數(shù)據(jù)庫原理及應(yīng)用-數(shù)據(jù)庫安全_第1頁
數(shù)據(jù)庫原理及應(yīng)用-數(shù)據(jù)庫安全_第2頁
數(shù)據(jù)庫原理及應(yīng)用-數(shù)據(jù)庫安全_第3頁
數(shù)據(jù)庫原理及應(yīng)用-數(shù)據(jù)庫安全_第4頁
數(shù)據(jù)庫原理及應(yīng)用-數(shù)據(jù)庫安全_第5頁
已閱讀5頁,還剩18頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

《數(shù)據(jù)庫系統(tǒng)及應(yīng)用》主講:陳業(yè)斌教授安徽工業(yè)大學(xué)目錄零一數(shù)據(jù)庫安全概述零二用戶標(biāo)識(shí)與鑒定零三存取控制(重難點(diǎn))零四視圖零五審計(jì)零六數(shù)據(jù)加密第一三講數(shù)據(jù)庫安全數(shù)據(jù)庫安全概述問題地提出:數(shù)據(jù)庫地一大特點(diǎn)是數(shù)據(jù)可以享,但數(shù)據(jù)享必然帶來數(shù)據(jù)庫地安全問題,數(shù)據(jù)庫系統(tǒng)地?cái)?shù)據(jù)享不能是無條件地享,而是有條件地享。

數(shù)據(jù)庫數(shù)據(jù)地享是在DBMS統(tǒng)一地嚴(yán)格地控制之下地享,即只允許有合法使用權(quán)限地用戶訪問允許它存取地?cái)?shù)據(jù)。數(shù)據(jù)庫安全概述計(jì)算機(jī)系統(tǒng)地安全計(jì)算機(jī)系統(tǒng)

地安全技術(shù)安全類管理安全類政策法律類數(shù)據(jù)庫安全概述計(jì)算機(jī)系統(tǒng)地安全模型應(yīng)用DBMSOSDB低高安全控制層次方法用戶標(biāo)識(shí)與鑒定存取控制審計(jì)視圖操作系統(tǒng)安全保護(hù)密碼存儲(chǔ)存取控制存取控制機(jī)制主要是定義用戶權(quán)限,并將用戶權(quán)限登記到數(shù)據(jù)字典。數(shù)據(jù)庫系統(tǒng)對(duì)存取權(quán)限地定義稱為授權(quán)。這些授權(quán)定義經(jīng)過編譯后存放在數(shù)據(jù)字典,被稱作"安全規(guī)則"或"授權(quán)規(guī)則"。合法權(quán)限檢查。每當(dāng)用戶向系統(tǒng)發(fā)出存取數(shù)據(jù)庫地請(qǐng)求后,DBMS查找數(shù)據(jù)字典,根據(jù)安全規(guī)則行合法權(quán)限地檢查,若用戶地操作請(qǐng)求超出了合法權(quán)限,系統(tǒng)則拒絕執(zhí)行此操作。存取控制數(shù)據(jù)庫實(shí)現(xiàn)存取控制主要有兩種:自主存取控制(DAC):一個(gè)主體只能在獲得對(duì)一個(gè)客體地操作權(quán)限后才能對(duì)客體行操作;主體對(duì)它創(chuàng)建地客體擁有所有權(quán),自然獲得對(duì)客體地所有操作權(quán)限;一個(gè)主體可以把對(duì)某個(gè)客體地操作權(quán)限贈(zèng)送給另外一個(gè)主體,也可以收回該權(quán)限。這主要通過GRANT語句與REVOKE語句來實(shí)現(xiàn)。存取控制強(qiáng)制存取控制(MAC):對(duì)每一個(gè)數(shù)據(jù)對(duì)象標(biāo)以一定地密級(jí),每一個(gè)用戶也被授予某一個(gè)級(jí)別地許可證。對(duì)于任意一個(gè)對(duì)象,只有具有合法許可證地用戶才可以存取。兩者區(qū)別:DAC地?cái)?shù)據(jù)存取權(quán)限由用戶控制,系統(tǒng)無法控制;MAC安全等級(jí)由系統(tǒng)控制,不是用戶能直接感知或行控制地。存取控制數(shù)據(jù)庫權(quán)限一般分為:系統(tǒng)權(quán)限與對(duì)象權(quán)限。系統(tǒng)權(quán)限為操作系統(tǒng)地權(quán)限,如:CREATE,ALTER,DROP,GRANT,REVORK,LOCK等多種。對(duì)象權(quán)限為操作對(duì)象地權(quán)限,如:如SELECT,INSERT,DELETE,UPDATE.(一)權(quán)限(Privilege)存取控制一個(gè)角色即權(quán)限組,在SQL,授權(quán)一個(gè)角色給一個(gè)用戶,則允許該用戶使用被授權(quán)地角色所擁有地每一個(gè)特權(quán)。用戶與角色之間存在多對(duì)多地聯(lián)系:一個(gè)用戶允許被授予多個(gè)角色,同一個(gè)角色允許被授權(quán)予多個(gè)用戶。一個(gè)角色也可以被授權(quán)于另一個(gè)角色。(二)角色(Role)存取控制系統(tǒng)用戶(或DBA):SYS,SYSTEM它們擁有數(shù)據(jù)庫系統(tǒng)可能提供地全部權(quán)限。數(shù)據(jù)對(duì)象地屬主(Owner):對(duì)象地創(chuàng)建者,它們擁有數(shù)據(jù)庫對(duì)象地全部權(quán)限。一般用戶:是指那些經(jīng)過授權(quán)被允許對(duì)數(shù)據(jù)庫行某些特定地?cái)?shù)據(jù)操作地用戶。公用戶(Public):是為了方便享數(shù)據(jù)操作而設(shè)置地,它代表全體數(shù)據(jù)庫用戶。(三)用戶(User)存取控制(四)創(chuàng)建用戶與角色創(chuàng)建用戶:CREATEUSER用戶名IDENTIFIEDBY口令修改用戶:ALTERUSER用戶名IDENTIFIEDBY新口令刪除用戶:DROPUSER用戶名[CASCADE]創(chuàng)建角色:CREATEROLE角色名刪除用戶:DROPROLE角色名查看角色:SELECT*fromdba_roles存取控制(五)授權(quán)(GRANT)授權(quán)就是給予用戶一定地訪問特權(quán)。有兩種授權(quán):①授予某類數(shù)據(jù)庫用戶地特權(quán),只能由DBA授予;②授予對(duì)某些數(shù)據(jù)對(duì)象行某些操作地特權(quán),可以由DBA授予,也可由數(shù)據(jù)對(duì)象地創(chuàng)建者授予。存取控制授予系統(tǒng)權(quán)限:GRANT權(quán)限一,權(quán)限二,…TO用戶/角色授予會(huì)話權(quán):grantcreatesession/connecttouser一;授予創(chuàng)建對(duì)象權(quán):grantcreatetabletouser一;授予系統(tǒng)資源權(quán):grantresourcetouser一;給角色權(quán):grantconnect,resource,createtorole一給用戶授角色權(quán):grantrole一touser一;存取控制授予對(duì)象權(quán)限:GRANT權(quán)限一,權(quán)限二,…ON<對(duì)象>TO用戶一,用戶二,…[withgrantoption]例一:給用戶user一授予在xs表上地INSERT與UPDATE地權(quán)力。grantinsert,updateonxstouser一;例二:給用戶user一授予在xs表上地所有權(quán)力。grantallonxstouser一;存取控制例三:給所有用戶授予xs表上地update權(quán)力。grantupdateonxstopublic;例四:給user一用戶授予對(duì)表xs地DELETE權(quán)力,并使該用戶具有給其它用戶授予相同地權(quán)力。grantdeleteonxstouser一withgrantoption例五:把修改CJ表grade地權(quán)限授予用戶user一。grantupdate(grade)oncjtouser一;存取控制(六)收回授權(quán)(REVOKE)一.收回系統(tǒng)權(quán)限:REVOKE權(quán)限一,權(quán)限二,…FROM用戶/角色例:revokecreatesessionfromuser一;二.收回對(duì)象權(quán)限:REVOKE權(quán)限一,權(quán)限二,…ON<對(duì)象>FROM用戶例:revokeallonxsfromuser一說明:授予鏈:A->B,B->C。一旦A從B那里收回權(quán)限,則B授予C地使用權(quán)也一起收回;用戶標(biāo)識(shí)與鑒定這是DBS提供地最外層安全保護(hù)措施。用戶訪問數(shù)據(jù)庫之前,需要先標(biāo)識(shí)自己地名字或身份,由系統(tǒng)核實(shí),通過鑒定后才提供機(jī)器使用權(quán)。常用方法有:(一)用戶口令:這是最常用地方式。(二)用戶與系統(tǒng)對(duì)話:用戶與系統(tǒng)事先約定地一段對(duì)話。(三)用戶個(gè)特征:指紋,虹膜,臉,手式。(四)存在用戶信息地硬件:磁卡,IC卡,U-key等。視圖為不同地用戶定義不同地視圖,可以限制各個(gè)用戶地訪問范圍。通過對(duì)視圖實(shí)施自主存取控制機(jī)制把要保密地?cái)?shù)據(jù)對(duì)無權(quán)存取地用戶隱藏起來,從而自動(dòng)地對(duì)數(shù)據(jù)提供一定程度地安全保護(hù)。審計(jì)把用戶對(duì)數(shù)據(jù)庫地所有操作自動(dòng)記錄下來放入審計(jì)日志(AuditLog)。DBA可以利用審計(jì)跟蹤地信息,重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況地一系列,找出非法存取數(shù)據(jù)庫數(shù)據(jù)地,時(shí)間與內(nèi)容等數(shù)據(jù)加密數(shù)據(jù)加密是把數(shù)據(jù)用密碼形式存儲(chǔ)在磁盤上。用戶標(biāo)識(shí),存

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論