【大學(xué)課件】數(shù)據(jù)庫(kù)系統(tǒng)概論 數(shù)據(jù)庫(kù)安全性

《【大學(xué)課件】數(shù)據(jù)庫(kù)系統(tǒng)概論 數(shù)據(jù)庫(kù)安全性》由會(huì)員分享，可在線閱讀，更多相關(guān)《【大學(xué)課件】數(shù)據(jù)庫(kù)系統(tǒng)概論 數(shù)據(jù)庫(kù)安全性（151頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、數(shù)據(jù)庫(kù)系統(tǒng)概論數(shù)據(jù)庫(kù)系統(tǒng)概論An Introduction to Database System第四章第四章 數(shù)據(jù)庫(kù)安全性數(shù)據(jù)庫(kù)安全性http:/ 數(shù)據(jù)庫(kù)安全性數(shù)據(jù)庫(kù)安全性n4.1 計(jì)算機(jī)安全性概述n4.2 數(shù)據(jù)庫(kù)安全性控制n4.3 視圖機(jī)制n4.4 審計(jì)n4.5 數(shù)據(jù)加密n4.6 統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性n4.7 小結(jié)4.1 計(jì)算機(jī)安全性概述計(jì)算機(jī)安全性概述n什么是數(shù)據(jù)庫(kù)的安全性n數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用所造成數(shù)據(jù)泄露、更改或破壞。n安全性問(wèn)題不是數(shù)據(jù)庫(kù)系統(tǒng)所獨(dú)有的，所有計(jì)算機(jī)都有這個(gè)問(wèn)題。n數(shù)據(jù)庫(kù)中大量數(shù)據(jù)集中存放；n為許多最終用戶共享；n安全性問(wèn)題更突出。n數(shù)據(jù)庫(kù)系統(tǒng)的安全

2、保護(hù)措施是否有效是數(shù)據(jù)庫(kù)系統(tǒng)主要的性能指標(biāo)之一。n數(shù)據(jù)庫(kù)的安全性和計(jì)算機(jī)系統(tǒng)的安全性，包括操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的安全性是緊密聯(lián)系、相互支持的。4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題 4.1.2 安全標(biāo)準(zhǔn)簡(jiǎn)介4.1 計(jì)算機(jī)安全性概述計(jì)算機(jī)安全性概述4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題 n什么是計(jì)算機(jī)系統(tǒng)安全性n為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題n計(jì)算機(jī)安全涉及問(wèn)題n計(jì)算機(jī)系統(tǒng)本身的技術(shù)問(wèn)題n計(jì)算機(jī)安全

3、理論與策略n計(jì)算機(jī)安全技術(shù)n管理問(wèn)題n安全管理n安全評(píng)價(jià)n安全產(chǎn)品n法學(xué)n計(jì)算機(jī)安全法律n犯罪學(xué)n計(jì)算機(jī)犯罪與偵察n安全監(jiān)察n心理學(xué)n三類計(jì)算機(jī)系統(tǒng)安全性問(wèn)題n技術(shù)安全類n管理安全類n政策法律類n技術(shù)安全n指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計(jì)算機(jī)系統(tǒng)受到無(wú)意或惡意的攻擊時(shí)仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。n管理安全n軟硬件意外故障、場(chǎng)地的意外事故、管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問(wèn)題n政策法律n政府部門建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令4.1 計(jì)算機(jī)安全性概述

4、計(jì)算機(jī)安全性概述4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題 4.1.2 安全標(biāo)準(zhǔn)簡(jiǎn)介4.1.2 安全標(biāo)準(zhǔn)簡(jiǎn)介安全標(biāo)準(zhǔn)簡(jiǎn)介n為降低進(jìn)而消除對(duì)系統(tǒng)的安全攻擊，各國(guó)引用或制定了一系列安全標(biāo)準(zhǔn)nTCSEC (桔皮書(shū))nTDI (紫皮書(shū))n1985年美國(guó)國(guó)防部（DoD）正式頒布 DoD可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)（簡(jiǎn)稱TCSEC或DoD85）nTCSEC又稱桔皮書(shū)nTCSEC標(biāo)準(zhǔn)的目的n提供一種標(biāo)準(zhǔn)，使用戶可以對(duì)其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評(píng)估。n給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。n1991年4月美國(guó)NCSC（國(guó)家計(jì)算機(jī)安全中心）頒布了可信計(jì)算機(jī)系

5、統(tǒng)評(píng)估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫(kù)系統(tǒng)的解釋（ Trusted Database Interpretation 簡(jiǎn)稱TDI）nTDI又稱紫皮書(shū)。它將TCSEC擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng)。nTDI中定義了數(shù)據(jù)庫(kù)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需滿足和用以進(jìn)行安全性級(jí)別評(píng)估的標(biāo)準(zhǔn)。nTDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容nTDI與TCSEC一樣，從四個(gè)方面來(lái)描述安全性級(jí)別劃分的指標(biāo)n安全策略n責(zé)任n保證n文檔nR1 安全策略（Security Policy） R1.1 自主存取控制 （Discretionary Access Control，簡(jiǎn)記為DAC） R1.2 客體重用（Object Reuse） R1.3 標(biāo)記（Labe

6、ls） R1.4 強(qiáng)制存取控制 （Mandatory Access Control，簡(jiǎn)記為MAC）nR2 責(zé)任（Accountability） R2.1 標(biāo)識(shí)與鑒別 （Identification & Authentication） R2.2 審計(jì)（Audit）nR3 保證（Assurance） R3.1 操作保證（Operational Assurance） R3.2 生命周期保證（Life Cycle Assurance）nR4 文檔（Documentation） R4.1 安全特性用戶指南（Security Features Users Guide） R4.2 可信設(shè)施手冊(cè)（Truste

7、d Facility Manual） R4.3 測(cè)試文檔（Test Documentation） R4.4 設(shè)計(jì)文檔（Design Documentation）nTCSEC/TDI安全級(jí)別劃分（4組7個(gè)等級(jí)）安安 全全 級(jí)級(jí) 別別 定定 義義 A1驗(yàn)證設(shè)計(jì)（驗(yàn)證設(shè)計(jì)（Verified Design） B3安全域（安全域（Security Domains） B2結(jié)構(gòu)化保護(hù)（結(jié)構(gòu)化保護(hù)（Structural Protection） B1標(biāo)記安全保護(hù)（標(biāo)記安全保護(hù)（Labeled Security Protection） C2受控的存取保護(hù)受控的存取保護(hù)（Controlled Access Prot

8、ection） C1自主安全保護(hù)自主安全保護(hù)（Discretionary Security Protection） D最小保護(hù)（最小保護(hù)（Minimal Protection）nD級(jí)n將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組n典型例子：DOS是安全標(biāo)準(zhǔn)為D級(jí)的操作系統(tǒng)n DOS在安全性方面幾乎沒(méi)有什么專門的機(jī)制來(lái)保障。nC1級(jí)n非常初級(jí)的自主安全保護(hù)。n能夠?qū)崿F(xiàn)對(duì)用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播。nC2級(jí)n安全產(chǎn)品的最低檔次。n提供受控的存取保護(hù)，將C1級(jí)的DAC進(jìn)一步細(xì)化，以個(gè)人身份注冊(cè)負(fù)責(zé)，并實(shí)施審計(jì)和資源隔離n達(dá)到C2級(jí)的產(chǎn)品在其名稱中往往不突出“安全”

9、(Security)這一特色。n典型例子n 操作系統(tǒng)nMicrosoft的Windows NT 3.5，n數(shù)字設(shè)備公司的Open VMS VAX 6.0和6.1n 數(shù)據(jù)庫(kù)nOracle公司的Oracle 7nSybase公司的 SQL Server 11.0.6nB1級(jí)n標(biāo)記安全保護(hù)?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。n對(duì)系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對(duì)標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制（MAC）、審計(jì)等安全機(jī)制。n典型例子n 操作系統(tǒng)n數(shù)字設(shè)備公司的SEVMS VAX Version 6.0n惠普公司的HP-UX BLS release 9.0.9+ n 數(shù)據(jù)庫(kù)nOracl

10、e公司的Trusted Oracle 7nSybase公司的Secure SQL Server version 11.0.6nInformix公司的Incorporated INFORMIX-OnLine / Secure 5.0nB2級(jí)n結(jié)構(gòu)化保護(hù)n建立形式化的安全策略模型并對(duì)系統(tǒng)內(nèi)的所有主體和客體實(shí)施DAC和MAC。n經(jīng)過(guò)認(rèn)證的B2級(jí)以上的安全系統(tǒng)非常稀少n典型例子n 操作系統(tǒng)n只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品n 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品n只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品n

11、 數(shù)據(jù)庫(kù)n沒(méi)有符合B2標(biāo)準(zhǔn)的產(chǎn)品。nB3級(jí)n安全域。n該級(jí)的TCB必須滿足訪問(wèn)監(jiān)控器的要求，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過(guò)程。nA1級(jí)n驗(yàn)證設(shè)計(jì)，即提供B3級(jí)保護(hù)的同時(shí)給出系統(tǒng)的形式化設(shè)計(jì)說(shuō)明和驗(yàn)證以確信各安全保護(hù)真正實(shí)現(xiàn)。nB2以上的系統(tǒng)n還處于理論研究階段n應(yīng)用多限于一些特殊的部門如軍隊(duì)等n美國(guó)正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級(jí)別下放到商業(yè)應(yīng)用中來(lái)，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。第四章第四章 數(shù)據(jù)庫(kù)安全性數(shù)據(jù)庫(kù)安全性4.1 計(jì)算機(jī)安全性概述4.2 數(shù)據(jù)庫(kù)安全性控制4.3 視圖機(jī)制4.4 審計(jì)4.5 數(shù)據(jù)加密4.6 統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性4.7 小結(jié)4.2 數(shù)據(jù)庫(kù)安全性控

12、制數(shù)據(jù)庫(kù)安全性控制4.2.1 用戶標(biāo)識(shí)與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫(kù)角色4.2.6 強(qiáng)制存取控制方法n安全模型n在一般的計(jì)算機(jī)系統(tǒng)中，安全措施是一級(jí)一級(jí)層層設(shè)置的。n例如可以有以下模型：4.2.1 用戶標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)與鑒別 用戶用戶DBMSOS DB 低低 高高安全性控制層次安全性控制層次 方法：方法： 用戶標(biāo)識(shí)用戶標(biāo)識(shí)和鑒定和鑒定 存取控制存取控制審計(jì)審計(jì)視圖視圖 操作系統(tǒng)操作系統(tǒng) 安全保護(hù)安全保護(hù) 密碼存儲(chǔ)密碼存儲(chǔ)n數(shù)據(jù)庫(kù)安全性控制的常用方法n用戶標(biāo)識(shí)和鑒定n存取控制n視圖n審計(jì)n密碼存儲(chǔ)4.2.1 用戶標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)

13、與鑒別n用戶標(biāo)識(shí)與鑒別n系統(tǒng)提供的最外層安全保護(hù)措施n基本方法n系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份；n系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識(shí)；4.2.2 用戶標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)與鑒別n每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)核對(duì)用戶提供的身份標(biāo)識(shí)；n通過(guò)鑒定后才提供機(jī)器使用權(quán)。n用戶標(biāo)識(shí)和鑒定可以重復(fù)多次用戶標(biāo)識(shí)自己的名字或身份用戶標(biāo)識(shí)自己的名字或身份n用戶名/口令n簡(jiǎn)單易行，容易被人竊取n每個(gè)用戶預(yù)先約定好一個(gè)計(jì)算過(guò)程或者函數(shù)n系統(tǒng)提供一個(gè)隨機(jī)數(shù)n用戶根據(jù)自己預(yù)先約定的計(jì)算過(guò)程或者函數(shù)進(jìn)行計(jì)算n系統(tǒng)根據(jù)用戶計(jì)算結(jié)果是否正確鑒定用戶身份4.2 數(shù)據(jù)庫(kù)安全性控制數(shù)據(jù)庫(kù)安全性控制4.2.1 用戶標(biāo)識(shí)與鑒

14、別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫(kù)角色4.2.6 強(qiáng)制存取控制方法9.2.3 存取控制存取控制n存取控制機(jī)制的功能n存取控制機(jī)制的組成n 定義存取權(quán)限n 檢查存取權(quán)限n用戶權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS的安全子系統(tǒng)存取控制（續(xù)）存取控制（續(xù)）n定義存取權(quán)限n在數(shù)據(jù)庫(kù)系統(tǒng)中，為了保證用戶只能訪問(wèn)他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對(duì)每個(gè)用戶定義存取權(quán)限。n檢查存取權(quán)限n對(duì)于通過(guò)鑒定獲得上機(jī)權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對(duì)他的各種操作請(qǐng)求進(jìn)行控制，確保他只執(zhí)行合法操作。存取控制（續(xù)）存取控制（續(xù)）n常用存取控制方法n自主存

15、取控制（Discretionary Access Control ，簡(jiǎn)稱DAC）n C2級(jí)n 靈活n強(qiáng)制存取控制（Mandatory Access Control，簡(jiǎn)稱 MAC）n B1級(jí)n嚴(yán)格4.2 數(shù)據(jù)庫(kù)安全性控制數(shù)據(jù)庫(kù)安全性控制4.2.1 用戶標(biāo)識(shí)與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫(kù)角色4.2.6 強(qiáng)制存取控制方法自主存取控制方法自主存取控制方法n同一用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限n不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限n用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶9.2 數(shù)據(jù)庫(kù)安全性控制數(shù)據(jù)庫(kù)安全性控制9.2.1 用戶標(biāo)識(shí)與鑒別

16、9.2.2 存取控制9.2.3 自主存取控制方法9.2.4 強(qiáng)制存取控制方法9.2.3 自主存取控制方法自主存取控制方法n定義存取權(quán)限n存取權(quán)限n 存取權(quán)限由兩個(gè)要素組成n數(shù)據(jù)對(duì)象和操作類型自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n關(guān)系系統(tǒng)中的存取權(quán)限n類型 數(shù)據(jù)對(duì)象操作類型模 式 模 式建立、修改、刪除、檢索外模式 建立、修改、刪除、檢索 內(nèi)模式建立、刪除、檢索數(shù) 據(jù) 表查找、插入、修改、刪除屬性列查找、插入、修改、刪除自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n關(guān)系系統(tǒng)中的存取權(quán)限n定義方法nGRANT/REVOKE自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n關(guān)系系統(tǒng)中的存取權(quán)限(

17、續(xù))n例: 一張授權(quán)表 用戶名 數(shù)據(jù)對(duì)象名 允許的操作類型 王 平 關(guān)系Student SELECT 張明霞 關(guān)系Student UPDATE 張明霞 關(guān)系Course ALL 張明霞 SC. Grade UPDATE 張明霞 SC. Sno SELECT 張明霞 SC. Cno SELECT自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n檢查存取權(quán)限n對(duì)于獲得上機(jī)權(quán)后又進(jìn)一步發(fā)出存取數(shù)據(jù)庫(kù)操作的用戶nDBMS查找數(shù)據(jù)字典，根據(jù)其存取權(quán)限對(duì)操作的合法性進(jìn)行檢查n若用戶的操作請(qǐng)求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n 授權(quán)粒度n授權(quán)粒度是指可以定義的數(shù)

18、據(jù)對(duì)象的范圍n它是衡量授權(quán)機(jī)制是否靈活的一個(gè)重要指標(biāo)。n授權(quán)定義中數(shù)據(jù)對(duì)象的粒度越細(xì)，即可以定義的數(shù)據(jù)對(duì)象的范圍越小，授權(quán)子系統(tǒng)就越靈活。自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n關(guān)系數(shù)據(jù)庫(kù)中授權(quán)的數(shù)據(jù)對(duì)象粒度n 數(shù)據(jù)庫(kù)n 表n 屬性列n 行n能否提供與數(shù)據(jù)值有關(guān)的授權(quán)反映了授權(quán)子系統(tǒng)精巧程度自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n實(shí)現(xiàn)與數(shù)據(jù)值有關(guān)的授權(quán)n利用存取謂詞n存取謂詞可以很復(fù)雜n可以引用系統(tǒng)變量，如終端設(shè)備號(hào)，系統(tǒng)時(shí)鐘等，實(shí)現(xiàn)與時(shí)間地點(diǎn)有關(guān)的存取權(quán)限，這樣用戶只能在某段時(shí)間內(nèi)，某臺(tái)終端上存取有關(guān)數(shù)據(jù) 例：規(guī)定“教師只能在每年1月份和7月份星期一至星期五上午8點(diǎn)到下午5點(diǎn)處理

19、學(xué)生成績(jī)數(shù)據(jù)”。自主存取控制方法（續(xù)）自主存取控制方法（續(xù)） 例：擴(kuò)充后的授權(quán)表 用戶名 數(shù)據(jù)對(duì)象名 允許的操作類型 存取謂詞王 平 關(guān) 系 S t u d e n t S E L E C T Sdept=CS張明霞 關(guān)系Student UPDATE Sname=張明霞張明霞 關(guān)系 Course ALL 空自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n自主存取控制小結(jié)n定義存取權(quán)限n用戶n檢查存取權(quán)限nDBMS自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n自主存取控制小結(jié)(續(xù))n授權(quán)粒度n數(shù)據(jù)對(duì)象粒度：數(shù)據(jù)庫(kù)、表、屬性列、行n數(shù)據(jù)值粒度：存取謂詞n授權(quán)粒度越細(xì)，授權(quán)子系統(tǒng)就越靈活，能夠提供的安

20、全性就越完善。但另一方面，因數(shù)據(jù)字典變大變復(fù)雜，系統(tǒng)定義與檢查權(quán)限的開(kāi)銷也會(huì)相應(yīng)地增大。自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n自主存取控制小結(jié)(續(xù))n優(yōu)點(diǎn)n能夠通過(guò)授權(quán)機(jī)制有效地控制其他用戶對(duì)敏感數(shù)據(jù)的存取自主存取控制方法（續(xù)）自主存取控制方法（續(xù)）n自主存取控制小結(jié)(續(xù))n缺點(diǎn)n可能存在數(shù)據(jù)的“無(wú)意泄露”n原因：這種機(jī)制僅僅通過(guò)對(duì)數(shù)據(jù)的存取權(quán)限來(lái)進(jìn)行安全控制，而數(shù)據(jù)本身并無(wú)安全性標(biāo)記。 n解決：對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略4.2 數(shù)據(jù)庫(kù)安全性控制數(shù)據(jù)庫(kù)安全性控制4.2.1 用戶標(biāo)識(shí)與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5

21、數(shù)據(jù)庫(kù)角色4.2.6 強(qiáng)制存取控制方法4.2.4 授授 權(quán)與回收權(quán)與回收nGRANT語(yǔ)句的一般格式： GRANT ,. ON TO ,|PUBLIC WITH GRANT OPTION;n功能：將指定操作對(duì)象的指定操作權(quán)限授予指定的用戶。 對(duì)象 對(duì)象類型 操 作 權(quán) 限 屬性列 TABLE SELECT,INSERT,UPDATE，DELETE,ALL PRIVILEGES 視圖 TABLE SELECT,INSERT,UPDATE，DELETE,ALL PRIVILEGES 基本表 TABLE SELECT,INSERT,UPDATE，DELETE ALTER, INDEX, ALL PRI

22、VILEGES 數(shù)據(jù)庫(kù) DATABASE CREATETAB n建表（CREATE TAB）的權(quán)限:屬于DBAnDBA授予-普通用戶n基本表或視圖的屬主擁有對(duì)該表或視圖的一切操作權(quán)限n接受權(quán)限的用戶: 一個(gè)或多個(gè)具體用戶 PUBLIC（全體用戶）n指定了WITH GRANT OPTION子句: 獲得某種權(quán)限的用戶還可以把這種權(quán)限再授予別的用戶。n沒(méi)有指定WITH GRANT OPTION子句: 獲得某種權(quán)限的用戶只能使用該權(quán)限，不能傳播該權(quán)限例題例題 例1 把查詢Student表權(quán)限授給用戶U1GRANT SELECT ON Student TO U1;例題（續(xù)）例題（續(xù)）例2 把對(duì)Stude

23、nt表和Course表的全部權(quán)限授予用戶U2和U3GRANT ALL PRIVILEGES ON Student, Course TO U2, U3;n注意：在Oracle中，只能對(duì)一個(gè)對(duì)象授權(quán)。例題（續(xù)）例題（續(xù)）例3 把對(duì)表SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON SC TO PUBLIC;例題（續(xù)）例題（續(xù)）例4 把查詢Student表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶U4 GRANT UPDATE(Sno),SELECT ON Student TO U4;例題（續(xù)）例題（續(xù)） 例5 把對(duì)表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶 GRANT INS

24、ERT ON SC TO U5 WITH GRANT OPTION;傳播權(quán)限傳播權(quán)限 執(zhí)行例5后，U5不僅擁有了對(duì)表SC的INSERT權(quán)限， 還可以傳播此權(quán)限： GRANT INSERT ON SC TO U6 WITH GRANT OPTION; 同樣，U6還可以將此權(quán)限授予U7： GRANT INSERT ON SC TO U7; 但U7不能再傳播此權(quán)限。 U5- U6- U7例題（續(xù)）例題（續(xù)）例6 DBA把在數(shù)據(jù)庫(kù)S_C中建立表的權(quán)限授予用戶U8GRANT CREATETABON DATABASE S_C TO U8;注意：Oracle中由DBA把CREATE TABLE的權(quán)限授予用戶

25、。3.6 數(shù)據(jù)控制數(shù)據(jù)控制n概述n3.6.1 授權(quán)n3.6.2 收回權(quán)限n小結(jié)3.6.2 收回權(quán)限收回權(quán)限nREVOKE語(yǔ)句的一般格式為： REVOKE ,. ON FROM ,.;n功能：從指定用戶那里收回指定的權(quán)限。例題例題例7 把用戶U4修改學(xué)生學(xué)號(hào)的權(quán)限收回 REVOKE UPDATE(Sno) ON Student FROM U4; 注意：Oracle中不能按列收回權(quán)限。例題（續(xù)）例題（續(xù)）例8 收回所有用戶對(duì)表SC的查詢權(quán)限REVOKE SELECT ON SC FROM PUBLIC;例題（續(xù)）例題（續(xù)）例9 把用戶U5對(duì)SC表的INSERT權(quán)限收回REVOKE INSERT O

26、N SC FROM U5;權(quán)限的級(jí)聯(lián)回收權(quán)限的級(jí)聯(lián)回收系統(tǒng)將收回直接或間接從U5處獲得的對(duì)SC表的INSERT權(quán)限: -U5- U6- U7收回U5、U6、U7獲得的對(duì)SC表的INSERT權(quán)限: -U5- U6- U7小結(jié)小結(jié):SQLSQL靈活的授權(quán)機(jī)制靈活的授權(quán)機(jī)制nDBA擁有對(duì)數(shù)據(jù)庫(kù)中所有對(duì)象的所有權(quán)限，并可以根據(jù)應(yīng)用的需要將不同的權(quán)限授予不同的用戶。n用戶對(duì)自己建立的基本表和視圖擁有全部的操作權(quán)限，并且可以用GRANT語(yǔ)句把其中某些權(quán)限授予其他用戶。n被授權(quán)的用戶如果有“繼續(xù)授權(quán)”的許可，還可以把獲得的權(quán)限再授予其他用戶。n所有授予出去的權(quán)力在必要時(shí)又都可以用REVOKE語(yǔ)句收回。4.2

27、 數(shù)據(jù)庫(kù)安全性控制數(shù)據(jù)庫(kù)安全性控制4.2.1 用戶標(biāo)識(shí)與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫(kù)角色4.2.6 強(qiáng)制存取控制方法4.2 數(shù)據(jù)庫(kù)安全性控制數(shù)據(jù)庫(kù)安全性控制4.2.1 用戶標(biāo)識(shí)與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫(kù)角色4.2.6 強(qiáng)制存取控制方法4.2.6 強(qiáng)制存取控制方法強(qiáng)制存取控制方法n什么是強(qiáng)制存取控制n強(qiáng)制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強(qiáng)制存取檢查手段。nMAC不是用戶能直接感知或進(jìn)行控制的。nM

28、AC適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門n 軍事部門n 政府部門強(qiáng)制存取控制方法強(qiáng)制存取控制方法n主體與客體n在MAC中，DBMS所管理的全部實(shí)體被分為主體和客體兩大類n主體是系統(tǒng)中的活動(dòng)實(shí)體n DBMS所管理的實(shí)際用戶n 代表用戶的各進(jìn)程n客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的n 文件n 基表n 索引n 視圖強(qiáng)制存取控制方法強(qiáng)制存取控制方法n敏感度標(biāo)記n 對(duì)于主體和客體，DBMS為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（Label）n 敏感度標(biāo)記分成若干級(jí)別n 絕密（Top Secret）n 機(jī)密（Secret）n 可信（Confidential）n 公開(kāi)（Public）強(qiáng)制存取控制方法（續(xù)

29、）強(qiáng)制存取控制方法（續(xù)）n主體的敏感度標(biāo)記稱為許可證級(jí)別（Clearance Level）n客體的敏感度標(biāo)記稱為密級(jí)（Classification Level）nMAC機(jī)制就是通過(guò)對(duì)比主體的Label和客體的Label，最終確定主體是否能夠存取客體強(qiáng)制存取控制方法（續(xù)）強(qiáng)制存取控制方法（續(xù)）n 強(qiáng)制存取控制規(guī)則n當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊(cè)入系統(tǒng)時(shí)，系統(tǒng)要求他對(duì)任何客體的存取必須遵循下面兩條規(guī)則：（1）僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體；（2）僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí)，該主體才能寫相應(yīng)的客體。強(qiáng)制存取控制方法（續(xù)）強(qiáng)制存取控制方法（

30、續(xù)）n修正規(guī)則：n主體的許可證級(jí)別 得到的利益第四章第四章 數(shù)據(jù)庫(kù)安全性數(shù)據(jù)庫(kù)安全性4.1 計(jì)算機(jī)安全性概述4.2 數(shù)據(jù)庫(kù)安全性控制4.3 視圖機(jī)制4.4 審計(jì)4.5 數(shù)據(jù)加密4.6 統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性4.7 小結(jié)4.7 小結(jié)小結(jié)n隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)的共享日益加強(qiáng)，數(shù)據(jù)的安全保密越來(lái)越重要nDBMS是管理數(shù)據(jù)的核心，因而其自身必須具有一整套完整而有效的安全性機(jī)制。n可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)TCSEC/TDI是目前各國(guó)所引用或制定的一系列安全標(biāo)準(zhǔn)中最重要的一個(gè)。 nCSEC/TDI從安全策略、責(zé)任、保證和文檔四個(gè)方面描述了安全性級(jí)別的指標(biāo)n實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)安全性的技術(shù)和方法有多種，最重要的是存

31、取控制技術(shù)和審計(jì)技術(shù)。n目前許多大型DBMS 達(dá)到了C2級(jí)，其安全版本達(dá)到了B1nC2級(jí)的DBMS必須具有自主存取控制功能和初步的審計(jì)功能nB1級(jí)的DBMS必須具有強(qiáng)制存取控制和增強(qiáng)的審計(jì)功能n自主存取控制功能一般是通過(guò)SQL 的GRANT語(yǔ)句和REVOKE語(yǔ)句來(lái)實(shí)現(xiàn)的Oracle數(shù)據(jù)庫(kù)的安全性措施數(shù)據(jù)庫(kù)的安全性措施nORACLE的安全措施:n用戶標(biāo)識(shí)和鑒定n授權(quán)和檢查機(jī)制n審計(jì)技術(shù)n用戶通過(guò)觸發(fā)器靈活定義自己的安全性措施一、一、Oracle的用戶標(biāo)識(shí)和鑒定的用戶標(biāo)識(shí)和鑒定nOracle允許用戶重復(fù)標(biāo)識(shí)三次n如果三次仍未通過(guò)，系統(tǒng)自動(dòng)退出二、二、Oracle的授權(quán)與檢查機(jī)制的授權(quán)與檢查機(jī)制nO

32、racle授權(quán)和檢查機(jī)制的特色nOracle的權(quán)限包括系統(tǒng)權(quán)限和數(shù)據(jù)庫(kù)對(duì)象的權(quán)限n采用非集中式的授權(quán)機(jī)制nDBA負(fù)責(zé)授予與回收系統(tǒng)權(quán)限，也可以授予與回收所有數(shù)據(jù)庫(kù)對(duì)象的權(quán)限二、二、Oracle的授權(quán)與檢查機(jī)制的授權(quán)與檢查機(jī)制n每個(gè)用戶授予與回收自己創(chuàng)建的數(shù)據(jù)庫(kù)對(duì)象的權(quán)限。n允許重復(fù)授權(quán)，即可將某一權(quán)限多次授予同一用戶，系統(tǒng)不會(huì)出錯(cuò)。n不允許無(wú)效回收，即用戶回收沒(méi)有授出的權(quán)限。1.系統(tǒng)權(quán)限系統(tǒng)權(quán)限Oracle 9i數(shù)據(jù)庫(kù)提供了100多種系統(tǒng)權(quán)限n 創(chuàng)建會(huì)話 CREATE SESSIONn 創(chuàng)建表 CREATE TABLEn 創(chuàng)建視圖 CREATE VIEWn 創(chuàng)建用戶 CREATE USER1

33、系統(tǒng)權(quán)限系統(tǒng)權(quán)限nDBA在創(chuàng)建一個(gè)用戶時(shí)需要將其中的一些權(quán)限授予該用戶n什么是角色？n一組系統(tǒng)權(quán)限的集合，目的在于簡(jiǎn)化權(quán)限管理。nORACLE允許DBA定義角色nORACLE提供的預(yù)定義角色n CONNECTn RESOURCEn DBA1 系統(tǒng)權(quán)限系統(tǒng)權(quán)限nCONNECT角色n允許用戶登錄數(shù)據(jù)庫(kù)并執(zhí)行數(shù)據(jù)查詢和操縱n ALTER TABLEn CREATE VIEW / INDEX n DROP TABLE / VIEW / INDEXn GRANT, REVOKEn INSERT, UPDATE, DELETEn SELETEn AUDIT / NOAUDIT1 系統(tǒng)權(quán)限系統(tǒng)權(quán)限nRESO

34、URCE角色n允許用戶建表，即執(zhí)行CREATE TABLE操作n由于創(chuàng)建表的用戶將擁有該表，因此他具有對(duì)該表的任何權(quán)限。1 系統(tǒng)權(quán)限系統(tǒng)權(quán)限nDBA角色n允許用戶執(zhí)行授權(quán)命令，建表，對(duì)任何表的數(shù)據(jù)進(jìn)行操縱。nDBA角色涵蓋了前兩種角色，此外還可以執(zhí)行一些管理操作。nDBA角色擁有最高級(jí)別的權(quán)限。1系統(tǒng)權(quán)限系統(tǒng)權(quán)限例：DBA建立一用戶U12后，欲將ALTER TABLE、CREATE VIEW、CREATE INDEX、DROP TABLE、DROP VIEW、DROP INDEX, GRANT,REVOKE、INSERT 、SELETE、UPDATE、DELETE、AUDIT、NOAUDIT等

35、系統(tǒng)權(quán)限授予U12 GRANT CONNECT TO U12; 這樣就可以省略十幾條GRANT語(yǔ)句2.數(shù)據(jù)庫(kù)對(duì)象的權(quán)限數(shù)據(jù)庫(kù)對(duì)象的權(quán)限ORACLE可以授權(quán)的數(shù)據(jù)庫(kù)對(duì)象n 基本表n 視圖n 序列n 同義詞n 存儲(chǔ)過(guò)程n 函數(shù)數(shù)據(jù)庫(kù)對(duì)象的權(quán)限（續(xù)）數(shù)據(jù)庫(kù)對(duì)象的權(quán)限（續(xù)）n基本表的安全性級(jí)別n 表級(jí)n 行級(jí)n 列級(jí)數(shù)據(jù)庫(kù)對(duì)象的權(quán)限數(shù)據(jù)庫(kù)對(duì)象的權(quán)限n表級(jí)權(quán)限n ALTER： 修改表定義n SELECT：查找表中記錄n INSERT： 向表中插入數(shù)據(jù)記錄n DELETE：刪除表記錄n UPDATE：修改表中的數(shù)據(jù)n INDEX： 在表上建索引n ALL PRIVILEGES：上述所有權(quán)限數(shù)據(jù)庫(kù)對(duì)象的權(quán)限

36、數(shù)據(jù)庫(kù)對(duì)象的權(quán)限n 表級(jí)授權(quán)使用GRANTREVOKE語(yǔ)句 例： GRANT SELECT ON SC TO U12; REVOKE SELECT ON SC FROM U12;數(shù)據(jù)庫(kù)對(duì)象的權(quán)限數(shù)據(jù)庫(kù)對(duì)象的權(quán)限n行級(jí)安全性n Oracle行級(jí)安全性由視圖間接實(shí)現(xiàn)。n用視圖定義表的水平子集，限定用戶在視圖上的操作。數(shù)據(jù)庫(kù)對(duì)象的權(quán)限數(shù)據(jù)庫(kù)對(duì)象的權(quán)限例：用戶U1只允許用戶U12查看自己創(chuàng)建的Student表中有關(guān)信息系學(xué)生的信息，則首先創(chuàng)建視圖信息系學(xué)生視圖S_IS： CREATE VIEW S_IS AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student

37、WHERE Sdept=IS; 然后將關(guān)于該視圖的SELECT權(quán)限授予U12用戶： GRANT SELECT ON S_IS TO U12;數(shù)據(jù)庫(kù)對(duì)象的權(quán)限數(shù)據(jù)庫(kù)對(duì)象的權(quán)限n列級(jí)安全性n 實(shí)現(xiàn)方法n 由視圖間接實(shí)現(xiàn)n 直接在基本表上定義數(shù)據(jù)庫(kù)對(duì)象的權(quán)限數(shù)據(jù)庫(kù)對(duì)象的權(quán)限n列級(jí)安全性(續(xù))n借助視圖實(shí)現(xiàn)列級(jí)安全性CREATE VIEW S_V AS SELECT Sno，Sname FROM Student； GRANT SELECT ON S_V TO U12;數(shù)據(jù)庫(kù)對(duì)象的權(quán)限數(shù)據(jù)庫(kù)對(duì)象的權(quán)限n列級(jí)安全性(續(xù))n 直接在基本表上定義列級(jí)安全性 例：GRANT UPDATE(Sno,Cno) ON

38、 SC TO U2; REVOKE UPDATE ON SC FROM U2;數(shù)據(jù)庫(kù)對(duì)象的權(quán)限數(shù)據(jù)庫(kù)對(duì)象的權(quán)限n上一級(jí)對(duì)象的權(quán)限制約下一級(jí)對(duì)象的權(quán)限 例：當(dāng)一個(gè)用戶擁有了對(duì)某個(gè)表的UPDATE權(quán)限 相當(dāng)于在表的所有列了都擁有UPDATE 權(quán)限 數(shù)據(jù)庫(kù)對(duì)象的權(quán)限（續(xù)）數(shù)據(jù)庫(kù)對(duì)象的權(quán)限（續(xù)）Oracle對(duì)數(shù)據(jù)庫(kù)對(duì)象的權(quán)限采用分散控制方式n允許具有WITH GRANT OPTION的用戶把相應(yīng)權(quán)限或其子集傳遞授予其他用戶Oracle允許循環(huán)授權(quán) U1 U2 U3 U4 Oracle的授權(quán)與檢查機(jī)制（續(xù)）的授權(quán)與檢查機(jī)制（續(xù)）nOracle的權(quán)限信息記錄在數(shù)據(jù)字典中n當(dāng)用戶進(jìn)行數(shù)據(jù)庫(kù)操作時(shí)，Oracl

39、e首先根據(jù)數(shù)據(jù)字典中的權(quán)限信息，檢查操作的合法性。n在Oracle中，安全性檢查是任何數(shù)據(jù)庫(kù)操作的第一步。三、三、Oracle的審計(jì)技術(shù)的審計(jì)技術(shù)n審計(jì)分類n用戶級(jí)審計(jì)n系統(tǒng)級(jí)審計(jì)n 用戶級(jí)審計(jì)n由用戶設(shè)置n用戶針對(duì)自己創(chuàng)建的數(shù)據(jù)庫(kù)表或視圖進(jìn)行審計(jì)n審計(jì)內(nèi)容n所有用戶對(duì)這些表或視圖的一切成功和或不成功的訪問(wèn)要求n所有用戶對(duì)這些表或視圖的各類SQL操作n系統(tǒng)級(jí)審計(jì)nDBA設(shè)置n審計(jì)對(duì)象和內(nèi)容n成功或失敗的登錄要求nGRANT和REVOKE操作n其他數(shù)據(jù)庫(kù)級(jí)權(quán)限下的操作 可以自由設(shè)置nAUDIT：設(shè)置審計(jì)功能例： AUDIT ALTER,UPDATE ON SC;n NOAUDIT：取消審計(jì)功能例

40、： NOAUDIT ALL ON SC;n 對(duì)哪些表進(jìn)行審計(jì)n 對(duì)哪些操作進(jìn)行審計(jì)n與審計(jì)功能有關(guān)的數(shù)據(jù)字典表n SYS.TABLES：審計(jì)設(shè)置n SYS.AUDIT_TRAIL：審計(jì)內(nèi)容nSYSTEM.AUDIT_ACTION：可審計(jì)的命令n SYS.TABLES：nTAB$NAME: 表名；nTAB$OWNER：表的擁有者（即創(chuàng)建者）TAB$AUDIT： 審計(jì)設(shè)置四、用戶定義的安全性措施四、用戶定義的安全性措施n用數(shù)據(jù)庫(kù)級(jí)觸發(fā)器定義用戶級(jí)安全性例：規(guī)定只能在工作時(shí)間內(nèi)更新Student表 可以定義如下觸發(fā)器： CREATE OR REPLACE TRIGGER secure_student

41、BEFORE INSERT OR UPDATE OR DELETE ON Student BEGIN IF (TO_CHAR(sysdate,DY) IN (SAT,SUN) OR (TO_NUMBER(sysdate,HH24) NOT BETWEEN 8 AND 17) THEN RAISE_APPLICATION_ERROR(-20506, You may only change data during normal business hours.) ; END IF;END; n觸發(fā)器存放在數(shù)據(jù)字典中n用戶每次對(duì)Student表執(zhí)行INSERT、UPDATE或DELETE自動(dòng)觸發(fā)該觸發(fā)器n系統(tǒng)檢查當(dāng)時(shí)的系統(tǒng)時(shí)間，如是周六或周日，或者不是8點(diǎn)至17點(diǎn)，系統(tǒng)會(huì)拒絕執(zhí)行用戶的更新操作，并提示出錯(cuò)信息。n利用觸發(fā)器進(jìn)一步細(xì)化審計(jì)規(guī)則，使審計(jì)操作的粒度更細(xì)下課了。下課了。休息一會(huì)兒。休息一會(huì)兒。