第11章

安全管理

數(shù)據(jù)庫(kù)原理與應(yīng)用1本章內(nèi)容11.1安全管理概述11.2數(shù)據(jù)庫(kù)訪問(wèn)控制11.3MySQL的安全管理211.1安全管理概述數(shù)據(jù)庫(kù)安全管理是指采取各種安全措施對(duì)數(shù)據(jù)庫(kù)及其相關(guān)文件和數(shù)據(jù)進(jìn)行保護(hù)。數(shù)據(jù)庫(kù)系統(tǒng)的重要功能之一是確保系統(tǒng)安全，其中的核心和關(guān)鍵是數(shù)據(jù)安全。數(shù)據(jù)庫(kù)管理系統(tǒng)提供了安全控制機(jī)制，通過(guò)身份驗(yàn)證、數(shù)據(jù)庫(kù)用戶權(quán)限確認(rèn)等一系列措施來(lái)保護(hù)數(shù)據(jù)庫(kù)中的信息資源，以防止這些資源被破壞和被非法使用。311.1.1安全管理目標(biāo)在數(shù)據(jù)庫(kù)中，對(duì)非法活動(dòng)可采用加密存、取數(shù)據(jù)的方法控制；對(duì)非法操作可使用用戶身份驗(yàn)證、限制操作權(quán)來(lái)控制；對(duì)無(wú)意的損壞可采用提高系統(tǒng)的可靠性和數(shù)據(jù)備份等方法來(lái)控制。4數(shù)據(jù)庫(kù)的安全管理包括的內(nèi)容防止非法數(shù)據(jù)訪問(wèn)防止濫用過(guò)高權(quán)限審計(jì)記錄備份數(shù)據(jù)的安全管理5防止非法數(shù)據(jù)訪問(wèn)數(shù)據(jù)庫(kù)管理系統(tǒng)根據(jù)用戶或應(yīng)用的授權(quán)來(lái)檢查訪問(wèn)請(qǐng)求，以保證僅允許授權(quán)的用戶訪問(wèn)數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)的訪問(wèn)控制比操作系統(tǒng)的文件訪問(wèn)控制復(fù)雜。首先，控制的對(duì)象有更細(xì)的粒度，如表、記錄、屬性等;其次，數(shù)據(jù)庫(kù)中的數(shù)據(jù)是語(yǔ)義相關(guān)的，所以用戶可以不直接訪問(wèn)數(shù)據(jù)項(xiàng)而間接獲取數(shù)據(jù)。主要通過(guò)用戶身份驗(yàn)證實(shí)現(xiàn)。6防止濫用過(guò)高權(quán)限如果數(shù)據(jù)庫(kù)管理員不進(jìn)行細(xì)化的訪問(wèn)控制，可能導(dǎo)致用戶或用戶組被授予超出其特定工作需要的訪問(wèn)權(quán)限，從而對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)安全造成風(fēng)險(xiǎn)。防止濫用過(guò)高權(quán)限需要針對(duì)每一個(gè)用戶（或用戶組）的數(shù)據(jù)訪問(wèn)需求，授予最合適的權(quán)限。7審計(jì)記錄自動(dòng)記錄所有敏感的或異常的數(shù)據(jù)庫(kù)事務(wù)應(yīng)該是所有數(shù)據(jù)庫(kù)的一項(xiàng)基礎(chǔ)功能。如果數(shù)據(jù)庫(kù)審計(jì)策略不足，則使用單位將在很多級(jí)別上面臨嚴(yán)重風(fēng)險(xiǎn)。為了保證數(shù)據(jù)庫(kù)中數(shù)據(jù)的安全，一般要求數(shù)據(jù)庫(kù)管理系統(tǒng)能夠?qū)⑺袛?shù)據(jù)操作記錄下來(lái)。8備份數(shù)據(jù)的安全管理存放備份數(shù)據(jù)庫(kù)的存儲(chǔ)介質(zhì)的安全管理也是數(shù)據(jù)安全的重要部分，如果備份數(shù)據(jù)庫(kù)的存儲(chǔ)介質(zhì)被盜且沒(méi)有進(jìn)行加密保護(hù)，也會(huì)造成數(shù)據(jù)暴露或泄密，因此為防止備份數(shù)據(jù)庫(kù)泄露應(yīng)對(duì)數(shù)據(jù)庫(kù)備份進(jìn)行加密存儲(chǔ)。910文件操作控制操作權(quán)限控制身份驗(yàn)證用戶數(shù)據(jù)庫(kù)應(yīng)用程序數(shù)據(jù)庫(kù)管理系統(tǒng)操作系統(tǒng)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)庫(kù)11.1.2安全控制模型用戶要向數(shù)據(jù)庫(kù)應(yīng)用程序提供其身份(用戶名和密碼)，交給數(shù)據(jù)庫(kù)管理系統(tǒng)進(jìn)行驗(yàn)證，只有合法的用戶才能進(jìn)入到下一步的操作。對(duì)于合法的用戶，當(dāng)其要在數(shù)據(jù)庫(kù)中執(zhí)行某個(gè)操作時(shí)，數(shù)據(jù)庫(kù)管理系統(tǒng)還要驗(yàn)證此用戶是否具有執(zhí)行該操作的權(quán)限。如果有操作權(quán)限，才執(zhí)行操作，否則拒絕執(zhí)行用戶的操作。11本章內(nèi)容11.1安全管理概述11.2數(shù)據(jù)庫(kù)訪問(wèn)控制11.3MySQL的安全管理1211.2數(shù)據(jù)庫(kù)訪問(wèn)控制DBMS通常采用自主存取控制強(qiáng)制存取控制基于角色的訪問(wèn)控制等方法來(lái)解決數(shù)據(jù)庫(kù)安全系統(tǒng)的訪問(wèn)控制問(wèn)題。13主體和客體在數(shù)據(jù)庫(kù)訪問(wèn)控制中，一般使用“主體”和“客體”來(lái)表示參與控制操作的實(shí)體。主體（Subject）：訪問(wèn)操作中的主動(dòng)實(shí)體，在數(shù)據(jù)庫(kù)環(huán)境下一般指用戶?？腕w（Object）：訪問(wèn)操作中的被動(dòng)實(shí)體，在數(shù)據(jù)庫(kù)環(huán)境下一般指數(shù)據(jù)庫(kù)對(duì)象，包括表、視圖、存儲(chǔ)過(guò)程等。1411.2.1自主訪問(wèn)控制自主訪問(wèn)控制是這樣一種訪問(wèn)控制方式：由數(shù)據(jù)庫(kù)對(duì)象的擁有者自主決定是否將自己擁有的對(duì)象的部分或全部訪問(wèn)權(quán)限授予其他用戶。也就是說(shuō)，在自主訪問(wèn)控制下，用戶可以按照自己的意愿，有選擇地與其他用戶共享他擁有的數(shù)據(jù)庫(kù)對(duì)象。15用戶權(quán)限的種類(lèi)數(shù)據(jù)庫(kù)權(quán)限：對(duì)數(shù)據(jù)庫(kù)對(duì)象的創(chuàng)建、刪除、修改以及對(duì)數(shù)據(jù)庫(kù)備份等權(quán)限。對(duì)象權(quán)限：對(duì)數(shù)據(jù)庫(kù)對(duì)象中的數(shù)據(jù)的操作權(quán)限。數(shù)據(jù)庫(kù)權(quán)限一般由DBA指定，也可以由具有特權(quán)的其他用戶授予。對(duì)象權(quán)限一般由數(shù)據(jù)庫(kù)對(duì)象的所有者授予用戶，也可由DBA指定，或者由具有該對(duì)象權(quán)限的其他用戶授權(quán)。16自主訪問(wèn)控制的矩陣模型矩陣模型利用矩陣表示系統(tǒng)中主體、客體和每個(gè)主體對(duì)每個(gè)客體所擁有權(quán)限之間的關(guān)系。任何訪問(wèn)控制策略最終均可被模型化為訪問(wèn)矩陣形式：一行表示一個(gè)主體的能力列表，一列表示一個(gè)客體的訪問(wèn)控制列表。每個(gè)矩陣元素規(guī)定了相應(yīng)的主體對(duì)應(yīng)于相應(yīng)的客體被準(zhǔn)予的訪問(wèn)許可、實(shí)施行為。17訪問(wèn)控制矩陣18

客體

主體O1O2S1讀讀、寫(xiě)S2讀、寫(xiě)-11.2.2強(qiáng)制訪問(wèn)控制強(qiáng)制訪問(wèn)控制（MandatoryAccessControl，MAC）是根據(jù)客體的敏感標(biāo)記和主體的訪問(wèn)標(biāo)記對(duì)客體訪問(wèn)實(shí)行限制的一種方法。主體對(duì)客體的訪問(wèn)規(guī)則有：保密性規(guī)則完整性規(guī)則19保密性規(guī)則僅當(dāng)主體的許可證級(jí)別高于或者等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體。(下讀)僅當(dāng)主體的許可證級(jí)別低于或者等于客體的密級(jí)時(shí)，該主體才能寫(xiě)相應(yīng)的客體。(上寫(xiě))20完整性規(guī)則僅當(dāng)主體的許可證級(jí)別低于或者等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體。(上讀)僅當(dāng)主體的許可證級(jí)別高于或者等于客體的密級(jí)時(shí)，該主體才能寫(xiě)相應(yīng)的客體。(下寫(xiě))21本章內(nèi)容11.1安全管理概述11.2數(shù)據(jù)庫(kù)訪問(wèn)控制11.3MySQL的安全管理2211.3MySQL的安全管理MySQL實(shí)現(xiàn)了一個(gè)復(fù)雜的訪問(wèn)控制和權(quán)限系統(tǒng)，允許創(chuàng)建全面的訪問(wèn)規(guī)則來(lái)處理客戶端操作并有效防止未經(jīng)授權(quán)的客戶端訪問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)。在MySQL中可以創(chuàng)建不同的用戶，并授予不同的權(quán)限，以保證MySQL中數(shù)據(jù)的安全。23MySQL的安全管理（續(xù)）當(dāng)客戶端連接到服務(wù)器時(shí)，MySQL訪問(wèn)控制有兩個(gè)階段：階段1：MySQL服務(wù)器根據(jù)用戶身份標(biāo)識(shí)(主機(jī)名+用戶名組成的賬號(hào)名稱(chēng))在MySQL的訪問(wèn)權(quán)限控制表中查詢相關(guān)信息，以確定需要接受或拒絕該用戶的連接。階段2：用戶連接成功之后，MySQL服務(wù)器繼續(xù)檢查用戶的訪問(wèn)請(qǐng)求，確定是否有足夠的權(quán)限來(lái)執(zhí)行。24MySQL8提高的安全控制MySQL8提供了角色功能，可以通過(guò)對(duì)用戶賦予角色的方式對(duì)用戶授權(quán)。MySQL的安全控制主要包括：用戶管理權(quán)限管理角色管理等內(nèi)容在進(jìn)行這些管理之前，首先要建立登錄賬戶，權(quán)限的管理是以登錄賬戶為基礎(chǔ)的。2511.3.1登錄管理登錄MySQL服務(wù)器有兩種方式：命令行方式：一般用在服務(wù)器上安裝的MySQL不提供圖形界面，需要通過(guò)命令行方式登錄。圖形界面方式：MySQL8提供了MySQLWorkbench工具，使用該工具可以用圖形化的方式登錄到數(shù)據(jù)庫(kù)服務(wù)器。26命令行方式登錄

mysql–h主機(jī)名|主機(jī)ip–u用戶名-p密碼[-P端口號(hào)][數(shù)據(jù)庫(kù)名]-h：后面接主機(jī)名或者主機(jī)IP。-u：后面接用戶名。-p：會(huì)提示輸入密碼。-P：可選項(xiàng)。后面接MySQL服務(wù)的端口，通過(guò)該參數(shù)連接到指定的端口。MySQL服務(wù)的默認(rèn)端口是3306，不使用該參數(shù)時(shí)自動(dòng)連接到3306端口。27圖形界面方式登錄2811.3.2用戶管理MySQL用戶主要包括兩種：超級(jí)管理員：root用戶，具有MySQL提供的所有權(quán)限。普通用戶：權(quán)限取決于該用戶被授予的權(quán)限。實(shí)際開(kāi)發(fā)中很少直接使用root用戶，因?yàn)闄?quán)限過(guò)高，操作不當(dāng)會(huì)給數(shù)據(jù)帶來(lái)很大的風(fēng)險(xiǎn)。一般是在數(shù)據(jù)庫(kù)管理系統(tǒng)安裝后第一次登錄系統(tǒng)時(shí)使用root賬號(hào)，然后由root用戶根據(jù)需要?jiǎng)?chuàng)建不同權(quán)限的用戶。29（1）創(chuàng)建用戶創(chuàng)建用戶語(yǔ)句為語(yǔ)法格式：CREATEUSER<用戶>[IDENTIFIEDBY'密碼'][,用戶名[IDENTIFIEDBY'密碼']];<用戶>：指定創(chuàng)建用戶的賬號(hào)，格式為：'username'@'hostname'。user_name：用戶名，host_name：主機(jī)名。如果想讓該用戶可以從遠(yuǎn)程主機(jī)登錄MySQL，則'hostname'可以使用通配符“%”。30示例例11-2創(chuàng)建用戶名為testuser1，只在本機(jī)(localhost)登錄，密碼為“123456”的用戶。CREATEUSERtestuser1@localhostIDENTIFIEDBY'123456';例11-3創(chuàng)建用戶名為testuser2，只能在192.168.0.5主機(jī)登錄，密碼為“123456”的用戶。CREATEUSER'testuser2'@'192.168.0.5'IDENTIFIEDBY'123456';31示例（續(xù)）例11-4創(chuàng)建用戶名為testuser3，可以在所有主機(jī)登錄，密碼為“123456”的用戶。CREATEUSER'testuser3'@'%'IDENTIFIEDBY'123456';或CREATEUSER'testuser3'IDENTIFIEDBY'123456';32（2）刪除用戶刪除用戶用DROPUSER語(yǔ)句，基本語(yǔ)法形式為：DROPUSER<用戶>[,<用戶>,…];例11-5刪除testuser1@localhost用戶。

DROPUSERtestuser1@localhost;33（3）設(shè)置當(dāng)前用戶密碼使用ALTERUSER語(yǔ)句：ALTERUSERUSER()IDENTIFIEDBY'新密碼';注：USER()函數(shù)用于獲取當(dāng)前的登錄用戶。使用SET語(yǔ)句：SETPASSWORD='新密碼';3411.3.3權(quán)限管理權(quán)限管理主要包括兩個(gè)操作：授予權(quán)限和收回權(quán)限。授予權(quán)限的基本原則：只授予能滿足用戶需要的最小權(quán)限，防止用戶有意破壞數(shù)據(jù)庫(kù)。

創(chuàng)建用戶時(shí)限制用戶的登錄主機(jī)，一般是限制成指定IP或者內(nèi)網(wǎng)IP段。定期對(duì)用戶及用戶權(quán)限進(jìn)行清理，刪除不必要的用戶或者收回多余的權(quán)限。35（1）授予權(quán)限授權(quán)語(yǔ)句為GRANT，語(yǔ)法格式如下：GRANT權(quán)限1[,權(quán)限2,…權(quán)限n]|ALLPRIVILEGESON[數(shù)據(jù)庫(kù)名.]表名|數(shù)據(jù)庫(kù)名.*TO<用戶>;ALLPRIVILEGES：表示全部操作權(quán)限。數(shù)據(jù)庫(kù)名.*：表示數(shù)據(jù)庫(kù)中的全部表。若省略數(shù)據(jù)庫(kù)名，表示對(duì)當(dāng)前數(shù)據(jù)庫(kù)中的用戶進(jìn)行授權(quán)。36授予權(quán)限示例例11-6授予本機(jī)登錄用戶testuser1對(duì)“db_borrows”數(shù)據(jù)庫(kù)中books表的查詢權(quán)限。GRANTSELECTONdb_borrows.booksTOtestuser1@localhost;37授予權(quán)限示例（續(xù)）例11-7限制用戶testuser2用戶只能從192.168.0.5主機(jī)登錄，并授予該用戶對(duì)“db_borrows”數(shù)據(jù)庫(kù)中的books表具有插入和查詢權(quán)限。GRANTINSERT,SELECTONdb_borrows.booksTOtestuser2@192.168.0.5;

38授予權(quán)限示例在MySQL中，如果某用戶對(duì)某數(shù)據(jù)庫(kù)中的所有表具有相同的權(quán)限，比如都具有查詢權(quán)限，則可使用簡(jiǎn)寫(xiě)的方法表示所有表，方法為：數(shù)據(jù)庫(kù)名.*。對(duì)例11-6，設(shè)要授予用戶testuser1對(duì)“db_borrows”數(shù)據(jù)庫(kù)中的所有表都有查詢權(quán)限：GRANTSELECTONdb_borrows.*TOtestuser1@localhost;39授予權(quán)限示例例11-9授予從192.168.0.5主機(jī)登錄的testuser2用戶，對(duì)“db_borrows”數(shù)據(jù)庫(kù)中的students表具有全部操作權(quán)限。GRANTALLPRIVILEGESONdb_borrows.studentsTOtestuser2@192.168.0.5;40（2）收回權(quán)限收回權(quán)限就是取消已經(jīng)賦予用戶的某些權(quán)限。使用REVOKE語(yǔ)句收回用戶的權(quán)限，語(yǔ)法如下：REVOKE權(quán)限1[,權(quán)限2,…權(quán)限n]|ALLRIVILEGESON[數(shù)據(jù)庫(kù)名.]表名|數(shù)據(jù)庫(kù)名.*FROM<用戶>;41收回權(quán)限示例例11-10收回通過(guò)本機(jī)登錄的testuser1用戶“db_borrows”數(shù)據(jù)庫(kù)中books表的查詢權(quán)限。REVOKESELECTONdb_borrows.booksFROMtestuser1@localhost;例11-11收回從192.168.0.5主機(jī)登錄的testuser2用戶對(duì)“db_borrows”數(shù)據(jù)庫(kù)中books表的插入權(quán)限。REVOKEINSERTONdb_borrows.booksFROMtestuser2@192.168.0.5;42收回權(quán)限示例例11-12收回從192.168.0.5主機(jī)登錄的testuser2用戶，對(duì)“db_borrows”數(shù)據(jù)庫(kù)中students的全部操作權(quán)限。REVOKEALLPRIVILEGESONdb_borrows.studentsFROMtestuser2@192.168.0.5;注意：在賦予了用戶新權(quán)限之后，需要使用以下命令刷新權(quán)限，使新的權(quán)限生效：FLUSHPRIVILEGES;已經(jīng)登錄的用戶需要重新登錄以獲取新的權(quán)限。433.查看權(quán)限查看當(dāng)前用戶權(quán)限的語(yǔ)句如下：

SHOWGRANTS;查看某用戶的全部權(quán)限的語(yǔ)句為：SHOWGRANTSFOR用戶名@主機(jī)地址;4411.3.4角色管理角色是一組權(quán)限的組合，使權(quán)限管理更加方便。創(chuàng)建好角色后，角色中沒(méi)有任何權(quán)限，需要向角色中添加權(quán)限。然后將角色授予用戶，該用戶就具有了角色中的所有權(quán)限。在使用角色的過(guò)程中，可以隨時(shí)向角色中添加權(quán)限，和刪除權(quán)限，用戶的權(quán)限也隨之改變。如果要收回用戶從角色那里得到的所有權(quán)限，只需將角色從用戶收回即可。451.創(chuàng)建角色創(chuàng)建角色使用CREATEROLE語(yǔ)句，其語(yǔ)法格式如下：CREATEROLE'role_name'[@'host_name'][,'role_name'[@'host_name']]...role_name：角色名host_name：主機(jī)名，即用戶連接MySQL時(shí)所用主機(jī)的名字。如果想讓該角色可以從任意遠(yuǎn)程主機(jī)登錄數(shù)據(jù)庫(kù)服務(wù)器，可以使用通配符“%”。如果在創(chuàng)建的過(guò)程中，只給出了角色名，而沒(méi)指定主機(jī)名，則主機(jī)名默認(rèn)為“%”。46創(chuàng)建角色（示例）例11-13創(chuàng)建一個(gè)本地登錄的圖書(shū)管理員角色，角色名為manager：CREATEROLEmanager@localhost;例11-14創(chuàng)建一個(gè)可以從任意主機(jī)登錄的圖書(shū)管理員角色，角色名為manager2：CREATEROLE'manager2'@'%';或：CREATEROLE'manager2';47（2）給角色賦予權(quán)限給角色授權(quán)也使用GRANT語(yǔ)句，其語(yǔ)法為：GRANT權(quán)限1[,權(quán)限2,…權(quán)限n]|ALLPRIVILEGESON[數(shù)據(jù)庫(kù)名.]表名|數(shù)據(jù)庫(kù)名.*TO'角色名'[@'主機(jī)名']例11-15給圖書(shū)管理員manager角色授予“db_borrows”數(shù)據(jù)庫(kù)中books表的查詢權(quán)限。GRANTSELECTONdb_borrows.booksTOmanager@localhost;483.給用戶賦予角色角色創(chuàng)建并被授權(quán)后，要賦給用戶并處于“激活狀態(tài)”才能發(fā)揮作用。給用戶賦予角色可使用GRANT語(yǔ)句實(shí)現(xiàn)：GRANT角色1[,角色2,…]TO用戶1[,用戶2,…];例11-16給testuser1用戶賦予manager@localhost角色。GRANTmanager@localhostTOtestuser1@localhost;49（3）給用戶賦予角色給用戶賦予角色后，用戶需要激活角色才能真正具有角色的權(quán)限。激活用戶的角色的方法有兩種：默認(rèn)激活顯式激活50默認(rèn)激活如果角色已被設(shè)為用戶的默認(rèn)角色，則當(dāng)用戶登錄時(shí)，角色將自動(dòng)被激活。將角色設(shè)為用戶的默認(rèn)角色語(yǔ)法如下：

ALTERUSER<用戶>DEFAULTROLE<角色>;51顯式激活如果角色未