數(shù)據(jù)庫系統(tǒng)概論PPT教學課件第4章 數(shù)據(jù)庫安全性

《數(shù)據(jù)庫系統(tǒng)概論PPT教學課件第4章 數(shù)據(jù)庫安全性》由會員分享，可在線閱讀，更多相關《數(shù)據(jù)庫系統(tǒng)概論PPT教學課件第4章 數(shù)據(jù)庫安全性（109頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、An Introduction to Database System數(shù)據(jù)庫系統(tǒng)概論數(shù)據(jù)庫系統(tǒng)概論An Introduction to Database System第四章第四章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性An Introduction to Database System第四章 數(shù)據(jù)庫安全性 問題的提出數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例：軍事秘密、 國家機密、 新產(chǎn)品實驗數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、 醫(yī)療檔案、 銀行儲蓄數(shù)據(jù)An Introduction to Database System數(shù)

2、據(jù)庫安全性（續(xù)）數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴格的控制之下的共享，即只允許有合法使用權限的用戶訪問允許他存取的數(shù)據(jù)數(shù)據(jù)庫系統(tǒng)的安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標之一An Introduction to Database System數(shù)據(jù)庫安全性（續(xù)）什么是數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。什么是數(shù)據(jù)的保密數(shù)據(jù)保密是指用戶合法地訪問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。通過制訂法律道德準則和政策法規(guī)來保證。An Introduction to Database System第四章 數(shù)據(jù)庫安全性4.1 計算機安全性概論4.2

3、 數(shù)據(jù)庫安全性控制4.3 視圖4.4 審計4.5 數(shù)據(jù)加密4.6 統(tǒng)計數(shù)據(jù)庫安全性An Introduction to Database System4.1 計算機安全性概論4.1.1 計算機系統(tǒng)的三類安全性問題 4.1.2 可信計算機系統(tǒng)評測標準An Introduction to Database System4.1.1 計算機系統(tǒng)的三類安全性問題 什么是計算機系統(tǒng)安全性為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。An Introduction to Database System計算機系統(tǒng)的

4、三類安全性問題（續(xù)） 計算機安全涉及問題計算機系統(tǒng)本身的技術問題計算機安全理論與策略計算機安全技術管理問題安全管理安全評價安全產(chǎn)品An Introduction to Database System計算機系統(tǒng)的三類安全性問題（續(xù)） 計算機安全涉及問題(續(xù))法學計算機安全法律犯罪學計算機犯罪與偵察安全監(jiān)察心理學An Introduction to Database System計算機系統(tǒng)的三類安全性問題（續(xù)） 三類計算機系統(tǒng)安全性問題技術安全類管理安全類政策法律類An Introduction to Database System計算機系統(tǒng)的三類安全性問題（續(xù)） 技術安全指計算機系統(tǒng)中采用具有一

5、定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護，當計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內的數(shù)據(jù)不增加、不丟失、不泄露。An Introduction to Database System計算機系統(tǒng)的三類安全性問題（續(xù)） 管理安全軟硬件意外故障、場地的意外事故、管理不善導致的計算機設備和數(shù)據(jù)介質的物理破壞、丟失等安全問題An Introduction to Database System計算機系統(tǒng)的三類安全性問題（續(xù)） 政策法律類政府部門建立的有關計算機犯罪、數(shù)據(jù)安全保密的法律道德準則和政策法規(guī)、法令An Introduction to Database

6、System4.1 計算機安全性概論4.1.1 計算機系統(tǒng)的三類安全性問題 4.1.2 可信計算機系統(tǒng)評測標準An Introduction to Database System4.1.2 可信計算機系統(tǒng)評測標準An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）1985年美國國防部（DoD）正式頒布 DoD可信計算機系統(tǒng)評估標準（簡稱TCSEC或DoD85）TCSEC又稱桔皮書TCSEC標準的目的 提供一種標準，使用戶可以對其計算機系統(tǒng)內敏感信息安全操作的可信程度做評估。 給計算機行業(yè)的制造商提供一種可循的指導規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應用的

7、安全需求。An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）1991年4月美國NCSC（國家計算機安全中心）頒布了可信計算機系統(tǒng)評估標準關于可信數(shù)據(jù)庫系統(tǒng)的解釋（ Trusted Database Interpretation 簡稱TDI）TDI又稱紫皮書。它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設計與實現(xiàn)中需滿足和用以進行安全性級別評估的標準。An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）TDI/TCSEC標準的基本內容TDI與TCSEC一樣，從四個方面來描述安全性級別劃

8、分的指標安全策略責任保證文檔An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）R1 安全策略（Security Policy） R1.1 自主存取控制 （Discretionary Access Control，簡記為DAC） R1.2 客體重用（Object Reuse） R1.3 標記（Labels） R1.4 強制存取控制（Mandatory Access Control，簡記為MAC）An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）R2 責任（Accountability） R2.1 標識與鑒

9、別（Identification & Authentication） R2.2 審計（Audit）R3 保證（Assurance） R3.1 操作保證（Operational Assurance） R3.2 生命周期保證（Life Cycle Assurance）An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）R4 文檔（Documentation） R4.1 安全特性用戶指南（Security Features Users Guide） R4.2 可信設施手冊（Trusted Facility Manual） R4.3 測試文檔（Test Do

10、cumentation） R4.4 設計文檔（Design Documentation）An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)） TCSEC/TDI安全級別劃分安安 全全 級級 別別 定定 義義A1驗證設計（驗證設計（Verified Design） B3安全域（安全域（Security Domains） B2結構化保護（結構化保護（Structural Protection） B1標記安全保護（標記安全保護（Labeled Security Protection） C2受控的存取保護受控的存取保護（Controlled Access P

11、rotection） C1自主安全保護自主安全保護（Discretionary Security Protection） D最小保護（最小保護（Minimal Protection）An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）四組(division)七個等級 D C（C1，C2） B（B1，B2，B3） A（A1）按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。An Introduction to Database System可

12、信計算機系統(tǒng)評測標準（續(xù)）D級將一切不符合更高標準的系統(tǒng)均歸于D組典型例子：DOS是安全標準為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的機制來保障An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）C1級非常初級的自主安全保護能夠實現(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控制（DAC），保護或限制用戶權限的傳播。An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）C2級安全產(chǎn)品的最低檔次提供受控的存取保護，將C1級的DAC進一步細化，以個人身份注冊負責，并實施審計和資源隔離達到C2級的產(chǎn)品在其名稱中往往不

13、突出“安全”(Security)這一特色An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）典型例子 操作系統(tǒng) Microsoft的Windows NT 3.5， 數(shù)字設備公司的Open VMS VAX 6.0和6.1 數(shù)據(jù)庫 Oracle公司的Oracle 7 Sybase公司的 SQL Server 11.0.6An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）B1級標記安全保護?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。對系統(tǒng)的數(shù)據(jù)加以標記，對標記的主體和客體實施強制存取控制（

14、MAC）、審計等安全機制An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）典型例子 操作系統(tǒng) 數(shù)字設備公司的SEVMS VAX Version 6.0 惠普公司的HP-UX BLS release 4.0.9+ 數(shù)據(jù)庫 Oracle公司的Trusted Oracle 7 Sybase公司的Secure SQL Server version 11.0.6 Informix公司的Incorporated INFORMIX-OnLine / Secure 5.0An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)

15、）B2級結構化保護建立形式化的安全策略模型并對系統(tǒng)內的所有主體和客體實施DAC和MAC。經(jīng)過認證的B2級以上的安全系統(tǒng)非常稀少An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）典型例子 操作系統(tǒng) 只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品 標準的網(wǎng)絡產(chǎn)品 只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品 數(shù)據(jù)庫 沒有符合B2標準的產(chǎn)品An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）B3級安全域。該級的

16、TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強，并提供系統(tǒng)恢復過程。An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）A1級驗證設計，即提供B3級保護的同時給出系統(tǒng)的形式化設計說明和驗證以確信各安全保護真正實現(xiàn)。An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)）B2以上的系統(tǒng)還處于理論研究階段應用多限于一些特殊的部門如軍隊等美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領域應用的B2安全級別下放到商業(yè)應用中來，并逐步成為新的商業(yè)標準。An Introduction to Database System

17、可信計算機系統(tǒng)評測標準（續(xù)）An Introduction to Database System可信計算機系統(tǒng)評測標準（續(xù)） 表示該級不提供對該指標的支持； 表示該級新增的對該指標的支持； 表示該級對該指標的支持與相鄰低一級的 等級一樣； 表示該級對該指標的支持較下一級有所增 加或改動。An Introduction to Database System第四章 數(shù)據(jù)庫安全性4.1 計算機安全性概論4.2 數(shù)據(jù)庫安全性控制4.3 視圖4.4 審計4.5 數(shù)據(jù)加密4.6 統(tǒng)計數(shù)據(jù)庫安全性An Introduction to Database System4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安

18、全性控制概述4.2.2 用戶標識與鑒別4.2.3 存取控制4.2.4 自主存取控制方法4.2.5 強制存取控制方法4.2.6 授權與回收An Introduction to Database System4.2.1 數(shù)據(jù)庫安全性控制概述非法使用數(shù)據(jù)庫的情況用戶編寫一段合法的程序繞過DBMS及其授權機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)；直接或編寫應用程序執(zhí)行非授權操作；An Introduction to Database System數(shù)據(jù)庫安全性控制概述（續(xù)）通過多次合法查詢數(shù)據(jù)庫從中推導出一些保密數(shù)據(jù) 例：某數(shù)據(jù)庫應用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用

19、戶甲想了解張三的工資，于是他： 首先查詢包括張三在內的一組人的平均工資 然后查用自己替換張三后這組人的平均工資 從而推導出張三的工資破壞安全性的行為可能是無意的，故意的，惡意的。An Introduction to Database System計算機系統(tǒng)中的安全模型 應用應用DBMSOS DB 低低 高高安全性控制層次安全性控制層次 方法：方法： 用戶標識用戶標識和鑒定和鑒定 存取控制存取控制審計審計視圖視圖 操作系統(tǒng)操作系統(tǒng) 安全保護安全保護 數(shù)據(jù)密碼存儲數(shù)據(jù)密碼存儲 An Introduction to Database System數(shù)據(jù)庫安全性控制概述（續(xù)）數(shù)據(jù)庫安全性控制的常用方法用

20、戶標識和鑒定存取控制視圖審計密碼存儲An Introduction to Database System4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安全性控制概述4.2.2 用戶標識與鑒別4.2.3 存取控制4.2.4 自主存取控制方法4.2.5 強制存取控制方法4.2.6 授權與回收An Introduction to Database System4.2.2 用戶標識與鑒別用戶標識與鑒別（Identification & Authentication）系統(tǒng)提供的最外層安全保護措施An Introduction to Database System4.2.2 用戶標識與鑒別基本方法系統(tǒng)提供一定

21、的方式讓用戶標識自己的名字或身份；系統(tǒng)內部記錄著所有合法用戶的標識；每次用戶要求進入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標識；通過鑒定后才提供機器使用權。用戶標識和鑒定可以重復多次An Introduction to Database System用戶標識自己的名字或身份用戶名/口令簡單易行，容易被人竊取每個用戶預先約定好一個計算過程或者函數(shù)系統(tǒng)提供一個隨機數(shù)用戶根據(jù)自己預先約定的計算過程或者函數(shù)進行計算系統(tǒng)根據(jù)用戶計算結果是否正確鑒定用戶身份An Introduction to Database System4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安全性控制概述4.2.2 用戶標識與鑒別4.2

22、.3 存取控制4.2.4 自主存取控制方法4.2.5 強制存取控制方法4.2.6 授權與回收An Introduction to Database System4.2.3 存取控制存取控制機制的功能存取控制機制的組成 定義存取權限 檢查存取權限用戶權限定義和合法權檢查機制一起組成了DBMS的安全子系統(tǒng)An Introduction to Database System存取控制（續(xù)）定義存取權限在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權存取的數(shù)據(jù)，必須預先對每個用戶定義存取權限。檢查存取權限對于通過鑒定獲得上機權的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權限定義對他的各種操作請求進行控制，確保他只執(zhí)

23、行合法操作。An Introduction to Database System存取控制（續(xù)）常用存取控制方法自主存取控制（Discretionary Access Control ，簡稱DAC） C2級 靈活強制存取控制（Mandatory Access Control，簡稱 MAC） B1級 嚴格An Introduction to Database System自主存取控制方法同一用戶對于不同的數(shù)據(jù)對象有不同的存取權限不同的用戶對同一對象也有不同的權限用戶還可將其擁有的存取權限轉授給其他用戶An Introduction to Database System強制存取控制方法每一個數(shù)據(jù)對象

24、被標以一定的密級每一個用戶也被授予某一個級別的許可證對于任意一個對象，只有具有合法許可證的用戶才可以存取An Introduction to Database System4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安全性控制概述4.2.2 用戶標識與鑒別4.2.3 存取控制4.2.4 自主存取控制方法4.2.5 強制存取控制方法4.2.6 授權與回收An Introduction to Database System4.2.4 自主存取控制方法定義存取權限存取權限 存取權限由兩個要素組成數(shù)據(jù)對象操作類型An Introduction to Database System自主存取控制方法（續(xù)）關

25、系數(shù)據(jù)庫系統(tǒng)中存取控制對象 對象類型對象操 作 類 型數(shù)據(jù)庫模式CREATE SCHEMA基本表CREATE TABLE，ALTER TABLE模式視圖CREATE VIEW索引CREATE INDEX數(shù)據(jù)基本表和視圖SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALL PRIVILEGES數(shù)據(jù)屬性列SELECT，INSERT，UPDATE， REFERENCESALL PRIVILEGESAn Introduction to Database System自主存取控制方法（續(xù)）關系系統(tǒng)中的存取權限(續(xù))定義方法 GRANT/REVOKEAn Introduct

26、ion to Database System自主存取控制方法（續(xù)）檢查存取權限對于獲得上機權后又進一步發(fā)出存取數(shù)據(jù)庫操作的用戶 DBMS查找數(shù)據(jù)字典，根據(jù)其存取權限對操作的合法性進行檢查 若用戶的操作請求超出了定義的權限，系統(tǒng)將拒絕執(zhí)行此操作An Introduction to Database System自主存取控制方法（續(xù)） 授權粒度授權粒度是指可以定義的數(shù)據(jù)對象的范圍 它是衡量授權機制是否靈活的一個重要指標。 授權定義中數(shù)據(jù)對象的粒度越細，即可以定義的數(shù)據(jù)對象的范圍越小，授權子系統(tǒng)就越靈活。An Introduction to Database System自主存取控制方法（續(xù)）關系數(shù)

27、據(jù)庫中授權的數(shù)據(jù)對象粒度 數(shù)據(jù)庫 表 屬性列 行能否提供與數(shù)據(jù)值有關的授權反映了授權子系統(tǒng)精巧程度An Introduction to Database System自主存取控制方法（續(xù)）實現(xiàn)與數(shù)據(jù)值有關的授權利用存取謂詞 存取謂詞可以很復雜 可以引用系統(tǒng)變量，如終端設備號，系統(tǒng)時鐘等，實現(xiàn)與時間地點有關的存取權限，這樣用戶只能在某段時間內，某臺終端上存取有關數(shù)據(jù) 例：規(guī)定“教師只能在每年1月份和7月份星期一至星期五上午8點到下午5點處理學生成績數(shù)據(jù)”。An Introduction to Database System4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安全性控制概述4.2.2 用戶標

28、識與鑒別4.2.3 存取控制4.2.4 自主存取控制方法4.2.5 強制存取控制方法4.2.6 授權與回收An Introduction to Database System4.2.5 強制存取控制方法什么是強制存取控制強制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標準中安全策略的要求，所采取的強制存取檢查手段。MAC適用于對數(shù)據(jù)有嚴格而固定密級分類的部門 軍事部門 政府部門MAC不是用戶能直接感知或進行控制的。An Introduction to Database System強制存取控制方法（續(xù)）主體與客體在MAC中，DBMS所管理的全部實體被分為主體和客體兩

29、大類主體是系統(tǒng)中的活動實體 DBMS所管理的實際用戶 代表用戶的各進程客體是系統(tǒng)中的被動實體，是受主體操縱的 文件 基本表 索引 視圖An Introduction to Database System強制存取控制方法（續(xù)）敏感度標記 對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標記（Label） 敏感度標記分成若干級別 絕密（Top Secret） 機密（Secret） 可信（Confidential） 公開（Public）An Introduction to Database System強制存取控制方法（續(xù)）主體的敏感度標記稱為許可證級別（Clearance Level）客

30、體的敏感度標記稱為密級（Classification Level）MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體An Introduction to Database System4.2 數(shù)據(jù)庫安全性控制4.2.1 數(shù)據(jù)庫安全性控制概述4.2.2 用戶標識與鑒別4.2.3 存取控制4.2.4 自主存取控制方法4.2.5 強制存取控制方法4.2.6 授權與回收An Introduction to Database System4.2.6 數(shù)據(jù)控制授權與回收授權收回權限An Introduction to Database System4.2.6. 授 權G

31、RANT語句的一般格式： GRANT ,. ON TO ,. WITH GRANT OPTION;誰定義？DBA和表的建立者（即表的屬主）GRANT功能：將對指定操作對象的指定操作權限授予指定的用戶An Introduction to Database System(1) 操作權限 對象對象類型操 作 權 限 屬性列TABLESELECT,INSERT,UPDATEDELETE,ALL RIVIEGES 視圖TABLESELECT,INSERT,UPDATEDELETE,ALL RIVIEGES 基本表TABLESELECT,INSERT,UPDATEDELETE ALTER, INDEX,A

32、LL PRIVIEGES 數(shù)據(jù)庫DATABASECREATETABAn Introduction to Database System(2) 用戶的權限建表（CREATETAB）的權限:屬于DBADBA授予-普通用戶基本表或視圖的屬主擁有對該表或視圖的一切操作權限接受權限的用戶: 一個或多個具體用戶 PUBLIC（全體用戶）An Introduction to Database System(4) WITH GRANT OPTION子句指定了WITH GRANT OPTION子句: 獲得某種權限的用戶還可以把這種權限再授予別的用戶。沒有指定WITH GRANT OPTION子句: 獲得某種權限

33、的用戶只能使用該權限，不能傳播該權限An Introduction to Database System例題 例1 把查詢Student表權限授給用戶U1 GRANT SELECT ON Student TO U1;An Introduction to Database System例題（續(xù)）例2 把對Student表和Course表的全部權限授予用戶U2和U3 GRANT ALL PRIVILIGES ON Student, Course TO U2, U3;An Introduction to Database System例題（續(xù)）例3 把對表SC的查詢權限授予所有用戶 GRANT SE

34、LECT ON SC TO PUBLIC;An Introduction to Database System例題（續(xù)）例4 把查詢Student表和修改學生學號的權限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;An Introduction to Database System例題（續(xù)） 例5 把對表SC的INSERT權限授予U5用戶，并允許他再將此權限授予其他用戶 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;An Introduction to Database Sys

35、tem傳播權限 執(zhí)行例5后，U5不僅擁有了對表SC的INSERT權限， 還可以傳播此權限： GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同樣，U6還可以將此權限授予U7： GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權限。 U5- U6- U7An Introduction to Database System例題（續(xù)）例6 DBA把在數(shù)據(jù)庫S_C中建立表的權限授予用戶U8GRANT CREATETABON DATABASE S_C TO U8;An Introduction to Database

36、SystemSQL收回權限的功能REVOKE語句的一般格式為： REVOKE ,. ON FROM ,.;功能：從指定用戶那里收回對指定對象的指定權限An Introduction to Database System例題例7 把用戶U4修改學生學號的權限收回REVOKE UPDATE(Sno)ON TABLE Student FROM U4;An Introduction to Database System例題（續(xù)）例8 收回所有用戶對表SC的查詢權限REVOKE SELECT ON TABLE SC FROM PUBLIC; An Introduction to Database System例題（續(xù)）例9 把用戶U5對SC表的INSERT權限收回REVOKE INSERT ON SC FROM U5;An Introduction to Database System權限的級聯(lián)回收系統(tǒng)將收回直接或間接從U5處獲得的對SC表的INSERT權限: -U5- U6- U7收回U5、U6、U7獲得的對SC表的INSERT權限: -U5- U6 得到的利益