第四章數(shù)據(jù)庫(kù)安全性1數(shù)據(jù)庫(kù)安全性數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)可以共享，然而有些數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)（軍事秘密、國(guó)家機(jī)密、新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、市場(chǎng)需求分析、市場(chǎng)營(yíng)銷策略、銷售計(jì)劃、客戶檔案、醫(yī)療檔案、銀行儲(chǔ)蓄數(shù)據(jù)等）的共享不能是無(wú)條件的共享。因此，對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)共享的限制帶來(lái)數(shù)據(jù)庫(kù)的安全性問(wèn)題。計(jì)算機(jī)安全性概述數(shù)據(jù)庫(kù)安全性控制視圖機(jī)制審計(jì)（Audit）數(shù)據(jù)加密統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性2計(jì)算機(jī)安全性概述數(shù)據(jù)庫(kù)系統(tǒng)安全性與計(jì)算機(jī)系統(tǒng)安全性緊密聯(lián)系，相互支持。計(jì)算機(jī)系統(tǒng)安全性是指為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。內(nèi)容

計(jì)算機(jī)安全性包括計(jì)算機(jī)安全理論與策略、計(jì)算機(jī)安全技術(shù)、安全管理、安全評(píng)價(jià)、安全產(chǎn)品以及計(jì)算機(jī)犯罪與偵察、計(jì)算機(jī)安全法律、安全監(jiān)察等。分類計(jì)算機(jī)系統(tǒng)安全性問(wèn)題包括3類。

技術(shù)安全類：計(jì)算機(jī)系統(tǒng)內(nèi)部采用具有一定安全性的硬件、軟件來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)的保護(hù)；管理安全類：系統(tǒng)責(zé)任/所有方防止因管理不善導(dǎo)致系統(tǒng)的設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等軟硬件意外故障以及場(chǎng)地的意外事故；政策法律類：社會(huì)/國(guó)家等政府部門建立的法律道德準(zhǔn)則和政策、法令、法規(guī)等。3計(jì)算機(jī)安全性概述安全標(biāo)準(zhǔn)

計(jì)算機(jī)安全性問(wèn)題越來(lái)越得到人們的重視，對(duì)各種計(jì)算機(jī)及其相關(guān)產(chǎn)品、信息系統(tǒng)的安全性要求越來(lái)越高。為此在計(jì)算機(jī)安全技術(shù)方面逐步建立了一套可信機(jī)選幾系統(tǒng)的概念和標(biāo)準(zhǔn)，以規(guī)范和指導(dǎo)安全計(jì)算機(jī)系統(tǒng)部件的生產(chǎn)，比較準(zhǔn)確地測(cè)定產(chǎn)品的安全性能指標(biāo)。安全標(biāo)準(zhǔn)發(fā)展過(guò)程4我國(guó)2001年采用為國(guó)家標(biāo)準(zhǔn)計(jì)算機(jī)安全性概述安全標(biāo)準(zhǔn)

計(jì)算機(jī)以及信息安全技術(shù)方面有一系列的安全標(biāo)準(zhǔn)，最有影響的是TCSEC和CC。

TCSEC標(biāo)準(zhǔn)TCSEC是指1985年美國(guó)國(guó)防部正式頒布的《DoD可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》。1991年4月美國(guó)NCSC（美國(guó)計(jì)算機(jī)安全中心）頒布了《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則關(guān)于可信數(shù)據(jù)庫(kù)系統(tǒng)的解釋》（簡(jiǎn)稱TDI），將TCSEC擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫(kù)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需要滿足和用以進(jìn)行安全性級(jí)別評(píng)估的標(biāo)準(zhǔn)。TCSEC/TDI從安全策略、責(zé)任、保證、文檔等四個(gè)方面來(lái)描述安全性級(jí)別劃分的指標(biāo)。同時(shí)根據(jù)計(jì)算機(jī)系統(tǒng)對(duì)各項(xiàng)指標(biāo)的支持情況，將系統(tǒng)劃分為四組七個(gè)等級(jí)，依次是D、C（C1，C2）、B（B1，B2，B3）、A（A1）。按系統(tǒng)可靠或可信程度逐漸增高。B2以上的系統(tǒng)還處于理論研究階段，應(yīng)用多限于一些特殊的部門，如軍隊(duì)等。美國(guó)正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級(jí)別下放到商業(yè)應(yīng)用中來(lái)，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。5計(jì)算機(jī)安全性概述CC標(biāo)準(zhǔn)提出國(guó)際公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把信息產(chǎn)品的安全要求分為安全功能要求和安全保證要求。安全功能要求解決如何正確有效的實(shí)施這些功能；安全保障要求用以規(guī)范產(chǎn)品和系統(tǒng)的安全行為。CC文本由三部分組成：

簡(jiǎn)介和一般模型，介紹CC中的有關(guān)術(shù)語(yǔ)、基本概念和一般模型以及與評(píng)估有關(guān)的一些框架；

安全功能要求，列出一系列功能組件、子類和類。具體包括11大類，66個(gè)子類，135個(gè)組件，涵蓋審計(jì)、密碼支持、通信、數(shù)據(jù)保護(hù)等。

安全保證要求，列出了一系列保證組件、子類和類。具體包括7大類，26個(gè)子類，74個(gè)組件，涵蓋配置管理、開(kāi)發(fā)、生命周期支持、測(cè)試、脆弱性評(píng)定等。

目前有許多信息產(chǎn)品，操作系統(tǒng)如Windows2000、SunSolaris8等，數(shù)據(jù)庫(kù)管理系統(tǒng)如Oracle9i、DB2V8.2、SybaseAdaptiveServerEnterpeiseV12.5.2等，都已通過(guò)了CC的EAL4。6數(shù)據(jù)庫(kù)安全性數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)可以共享，然而有些數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)（軍事秘密、國(guó)家機(jī)密、新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、市場(chǎng)需求分析、市場(chǎng)營(yíng)銷策略、銷售計(jì)劃、客戶檔案、醫(yī)療檔案、銀行儲(chǔ)蓄數(shù)據(jù)等）的共享不能是無(wú)條件的共享。因此，對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)共享的限制帶來(lái)數(shù)據(jù)庫(kù)的安全性問(wèn)題。計(jì)算機(jī)安全性概述數(shù)據(jù)庫(kù)安全性控制視圖機(jī)制審計(jì)（Audit）數(shù)據(jù)加密統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性7數(shù)據(jù)庫(kù)安全性控制計(jì)算機(jī)系統(tǒng)安全模型8用戶要求進(jìn)入計(jì)算機(jī)系統(tǒng)時(shí)，系統(tǒng)首先根據(jù)輸入的用戶標(biāo)識(shí)進(jìn)行用戶身份鑒定，只有合法用戶才準(zhǔn)許進(jìn)入計(jì)算機(jī)系統(tǒng)。數(shù)據(jù)庫(kù)安全性控制計(jì)算機(jī)系統(tǒng)安全模型9操作系統(tǒng)設(shè)置一級(jí)安全保護(hù)措施數(shù)據(jù)庫(kù)安全性控制計(jì)算機(jī)系統(tǒng)安全模型10常見(jiàn)的非法使用數(shù)據(jù)庫(kù)的情況：編寫(xiě)合法程序繞過(guò)DBMS及其授權(quán)機(jī)制；直接或編寫(xiě)應(yīng)用程序執(zhí)行非授權(quán)操作；通過(guò)多次合法查詢數(shù)據(jù)庫(kù)從中推導(dǎo)出一些保密數(shù)據(jù)。數(shù)據(jù)庫(kù)安全性控制計(jì)算機(jī)系統(tǒng)安全模型11除了OS的安全屏障外，DBMS為加強(qiáng)DB的安全性，亦建立有獨(dú)立的安全體系，不允許用戶繞過(guò)DBMS安全體系而直接訪問(wèn)DB，OS的用戶要想訪問(wèn)DBMS，必須由DBA設(shè)置成DBMS的用戶。數(shù)據(jù)庫(kù)安全性控制的常用方法：

用戶標(biāo)識(shí)和鑒定

存取控制

視圖

審計(jì)

密碼存儲(chǔ)用戶標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)與鑒別是系統(tǒng)提供的最外層安全保護(hù)措施。是由用戶提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份，每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)進(jìn)行核對(duì)通過(guò)鑒定后才提供機(jī)器使用權(quán)。

實(shí)現(xiàn)方法：

用戶標(biāo)識(shí)：用用戶名或ID號(hào)來(lái)標(biāo)明用戶身份，系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識(shí)，系統(tǒng)鑒別此用戶是否是合法用戶，若是，則可以進(jìn)入下一步的核實(shí)；若不是，則不能使用系統(tǒng)?？诹睿合到y(tǒng)要求用戶輸入口令，系統(tǒng)核對(duì)口令以進(jìn)一步核實(shí)用戶身份。此時(shí)需要防止口令與用戶名被竊取。12存取控制數(shù)據(jù)庫(kù)系統(tǒng)的存取控制機(jī)制就是確保只授權(quán)給有資格的用戶訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限，同時(shí)令所有未授權(quán)的人員無(wú)法接近數(shù)據(jù)。

存取控制機(jī)制的組成

定義用戶權(quán)限，并將用戶權(quán)限登記到數(shù)據(jù)字典中。DBMS系統(tǒng)提供適當(dāng)?shù)恼Z(yǔ)言來(lái)定義用戶權(quán)限，這些定義經(jīng)過(guò)編譯后存放在數(shù)據(jù)字典中，DBMS的功能是保證這些定義的執(zhí)行。合法權(quán)限檢查。

當(dāng)用戶發(fā)出存取數(shù)據(jù)庫(kù)的操作請(qǐng)求后，DBMS查找數(shù)據(jù)字典，根據(jù)安全規(guī)則進(jìn)行合法權(quán)限檢查，若用戶的請(qǐng)求超出定義的權(quán)限，系統(tǒng)將拒絕此操作。常用的存取控制方法

自主存取控制。強(qiáng)制存取控制。13數(shù)據(jù)庫(kù)安全子系統(tǒng)存取控制——自主存取控制方法自主存取控制方法即是DBA擁有對(duì)數(shù)據(jù)庫(kù)中所有對(duì)象的所有權(quán)限，并可根據(jù)實(shí)際情況將不同的權(quán)限授予不同的用戶。用戶可以“自主”地決定將數(shù)據(jù)的操作權(quán)限授予何人、決定是否也將“授權(quán)”的權(quán)限授予別人。

理解

用戶對(duì)自己建立的基本表和視圖擁有全部的操作權(quán)限，對(duì)于不同的數(shù)據(jù)庫(kù)對(duì)象有不同的存取權(quán)限，不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限；

用戶還可將其擁有的某些權(quán)限轉(zhuǎn)授給其他用戶，被授權(quán)的用戶如果有“繼續(xù)授權(quán)”的許可，還可以把獲得的權(quán)限再授予其他用戶。

所有授予出去的權(quán)力在必要時(shí)可以收回。

實(shí)現(xiàn)方法GRANT：授權(quán)REVOKE：回收CREATEUSER：數(shù)據(jù)庫(kù)模式權(quán)限數(shù)據(jù)庫(kù)角色管理14自主存取控制方法——GRANT

GRANT語(yǔ)句的一般格式為：GRANT<權(quán)限>[,<權(quán)限>]...[ON<對(duì)象類型><對(duì)象名>]TO<用戶>[,<用戶>]...[WITHGRANTOPTION];語(yǔ)義：將對(duì)指定操作對(duì)象的指定操作權(quán)限授予指定的用戶，即定義用戶可以在哪些數(shù)據(jù)庫(kù)對(duì)象上進(jìn)行哪些類型的操作。其中：發(fā)出該語(yǔ)句的可以是DBA，也可以使該數(shù)據(jù)庫(kù)對(duì)象的創(chuàng)建者，也可以使已經(jīng)擁有該權(quán)限的用戶。

<權(quán)限>：用戶對(duì)某一數(shù)據(jù)對(duì)象的操作權(quán)力。用戶權(quán)限由數(shù)據(jù)庫(kù)對(duì)象和操作類型組成。定義存取權(quán)限稱為授權(quán)。

<用戶>：接受權(quán)限的用戶可以是一個(gè)或多個(gè)具體用戶，也可以是PUBLIC，即全體用戶。

WITHGRANTOPTION子句:指定了該子句則可以再授予給其他用戶，否則不能傳播。15自主存取控制方法——GRANT16對(duì)象類型對(duì)象操作類型數(shù)據(jù)庫(kù)模式模式CREATESCHEMA基本表CREATETABLE，ALTERTABLE視圖CREATEVIEW索引CREATEINDEX數(shù)據(jù)基本表和視圖SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALLPRIVILEGES屬性列SELECT，INSERT，UPDATE，REFERENCESALLPRIVILEGES關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)中的存取權(quán)限自主存取控制方法——GRANT例1：把查詢Student表權(quán)限授給用戶U1GRANTSELECTONTABLEStudentTOU1;例2：把查詢Student表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶U4

GRANTUPDATE(Sno),SELECT ONTABLEStudent TOU4;例3：把對(duì)表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶

GRANTINSERTONTABLESCTOU5WITHGRANTOPTION;17自主存取控制方法——REVOKE

REVOKE語(yǔ)句的一般格式為：

REVOKE<權(quán)限>[,<權(quán)限>]...[ON<對(duì)象類型><對(duì)象名>]FROM<用戶>[,<用戶>]...[RESTRICT|CASCADE];語(yǔ)義：將對(duì)指定操作對(duì)象的指定操作權(quán)限收回。其中：發(fā)出該語(yǔ)句的可以是DBA，也可以使該數(shù)據(jù)庫(kù)對(duì)象的創(chuàng)建者，也可以使已經(jīng)擁有該權(quán)限的用戶。

CASCADE：級(jí)聯(lián)。不同產(chǎn)品默認(rèn)為RESTRICT還是CASCADE有差別，此處為RESTRICT。例如：把用戶U4修改學(xué)生學(xué)號(hào)的權(quán)限收回

REVOKEUPDATE(Sno) ONTABLEStudent FROMU4;18自主存取控制方法——?jiǎng)?chuàng)建數(shù)據(jù)庫(kù)模式的權(quán)限

DBA對(duì)數(shù)據(jù)庫(kù)模式的授權(quán)在創(chuàng)建用戶時(shí)由語(yǔ)句CREATEUSER語(yǔ)句實(shí)現(xiàn)。一般格式為：CREATEUSER<username>

［WITH］［DBA|RESOURCE|CONNECT］

這里：只有系統(tǒng)的超級(jí)用戶才有權(quán)創(chuàng)建一個(gè)新的數(shù)據(jù)庫(kù)用戶。新創(chuàng)建的數(shù)據(jù)庫(kù)用戶有三種權(quán)限：CONNECT、RESOURCE和DBA（超級(jí)用戶，擁有對(duì)所有數(shù)據(jù)庫(kù)對(duì)象的存取權(quán)限）。如果沒(méi)有明確指定權(quán)限，則默認(rèn)該用戶擁有CONNECT權(quán)限。

CONNECT

：只能登錄數(shù)據(jù)庫(kù)而沒(méi)有創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象的權(quán)限；RESOURCE：能創(chuàng)建基本表和視圖，不能創(chuàng)建模式和新用戶；DBA：超級(jí)用戶，擁有對(duì)所有數(shù)據(jù)庫(kù)對(duì)象的存取權(quán)限。19自主存取控制方法——?jiǎng)?chuàng)建數(shù)據(jù)庫(kù)模式的權(quán)限20擁有的權(quán)限可否執(zhí)行的操作CREATEUSERCREATESCHEMACREATETABLE/VIEW登錄數(shù)據(jù)庫(kù)執(zhí)行數(shù)據(jù)查詢和操縱DBA可以可以可以可以RESOURCE不可以不可以可以可以CONNECT不可以不可以不可以可以，但必須擁有相應(yīng)權(quán)限權(quán)限與可執(zhí)行的操作對(duì)照表是授予最終用戶的典型權(quán)利一般是授予開(kāi)發(fā)人員的一般是授予管理人員的自主存取控制方法——數(shù)據(jù)庫(kù)角色數(shù)據(jù)庫(kù)角色是被命名的一組與數(shù)據(jù)庫(kù)操作相關(guān)的權(quán)限，角色是權(quán)限的集合?？梢詾橐唤M具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色，使用角色來(lái)管理數(shù)據(jù)庫(kù)權(quán)限可以簡(jiǎn)化授權(quán)的過(guò)程。

角色創(chuàng)建CREATEROLE<角色名>

這里：剛剛創(chuàng)建的角色是空的。給角色授權(quán)

GRANT<權(quán)限>［，<權(quán)限>］…ON<對(duì)象類型>對(duì)象名

TO<角色>［，<角色>］…

這里：DBA和用戶可以將權(quán)限授予某一個(gè)或某幾個(gè)用戶。

21自主存取控制方法——數(shù)據(jù)庫(kù)角色將一個(gè)角色授予其他的角色或用戶GRANT<角色1>［，<角色2>］…TO<角色3>［，<用戶1>］…/**/［WITHADMINOPTION］

這里：角色3的權(quán)限是直接授予的全部權(quán)限加上角色1、2等的權(quán)限之和；

WITHADMINOPTION子句表示獲得某種權(quán)限的角色或用戶還可以把這種權(quán)限再授予其他的角色；

角色可以授予某用戶或另一個(gè)角色。角色權(quán)限的收回REVOKE<權(quán)限>［，<權(quán)限>］［，<角色>］…ON<對(duì)象類型><對(duì)象名>FROM<角色>［，<角色>］…其中：REVOKE動(dòng)作的執(zhí)行者或者是角色的創(chuàng)建者，或者是擁有在這個(gè)角色上的ADMINOPTION。22自主存取控制方法——數(shù)據(jù)庫(kù)角色例如：通過(guò)角色來(lái)實(shí)現(xiàn)將一組權(quán)限授予一個(gè)用戶。步驟如下：

創(chuàng)建角色R1CREATEROLER1；使用GRANT語(yǔ)句使角色R1擁有Student表的SELECT、UPDATE、INSERT權(quán)限

GRANTSELECT，UPDATE，INSERTONTABLEStudentTOR1；將這個(gè)角色授予王平，張明，趙玲。使他們具有角色R1所包含的全部權(quán)限

GRANTR1TO王平，張明，趙玲；可以一次性通過(guò)R1來(lái)回收王平的這3個(gè)權(quán)限

REVOKER1FROM王平；23存取控制——自主存取控制方法自主存取控制方法能夠通過(guò)授權(quán)機(jī)制有效地控制對(duì)敏感數(shù)據(jù)的存取。但是一方面由于用戶對(duì)數(shù)據(jù)的存取權(quán)限是“自主的”，用戶可以自由地決定將數(shù)據(jù)的存取權(quán)限授予他人；另一方面由于這種機(jī)制僅僅通過(guò)對(duì)數(shù)據(jù)的存取權(quán)限來(lái)進(jìn)行安全控制，而數(shù)據(jù)本身并無(wú)安全性標(biāo)記，存在數(shù)據(jù)的“無(wú)意泄露”的可能。因此需要對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略。24存取控制——強(qiáng)制存取控制方法強(qiáng)制存取控制方法是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，對(duì)每一個(gè)數(shù)據(jù)庫(kù)對(duì)象標(biāo)以一定的密級(jí)，每一個(gè)用戶被授予某一個(gè)級(jí)別的許可證。對(duì)于任意一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取。這種強(qiáng)制存取檢查手段適用于那些對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門。

MAC中DBMS的實(shí)體

主體：主體是系統(tǒng)中的活動(dòng)實(shí)體，包括DBMS所管理的實(shí)際用戶、代表用戶的各進(jìn)程等。

客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的文件、基表、索引和視圖等。敏感度標(biāo)記（Label）對(duì)于主體和客體系統(tǒng)為它們的每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（Label）。包括絕密（TopSecret）、機(jī)密（Secret）、可信（Confidential）、公開(kāi)（Public）。主體的敏感度標(biāo)記稱為許可證級(jí)別（ClearanceLevel），客體的敏感度標(biāo)記稱為密級(jí)（ClassificationLevel）。25存取控制——強(qiáng)制存取控制方法強(qiáng)制存取控制規(guī)則

僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體；

僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí)，該主體才能寫(xiě)相應(yīng)的客體。

修正規(guī)則主體的許可證級(jí)別<=客體的密級(jí)主體能寫(xiě)客體這兩個(gè)規(guī)則的共同點(diǎn)（看寫(xiě)分離）在于：

禁止了擁有高許可證級(jí)別的主體更新低密級(jí)的數(shù)據(jù)對(duì)象

禁止了擁有低許可證級(jí)別的主體看高密級(jí)的數(shù)據(jù)對(duì)象在復(fù)制時(shí)，標(biāo)記與數(shù)據(jù)不可分，即標(biāo)記隨數(shù)據(jù)走且始終有效（只有持有原系統(tǒng)DBMS頒發(fā)的許可證，才可以按上述規(guī)則查看數(shù)據(jù)，否則不能），這樣提供了更高級(jí)別的安全性。26兩種存取控制方法DAC與MAC共同構(gòu)成DBMS的安全機(jī)制。實(shí)現(xiàn)MAC時(shí)要首先實(shí)現(xiàn)DAC，較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)。DAC+MAC安全檢查如下圖所示。27SQL語(yǔ)法分析&語(yǔ)義檢查DAC檢查MAC檢查繼續(xù)語(yǔ)義檢查安全檢查先進(jìn)行DAC檢查，通過(guò)DAC檢查的數(shù)據(jù)對(duì)象再由系統(tǒng)進(jìn)行MAC檢查，只有通過(guò)MAC檢查的數(shù)據(jù)對(duì)象方可存取。數(shù)據(jù)庫(kù)安全性數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)可以共享，然而有些數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)（軍事秘密、國(guó)家機(jī)密、新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、市場(chǎng)需求分析、市場(chǎng)營(yíng)銷策略、銷售計(jì)劃、客戶檔案、醫(yī)療檔案、銀行儲(chǔ)蓄數(shù)據(jù)等）的共享不能是無(wú)條件的共享。因此，對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)共享的限制帶來(lái)數(shù)據(jù)庫(kù)的安全性問(wèn)題。計(jì)算機(jī)安全性概述數(shù)據(jù)庫(kù)安全性控制視圖機(jī)制審計(jì)（Audit）數(shù)據(jù)加密統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性28視圖機(jī)制視圖機(jī)制即是把要保密的數(shù)據(jù)對(duì)無(wú)權(quán)存取這些數(shù)據(jù)的用戶隱藏起來(lái)，對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)。

主要功能

提供數(shù)據(jù)獨(dú)立性；

間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義實(shí)現(xiàn)方法

為不同的用戶定義不同的視圖，把數(shù)據(jù)對(duì)象限制在一定的范圍內(nèi)。例如：建立計(jì)算機(jī)系學(xué)生的視圖，把對(duì)該視圖的SELECT權(quán)限授于王平，把該視圖上的所有操作權(quán)限授于張明。

建立計(jì)算機(jī)系學(xué)生的視圖CS_StudentCREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept='CS'；29在視圖上進(jìn)一步定義存取權(quán)限

GRANTSELECTONCS_StudentTO王平；

GRANTALLPRIVILEGESONCS_StudentTO張明；數(shù)據(jù)庫(kù)安全性數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)可以共享，然而有些數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)（軍事秘密、國(guó)家機(jī)密、新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、市場(chǎng)需求分析、市場(chǎng)營(yíng)銷策略、銷售計(jì)劃、客戶檔案、醫(yī)療檔案、銀行儲(chǔ)蓄數(shù)據(jù)等）的共享不能是無(wú)條件的共享。因此，對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)共享的限制帶來(lái)數(shù)據(jù)庫(kù)的安全性問(wèn)題。計(jì)算機(jī)安全性概述數(shù)據(jù)庫(kù)安全性控制視圖機(jī)制審計(jì)（Audit）

數(shù)據(jù)加密統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性30審計(jì)任何系統(tǒng)的安全保護(hù)措施都不是完美無(wú)缺的。審計(jì)功能把用戶對(duì)數(shù)據(jù)庫(kù)的所有操作自動(dòng)記錄下來(lái)放入審計(jì)日志中。DBA可以利用審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫(kù)現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。是DBMS達(dá)到C2以上安全級(jí)別必不可少的一項(xiàng)指標(biāo)。

分類

用戶級(jí)審計(jì)。用戶自己設(shè)置的、針對(duì)用戶自己創(chuàng)建的數(shù)據(jù)庫(kù)表或視圖的審計(jì)，記錄所有用戶對(duì)這些表或視圖的一切成功和（或）不成功的訪問(wèn)要求以及各種類型的SQL操作。

系統(tǒng)級(jí)審計(jì)。由DBA設(shè)置，監(jiān)測(cè)成功或失敗的登錄要求，監(jiān)測(cè)GRANT和REVOKE操作以及其他數(shù)據(jù)庫(kù)級(jí)權(quán)限下的操作。31審計(jì)實(shí)現(xiàn)方法審計(jì)功能的運(yùn)行代價(jià)比較大，所以產(chǎn)品中一般將其作為可選特征（即可以開(kāi)啟或關(guān)閉）。

AUDIT語(yǔ)句：設(shè)置/開(kāi)啟審計(jì)功能。

NOAUDIT語(yǔ)句：取消審計(jì)功能。例如：對(duì)修改SC表結(jié)構(gòu)或修改SC表數(shù)據(jù)的操作進(jìn)行審計(jì)

AUDITALTER，UPDATEONSC；例如：取消對(duì)SC表的一切審計(jì)

NOAUDITALTER，UPDATEONSC；32數(shù)據(jù)庫(kù)安全性數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)可以共享，然而有些數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)（軍事秘密、國(guó)家機(jī)密、新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、市場(chǎng)需求分析、市場(chǎng)營(yíng)銷策略、銷售計(jì)劃、客戶檔案、醫(yī)療檔案、銀行儲(chǔ)蓄數(shù)據(jù)等）的共享不能是無(wú)條件的共享。因此，對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)共享的限制帶來(lái)數(shù)據(jù)庫(kù)的安全性問(wèn)題。計(jì)算機(jī)安全性概述數(shù)據(jù)庫(kù)安全性控制視圖機(jī)制審計(jì)（Audit）數(shù)據(jù)加密統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性33數(shù)據(jù)加密對(duì)于高度敏感性數(shù)據(jù)，還可以采取數(shù)據(jù)加密技術(shù)。加密的基本思想是根據(jù)一定的算法將原始數(shù)據(jù)變換為不可直接識(shí)別的格式，從而使得不知道解密算法的人無(wú)法獲知數(shù)據(jù)的內(nèi)容。數(shù)據(jù)加密是防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段。

加密方法

替換方