空間數(shù)據(jù)庫課件：第四章 數(shù)據(jù)庫安全性

1、第四章 數(shù)據(jù)庫安全性4.1計(jì)算機(jī)安全性概論4.2數(shù)據(jù)庫安全性控制4.3視圖機(jī)制4.4審計(jì)4.5數(shù)據(jù)加密4.6統(tǒng)計(jì)數(shù)據(jù)庫安全性4.7Oracle數(shù)據(jù)庫安全性4.8小結(jié)第四章 數(shù)據(jù)庫安全性 問題的提出數(shù)據(jù)庫的一大特點(diǎn)是數(shù)據(jù)可以共享但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例：軍事秘密、 國家機(jī)密、 新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計(jì)劃、 客戶檔案、 醫(yī)療檔案、 銀行儲(chǔ)蓄數(shù)據(jù)數(shù)據(jù)庫安全性（續(xù)）數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴(yán)格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù)數(shù)據(jù)庫系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性

2、能指標(biāo)之一數(shù)據(jù)庫安全性（續(xù)）什么是數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。什么是數(shù)據(jù)的保密數(shù)據(jù)保密是指用戶合法地訪問到機(jī)密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。通過制訂法律道德準(zhǔn)則和政策法規(guī)來保證。第四章 數(shù)據(jù)庫安全性4.1計(jì)算機(jī)安全性概論4.2數(shù)據(jù)庫安全性控制4.3視圖機(jī)制4.4審計(jì)4.5數(shù)據(jù)加密4.6統(tǒng)計(jì)數(shù)據(jù)庫安全性4.7Oracle數(shù)據(jù)庫安全性4.8小結(jié)4.1 計(jì)算機(jī)安全性概論4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問題 4.1.2 安全標(biāo)準(zhǔn)簡介4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問題 什么是計(jì)算機(jī)系統(tǒng)安全性為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保

3、護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)） 計(jì)算機(jī)安全涉及問題計(jì)算機(jī)系統(tǒng)本身的技術(shù)問題計(jì)算機(jī)安全理論與策略計(jì)算機(jī)安全技術(shù)管理問題安全管理安全評價(jià)安全產(chǎn)品計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)） 計(jì)算機(jī)安全涉及問題(續(xù))法學(xué)計(jì)算機(jī)安全法律犯罪學(xué)計(jì)算機(jī)犯罪與偵察安全監(jiān)察心理學(xué)計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)） 三類計(jì)算機(jī)系統(tǒng)安全性問題技術(shù)安全類管理安全類政策法律類計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)） 技術(shù)安全指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來實(shí)現(xiàn)對計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計(jì)算機(jī)系統(tǒng)受到無意或惡意的攻擊時(shí)

4、仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)） 管理安全軟硬件意外故障、場地的意外事故、管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題政策法律類政府部門建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令4.1 計(jì)算機(jī)安全性概論4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問題 4.1.2 安全標(biāo)準(zhǔn)簡介4.1.2 安全標(biāo)準(zhǔn)簡介為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn)TCSEC (桔皮書)；TDI (紫皮書)CC標(biāo)準(zhǔn)4.1.2 安全標(biāo)準(zhǔn)簡介信息安全標(biāo)準(zhǔn)的發(fā)展歷史 可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）1985年美國國防部（

5、DoD）正式頒布 DoD可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)（簡稱TCSEC或DoD85）TCSEC又稱桔皮書TCSEC標(biāo)準(zhǔn)的目的提供一種標(biāo)準(zhǔn)，使用戶可以對其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。我國計(jì)算機(jī)信息系統(tǒng)安全防護(hù)等級劃分準(zhǔn)則（GB/T17859）與之類似。可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）1991年4月美國NCSC（國家計(jì)算機(jī)安全中心）頒布了可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋（ Trusted Database Interpretation 簡稱TDI）TDI又稱紫皮書。它將TCSEC擴(kuò)展到數(shù)據(jù)庫管

6、理系統(tǒng)。TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需滿足和用以進(jìn)行安全性級別評估的標(biāo)準(zhǔn)?？尚庞?jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）TCSEC/TDI標(biāo)準(zhǔn)的基本內(nèi)容TDI與TCSEC一樣，從四個(gè)方面來描述安全性級別劃分的指標(biāo)安全策略責(zé)任保證文檔可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）R1 安全策略（Security Policy） R1.1 自主存取控制 （Discretionary Access Control，簡記為DAC） R1.2 客體重用（Object Reuse） R1.3 標(biāo)記（Labels） R1.4 強(qiáng)制存取控制（Mandatory Access Control，簡記為MAC）可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)

7、）R2 責(zé)任（Accountability） R2.1 標(biāo)識(shí)與鑒別（Identification & Authentication） R2.2 審計(jì)（Audit）R3 保證（Assurance） R3.1 操作保證（Operational Assurance） R3.2 生命周期保證（Life Cycle Assurance）可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）R4 文檔（Documentation） R4.1 安全特性用戶指南（Security Features Users Guide） R4.2 可信設(shè)施手冊（Trusted Facility Manual） R4.3 測試文檔（Test Docu

8、mentation） R4.4 設(shè)計(jì)文檔（Design Documentation）可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)） TCSEC/TDI安全級別劃分可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）四組(division)七個(gè)等級 D C（C1，C2） B（B1，B2，B3） A（A1）按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù)要求，同時(shí)提供更多或更完善的保護(hù)能力。可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）D級將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的機(jī)制來保障可信計(jì)算機(jī)系統(tǒng)評測標(biāo)

9、準(zhǔn)（續(xù)）C1級非常初級的自主安全保護(hù)能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播?？尚庞?jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）C2級安全產(chǎn)品的最低檔次提供受控的存取保護(hù)，將C1級的DAC進(jìn)一步細(xì)化，以個(gè)人身份注冊負(fù)責(zé)，并實(shí)施審計(jì)和資源隔離達(dá)到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）典型例子 操作系統(tǒng)Microsoft的Windows NT 3.5數(shù)據(jù)庫Oracle公司的Oracle 7可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）B1級標(biāo)記安全保護(hù)?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對

10、標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制（MAC）、審計(jì)等安全機(jī)制可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）典型例子 操作系統(tǒng)數(shù)字設(shè)備公司的SEVMS VAX Version 6.0惠普公司的HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫Oracle公司的Trusted Oracle 7Sybase公司的Secure SQL Server version 11.0.6Informix公司的Incorporated INFORMIX-OnLine / Secure 5.03可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）B2級結(jié)構(gòu)化保護(hù)建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實(shí)施DAC和MAC。經(jīng)過認(rèn)證的B2級以上的

11、安全系統(tǒng)少可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）典型例子 操作系統(tǒng)只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品 數(shù)據(jù)庫沒有符合B2標(biāo)準(zhǔn)的產(chǎn)品可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）B3級安全域。該級的TCB必須滿足訪問監(jiān)控器的要求，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程?？尚庞?jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）A1級驗(yàn)證設(shè)計(jì)，即提供B3級保護(hù)的同時(shí)給出系統(tǒng)的形式化設(shè)計(jì)說明和驗(yàn)證以確信各安全保護(hù)真正實(shí)現(xiàn)。可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）B2以上的系統(tǒng)還處于理論研究階段應(yīng)用多

12、限于一些特殊的部門如軍隊(duì)等美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)?？尚庞?jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)） 表示該級不提供對該指標(biāo)的支持； 表示該級新增的對該指標(biāo)的支持； 表示該級對該指標(biāo)的支持與相鄰低一級的等級一樣； 表示該級對該指標(biāo)的支持較下一級有所增 加或改動(dòng)。 CC CC（Common Criteria）ISO/IEC 15408-1999（ GB/T 18336-2001 ）提出國際公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)把信息產(chǎn)品的安全要求分為安全功能要求安全保證要求CC（續(xù)） CC文本組成簡介和一般模型

13、安全功能要求安全保證要求CC（續(xù)） CC評估保證級劃分 第四章 數(shù)據(jù)庫安全性4.1計(jì)算機(jī)安全性概論4.2數(shù)據(jù)庫安全性控制4.3視圖機(jī)制4.4審計(jì)4.5數(shù)據(jù)加密4.6統(tǒng)計(jì)數(shù)據(jù)庫安全性4.7Oracle數(shù)據(jù)庫安全性4.8小結(jié)4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安全性控制概述4.2.2 用戶標(biāo)識(shí)與鑒別4.2.3 存取控制4.2.4 自主存取控制方法4.2.5 授權(quán)與回收4.2.6 數(shù)據(jù)庫角色4.2.7 強(qiáng)制存取控制方法4.2.1 數(shù)據(jù)庫安全性控制概述非法使用數(shù)據(jù)庫的情況用戶編寫一段合法的程序繞過DBMS及其授權(quán)機(jī)制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)；直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操

14、作；數(shù)據(jù)庫安全性控制概述（續(xù)）通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù) 例：某數(shù)據(jù)庫應(yīng)用系統(tǒng)禁止查詢單個(gè)人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內(nèi)的一組人的平均工資 然后查用自己替換張三后這組人的平均工資 從而推導(dǎo)出張三的工資破壞安全性的行為可能是無意的，故意的，惡意的。計(jì)算機(jī)系統(tǒng)中的安全模型計(jì)算機(jī)系統(tǒng)中，安全措施是一級一級層層設(shè)置數(shù)據(jù)庫安全性控制概述（續(xù)）數(shù)據(jù)庫安全性控制的常用方法用戶標(biāo)識(shí)和鑒別存取控制視圖審計(jì)密碼存儲(chǔ)4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安全性控制概述4.2.2 用戶標(biāo)識(shí)與鑒別4.2.3 存取控制4.2.4 自主存

15、取控制方法4.2.5 授權(quán)與回收4.2.6 數(shù)據(jù)庫角色4.2.7 強(qiáng)制存取控制方法4.2.2 用戶標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)與鑒別（Identification & Authentication）是系統(tǒng)提供的最外層安全保護(hù)措施基本方法系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份；系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識(shí)；每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)核對用戶提供的身份標(biāo)識(shí)；通過鑒定后才提供機(jī)器使用權(quán)用戶標(biāo)識(shí)和鑒定可以重復(fù)多次用戶標(biāo)識(shí)自己的名字或身份用戶名/口令簡單易行，容易被人竊取每個(gè)用戶預(yù)先約定好一個(gè)計(jì)算過程或者函數(shù)系統(tǒng)提供一個(gè)隨機(jī)數(shù)用戶根據(jù)自己預(yù)先約定的計(jì)算過程或者函數(shù)進(jìn)行計(jì)算系統(tǒng)根據(jù)用戶計(jì)算結(jié)果是否正確

16、鑒定用戶身份4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安全性控制概述4.2.2 用戶標(biāo)識(shí)與鑒別4.2.3 存取控制4.2.4 自主存取控制方法4.2.5 授權(quán)與回收4.2.6 數(shù)據(jù)庫角色4.2.7 強(qiáng)制存取控制方法4.2.3 存取控制存取控制機(jī)制的功能存取控制機(jī)制的組成 定義存取權(quán)限 檢查存取權(quán)限用戶權(quán)限定義和合法權(quán)限檢查機(jī)制一起組成了DBMS的安全子系統(tǒng)存取控制（續(xù)）定義存取權(quán)限在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對每個(gè)用戶定義存取權(quán)限。檢查存取權(quán)限對于通過鑒定獲得上機(jī)權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對他的各種操作請求進(jìn)行控制，確保他只執(zhí)行合法操作。

17、存取控制（續(xù)）常用存取控制方法自主存取控制（Discretionary Access Control ，簡稱DAC） C2級 靈活強(qiáng)制存取控制（Mandatory Access Control，簡稱 MAC） B1級嚴(yán)格自主存取控制方法同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限不同的用戶對同一對象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶強(qiáng)制存取控制方法每一個(gè)數(shù)據(jù)對象被標(biāo)以一定的密級每一個(gè)用戶也被授予某一個(gè)級別的許可證對于任意一個(gè)對象，只有具有合法許可證的用戶才可以存取4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安全性控制概述4.2.2 用戶標(biāo)識(shí)與鑒別4.2.3 存取控制4.2.4

18、自主存取控制方法4.2.5 授權(quán)與回收4.2.6 數(shù)據(jù)庫角色4.2.7 強(qiáng)制存取控制方法4.2.4 自主存取控制方法通過 SQL 的 GRANT 語句和 REVOKE 語句實(shí)現(xiàn)用戶權(quán)限組成數(shù)據(jù)對象操作類型定義用戶存取權(quán)限：定義用戶可以在哪些數(shù)據(jù)庫對象上進(jìn)行哪些類型的操作定義存取權(quán)限稱為授權(quán) 自主存取控制方法（續(xù)）關(guān)系數(shù)據(jù)庫系統(tǒng)中存取控制對象 對象類型對象操 作 類 型數(shù)據(jù)庫模式CREATE SCHEMA基本表CREATE TABLE，ALTER TABLE模式視圖CREATE VIEW索引CREATE INDEX數(shù)據(jù)基本表和視圖SELECT，INSERT，UPDATE，DELETE，REFER

19、ENCES，ALL PRIVILEGES數(shù)據(jù)屬性列SELECT，INSERT，UPDATE， REFERENCESALL PRIVILEGES自主存取控制方法（續(xù)）檢查存取權(quán)限對于獲得上機(jī)權(quán)后又進(jìn)一步發(fā)出存取數(shù)據(jù)庫操作的用戶DBMS查找數(shù)據(jù)字典，根據(jù)其存取權(quán)限對操作的合法性進(jìn)行檢查若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作自主存取控制方法（續(xù)） 授權(quán)粒度授權(quán)粒度是指可以定義的數(shù)據(jù)對象的范圍它是衡量授權(quán)機(jī)制是否靈活的一個(gè)重要指標(biāo)。授權(quán)定義中數(shù)據(jù)對象的粒度越細(xì)，即可以定義的數(shù)據(jù)對象的范圍越小，授權(quán)子系統(tǒng)就越靈活。自主存取控制方法（續(xù)）關(guān)系數(shù)據(jù)庫中授權(quán)的數(shù)據(jù)對象粒度 數(shù)據(jù)庫 表 屬性列

20、行能否提供與數(shù)據(jù)值有關(guān)的授權(quán)反映了授權(quán)子系統(tǒng)精巧程度自主存取控制方法（續(xù)）實(shí)現(xiàn)與數(shù)據(jù)值有關(guān)的授權(quán)利用存取謂詞存取謂詞可以很復(fù)雜可以引用系統(tǒng)變量，如終端設(shè)備號(hào)，系統(tǒng)時(shí)鐘等，實(shí)現(xiàn)與時(shí)間地點(diǎn)有關(guān)的存取權(quán)限，這樣用戶只能在某段時(shí)間內(nèi)，某臺(tái)終端上存取有關(guān)數(shù)據(jù) 例：規(guī)定“教師只能在每年1月份和7月份星期一至星期五上午8點(diǎn)到下午5點(diǎn)處理學(xué)生成績數(shù)據(jù)”。自主存取控制方法（續(xù)）自主存取控制小結(jié)定義存取權(quán)限用戶檢查存取權(quán)限D(zhuǎn)BMS自主存取控制方法（續(xù)）自主存取控制小結(jié)(續(xù))授權(quán)粒度數(shù)據(jù)對象粒度：數(shù)據(jù)庫、表、屬性列、行數(shù)據(jù)值粒度：存取謂詞授權(quán)粒度越細(xì)，授權(quán)子系統(tǒng)就越靈活，能夠提供的安全性就越完善。但另一方面，因數(shù)據(jù)

21、字典變大變復(fù)雜，系統(tǒng)定義與檢查權(quán)限的開銷也會(huì)相應(yīng)地增大。自主存取控制方法（續(xù)）優(yōu)點(diǎn)能夠通過授權(quán)機(jī)制有效地控制其他用戶對敏感數(shù)據(jù)的存取缺點(diǎn)可能存在數(shù)據(jù)的“無意泄露”原因：這種機(jī)制僅僅通過對數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記。 解決：對系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安全性控制概述4.2.2 用戶標(biāo)識(shí)與鑒別4.2.3 存取控制4.2.4 自主存取控制方法4.2.5 授權(quán)與回收4.2.6 數(shù)據(jù)庫角色4.2.7 強(qiáng)制存取控制方法4.2.5 授權(quán)與回收一、GRANTGRANT語句的一般格式： GRANT ,. ON TO ,. WI

22、TH GRANT OPTION;語義：將對指定操作對象的指定操作權(quán)限授予指定的用戶 GRANT（續(xù)）發(fā)出GRANT：DBA數(shù)據(jù)庫對象創(chuàng)建者（即屬主Owner）擁有該權(quán)限的用戶接受權(quán)限的用戶 一個(gè)或多個(gè)具體用戶PUBLIC（全體用戶）WITH GRANT OPTION子句WITH GRANT OPTION子句:指定：可以再授予沒有指定：不能傳播不允許循環(huán)授權(quán)例題 例1 把查詢Student表權(quán)限授給用戶U1 GRANT SELECT ON TABLE Student TO U1;例2 把對Student表和Course表的全部權(quán)限授予用戶U2和U3 GRANT ALL PRIVILIGES ON

23、 TABLE Student, Course TO U2, U3;例題（續(xù)）例3 把對表SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC;例4 把查詢Student表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;對屬性列的授權(quán)時(shí)必須明確指出相應(yīng)屬性列名 傳播權(quán)限 例5 把對表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;執(zhí)行例5后，U5不僅擁有

24、了對表SC的INSERT權(quán)限， 還可以傳播此權(quán)限： 例6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同樣，U6還可以將此權(quán)限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權(quán)限。傳播權(quán)限（續(xù)） 下表是執(zhí)行了例1到例7的語句后，學(xué)生-課程數(shù)據(jù)庫中的用戶權(quán)限定義表 授權(quán)用戶名被授權(quán)用戶名數(shù)據(jù)庫對象名允許的操作類型能否轉(zhuǎn)授權(quán)DBAU1關(guān)系StudentSELECT不能DBAU2關(guān)系StudentALL不能DBAU2關(guān)系CourseALL不能DBAU3關(guān)系StudentALL不能DBAU3關(guān)系

25、CourseALL不能DBAPUBLIC關(guān)系SCSELECT不能DBAU4關(guān)系StudentSELECT不能DBAU4屬性列Student.SnoUPDATE不能DBAU5關(guān)系SCINSERT能U5U6關(guān)系SCINSERT能U6U7關(guān)系SCINSERT不能授權(quán)與回收（續(xù)）二、REVOKE授予的權(quán)限可以由DBA或其他授權(quán)者用REVOKE語句收回REVOKE語句的一般格式為： REVOKE ,. ON FROM ,.Cascade|Restrict;REVOKE（續(xù)）例8 把用戶U4修改學(xué)生學(xué)號(hào)的權(quán)限收回REVOKE UPDATE(Sno)ON TABLE Student FROM U4;例9 收

26、回所有用戶對表SC的查詢權(quán)限REVOKE SELECT ON TABLE SC FROM PUBLIC;REVOKE（續(xù)）例10 把用戶U5對SC表的INSERT權(quán)限收回REVOKE INSERT ON TABLE SC FROM U5 CASCADE ;將用戶U5的INSERT權(quán)限收回的時(shí)候必須級聯(lián)（CASCADE）收回 系統(tǒng)只收回直接或間接從U5處獲得的權(quán)限 REVOKE（續(xù)） 執(zhí)行例8到例10的語句后，學(xué)生-課程數(shù)據(jù)庫中的用戶權(quán)限定義表授權(quán)用戶名被授權(quán)用戶名數(shù)據(jù)庫對象名允許的操作類型能否轉(zhuǎn)授權(quán)DBAU1關(guān)系StudentSELECT不能DBAU2關(guān)系StudentALL不能DBAU2關(guān)系

27、CourseALL不能DBAU3關(guān)系StudentALL不能DBAU3關(guān)系CourseALL不能DBAU4關(guān)系StudentSELECT不能小結(jié):SQL靈活的授權(quán)機(jī)制DBA：擁有所有對象的所有權(quán)限不同的權(quán)限授予不同的用戶用戶：擁有自己建立的對象的全部的操作權(quán)限GRANT：授予其他用戶被授權(quán)的用戶“繼續(xù)授權(quán)”許可：再授予所有授予出去的權(quán)力在必要時(shí)又都可用REVOKE語句收回授權(quán)與回收（續(xù)）三、創(chuàng)建數(shù)據(jù)庫模式的權(quán)限 DBA在創(chuàng)建用戶時(shí)實(shí)現(xiàn)CREATE USER語句格式 CREATE USER WITHDBA | RESOURCE | CONNECT擁有的權(quán)限可否執(zhí)行的操作CREATE USERCR

28、EATE SCHEMACREATE TABLE登錄數(shù)據(jù)庫 執(zhí)行數(shù)據(jù)查詢和操縱DBA可以可以可以可以RESOURCE不可以不可以可以可以CONNECT不可以不可以不可以可以，但必須擁有相應(yīng)權(quán)限權(quán)限與可執(zhí)行的操作對照表 4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安全性控制概述4.2.2 用戶標(biāo)識(shí)與鑒別4.2.3 存取控制4.2.4 自主存取控制方法4.2.5 授權(quán)與回收4.2.6 數(shù)據(jù)庫角色4.2.7 強(qiáng)制存取控制方法4.2.6 數(shù)據(jù)庫角色數(shù)據(jù)庫角色：被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限角色是權(quán)限的集合 可以為一組具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色簡化授權(quán)的過程數(shù)據(jù)庫角色一、角色的創(chuàng)建CREATE RO

29、LE 二、給角色授權(quán) GRANT ， ON 對象名 TO ，數(shù)據(jù)庫角色三、將一個(gè)角色授予其他的角色或用戶GRANT ，TO ， WITH ADMIN OPTION 四、角色權(quán)限的收回 REVOKE ，ON FROM ，數(shù)據(jù)庫角色（續(xù)）例11通過角色來實(shí)現(xiàn)將一組權(quán)限授予一個(gè)用戶。步驟如下：1. 首先創(chuàng)建一個(gè)角色 R1 CREATE ROLE R1；2. 然后使用GRANT語句，使角色R1擁有Student表的SELECT、UPDATE、INSERT權(quán)限 GRANT SELECT，UPDATE，INSERT ON TABLE Student TO R1；數(shù)據(jù)庫角色（續(xù)）3. 將這個(gè)角色授予王平，張

30、明，趙玲。使他們具有角色R1所包含的全部權(quán)限 GRANT R1 TO 王平，張明，趙玲；4. 可以一次性通過R1來回收王平的這3個(gè)權(quán)限 REVOKE R1 FROM 王平；數(shù)據(jù)庫角色（續(xù)）例12角色的權(quán)限修改 GRANT DELETE ON TABLE Student TO R1例13 REVOKE SELECT ON TABLE Student FROM R1；與對用戶的權(quán)限修改相似！4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安全性控制概述4.2.2 用戶標(biāo)識(shí)與鑒別4.2.3 存取控制4.2.4 自主存取控制方法4.2.5 授權(quán)與回收4.2.6 數(shù)據(jù)庫角色4.2.7 強(qiáng)制存取控制方法4.2.

31、5 強(qiáng)制存取控制方法什么是強(qiáng)制存取控制強(qiáng)制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強(qiáng)制存取檢查手段。MAC不是用戶能直接感知或進(jìn)行控制的。MAC適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門 軍事部門 政府部門強(qiáng)制存取控制方法（續(xù)）主體與客體在MAC中，DBMS所管理的全部實(shí)體被分為主體和客體兩大類主體是系統(tǒng)中的活動(dòng)實(shí)體 DBMS所管理的實(shí)際用戶 代表用戶的各進(jìn)程客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的 文件 基表 索引 視圖強(qiáng)制存取控制方法（續(xù)）敏感度標(biāo)記 對于主體和客體，DBMS為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（Label） 敏感度

32、標(biāo)記分成若干級別 絕密（Top Secret） 機(jī)密（Secret） 可信（Confidential） 公開（Public）強(qiáng)制存取控制方法（續(xù)）主體的敏感度標(biāo)記稱為許可證級別（Clearance Level）客體的敏感度標(biāo)記稱為密級（Classification Level）MAC機(jī)制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體強(qiáng)制存取控制方法（續(xù)） 強(qiáng)制存取控制規(guī)則當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊入系統(tǒng)時(shí)，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則：（1）僅當(dāng)主體的許可證級別大于或等于客體的密級時(shí)，該主體才能讀取相應(yīng)的客體；（2）僅當(dāng)主體的許

33、可證級別等于客體的密級時(shí)，該主體才能寫相應(yīng)的客體。強(qiáng)制存取控制方法（續(xù)）修正規(guī)則：主體的許可證級別 得到的利益第四章 數(shù)據(jù)庫安全性4.1計(jì)算機(jī)安全性概論4.2數(shù)據(jù)庫安全性控制4.3視圖機(jī)制4.4審計(jì)4.5數(shù)據(jù)加密4.6統(tǒng)計(jì)數(shù)據(jù)庫安全性4.7Oracle數(shù)據(jù)庫安全性4.8小結(jié)4.7 Oracle數(shù)據(jù)庫的安全性措施ORACLE的安全措施:用戶標(biāo)識(shí)和鑒定授權(quán)和檢查機(jī)制審計(jì)技術(shù)用戶通過觸發(fā)器靈活定義自己的安全性措施一、ORACLE的用戶標(biāo)識(shí)和鑒定ORACLE允許用戶重復(fù)標(biāo)識(shí)三次如果三次仍未通過，系統(tǒng)自動(dòng)退出二、ORACLE的授權(quán)與檢查機(jī)制ORACLE授權(quán)和檢查機(jī)制的特色ORACLE的權(quán)限包括系統(tǒng)權(quán)限和

34、數(shù)據(jù)庫對象的權(quán)限采用非集中式的授權(quán)機(jī)制每個(gè)用戶授予與回收自己創(chuàng)建的數(shù)據(jù)庫對象的權(quán)限D(zhuǎn)BA負(fù)責(zé)授予與回收系統(tǒng)權(quán)限，也可以授予與回收所有數(shù)據(jù)庫對象的權(quán)限允許重復(fù)授權(quán)，即可將某一權(quán)限多次授予同一用戶，系統(tǒng)不會(huì)出錯(cuò)允許無效回收，即用戶不具有某權(quán)限，但回收此權(quán)限的操作仍是成功的。1.系統(tǒng)權(quán)限80多種系統(tǒng)權(quán)限 創(chuàng)建會(huì)話 創(chuàng)建表 創(chuàng)建視圖 創(chuàng)建用戶系統(tǒng)權(quán)限（續(xù)）DBA在創(chuàng)建一個(gè)用戶時(shí)需要將其中的一些權(quán)限授予該用戶.角色一組系統(tǒng)權(quán)限的集合，目的在于簡化權(quán)限管理。ORACLE允許DBA定義角色ORACLE提供的預(yù)定義角色 CONNECT RESOURCE DBA系統(tǒng)權(quán)限（續(xù)）CONNECT角色允許用戶登錄數(shù)據(jù)庫

35、并執(zhí)行數(shù)據(jù)查詢和操縱 ALTER TABLE CREATE VIEW / INDEX DROP TABLE / VIEW / INDEX GRANT, REVOKE INSERT, UPDATE, DELETE SELETE AUDIT / NOAUDIT系統(tǒng)權(quán)限（續(xù)）RESOURCE角色允許用戶建表，即執(zhí)行CREATE TABLE操作由于創(chuàng)建表的用戶將擁有該表，因此他具有對該表的任何權(quán)限系統(tǒng)權(quán)限（續(xù)）DBA角色允許用戶執(zhí)行授權(quán)命令，建表，對任何表的數(shù)據(jù)進(jìn)行操縱。DBA角色涵蓋了前兩種角色，此外還可以執(zhí)行一些管理操作。DBA角色擁有最高級別的權(quán)限。系統(tǒng)權(quán)限（續(xù)）例：DBA建立一用戶U12后，欲

36、將ALTER TABLE、CREATE VIEW、CREATE INDEX、DROP TABLE、DROP VIEW、DROP INDEX, GRANT,REVOKE、INSERT 、SELETE、UPDATE、DELETE、AUDIT、NOAUDIT等系統(tǒng)權(quán)限授予U12 GRANT CONNECT TO U12; 這樣就可以省略十幾條GRANT語句ORACLE的授權(quán)與檢查機(jī)制（續(xù)）ORACLE的權(quán)限 系統(tǒng)權(quán)限 數(shù)據(jù)庫對象的權(quán)限2.數(shù)據(jù)庫對象的權(quán)限ORACLE可以授權(quán)的數(shù)據(jù)庫對象 基本表; 視圖; 序列; 同義詞; 存儲(chǔ)過程; 函數(shù)基本表的安全性級別 表級; 行級; 列級數(shù)據(jù)庫對象的權(quán)限（續(xù)）

37、表級權(quán)限 ALTER： 修改表定義 DELETE：刪除表記錄 INDEX： 在表上建索引 INSERT： 向表中插入數(shù)據(jù)記錄 SELECT：查找表中記錄 UPDATE：修改表中的數(shù)據(jù) ALL：上述所有權(quán)限數(shù)據(jù)庫對象的權(quán)限（續(xù)）行級安全性 ORACLE行級安全性由視圖間接實(shí)現(xiàn)例：用戶U1只允許用戶U12查看自己創(chuàng)建的Student表中有關(guān)信息系學(xué)生的信息，則首先創(chuàng)建視圖信息系學(xué)生視圖S_IS： CREATE VIEW S_IS AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept=IS; 然后將關(guān)于該視圖的SELECT權(quán)限授予U12用戶： GRANT SELECT ON S_IS TO U12;數(shù)據(jù)庫對象的權(quán)限（續(xù)）列級安全性 實(shí)現(xiàn)方法 由視圖間接實(shí)現(xiàn) 直接在基本表上定義 例：GRANT UPDATE(Sno,Cno) ON SC TO U12;數(shù)據(jù)庫對象的權(quán)限（續(xù)）上一級對象的權(quán)限制約下一級對象的權(quán)限例：當(dāng)一個(gè)用戶擁有了對某個(gè)表的UPDATE權(quán)限 相當(dāng)于在表的所有列了都擁有 UPDATE 權(quán)限ORACLE對數(shù)據(jù)庫對象的權(quán)限采用分散控制方式允許具有WITH GRANT OPTION的用戶把相應(yīng)權(quán)限或其子集傳遞授予其他