《數(shù)據(jù)庫安全性》PPT課件.ppt

《《數(shù)據(jù)庫安全性》PPT課件.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《《數(shù)據(jù)庫安全性》PPT課件.ppt（90頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、數(shù)據(jù)庫系統(tǒng)概論 An Introduction to Database System 第四章 數(shù)據(jù)庫安全性,數(shù)據(jù)庫安全性,問題的提出 數(shù)據(jù)庫的一大特點(diǎn)是數(shù)據(jù)可以共享 數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題 數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享 例： 軍事秘密、國家機(jī)密、新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、市場(chǎng)需求分析、市場(chǎng)營銷策略、銷售計(jì)劃、客戶檔案、醫(yī)療檔案、銀行儲(chǔ)蓄數(shù)據(jù),數(shù)據(jù)庫安全性,數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴(yán)格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù) 數(shù)據(jù)庫系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標(biāo)之一,數(shù)據(jù)庫安全性,什么是數(shù)據(jù)庫的安全性 數(shù)據(jù)庫的安全性是指保

2、護(hù)數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。 數(shù)據(jù)的保密 數(shù)據(jù)保密是指用戶合法的訪問到機(jī)密數(shù)據(jù)后能否對(duì)這些數(shù)據(jù)保密。 通過制定法律道德準(zhǔn)則和政策法規(guī)來保證。,第四章 數(shù)據(jù)庫安全性,4.1 計(jì)算機(jī)安全性概述 4.2 數(shù)據(jù)庫安全性控制 4.3 視圖機(jī)制 4.4 審計(jì)（Audit） 4.5 數(shù)據(jù)加密 4.6 統(tǒng)計(jì)數(shù)據(jù)庫安全性 4.7 小結(jié),4.1 計(jì)算機(jī)安全性概述,4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問題 4.1.2 安全標(biāo)準(zhǔn)簡介,4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問題,計(jì)算機(jī)系統(tǒng)安全性 為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意

3、的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。,計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)）,三類計(jì)算機(jī)系統(tǒng)安全性問題 技術(shù)安全類 管理安全類 政策法律類,4.1 計(jì)算機(jī)安全性概論,4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問題 4.1.2 安全標(biāo)準(zhǔn)簡介 TCSEC CC,美國的TCSEC 1983年美國國防部首次公布了可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）以用于對(duì)操作系統(tǒng)的評(píng)估，這是IT歷史上的第一個(gè)安全評(píng)估標(biāo)準(zhǔn)，1985年公布了第二版。 TCSEC為業(yè)界所熟知的名字“桔皮書”則是因其封面的顏色而得來。TCSEC 所列舉的安全評(píng)估準(zhǔn)則主要是針對(duì)美國政府的安全要求，著重點(diǎn)是基于大型計(jì)算機(jī)系統(tǒng)的機(jī)密文檔處理方面的安

4、全要求。CC被接納為國際標(biāo)準(zhǔn)后，美國已停止了基于TCSEC的評(píng)估工作。,美國頒布的TCSEC把數(shù)據(jù)安全級(jí)別劃分為四類七級(jí)： D級(jí)：無安全保護(hù)的系統(tǒng)。 Cl級(jí)：具有主體、客體及主客體分離、身份鑒別、數(shù)據(jù)完整性、自主訪問控制功能的系統(tǒng)；核心是自主訪問控制。 C2級(jí)：滿足C1級(jí)全部功能，且具有審計(jì)功能的系統(tǒng)；核心是審計(jì)功能。目前國內(nèi)使用的系統(tǒng)大部分符合此標(biāo)準(zhǔn)。,B1級(jí)：滿足C2級(jí)全部功能，且具有標(biāo)記及強(qiáng)制訪問控制功能的系統(tǒng)；核心是強(qiáng)制訪問控制。國際上有部分系統(tǒng)符合此標(biāo)準(zhǔn)，國內(nèi)基本上沒有滿足此標(biāo)準(zhǔn)的系統(tǒng)；滿足此標(biāo)準(zhǔn)的系統(tǒng)可稱為可信系統(tǒng)或安全系統(tǒng)。 B2級(jí)：滿足B1級(jí)全部功能，且具有形式化安全模型

5、與隱蔽通道功能的系統(tǒng)；核心是形式化安全模型。目前國內(nèi)外均無滿足此標(biāo)準(zhǔn)的系統(tǒng)。,B3級(jí)：滿足B2級(jí)全部功能，且具有訪問監(jiān)控器功能的系統(tǒng)；核心是訪問監(jiān)控器。目前國內(nèi)外均無滿足此標(biāo)準(zhǔn)的系統(tǒng)。 A級(jí)：更高的形式化要求。目前國內(nèi)外均無滿足此標(biāo)準(zhǔn)的系統(tǒng)。,目前市面上常用軟件經(jīng)過權(quán)威機(jī)構(gòu)的評(píng)測(cè)，確定了其安全級(jí)別。如Oracle, Sybase, informix, SQL Server等數(shù)據(jù)庫系統(tǒng)軟件符合C1或C2級(jí)安全要求；Windows, Unix操作系統(tǒng)符合Cl或C2級(jí)安全要求。市場(chǎng)上大部分系統(tǒng)軟件都處于C1或C2級(jí)安全級(jí)別。此外，美國有符合Bl級(jí)的軍用版本Oracle數(shù)據(jù)庫系統(tǒng)和WinNT操作系統(tǒng)。

6、國內(nèi)有一些符合B1級(jí)的安全原型DBMS：如OpenBASE,Cobase等。,國際通用準(zhǔn)則CC (ISO/IEC15408-1999) 國際信息技術(shù)安全性評(píng)估通用準(zhǔn)則（簡稱為通用準(zhǔn)則，CC）是北美和歐盟聯(lián)合以開發(fā)一個(gè)統(tǒng)一的國際互認(rèn)的安全標(biāo)準(zhǔn)的結(jié)果，是在美國、加拿大、歐洲等國家和地區(qū)分別自行推出的評(píng)估標(biāo)準(zhǔn)及具體實(shí)踐的基礎(chǔ)上，通過相互間的總結(jié)和互補(bǔ)發(fā)展起來的。,1996年，六國七方（英國、加拿大、法國、德國、荷蘭、NSA國家安全局和NIST國家標(biāo)準(zhǔn)技術(shù)研究所）公布了CC的1.0版，1998年，六國七方又公布了CC的2.0版。CC取代了TCSEC、ITSEC, 及 CTCPEC，是事實(shí)上的國際安全

7、評(píng)估標(biāo)準(zhǔn)。1999年，CC被國際標(biāo)準(zhǔn)化組織（ISO）批準(zhǔn)成為國際標(biāo)準(zhǔn) (ISO/IEC15408-19999) 并正式頒布發(fā)行，其對(duì)應(yīng)的CC版本為2.1版。,CC作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的國際性通用準(zhǔn)則，是信息技術(shù)安全性評(píng)估結(jié)果國際互認(rèn)的基礎(chǔ)，遍及世界各地的眾多組織現(xiàn)在均已實(shí)施了CC?；フJ(rèn)通過簽署互認(rèn)協(xié)定(MRA)來實(shí)現(xiàn)，產(chǎn)品在一個(gè)MRA成員國評(píng)估通過就可被其他的成員國所接受，從而避免重復(fù)的評(píng)估行為。對(duì)于其他國家來講，只要能夠證明他們能夠?qū)崿F(xiàn)MRA中的互認(rèn)所要求的極其嚴(yán)格的技術(shù)與程序上的條件 ，就可尋求加入MRA 。 Windows 2000、Sun Solaris 8、Oracl

8、e 9i、DB2 V8.2等都已通過了CC的EAL4 ( B1 )。,我國的安全評(píng)估標(biāo)準(zhǔn) 為提高我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)水平，1999年9月國家質(zhì)量技術(shù)監(jiān)督局發(fā)布了國家標(biāo)準(zhǔn) GB17859-1999計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則，它是建立安全等級(jí)保護(hù)制度、實(shí)施安全等級(jí)管理的重要基礎(chǔ)性標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)是我國計(jì)算機(jī)信息系統(tǒng)保護(hù)等級(jí)系列標(biāo)準(zhǔn)的第一部分，其他數(shù)十個(gè)相關(guān)標(biāo)準(zhǔn)的制訂工作還正在緊張進(jìn)行。該標(biāo)準(zhǔn)的制定參照了美國的TCSEC。,該標(biāo)準(zhǔn)共分為五級(jí)與美國TCSEC標(biāo)準(zhǔn)的對(duì)應(yīng) 關(guān)系如下： 第一級(jí)：用戶自主保護(hù)級(jí)C1級(jí) 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)C2級(jí) 第三級(jí)：安全標(biāo)記保護(hù)級(jí)B1級(jí) 第四級(jí)：結(jié)構(gòu)化

9、保護(hù)級(jí)B2級(jí) 第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)B3級(jí),自從CC 1.0版公布后，我國相關(guān)部門就一直密切關(guān)注著它的發(fā)展情況，并對(duì)該版本做了大量的研究工作。2001年3月，國家質(zhì)量技術(shù)監(jiān)督局正式頒布了援引CC的國家標(biāo)準(zhǔn)GB/T18336-2001信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則。,第四章 數(shù)據(jù)庫安全性,4.1 計(jì)算機(jī)安全性概述 4.2 數(shù)據(jù)庫安全性控制 4.3 視圖機(jī)制 4.4 審計(jì)（Audit） 4.5 數(shù)據(jù)加密 4.6 統(tǒng)計(jì)數(shù)據(jù)庫安全性 4.7 小結(jié),4.2 數(shù)據(jù)庫安全性控制概述,非法使用數(shù)據(jù)庫的情況 編寫合法程序繞過DBMS及其授權(quán)機(jī)制 直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作 通過多次合法查詢數(shù)

10、據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù),數(shù)據(jù)庫安全性控制概述（續(xù)）,計(jì)算機(jī)系統(tǒng)中，安全措施是一級(jí)一級(jí)層層設(shè)置,計(jì)算機(jī)系統(tǒng)的安全模型,,,數(shù)據(jù)庫的安全性級(jí)別,環(huán)境級(jí)：計(jì)算機(jī)系統(tǒng)的機(jī)房和設(shè)備應(yīng)加以保護(hù)，防止有人進(jìn)行物理破壞。 職員級(jí)：工作人員應(yīng)清正廉潔，正確授予用戶訪問數(shù)據(jù)庫的權(quán)限。 OS級(jí)：應(yīng)防止未經(jīng)授權(quán)的用戶從OS處訪問數(shù)據(jù)庫。 網(wǎng)絡(luò)級(jí)：由于大多數(shù)DBS都允許用戶通過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問，因此網(wǎng)絡(luò)軟件內(nèi)部的安全性是很重要的。 DBS級(jí)：DBS的職責(zé)是檢查用戶的身份是否合法及使用數(shù)據(jù)庫的權(quán)限是否正確。,數(shù)據(jù)庫安全性控制概述（續(xù)）,數(shù)據(jù)庫安全性控制的常用方法 用戶標(biāo)識(shí)和鑒定 存取控制 視圖 審計(jì) 密碼存儲(chǔ),4.2

11、.1 用戶標(biāo)識(shí)與鑒別,用戶標(biāo)識(shí)與鑒別 （Identification 語義：將對(duì)指定操作對(duì)象的指定操作權(quán)限授予指定的用戶,GRANT（續(xù)）,發(fā)出GRANT： DBA 數(shù)據(jù)庫對(duì)象創(chuàng)建者（即屬主Owner） 擁有該權(quán)限的用戶 按受權(quán)限的用戶 一個(gè)或多個(gè)具體用戶 PUBLIC（全體用戶）,WITH GRANT OPTION子句,WITH GRANT OPTION子句: 指定：可以再授予 沒有指定：不能傳播 不允許循環(huán)授權(quán),例題,例1 把查詢Student表權(quán)限授給用戶U1 GRANT SELECT ON TABLE Student TO U1;,例題（續(xù)）,例2 把對(duì)Student表和Cour

12、se表的全部權(quán)限授予用戶U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3;,例題（續(xù)）,例3 把對(duì)表SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC;,例題（續(xù)）,例4 把查詢Student表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4; 對(duì)屬性列的授權(quán)時(shí)必須明確指出相應(yīng)屬性列名,例題（續(xù)）,例5 把對(duì)表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶 G

13、RANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;,傳播權(quán)限,執(zhí)行例5后，U5不僅擁有了對(duì)表SC的INSERT權(quán)限， 還可以傳播此權(quán)限： 例6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同樣，U6還可以將此權(quán)限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權(quán)限。,傳播權(quán)限（續(xù)）,下表是執(zhí)行了例1到例7的語句后，學(xué)生-課程數(shù)據(jù)庫中的用戶權(quán)限定義表,授權(quán)與回收（續(xù)）,二、REVOKE 授予的權(quán)限可以由DBA或其他授權(quán)

14、者用REVOKE語句收回 REVOKE語句的一般格式為： REVOKE ,... ON FROM ,...;,REVOKE（續(xù)）,例8 把用戶U4修改學(xué)生學(xué)號(hào)的權(quán)限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4;,REVOKE（續(xù)）,例9 收回所有用戶對(duì)表SC的查詢權(quán)限 REVOKE SELECT ON TABLE SC FROM PUBLIC;,REVOKE（續(xù)）,例10 把用戶U5對(duì)SC表的INSERT權(quán)限收回 REVOKE INSERT ON TABLE SC FROM U5 CASCADE ; 將用戶U5的INSERT權(quán)限收回的時(shí)候

15、必須級(jí)聯(lián)（CASCADE）收回 系統(tǒng)只收回直接或間接從U5處獲得的權(quán)限,REVOKE（續(xù)）,執(zhí)行例8到例10的語句后，學(xué)生-課程數(shù)據(jù)庫中的用戶權(quán)限定義表,小結(jié):SQL靈活的授權(quán)機(jī)制,DBA：擁有所有對(duì)象的所有權(quán)限 不同的權(quán)限授予不同的用戶 用戶：擁有自己建立的對(duì)象的全部的操作權(quán)限 GRANT：授予其他用戶 被授權(quán)的用戶 “繼續(xù)授權(quán)”許可：再授予 所有授予出去的權(quán)力在必要時(shí)又都可用REVOKE語句收回,授權(quán)與回收（續(xù)）,三、創(chuàng)建數(shù)據(jù)庫模式的權(quán)限 DBA在創(chuàng)建用戶時(shí)實(shí)現(xiàn) CREATE USER語句格式 CREATE USER WITHDBA | RESOURCE | CONNECT,授

16、權(quán)與回收（續(xù)）,權(quán)限與可執(zhí)行的操作對(duì)照表,4.2.5 數(shù)據(jù)庫角色,數(shù)據(jù)庫角色：被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限 角色是權(quán)限的集合 可以為一組具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色 簡化授權(quán)的過程,數(shù)據(jù)庫角色,一、角色的創(chuàng)建 CREATE ROLE 二、給角色授權(quán) GRANT ， ON 對(duì)象名 TO ，,數(shù)據(jù)庫角色,三、將一個(gè)角色授予其他的角色或用戶 GRANT ， TO ， WITH ADMIN OPTION 四、角色權(quán)限的收回 REVOKE ， ON FROM ，,把角色授予某用戶，或授予另一個(gè)角色,數(shù)據(jù)庫角色（續(xù)）,例11 授予角色R1擁有Student表的SELECT、UPDATE、INSE

17、RT權(quán)限，將這個(gè)角色授予王平，張明，趙玲用戶，使他們具有R1所包含的全部權(quán)限，最后通過R1來回收王平的這3個(gè)權(quán)限。 步驟如下： 1. 首先創(chuàng)建一個(gè)角色 R1 CREATE ROLE R1； 2. 使用GRANT語句，使R1擁有Student表的SELECT、UPDATE、INSERT權(quán)限 GRANT SELECT，UPDATE，INSERT ON TABLE Student TO R1；,數(shù)據(jù)庫角色（續(xù)）,3. 將這個(gè)角色授予王平，張明，趙玲。使他們具有角色R1所包含的全部權(quán)限 GRANT R1 TO 王平，張明，趙玲； 4. 可以一次性通過R1來回收王平的這3個(gè)權(quán)限

18、 REVOKE R1 FROM 王平；,數(shù)據(jù)庫角色（續(xù)）,例12角色的權(quán)限修改 GRANT DELETE ON TABLE Student TO R1 例13 REVOKE SELECT ON TABLE Student FROM R1；,復(fù) 習(xí),數(shù)據(jù)庫安全性控制的常用方法 用戶標(biāo)識(shí)和鑒定 存取控制 自主存取控制（簡稱DAC） 授權(quán)： GRANT ,... ON TO ,... WITH GRANT OPTION; 回收： REVOKE ,... ON FROM ,...; 強(qiáng)制存取控制（簡稱 MAC）,自主存取控制缺點(diǎn),可能存在數(shù)據(jù)的“無意泄露”

19、 原因：這種機(jī)制僅僅通過對(duì)數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記 解決：對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略,4.2.6 強(qiáng)制存取控制方法,強(qiáng)制存取控制（MAC) 系統(tǒng)為保證更高程度的安全性所采取的強(qiáng)制存取手段 用戶能不能直接感知或進(jìn)行控制 適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門 軍事部門 政府部門,強(qiáng)制存取控制方法（續(xù)）,在MAC中，DBMS所管理的全部實(shí)體分為主體和客體。 主體是系統(tǒng)中的活動(dòng)實(shí)體 DBMS所管理的實(shí)際用戶 代表用戶的各進(jìn)程 客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的 文件 基表 索引 視圖,強(qiáng)制存取控制方法（續(xù)）,敏感度標(biāo)記（Label） 絕密（Top

20、Secret） 機(jī)密（Secret） 可信（Confidential） 公開（Public） 主體的敏感度標(biāo)記稱為許可證級(jí)別（Clearance Level） 客體的敏感度標(biāo)記稱為密級(jí)（Classification Level）,強(qiáng)制存取控制方法（續(xù)）,強(qiáng)制存取控制規(guī)則 (1)僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體 (2)僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí)，該主體才能寫相應(yīng)的客體,強(qiáng)制存取控制方法（續(xù)）,規(guī)則的共同點(diǎn) 禁止了擁有高許可證級(jí)別的主體更新低密級(jí)的數(shù) 據(jù)對(duì)象,例：假設(shè)要對(duì)關(guān)系變量S進(jìn)行MAC控制，為簡化起見，假設(shè)要控制存取的數(shù)據(jù)單元是元組，則每個(gè)元組標(biāo)

21、以密級(jí)，如下表（4=絕密，3=機(jī)密，2=秘密）,假設(shè)用戶U1和U2的許可證級(jí)別分別為3和2，則：,U1能查詢?cè)MS1和S2，修改元組S2; U2能查詢?cè)MS1，修改元組S1,強(qiáng)制存取控制的特點(diǎn)：,MAC是對(duì)數(shù)據(jù)本身進(jìn)行密級(jí)標(biāo)記 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個(gè)不可分的整體 只有符合密級(jí)標(biāo)記要求的用戶才可以操縱數(shù)據(jù) 從而提供了更高級(jí)別的安全性,MAC與DAC,DAC與MAC共同構(gòu)成DBMS的安全機(jī)制 實(shí)現(xiàn)MAC時(shí)要首先實(shí)現(xiàn)DAC 原因：較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù),強(qiáng)制存取控制方法（續(xù)）,DAC + MAC安全檢查示意圖 SQL語法分析 2.用戶李勇對(duì)兩個(gè)表有I

22、NSERT、DELETE權(quán)力 Grant insert,delete On 職工，部門 To 李勇; 3.用戶劉星對(duì)職工表有SELECT權(quán)力，對(duì)工資字段具有更新權(quán)力 Grant select, update(工資) On 職工 To 劉星;,4.用戶張新具有修改這兩個(gè)表的結(jié)構(gòu)的權(quán)力 Grant alter table On 職工，部門 To 張新; 5.用戶周平具有對(duì)兩個(gè)表所有權(quán)力（讀、插、改、刪除數(shù)據(jù)），并具有給其他用戶授權(quán)的權(quán)力 Grant all priviliges On 職工，部門 To 周平 With grant option;,6.用

23、戶楊蘭具有從每個(gè)部門職工中SELECT最高工資、最低工資、平均工資的權(quán)力，他不能查看每個(gè)人的工資 首先建立一個(gè)視圖： Create view 部門工資 As select 部門.名稱，MAX(工資)，MIN(工資)，AVG(工資) From 職工，部門 Where 職工.部門號(hào)=部門.部門號(hào) Group by 職工.部門號(hào)； 然后針對(duì)該視圖定義楊蘭的存取權(quán)限： Grant select On 部門工資 To 楊蘭；,例題：有兩個(gè)關(guān)系模式：職工（職工號(hào)，姓名，年齡，職務(wù)，工資，部門號(hào)）部門（部門號(hào)，名稱，經(jīng)理名，地址，電話號(hào)） 將上題中的每一種情況，撤銷各用戶所授予的權(quán)力： 1

24、.撤銷用戶王明對(duì)兩個(gè)表有SELECT權(quán)力 2.撤銷用戶李勇對(duì)兩個(gè)表有INSERT、DELETE權(quán)力 3.撤銷用戶劉星對(duì)職工表有SELECT權(quán)力，對(duì)工資字段具有更新權(quán)力 4.撤銷用戶張新具有修改這兩個(gè)表的結(jié)構(gòu)的權(quán)力 5.撤銷用戶周平具有對(duì)兩個(gè)表所有權(quán)力（讀、插、改、刪除數(shù)據(jù)） 6.撤銷用戶楊蘭具有從每個(gè)部門職工中SELECT最高工資、最低工資、平均工資的權(quán)力,1.撤銷用戶王明對(duì)兩個(gè)表有SELECT權(quán)力 revoke select On 職工，部門 from 王明; 2.撤銷用戶李勇對(duì)兩個(gè)表有INSERT、DELETE權(quán)力 revoke insert,delete On 職工，部門

25、 from 李勇; 3.撤銷用戶劉星對(duì)職工表有SELECT權(quán)力，對(duì)工資字段具有更新權(quán)力 revoke select，update(工資) On 職工 from 劉星;,4.撤銷用戶張新具有修改這兩個(gè)表的結(jié)構(gòu)的權(quán)力 revoke alter table On 職工，部門 from 張新; 5.撤銷用戶周平具有對(duì)兩個(gè)表所有權(quán)力（讀、插、改、刪除數(shù)據(jù)) revoke all priviliges On 職工，部門 from 周平; 6.撤銷用戶楊蘭具有從每個(gè)部門職工中SELECT最高工資、最低工資、平均工資的權(quán)力 Revoke select On 部門工資 from 楊蘭; drop view 部門工資；,下課了。。。,休息一會(huì)兒。。。,認(rèn) 真,