數(shù)據(jù)庫安全性(預(yù)習(xí)421以與41內(nèi)容)第一頁，共71頁。第四章數(shù)據(jù)庫安全性4.1計(jì)算機(jī)安全性概述4.2數(shù)據(jù)庫安全性控制4.3視圖機(jī)制4.4審計(jì)4.5數(shù)據(jù)加密4.6統(tǒng)計(jì)數(shù)據(jù)庫安全性第二頁，共71頁。4.1計(jì)算機(jī)安全性概述4.1.1數(shù)據(jù)庫的不安全因素1.非授權(quán)用戶對數(shù)據(jù)庫的惡意存取和破壞

用戶身份鑒別、存取控制、視圖2.數(shù)據(jù)庫中重要或敏感的數(shù)據(jù)被泄露

強(qiáng)制存取控制、數(shù)據(jù)加密存儲、加密傳輸

審計(jì)（審計(jì)日志）3.安全環(huán)境的脆弱性

硬件、操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)第三頁，共71頁。4.1.2可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn)TCSEC(桔皮書)：可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則TrustedComputerSystemEvaluationCriteriaTDI(紫皮書)：可信數(shù)據(jù)庫系統(tǒng)將TCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)

TrustedDatabaseInterpretation第四頁，共71頁。TrustedComputerSystemEvaluationCriteria1985年美國國防部（DoD）正式頒布《DoD可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)》簡稱TCSEC或DoD85，TCSEC又稱桔皮書TCSEC標(biāo)準(zhǔn)的目的提供一種標(biāo)準(zhǔn)，使用戶可以對其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。第五頁，共71頁。TrustedDatabaseInterpretation1991年4月美國NCSC（國家計(jì)算機(jī)安全中心）頒布了《可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋》簡稱TDI，又稱紫皮書它將TCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需滿足和用以進(jìn)行安全性級別評估的標(biāo)準(zhǔn)第六頁，共71頁。TCSEC/TDI安全級別劃分安全級別

定義A1驗(yàn)證設(shè)計(jì)（VerifiedDesign）B3安全域（SecurityDomains）B2結(jié)構(gòu)化保護(hù)（StructuralProtection）B1標(biāo)記安全保護(hù)（LabeledSecurityProtection）C2受控的存取保護(hù)（ControlledAccessProtection）C1自主安全保護(hù)（DiscretionarySecurityProtection）D最小保護(hù)（MinimalProtection）四組七個等級按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關(guān)系第七頁，共71頁。等級說明：D，C1D級系統(tǒng)的訪問控制沒有限制，無需登陸系統(tǒng)就可以訪問數(shù)據(jù)，這個級別的系統(tǒng)包括DOS，WINDOWS95等

C級：安全策略主要是自主存取控制

Discretionry(任意的；自由決定的)AccessControl，DAC

C1級：

①保護(hù)數(shù)據(jù)，確保非授權(quán)用戶無法訪問。提供身份證明才能夠正常實(shí)現(xiàn)訪問，比如口令機(jī)制，設(shè)立訪問許可權(quán)限。②對存取權(quán)限的傳播進(jìn)行控制(withgrantoption)；

第八頁，共71頁。等級說明：C2C2級將C1級的DAC進(jìn)一步細(xì)化，進(jìn)一步限制用戶執(zhí)行某些系統(tǒng)指令。采用了系統(tǒng)審計(jì)。審計(jì)特性跟蹤所有的“安全事件”，如登錄（成功和失敗的），以及系統(tǒng)管理員的工作，如改變用戶訪問和口令。

典型例子操作系統(tǒng)：Microsoft的WindowsNT3.5，windows2000，數(shù)字設(shè)備公司的OpenVMSVAX6.0和6.1數(shù)據(jù)庫：Oracle公司的Oracle7，Sybase公司的SQLServer11.0.6第九頁，共71頁。SQLServer2008為哪一級別？SQLServer2008可啟用C2審核跟蹤啟用C2審核跟蹤后,SQLServer會審核對語句和對象的所有訪問,并將它們記錄在\MSSQL\Data目錄下的文件中。

如果審核日志文件大小達(dá)到最大限制值時(200MB),SQLServer

會新建一個文件，關(guān)閉舊文件，將所有新的審核數(shù)據(jù)記錄到新文件中。此過程會一直持續(xù)到審核數(shù)據(jù)目錄寫滿或關(guān)閉審核為止。

第十頁，共71頁。等級說明：B1B1級標(biāo)記安全保護(hù)。“安全”(Security)或“可信的”(Trusted)產(chǎn)品。（C2以下的產(chǎn)品不標(biāo)記“安全”）對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制（MAC）、審計(jì)等安全機(jī)制典型例子操作系統(tǒng)：數(shù)字設(shè)備公司的SEVMSVAXVersion6.0，惠普公司的HP-UXBLSrelease9.0.9+

數(shù)據(jù)庫：Oracle公司的TrustedOracle7，Sybase公司的SecureSQLServerversion11.0.6，Informix公司的IncorporatedINFORMIX-OnLine/Secure5.0第十一頁，共71頁。等級說明：B2B2級結(jié)構(gòu)化保護(hù)要求計(jì)算機(jī)系統(tǒng)中所有對象加標(biāo)簽，而且給設(shè)備（如工作站、終端和磁盤驅(qū)動器）分配安全級別。經(jīng)過認(rèn)證的B2級以上的安全系統(tǒng)比較少典型例子操作系統(tǒng)：TrustedInformationSystems公司的TrustedXENIX產(chǎn)品標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品：CryptekSecureCommunications公司的LLCVSLAN產(chǎn)品數(shù)據(jù)庫：符合B2標(biāo)準(zhǔn)的產(chǎn)品比較少第十二頁，共71頁。等級說明：B3，A1B3級安全域.

要求用戶工作站或終端通過可信任途徑連接網(wǎng)絡(luò)系統(tǒng)，這一級必須采用硬件來保護(hù)安全系統(tǒng)的存儲區(qū)。審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程。A1級驗(yàn)證設(shè)計(jì)，即提供B3級保護(hù)的同時給出系統(tǒng)的形式化設(shè)計(jì)說明和驗(yàn)證以確信各安全保護(hù)真正實(shí)現(xiàn)例如，在A級設(shè)置中，一個磁帶驅(qū)動器從生產(chǎn)廠房直至計(jì)算機(jī)房都被嚴(yán)密跟蹤。

第十三頁，共71頁。說明B2以上的系統(tǒng)還處于實(shí)驗(yàn)階段應(yīng)用多限于一些特殊的部門如軍隊(duì)等美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。第十四頁，共71頁。4.2數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制的常用方法用戶標(biāo)識和鑒定存取控制:自主存取控制、強(qiáng)制存取控制視圖審計(jì)密碼存儲計(jì)算機(jī)系統(tǒng)的安全模型用戶DBMSOS

DB

方法：

用戶標(biāo)識和鑒定

存取控制審計(jì)、視圖

操作系統(tǒng)安全保護(hù)

密碼存儲第十五頁，共71頁。4.2.1用戶身份標(biāo)識與鑒別Identification&Authentication（證明、鑒定）,系統(tǒng)提供的最外層安全保護(hù)措施用戶標(biāo)識：每個用戶在系統(tǒng)中都有一個用戶標(biāo)識，由用戶名(username)和用戶標(biāo)識號（UID)組成，標(biāo)明用戶身份。系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識?？诹钸M(jìn)一步核對用戶,口令為保密。每次用戶要求進(jìn)入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標(biāo)識；通過鑒定后才提供機(jī)器使用權(quán)；第十六頁，共71頁。常用的用戶身份鑒別方法靜態(tài)口令鑒別動態(tài)口令鑒別生物特征鑒別智能卡鑒別第十七頁，共71頁。安裝時選擇身份驗(yàn)證模式1）Windows身份認(rèn)證模式SQLSERVER服務(wù)器的用戶登錄名就是Windows的用戶登錄名。2）混合認(rèn)證模式

在混合模式中，當(dāng)客戶端連接到服務(wù)器時，既可能采取Windows身份驗(yàn)證，也可能采取SQLServer身份驗(yàn)證。在SQLServer認(rèn)證模式下，SQLServer服務(wù)器要對登錄的用戶名進(jìn)行身份驗(yàn)證。第十八頁，共71頁。Createlogin[chl\chl]fromwindows;解釋此語句功能前面的chl表示計(jì)算名，\后面的chl表示該計(jì)算機(jī)windows的用戶名（作為SQLSERVER的登錄名）第十九頁，共71頁。Createloginapplewithpassword=‘123456’;解釋此語句功能表示建立SQLSERVER驗(yàn)證的登錄名apple（密碼為空時引號內(nèi)可不寫）第二十頁，共71頁。登陸名在安全性下第二十一頁，共71頁。另一種建立登錄名的方法：選登錄名，點(diǎn)右鍵，選新建登錄名第二十二頁，共71頁。登錄名和用戶名有什么區(qū)別？第二十三頁，共71頁。登錄名與用戶名用戶名與登錄名有何區(qū)別于聯(lián)系？DB1DB2DBi……登錄名用戶名登錄名：登錄SQLSERVER服務(wù)器,但是不能訪問服務(wù)器中的數(shù)據(jù)庫資源。用登錄名登錄SQLSERVER后，在訪問各個數(shù)據(jù)庫時，SQLSERVER會自動查詢此數(shù)據(jù)庫中是否存在與此登錄名關(guān)聯(lián)的用戶名，若存在就使用此用戶的權(quán)限訪問此數(shù)據(jù)庫，若不存在就用guest用戶訪問此數(shù)據(jù)庫

好比SQLSERVER就象一棟大樓,里面的每個房間都是一個數(shù)據(jù)庫，登錄名只是進(jìn)入大樓的鑰匙,而用戶名則是進(jìn)入房間的鑰匙第二十四頁，共71頁。4.2.2存取控制數(shù)據(jù)庫安全性:防范對象是非法用戶和非法操作保護(hù)數(shù)據(jù)庫防止惡意破壞和非法的存取確保只授權(quán)給有資格的用戶訪問以及在權(quán)限內(nèi)的操作

——通過存取控制機(jī)制來實(shí)現(xiàn)存取控制機(jī)制：定義用戶權(quán)限，并將用戶權(quán)限登記到數(shù)據(jù)字典中g(shù)rant語句合法權(quán)限檢查：若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作主要防范什么？第二十五頁，共71頁。存取控制的種類（136頁）自主存取控制(c2級）：絕大多數(shù)DBMS采用的方法DAC：Discretionary(任意的；自由決定的)AccessControl用戶對于不同的數(shù)據(jù)庫對象有不同的存取權(quán)限，不同的用戶對同一對象也有不同的權(quán)限（create\select\insert\delete等)，而且用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。因此自主存取控制非常靈活。強(qiáng)制存取控制（B1）：軍事和政府部門常采用MAC:MandatoryAccessControl

每一個數(shù)據(jù)庫對象被標(biāo)以一定的密級，每一個用戶也被授予某一個級別的許可證。對于任意一個對象，只有具有合法許可證的用戶才可以存取。第二十六頁，共71頁。4.2.3自主存取控制的實(shí)現(xiàn)-

授權(quán)和回收關(guān)系數(shù)據(jù)庫系統(tǒng)中的存取權(quán)限對象操作類型模式CREATESCHEMA基本表CREATETABLE，ALTERTABLE視圖CREATEVIEW索引CREATEINDEX基本表和視圖SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALLPRIVILEGES屬性列SELECT，INSERT，UPDATE，REFERENCESALLPRIVILEGES第二十七頁，共71頁。存取控制的粒度與用戶權(quán)限定義表授權(quán)粒度很粗：只能對整個關(guān)系授權(quán)授權(quán)粒度細(xì)：精細(xì)到對屬性列授權(quán)第二十八頁，共71頁。授權(quán)（grant……to）和

回收（revoke……from)一、GRANTGRANT語句的一般格式：

GRANT<權(quán)限>[,<權(quán)限>]...

[ON<對象類型><對象名>]

TO<用戶>[,<用戶>]...

[WITHGRANTOPTION];

/*指定：可以再授予沒有指定：不能傳播*/不允許循環(huán)授權(quán)第二十九頁，共71頁。GRANT（續(xù)）發(fā)出GRANT：DBA（超級管理員）數(shù)據(jù)庫對象創(chuàng)建者（即屬主Owner，DBO）擁有該權(quán)限的用戶按受權(quán)限的用戶一個或多個具體用戶PUBLIC（全體用戶）第三十頁，共71頁。[例1]把查詢Student表權(quán)限授給用戶U1

GRANTSELECT

ONStudent

TOU1;[例2]把查詢Student表和修改學(xué)生學(xué)號的權(quán)限授給用戶U4,并允許他再將此權(quán)限授予其他用戶GRANTUPDATE(Sno),SELECTONStudentTOU4WITHGRANTOPTION;在SQLserver中，表名前不要table第三十一頁，共71頁。[例3]把對Student表和Course表的全部權(quán)限授予用戶U2和U3

GRANT

ALLPRIVILIGES

ONStudent,Course

TOU2,U3;例4]把對表SC的查詢權(quán)限授予所有用戶

GRANTSELECT

ONSCTO

PUBLIC;第三十二頁，共71頁。[例5]把對表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶

GRANTINSERTONSCTOU5

WITHGRANTOPTION;[例6]

U5不僅擁有了對表SC的INSERT權(quán)限，還可以傳播此權(quán)限：

GRANTINSERTONSCTOU6WITHGRANTOPTION;[例7]U6還可以將此權(quán)限授予U7，但U7不能再傳播此權(quán)限。

GRANTINSERTONSCTOU7;第三十三頁，共71頁。傳播權(quán)限（續(xù)）

下表是執(zhí)行了［例1］到［例7］的語句后，學(xué)生-課程數(shù)據(jù)庫中的用戶權(quán)限定義表（見教材143頁表4.4）第三十四頁，共71頁。CREATELOGINU1WITHPASSWORD=‘123456’CREATEUSERu1fromloginU1GRANTSELECTONSCTOU1GRANTUPDATE(Sno),SELECTONStudentTOU1WITHGRANTOPTION

第三十五頁，共71頁。第三十六頁，共71頁。CREATELOGINU2WITHPASSWORD=‘123456’CREATEUSERu2fromloginU2以U1的身份登錄，然后U1給U2授權(quán)第三十七頁，共71頁。GRANTUPDATE(Sno),SELECTONStudentTOU2第三十八頁，共71頁?；氐絊A的身份登錄，收回U1的權(quán)限r(nóng)evokeUPDATE(Sno),SELECTONStudentTOU1

沒有cascade時，因?yàn)閡1將權(quán)限授予U2了，無法收回第三十九頁，共71頁。加上cascade，則連同U2的權(quán)限一起收回

第四十頁，共71頁。收回U1的權(quán)限，U1授予U2的權(quán)限也收回了第四十一頁，共71頁。二、revokeREVOKE語句的一般格式為：

REVOKE<權(quán)限>[,<權(quán)限>]...

[ON<對象類型><對象名>]

FROM<用戶>[,<用戶>]...;

[例]把用戶U4修改學(xué)生學(xué)號的權(quán)限收回REVOKEUPDATE(Sno)ONStudentFROMU4

CASCADE;第四十二頁，共71頁。[例9]收回所有用戶對表SC的查詢權(quán)限

REVOKESELECT ONSC FROMPUBLIC;

[例10]把用戶U5對SC表的INSERT權(quán)限收回

REVOKEINSERT ONSC FROMU5CASCADE;將用戶U5的INSERT權(quán)限收回的時候級聯(lián)收回U6和U7的INSERT權(quán)限。SQLSERVER直接級聯(lián)刪除，沒有cascade/restrict選項(xiàng)第四十三頁，共71頁。三、創(chuàng)建數(shù)據(jù)庫的權(quán)限

系統(tǒng)權(quán)限對數(shù)據(jù)庫schema一類的數(shù)據(jù)庫對象的授權(quán)由數(shù)據(jù)庫管理員（DBA）在創(chuàng)建用戶時實(shí)現(xiàn)。Createuser語句一般格式

CREATEUSERaaaa

FROM

LOGINbob在某個數(shù)據(jù)庫下建立用戶名

第四十四頁，共71頁。在數(shù)據(jù)庫中創(chuàng)建表時，若之前沒指定schema,系統(tǒng)默認(rèn)為dbo見83頁schema的定義第四十五頁，共71頁。Createuser語句說明如下（145頁）只有系統(tǒng)的超級用戶才有權(quán)創(chuàng)建一個新的數(shù)據(jù)庫用戶；新創(chuàng)建的數(shù)據(jù)庫用戶有三種權(quán)限：

connect、resource、DBA各種權(quán)限的說明見145頁Oracle系統(tǒng)：grantconnect,resource,DBAto<用戶名>withadminoptionRevokeconnect,resource,DBAfrom<用戶名>第四十六頁，共71頁。系統(tǒng)權(quán)限：

系統(tǒng)規(guī)定用戶使用數(shù)據(jù)庫的權(quán)限。

只能由DBA用戶授出實(shí)體權(quán)限：

某種權(quán)限用戶對其它用戶的表或視圖的存取權(quán)限。(select,update,insert,alter,index,delete,all

-不包括drop/create）第四十七頁，共71頁。4.2.4數(shù)據(jù)庫的角色數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限,即為一組具有相同權(quán)限的用戶創(chuàng)建一個角色。在SQL中,（1）首先用CREATEROLE語句創(chuàng)建角色，（2）然后用GRANT語句給角色授權(quán)（3）然后將角色授予一組用戶，這組用戶擁有相同的由該角色賦予的權(quán)限。數(shù)據(jù)庫用戶可以作為數(shù)據(jù)庫角色的成員，繼承數(shù)據(jù)庫角色的權(quán)限。數(shù)據(jù)庫管理人員可以通過管理角色的權(quán)限來管理數(shù)據(jù)庫用戶的權(quán)限。第四十八頁，共71頁。[例11]通過角色來實(shí)現(xiàn)將一組權(quán)限的授予。步驟如下：1.首先創(chuàng)建一個角色R1

CREATEroleR1；2.然后使用GRANT語句，使角色R1擁有Student表的查詢、更新、插入權(quán)限

GRANTSELECT，UPDATE，INSERT

ONStudentTOR1；3.將這個角色授予王平，張明，趙玲。使他們具有角色R1所包含的全部權(quán)限

GRANTR1TO王平，張明，趙玲；第四十九頁，共71頁。4.可以一次性通過R1來回收王平的這3個權(quán)限

REVOKER1FROM王平；第五十頁，共71頁。固定服務(wù)器角色固定服務(wù)器角色是服務(wù)器級別的主體，它們的作用范圍是整個服務(wù)器。固定服務(wù)器角色已經(jīng)具備了執(zhí)行指定操作的權(quán)限，可以把其他登錄名作為成員添加到固定服務(wù)器角色中，這樣該登錄名可以繼承固定服務(wù)器角色的權(quán)限。MicrosoftSQLServer2008系統(tǒng)提供了9個固定服務(wù)器角色，這些角色的清單和功能描述如表所示。第五十一頁，共71頁。固定服務(wù)器角色固定服務(wù)器角色的權(quán)限是固定不變的(public角色除外)，既不能被刪除，也不能增加。第五十二頁，共71頁。第五十三頁，共71頁。如果希望指定的登錄名成為某個固定服務(wù)器角色的成員，可以使用以下語句來實(shí)現(xiàn)：sp_addsrvrolemember‘login_name',‘role_name'第五十四頁，共71頁。自主存取控制小結(jié)機(jī)制：能夠通過授權(quán)機(jī)制有效地控制其他用戶對敏感數(shù)據(jù)的存取定義存取權(quán)限：DBA、數(shù)據(jù)庫對象創(chuàng)建者、擁有該權(quán)限的用戶進(jìn)行授權(quán)檢查存取權(quán)限：DBMS缺點(diǎn)：可能存在數(shù)據(jù)的“無意泄露”原因：這種機(jī)制僅僅通過對數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記。解決：對系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略第五十五頁，共71頁。4.2.5強(qiáng)制存取控制（MAC）方法對系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略用戶不能直接感知或進(jìn)行控制適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門，例如軍事部門、政府部門等。在MAC中，DBMS所管理的全部實(shí)體被分為主體和客體兩大類主體：DBMS用戶客體：數(shù)據(jù)庫對象第五十六頁，共71頁。

對主客體賦予敏感度標(biāo)記：絕密、機(jī)密、可信、公開主體的敏感度標(biāo)記：許可證級別客體的敏感度標(biāo)記：密級強(qiáng)制存取控制規(guī)則：對比主體和客體的敏感度標(biāo)記僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體。僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體。有些系統(tǒng)中，主體的許可證級別<=客體的密級，主體才能寫客體如超市營業(yè)員的權(quán)限第五十七頁，共71頁。規(guī)則的共同點(diǎn)禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象，從而防止了數(shù)據(jù)的篡改禁止低許可證級別的主體查看高密級的數(shù)據(jù)對象，從而防止了數(shù)據(jù)的泄密MAC的特點(diǎn)是對數(shù)據(jù)本身進(jìn)行密級標(biāo)記無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個不可分的整體只有符合密級標(biāo)記要求的用戶才可以操縱數(shù)據(jù)從而提供了更高級別的安全性第五十八頁，共71頁。DAC+MAC共同構(gòu)成了DBMS的安全機(jī)制先進(jìn)行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進(jìn)行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。較高安全級別提供的安全保護(hù)要包含較低級別的所有保護(hù)，要先實(shí)現(xiàn)DAC,再實(shí)現(xiàn)MACDAC+MAC安全檢查示意圖SQL語法分析&語義檢查DAC檢查MAC檢查繼續(xù)語義檢查安全檢查第五十九頁，共71頁。4.3視圖機(jī)制為不同的用戶定義不同的視圖，把數(shù)據(jù)對象限制在一定的范圍內(nèi)。

通過視圖機(jī)制把保密的數(shù)據(jù)對無權(quán)存取的用戶隱藏起來，從而自動對數(shù)據(jù)提供一定程度的安全保護(hù)。

見教材149頁第六十頁，共71頁。4.4審計(jì)(Audit)1.什么是審計(jì)，審計(jì)的功能？將用戶對數(shù)據(jù)庫的所有操作記錄在審計(jì)日志中2.什么情況下用審計(jì)審計(jì)費(fèi)時間和空間，DBMS可靈活打開或關(guān)閉審計(jì)功能，主要用于安全性高的部門3.審計(jì)發(fā)起人：用戶級：針對自己創(chuàng)建的數(shù)據(jù)庫表或視圖進(jìn)行審計(jì)，利用審計(jì)日志系統(tǒng)級：由DBA設(shè)置，監(jiān)測成功或失敗的登錄要求，監(jiān)測GRANT和REVOKE等數(shù)據(jù)庫級操作***SQLSERVER2008企業(yè)版可創(chuàng)建服務(wù)器、數(shù)據(jù)庫審計(jì)監(jiān)控文件，通過觸發(fā)器的設(shè)置對操作進(jìn)行AUDIT監(jiān)控第六十一頁，共71頁。第六十二頁，共71頁。4.5數(shù)據(jù)加密數(shù)據(jù)加密：對存儲和傳輸中的數(shù)據(jù)加密加密方法：替換方法置換方法混合方法第六十三頁，共71頁。4.6統(tǒng)計(jì)數(shù)據(jù)庫安全性通過合法的操作推出直接使用自己權(quán)限無法得出的數(shù)據(jù)。例：用戶A沒有查詢個人工資的權(quán)限，但是他想知道用戶B的工資。已知用戶B是她部門中的唯一女性?？赡芊椒ǎ翰樵冊摬块T的總工資查詢該部門中男性的總工資解決方法:任意兩次查詢的重復(fù)量不能超過指定量M

第六十四頁，共71頁?？偨Y(jié)一、可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)TCSEC/TDI安全級別劃分DC1、C2（DAC自主存取控制)B1（MAC強(qiáng)制存取控制)、B2、B3A

第六十五頁，共71頁。二、登陸名與用戶名的區(qū)別登陸名的建立：Createlogin<登陸名/主機(jī)名>fromwindows;Createlogin<登陸名>withpassword=‘密碼’;用戶名的建立CREATEUSER〈用戶名〉

FROM

LOGIN〈登陸名