限的集合。我们可以为一组具有相同权限的用户创建一个角 色,以简化授权过程。 角色创建 CREATE ROLE 给角色授权 GRANT , ON 对象名 TO, 将一个角色授予其他角色或用户 GRANT , TO , sqlserver不支持命令方式,但支持角色的概念和方法。,WITH ADMIN OPTION 角色3和用户1具有角色1和角色2的权限和,如果带有WITH AD

13、MIN OPTION选项,则角色3和用户1可以将角色1和角色2的 权限授予其他角色。执行者是角色的创建者或在其上有 ADMIN OPTION。 角色权限的收回 REVOKE , ON对象名 FROM, 执行者是角色的创建者或在其上有 ADMIN OPTION。,数据库角色,例11 通过角色来实现将一组权限授予一个用户 CREATE ROLE R1; /创建角色R1 GRANT SELECT,UPDATE,INSERT ON Student TO R1; /给角色R1授权 GRANT R1 TO 王平,张明,赵玲;/将R1授予王平,张明,赵玲 REVOKE R1 FROM 王平; /收回王平三项

14、权限 例12 角色权限的修改 GRANT DELETE ON Student TO R1; /给角色R1增加DELETE权限 REVOKE SELECT ON Student FROM R1; /减少R1对Student表的SELECT权限,数据库角色,第四章 数据库安全性,4.1 计算机系统安全性概述 4.2 数据库安全性控制 4.3 数据库存取控制方法 4.4 视图机制 4.5 审计 4.6 统计数据库安全性 4.7 小结,4.4 视图机制,视图机制把要保密的数据对无权存取这些数据的用户隐藏起来,从而自动地对数据提供一定程度的安全保护。 视图机制与授权机制配合使用: 首先用视图机制屏蔽掉一

15、部分保密数据,然后在视图上面再进一步定义存取权限。例: CREATE VIEW CS_Student /先建立计算机系学生的视图 AS SELECT * FROM Student WHERE Sdept=CS 在视图上进一步定义存取权限 GRANT SELECT ON CS_Student TO 王平 ; GRANT ALL PRIVILIGES ON CS_Student TO 张明;,第四章 数据库安全性,4.1 计算机系统安全性概述 4.2 数据库安全性控制 4.3 数据库存取控制方法 4.4 视图机制 4.5 审计 4.6 统计数据库安全性 4.7 小结,4.5 审计,什么是审计 启用

16、一个专用的审计日志(Audit Log)将用户对数据库的所有操作记录在上面; DBA可以利用审计日志中的追踪信息找出非法存取数据的人; 安全级别较高的DBMS必须具有审计功能。 审计功能的可选性 审计很费时间和空间 DBA可以根据应用对安全性的要求,灵活地打开或关闭审计功能。,审计(续),审计一般可以分为用户级审计和系统级审计 1)用户级审计是任何用户都可以设置的审计,主要是用户针对自己创建的表或视图进行审计,记录所有用户对这些表或视图进行的操作。 2)系统级审计由DBA设置,监测登录操作、GRANT和REVOKE操作、数据库操作。,审计(续),AUDIT语句用来设置审计功能,NOAUDIT语句用 来取消审计功能。 例1: 对修改SC表结构和修改SC表数据的操作进行审计 AUDIT ALTER,UPDATE ON SC; 例2: 取消对SC表的一切审计 NOAUDIT ALL ON SC; SQL SER

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号