數(shù)據(jù)庫系統(tǒng)概論 第四章 數(shù)據(jù)庫安全性.ppt
《數(shù)據(jù)庫系統(tǒng)概論 第四章 數(shù)據(jù)庫安全性.ppt》由會員分享,可在線閱讀,更多相關(guān)《數(shù)據(jù)庫系統(tǒng)概論 第四章 數(shù)據(jù)庫安全性.ppt(84頁珍藏版)》請在裝配圖網(wǎng)上搜索。
AnIntroductiontoDatabaseSystem,數(shù)據(jù)庫系統(tǒng)概論AnIntroductiontoDatabaseSystem第四章數(shù)據(jù)庫安全性,,AnIntroductiontoDatabaseSystem,數(shù)據(jù)庫安全性,問題的提出數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例:軍事秘密、國家機密、新產(chǎn)品實驗數(shù)據(jù)、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù),AnIntroductiontoDatabaseSystem,第四章數(shù)據(jù)庫安全性,4.1計算機安全性概述4.2數(shù)據(jù)庫安全性控制4.3視圖機制4.4審計(Audit)4.5數(shù)據(jù)加密4.6統(tǒng)計數(shù)據(jù)庫安全性4.7小結(jié),AnIntroductiontoDatabaseSystem,4.1計算機安全性概述,4.1.1計算機系統(tǒng)的三類安全性問題4.1.2安全標(biāo)準(zhǔn)簡介,AnIntroductiontoDatabaseSystem,4.1.1計算機系統(tǒng)的三類安全性問題,計算機系統(tǒng)安全性為計算機系統(tǒng)建立和采取的各種安全保護措施,以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù),防止其因偶然或惡意的原因使系統(tǒng)遭到破壞,數(shù)據(jù)遭到更改或泄露等。,AnIntroductiontoDatabaseSystem,計算機系統(tǒng)的三類安全性問題(續(xù)),三類計算機系統(tǒng)安全性問題技術(shù)安全類管理安全類政策法律類,AnIntroductiontoDatabaseSystem,4.1計算機安全性概論,4.1.1計算機系統(tǒng)的三類安全性問題4.1.2安全標(biāo)準(zhǔn)簡介,AnIntroductiontoDatabaseSystem,4.1.2安全標(biāo)準(zhǔn)簡介,TCSEC標(biāo)準(zhǔn)CC標(biāo)準(zhǔn),AnIntroductiontoDatabaseSystem,安全標(biāo)準(zhǔn)簡介(續(xù)),信息安全標(biāo)準(zhǔn)的發(fā)展歷史,AnIntroductiontoDatabaseSystem,安全標(biāo)準(zhǔn)簡介(續(xù)),TCSEC/TDI標(biāo)準(zhǔn)的基本內(nèi)容TCSEC/TDI,從四個方面來描述安全性級別劃分的指標(biāo)安全策略責(zé)任保證文檔,AnIntroductiontoDatabaseSystem,TCSEC/TDI安全級別劃分,TCSEC/TDI安全級別劃分,AnIntroductiontoDatabaseSystem,TCSEC/TDI安全級別劃分(續(xù)),按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間:偏序向下兼容,AnIntroductiontoDatabaseSystem,TCSEC/TDI安全級別劃分(續(xù)),B2以上的系統(tǒng)還處于理論研究階段應(yīng)用多限于一些特殊的部門,如軍隊等美國正在大力發(fā)展安全產(chǎn)品,試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來,并逐步成為新的商業(yè)標(biāo)準(zhǔn),AnIntroductiontoDatabaseSystem,CC,CC提出國際公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)把信息產(chǎn)品的安全要求分為安全功能要求安全保證要求,AnIntroductiontoDatabaseSystem,CC(續(xù)),CC文本組成簡介和一般模型安全功能要求安全保證要求,AnIntroductiontoDatabaseSystem,CC(續(xù)),CC評估保證級劃分,AnIntroductiontoDatabaseSystem,第四章數(shù)據(jù)庫安全性,4.1計算機安全性概述4.2數(shù)據(jù)庫安全性控制4.3視圖機制4.4審計(Audit)4.5數(shù)據(jù)加密4.6統(tǒng)計數(shù)據(jù)庫安全性4.7小結(jié),AnIntroductiontoDatabaseSystem,4.2數(shù)據(jù)庫安全性控制概述,非法使用數(shù)據(jù)庫的情況編寫合法程序繞過DBMS及其授權(quán)機制直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù),AnIntroductiontoDatabaseSystem,數(shù)據(jù)庫安全性控制概述(續(xù)),計算機系統(tǒng)中,安全措施是一級一級層層設(shè)置,計算機系統(tǒng)的安全模型,AnIntroductiontoDatabaseSystem,數(shù)據(jù)庫安全性控制概述(續(xù)),數(shù)據(jù)庫安全性控制的常用方法用戶標(biāo)識和鑒定存取控制視圖審計密碼存儲,AnIntroductiontoDatabaseSystem,4.2數(shù)據(jù)庫安全性控制,4.2.1用戶標(biāo)識與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫角色4.2.6強制存取控制方法,AnIntroductiontoDatabaseSystem,4.2.1用戶標(biāo)識與鑒別,用戶標(biāo)識與鑒別(Identification語義:將對指定操作對象的指定操作權(quán)限授予指定的用戶,AnIntroductiontoDatabaseSystem,GRANT(續(xù)),發(fā)出GRANT:DBA數(shù)據(jù)庫對象創(chuàng)建者(即屬主Owner)擁有該權(quán)限的用戶按受權(quán)限的用戶一個或多個具體用戶PUBLIC(全體用戶),AnIntroductiontoDatabaseSystem,WITHGRANTOPTION子句,WITHGRANTOPTION子句:指定:可以再授予沒有指定:不能傳播不允許循環(huán)授權(quán),AnIntroductiontoDatabaseSystem,例題,[例1]把查詢Student表權(quán)限授給用戶U1GRANTSELECTONTABLEStudentTOU1;,AnIntroductiontoDatabaseSystem,例題(續(xù)),[例2]把對Student表和Course表的全部權(quán)限授予用戶U2和U3GRANTALLPRIVILIGESONTABLEStudent,CourseTOU2,U3;,AnIntroductiontoDatabaseSystem,例題(續(xù)),[例3]把對表SC的查詢權(quán)限授予所有用戶GRANTSELECTONTABLESCTOPUBLIC;,AnIntroductiontoDatabaseSystem,例題(續(xù)),[例4]把查詢Student表和修改學(xué)生學(xué)號的權(quán)限授給用戶U4GRANTUPDATE(Sno),SELECTONTABLEStudentTOU4;對屬性列的授權(quán)時必須明確指出相應(yīng)屬性列名,AnIntroductiontoDatabaseSystem,例題(續(xù)),[例5]把對表SC的INSERT權(quán)限授予U5用戶,并允許他再將此權(quán)限授予其他用戶GRANTINSERTONTABLESCTOU5WITHGRANTOPTION;,AnIntroductiontoDatabaseSystem,傳播權(quán)限,執(zhí)行例5后,U5不僅擁有了對表SC的INSERT權(quán)限,還可以傳播此權(quán)限:[例6]GRANTINSERTONTABLESCTOU6WITHGRANTOPTION;同樣,U6還可以將此權(quán)限授予U7:[例7]GRANTINSERTONTABLESCTOU7;但U7不能再傳播此權(quán)限。,AnIntroductiontoDatabaseSystem,傳播權(quán)限(續(xù)),下表是執(zhí)行了[例1]到[例7]的語句后,學(xué)生-課程數(shù)據(jù)庫中的用戶權(quán)限定義表,AnIntroductiontoDatabaseSystem,授權(quán)與回收(續(xù)),二、REVOKE授予的權(quán)限可以由DBA或其他授權(quán)者用REVOKE語句收回REVOKE語句的一般格式為:REVOKE[,]...[ON]FROM[,]...;,AnIntroductiontoDatabaseSystem,REVOKE(續(xù)),[例8]把用戶U4修改學(xué)生學(xué)號的權(quán)限收回REVOKEUPDATE(Sno)ONTABLEStudentFROMU4;,AnIntroductiontoDatabaseSystem,REVOKE(續(xù)),[例9]收回所有用戶對表SC的查詢權(quán)限REVOKESELECTONTABLESCFROMPUBLIC;,AnIntroductiontoDatabaseSystem,REVOKE(續(xù)),[例10]把用戶U5對SC表的INSERT權(quán)限收回REVOKEINSERTONTABLESCFROMU5CASCADE;將用戶U5的INSERT權(quán)限收回的時候必須級聯(lián)(CASCADE)收回系統(tǒng)只收回直接或間接從U5處獲得的權(quán)限,AnIntroductiontoDatabaseSystem,REVOKE(續(xù)),執(zhí)行[例8]到[例10]的語句后,學(xué)生-課程數(shù)據(jù)庫中的用戶權(quán)限定義表,AnIntroductiontoDatabaseSystem,小結(jié):SQL靈活的授權(quán)機制,DBA:擁有所有對象的所有權(quán)限不同的權(quán)限授予不同的用戶用戶:擁有自己建立的對象的全部的操作權(quán)限GRANT:授予其他用戶被授權(quán)的用戶“繼續(xù)授權(quán)”許可:再授予所有授予出去的權(quán)力在必要時又都可用REVOKE語句收回,AnIntroductiontoDatabaseSystem,授權(quán)與回收(續(xù)),三、創(chuàng)建數(shù)據(jù)庫模式的權(quán)限D(zhuǎn)BA在創(chuàng)建用戶時實現(xiàn)CREATEUSER語句格式CREATEUSER[WITH][DBA|RESOURCE|CONNECT],AnIntroductiontoDatabaseSystem,授權(quán)與回收(續(xù)),權(quán)限與可執(zhí)行的操作對照表,AnIntroductiontoDatabaseSystem,4.2數(shù)據(jù)庫安全性控制,4.2.1用戶標(biāo)識與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫角色4.2.6強制存取控制方法,AnIntroductiontoDatabaseSystem,4.2.5數(shù)據(jù)庫角色,數(shù)據(jù)庫角色:被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限角色是權(quán)限的集合可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色簡化授權(quán)的過程,AnIntroductiontoDatabaseSystem,數(shù)據(jù)庫角色,一、角色的創(chuàng)建CREATEROLE二、給角色授權(quán)GRANT[,]…ON對象名TO[,]…,AnIntroductiontoDatabaseSystem,數(shù)據(jù)庫角色,三、將一個角色授予其他的角色或用戶GRANT[,]…TO[,]…[WITHADMINOPTION]四、角色權(quán)限的收回REVOKE[,]…ONFROM[,]…,AnIntroductiontoDatabaseSystem,數(shù)據(jù)庫角色(續(xù)),[例11]通過角色來實現(xiàn)將一組權(quán)限授予一個用戶。步驟如下:1.首先創(chuàng)建一個角色R1CREATEROLER1;2.然后使用GRANT語句,使角色R1擁有Student表的SELECT、UPDATE、INSERT權(quán)限GRANTSELECT,UPDATE,INSERTONTABLEStudentTOR1;,AnIntroductiontoDatabaseSystem,數(shù)據(jù)庫角色(續(xù)),3.將這個角色授予王平,張明,趙玲。使他們具有角色R1所包含的全部權(quán)限GRANTR1TO王平,張明,趙玲;4.可以一次性通過R1來回收王平的這3個權(quán)限REVOKER1FROM王平;,AnIntroductiontoDatabaseSystem,數(shù)據(jù)庫角色(續(xù)),[例12]角色的權(quán)限修改GRANTDELETEONTABLEStudentTOR1,AnIntroductiontoDatabaseSystem,數(shù)據(jù)庫角色(續(xù)),[例13]REVOKESELECTONTABLEStudentFROMR1;,AnIntroductiontoDatabaseSystem,4.2數(shù)據(jù)庫安全性控制,4.2.1用戶標(biāo)識與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫角色4.2.6強制存取控制方法,AnIntroductiontoDatabaseSystem,自主存取控制缺點,可能存在數(shù)據(jù)的“無意泄露”原因:這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來進行安全控制,而數(shù)據(jù)本身并無安全性標(biāo)記解決:對系統(tǒng)控制下的所有主客體實施強制存取控制策略,AnIntroductiontoDatabaseSystem,4.2.6強制存取控制方法,強制存取控制(MAC)保證更高程度的安全性用戶能不能直接感知或進行控制適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門軍事部門政府部門,AnIntroductiontoDatabaseSystem,強制存取控制方法(續(xù)),主體是系統(tǒng)中的活動實體DBMS所管理的實際用戶代表用戶的各進程客體是系統(tǒng)中的被動實體,是受主體操縱的文件基表索引視圖,AnIntroductiontoDatabaseSystem,強制存取控制方法(續(xù)),敏感度標(biāo)記(Label)絕密(TopSecret)機密(Secret)可信(Confidential)公開(Public)主體的敏感度標(biāo)記稱為許可證級別(ClearanceLevel)客體的敏感度標(biāo)記稱為密級(ClassificationLevel),AnIntroductiontoDatabaseSystem,強制存取控制方法(續(xù)),強制存取控制規(guī)則(1)僅當(dāng)主體的許可證級別大于或等于客體的密級時,該主體才能讀取相應(yīng)的客體(2)僅當(dāng)主體的許可證級別等于客體的密級時,該主體才能寫相應(yīng)的客體修正規(guī)則主體的許可證級別>得到的利益,AnIntroductiontoDatabaseSystem,第四章數(shù)據(jù)庫安全性,4.1計算機安全性概述4.2數(shù)據(jù)庫安全性控制4.3視圖機制4.4審計(Audit)4.5數(shù)據(jù)加密4.6統(tǒng)計數(shù)據(jù)庫安全性4.7小結(jié),AnIntroductiontoDatabaseSystem,4.7小結(jié),數(shù)據(jù)的共享日益加強,數(shù)據(jù)的安全保密越來越重要DBMS是管理數(shù)據(jù)的核心,因而其自身必須具有一整套完整而有效的安全性機制TCSEC和CC,AnIntroductiontoDatabaseSystem,小結(jié)(續(xù)),實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性的技術(shù)和方法存取控制技術(shù)視圖技術(shù)審計技術(shù)自主存取控制功能通過SQL的GRANT語句和REVOKE語句實現(xiàn)角色使用角色來管理數(shù)據(jù)庫權(quán)限可以簡化授權(quán)過程CREATEROLE語句創(chuàng)建角色GRANT語句給角色授權(quán),AnIntroductiontoDatabaseSystem,下課了。。。,休息一會兒。。。,認(rèn)真,- 1.請仔細閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認(rèn)領(lǐng)!既往收益都歸您。
下載文檔到電腦,查找使用更方便
14.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該PPT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 數(shù)據(jù)庫系統(tǒng)概論 第四章 數(shù)據(jù)庫安全性 數(shù)據(jù)庫 系統(tǒng) 概論 第四 安全性
鏈接地址:http://weibangfood.com.cn/p-12176802.html