資源描述:
《數(shù)據(jù)庫(kù)原理第4章數(shù)據(jù)庫(kù)安全性課件.ppt》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、第四章數(shù)據(jù)庫(kù)安全性swun7/28/20211第四章數(shù)據(jù)庫(kù)安全性引言數(shù)據(jù)保護(hù)亦稱(chēng)為數(shù)據(jù)控制,包括數(shù)據(jù)的:安全性控制完整性控制并發(fā)控制恢復(fù)數(shù)據(jù)庫(kù)的安全性的目的:保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用造成數(shù)據(jù)的泄漏、更改和破壞。數(shù)據(jù)庫(kù)安全尤為重要,安全保護(hù)措施是否有效是系統(tǒng)主要指標(biāo)之一。SQL語(yǔ)言提供了數(shù)據(jù)控制功能,能夠在一定程度上保證數(shù)據(jù)庫(kù)中數(shù)據(jù)的安全性、完整性,并提供了一定的并發(fā)控制及恢復(fù)能力。7/28/20212第四章數(shù)據(jù)庫(kù)安全性目錄4.1計(jì)算機(jī)安全性概述4.2數(shù)據(jù)庫(kù)安全控制4.3視圖機(jī)制4.4審計(jì)(Audit)4.5數(shù)據(jù)加密
2、4.6統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性小結(jié)7/28/20213第四章數(shù)據(jù)庫(kù)安全性*4.1計(jì)算機(jī)安全性概述4.1.1計(jì)算機(jī)系統(tǒng)的三類(lèi)安全性問(wèn)題技術(shù)安全管理安全政策法律4.1.2安全標(biāo)準(zhǔn)簡(jiǎn)介T(mén)CSEC:1985CCV2.1:19997/28/20214第四章數(shù)據(jù)庫(kù)安全性4.2數(shù)據(jù)庫(kù)安全性控制用戶(hù)DBMSOSDB用戶(hù)標(biāo)識(shí)和鑒別操作系統(tǒng)安全保護(hù)數(shù)據(jù)庫(kù)安全保護(hù)數(shù)據(jù)密碼存儲(chǔ)圖4-2計(jì)算機(jī)系統(tǒng)的安全模型7/28/20215第四章數(shù)據(jù)庫(kù)安全性4.2數(shù)據(jù)庫(kù)安全性控制4.2.1用戶(hù)標(biāo)識(shí)與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4
3、.2.5數(shù)據(jù)庫(kù)角色4.2.6強(qiáng)制存取控制方法7/28/20216第四章數(shù)據(jù)庫(kù)安全性4.2.1用戶(hù)標(biāo)識(shí)與鑒別用戶(hù)標(biāo)識(shí)與鑒別(Identification&Authentication)系統(tǒng)提供的最外層安全保護(hù)措施7/28/20217第四章數(shù)據(jù)庫(kù)安全性用戶(hù)標(biāo)識(shí)與鑒別基本方法系統(tǒng)提供一定的方式讓用戶(hù)標(biāo)識(shí)自己的名字或身份;系統(tǒng)內(nèi)部記錄著所有合法用戶(hù)的標(biāo)識(shí);每次用戶(hù)要求進(jìn)入系統(tǒng)時(shí),由系統(tǒng)核對(duì)用戶(hù)提供的身份標(biāo)識(shí);通過(guò)鑒定后才提供機(jī)器使用權(quán);用戶(hù)標(biāo)識(shí)和鑒定可以重復(fù)多次。7/28/20218第四章數(shù)據(jù)庫(kù)安全性用戶(hù)標(biāo)識(shí)自己的名字或身份用戶(hù)
4、名/口令簡(jiǎn)單易行,容易被人竊取稍復(fù)雜的辦法:每個(gè)用戶(hù)預(yù)先約定好一個(gè)計(jì)算過(guò)程或者函數(shù)系統(tǒng)提供一個(gè)隨機(jī)數(shù)用戶(hù)根據(jù)自己預(yù)先約定的計(jì)算過(guò)程或者函數(shù)進(jìn)行計(jì)算系統(tǒng)根據(jù)用戶(hù)計(jì)算結(jié)果是否正確鑒定用戶(hù)身份7/28/20219第四章數(shù)據(jù)庫(kù)安全性4.2.2存取控制存取控制機(jī)制的功能存取控制機(jī)制的組成定義存取權(quán)限檢查存取權(quán)限用戶(hù)權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS的安全子系統(tǒng)7/28/202110第四章數(shù)據(jù)庫(kù)安全性存取控制(續(xù))定義存取權(quán)限在數(shù)據(jù)庫(kù)系統(tǒng)中,為了保證用戶(hù)只能訪問(wèn)他有權(quán)存取的數(shù)據(jù),必須預(yù)先對(duì)每個(gè)用戶(hù)定義存取權(quán)限。檢查存取權(quán)限對(duì)
5、于通過(guò)鑒定獲得上機(jī)權(quán)的用戶(hù)(即合法用戶(hù)),系統(tǒng)根據(jù)他的存取權(quán)限定義對(duì)他的各種操作請(qǐng)求進(jìn)行控制,確保他只執(zhí)行合法操作。7/28/202111第四章數(shù)據(jù)庫(kù)安全性存取控制(續(xù))常用存取控制方法自主存取控制C2級(jí):受控的存取保護(hù)靈活強(qiáng)制存取控制B1級(jí):標(biāo)記的安全保護(hù)嚴(yán)格7/28/202112第四章數(shù)據(jù)庫(kù)安全性自主存取控制方法(DAC:DiscretionaryAccessControl)同一用戶(hù)對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限不同的用戶(hù)對(duì)同一對(duì)象也有不同的權(quán)限用戶(hù)還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶(hù)7/28/202113第四章
6、數(shù)據(jù)庫(kù)安全性強(qiáng)制存取控制方法(MAC:MandatoryAccessControl)每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的密級(jí)每一個(gè)用戶(hù)也被授予某一個(gè)級(jí)別的許可證對(duì)于任意一個(gè)對(duì)象,只有具有合法許可證的用戶(hù)才可以存取7/28/202114第四章數(shù)據(jù)庫(kù)安全性4.2.3自主存取控制方法定義存取權(quán)限存取權(quán)限存取權(quán)限由兩個(gè)要素組成數(shù)據(jù)對(duì)象操作類(lèi)型7/28/202115第四章數(shù)據(jù)庫(kù)安全性自主存取控制方法(續(xù))關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)中的存取權(quán)限對(duì)象類(lèi)型數(shù)據(jù)對(duì)象操作類(lèi)型模式模式建立、修改、刪除、檢索外模式建立、修改、刪除、檢索內(nèi)模式建立、刪除、檢索數(shù)據(jù)表、
7、視圖查找、插入、修改、刪除屬性列查找、插入、修改、刪除7/28/202116第四章數(shù)據(jù)庫(kù)安全性自主存取控制方法(續(xù))關(guān)系系統(tǒng)中的存取權(quán)限(續(xù))定義存取權(quán)限稱(chēng)為授權(quán)(Authorization)定義方法GRANT/REVOKE7/28/202117第四章數(shù)據(jù)庫(kù)安全性自主存取控制方法(續(xù))關(guān)系系統(tǒng)中的存取權(quán)限(續(xù))例:一張授權(quán)表用戶(hù)名數(shù)據(jù)對(duì)象名允許的操作類(lèi)型王平關(guān)系StudentSELECT張明霞關(guān)系StudentUPDATE張明霞關(guān)系CourseALL張明霞SC.GradeUPDATE張明霞SC.SnoSELECT張明霞S
8、C.CnoSELECT7/28/202118第四章數(shù)據(jù)庫(kù)安全性自主存取控制方法(續(xù))檢查存取權(quán)限對(duì)于獲得上機(jī)權(quán)后又進(jìn)一步發(fā)出存取數(shù)據(jù)庫(kù)操作的用戶(hù)DBMS查找數(shù)據(jù)字典,根據(jù)其存取權(quán)限對(duì)操作的合法性進(jìn)行檢查若用戶(hù)的操作請(qǐng)求超出了定義的權(quán)限,系統(tǒng)將拒絕執(zhí)行此操作7/28/202119第四章數(shù)據(jù)庫(kù)安全性自主存取控制方法(續(xù))