1、1,7.2 數(shù)據(jù)庫(kù)的安全性,數(shù)據(jù)庫(kù)原理及應(yīng)用,2,主要內(nèi)容,對(duì)數(shù)據(jù)庫(kù)安全的威脅 數(shù)據(jù)庫(kù)安全控制 視圖 審計(jì) 數(shù)據(jù)加密,3,數(shù)據(jù)庫(kù)的安全性概念,數(shù)據(jù)庫(kù)的安全性是指，在數(shù)據(jù)庫(kù)系統(tǒng)的建立過(guò)程中，為防止數(shù)據(jù)庫(kù)的不合法使用和因偶然或惡意的原因使數(shù)據(jù)庫(kù)中數(shù)據(jù)遭到非法更改、破壞或泄露等所采取的各種技術(shù)、管理和安全保護(hù)措施的總稱。,4,數(shù)據(jù)庫(kù)的安全性概念,在DBS中，由于大量數(shù)據(jù)集中存放，多個(gè)用戶共享數(shù)據(jù)資源，從而使得安全性問(wèn)題更為突出。 隨著各種基于網(wǎng)絡(luò)的信息系統(tǒng)的廣泛應(yīng)用，遠(yuǎn)程多用戶存取和跨網(wǎng)絡(luò)的分布式數(shù)據(jù)庫(kù)應(yīng)用得到了進(jìn)一步的發(fā)展和普及，數(shù)據(jù)庫(kù)安全已經(jīng)成為現(xiàn)代計(jì)算機(jī)信息系統(tǒng)的關(guān)鍵技術(shù)和衡量現(xiàn)代數(shù)據(jù)庫(kù)系統(tǒng)性

2、能的主要技術(shù)指標(biāo)。,5,數(shù)據(jù)庫(kù)的安全性概念,數(shù)據(jù)庫(kù)安全不僅涉及數(shù)據(jù)庫(kù)系統(tǒng)本身的技術(shù)問(wèn)題，還包括信息安全理論與策略、信息安全技術(shù)、安全管理、安全評(píng)價(jià)、安全產(chǎn)品以及計(jì)算機(jī)犯罪與偵察、計(jì)算機(jī)安全法律、安全監(jiān)察等技術(shù)問(wèn)題，是一個(gè)涉及管理學(xué)、法學(xué)、犯罪學(xué)、心理學(xué)的多學(xué)科交叉問(wèn)題。,6,數(shù)據(jù)庫(kù)的安全性問(wèn)題分類,數(shù)據(jù)庫(kù)安全的三大類問(wèn)題： 計(jì)算機(jī)與數(shù)據(jù)庫(kù)技術(shù)安全性問(wèn)題 計(jì)算機(jī)與數(shù)據(jù)庫(kù)管理安全性問(wèn)題 信息安全的政策法律問(wèn)題,7,數(shù)據(jù)庫(kù)的安全性問(wèn)題分類-1,數(shù)據(jù)庫(kù)安全的三大類問(wèn)題： 計(jì)算機(jī)與數(shù)據(jù)庫(kù)技術(shù)安全性問(wèn)題 計(jì)算機(jī)與數(shù)據(jù)庫(kù)管理安全性問(wèn)題 信息安全的政策法律問(wèn)題,計(jì)算機(jī)與數(shù)據(jù)庫(kù)技術(shù)安全性問(wèn)題是指，在計(jì)算機(jī)與數(shù)據(jù)

3、庫(kù)系統(tǒng)中采用具有一定安全性的硬件、軟件來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，使計(jì)算機(jī)或數(shù)據(jù)庫(kù)系統(tǒng)在受到無(wú)意或惡意的攻擊時(shí)仍能正常運(yùn)行，并保證數(shù)據(jù)庫(kù)中的數(shù)據(jù)不丟失、不泄露、不被更改。,8,數(shù)據(jù)庫(kù)的安全性問(wèn)題分類-2,數(shù)據(jù)庫(kù)安全的三大類問(wèn)題： 計(jì)算機(jī)與數(shù)據(jù)庫(kù)技術(shù)安全性問(wèn)題 計(jì)算機(jī)與數(shù)據(jù)庫(kù)管理安全性問(wèn)題 信息安全的政策法律問(wèn)題,計(jì)算機(jī)與數(shù)據(jù)庫(kù)管理安全性問(wèn)題是指技術(shù)安全之外的問(wèn)題，諸如軟硬件意外故障、場(chǎng)地的意外事故、管理不善而導(dǎo)致的因計(jì)算機(jī)存儲(chǔ)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞，使數(shù)據(jù)庫(kù)中數(shù)據(jù)丟失等安全問(wèn)題，視為管理安全。,9,數(shù)據(jù)庫(kù)的安全性問(wèn)題分類-3,數(shù)據(jù)庫(kù)安全的三大類問(wèn)題： 計(jì)算機(jī)與數(shù)據(jù)庫(kù)技術(shù)安全性問(wèn)

4、題 計(jì)算機(jī)與數(shù)據(jù)庫(kù)管理安全性問(wèn)題 信息安全的政策法律問(wèn)題,信息安全的政策法律問(wèn)題是指，國(guó)家和政府部門(mén)頒布的有關(guān)計(jì)算機(jī)犯罪、信息安全保密的法律、道德準(zhǔn)則、政策法規(guī)和法令等。本節(jié)只討論計(jì)算機(jī)與數(shù)據(jù)庫(kù)的技術(shù)安全性問(wèn)題。,10,7.2.1 對(duì)數(shù)據(jù)庫(kù)安全的威脅,嚴(yán)格來(lái)說(shuō)，所有對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)的非授權(quán)讀取、修改、添加、刪除等，都屬于對(duì)數(shù)據(jù)庫(kù)安全的威脅。 凡是在正常的業(yè)務(wù)中需要訪問(wèn)數(shù)據(jù)庫(kù)時(shí)，使授權(quán)用戶不能得到正常數(shù)據(jù)庫(kù)服務(wù)的情況都是對(duì)數(shù)據(jù)庫(kù)安全形成了威脅。,11,7.2.1 對(duì)數(shù)據(jù)庫(kù)安全的威脅形式,具體來(lái)說(shuō)，對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)安全的威脅表現(xiàn)形式： （1）自然的天災(zāi)或意外的事故導(dǎo)致數(shù)據(jù)存儲(chǔ)設(shè)備損壞，進(jìn)而導(dǎo)致數(shù)據(jù)庫(kù)中數(shù)

5、據(jù)的損壞和丟失。 （2）硬件或軟件故障導(dǎo)致存儲(chǔ)設(shè)備損壞，系統(tǒng)軟件或數(shù)據(jù)庫(kù)系統(tǒng)安全機(jī)制失效，導(dǎo)致數(shù)據(jù)庫(kù)中的數(shù)據(jù)損壞和丟失，或無(wú)法恢復(fù)。 （3）敵對(duì)方通過(guò)不同手段對(duì)系統(tǒng)軟件或硬件的破壞引起的信息丟失。,12,7.2.1 對(duì)數(shù)據(jù)庫(kù)安全的威脅形式,具體來(lái)說(shuō)，對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)安全威脅的表現(xiàn)形式： （4）數(shù)據(jù)庫(kù)管理員或系統(tǒng)用戶的誤操作，導(dǎo)致應(yīng)用系統(tǒng)的不正確使用而引起的信息丟失。 （5）授權(quán)用戶濫用權(quán)限而引起的信息竊取，或通過(guò)濫用權(quán)限而蓄意修改、添加、刪除系統(tǒng)或別的用戶的數(shù)據(jù)信息。 （6）“黑客”和敵意的攻擊使系統(tǒng)癱瘓而無(wú)法恢復(fù)原數(shù)據(jù)信息，或篡改和刪除數(shù)據(jù)等造成的信息丟失。,13,7.2.1 對(duì)數(shù)據(jù)庫(kù)安全的威脅

6、形式,具體來(lái)說(shuō)，對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)安全的威脅表現(xiàn)形式： （7）病毒引起的數(shù)據(jù)損壞和丟失。 （8）授權(quán)用戶利用合法的權(quán)限通過(guò)在系統(tǒng)中安裝特洛伊木馬(隱藏在公開(kāi)的程序內(nèi)部，收集系統(tǒng)環(huán)境的信息與程序)來(lái)對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行攻擊。 （9）利用天窗和隱通道(藏在合法程序內(nèi)部的一段程序代碼)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的攻擊或進(jìn)行數(shù)據(jù)竊取。 （10）非授權(quán)用戶繞過(guò)DBMS直接對(duì)數(shù)據(jù)讀寫(xiě)。,14,7.2.1 對(duì)數(shù)據(jù)庫(kù)安全的威脅 類型,（1）數(shù)據(jù)損壞 包括因存儲(chǔ)設(shè)備全部或部分損壞引起的數(shù)據(jù)損壞，因敵意攻擊或惡意破壞造成的整個(gè)數(shù)據(jù)庫(kù)或部分?jǐn)?shù)據(jù)庫(kù)表被刪除、移走或破壞。 （2）數(shù)據(jù)篡改 即對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)未經(jīng)授權(quán)進(jìn)行修改，使數(shù)據(jù)失去原來(lái)的

7、真實(shí)性。 （3）數(shù)據(jù)竊取 數(shù)據(jù)竊取包括對(duì)敏感數(shù)據(jù)的非授權(quán)讀取、非法拷貝、非法打印等。,15,7.2. 2 數(shù)據(jù)庫(kù)安全控制,數(shù)據(jù)庫(kù)安全控制的核心是提供對(duì)數(shù)據(jù)庫(kù)信息的安全存取服務(wù)，即 向授權(quán)用戶提供可靠的信息和數(shù)據(jù)服務(wù) 拒絕非授權(quán)用戶對(duì)數(shù)據(jù)的存取訪問(wèn)請(qǐng)求 保證數(shù)據(jù)庫(kù)數(shù)據(jù)的可用性、完整性和安全性，進(jìn)而保證所有合法數(shù)據(jù)庫(kù)用戶的合法權(quán)益。,16,數(shù)據(jù)庫(kù)系統(tǒng)的安全模型,17,（1）用戶標(biāo)識(shí)和鑒別,是數(shù)據(jù)庫(kù)系統(tǒng)安全控制機(jī)制提供的最重要、最外層的安全保護(hù)措施。 方法：由系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的身份。每當(dāng)用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)進(jìn)行核對(duì)，通過(guò)鑒定后才提供數(shù)據(jù)庫(kù)系統(tǒng)使用權(quán)。 用戶名是用戶身份最簡(jiǎn)單、最

8、常用、最基本的標(biāo)識(shí)Identification 。 鑒別Authentication則是系統(tǒng)檢驗(yàn)用戶的身份證明。,18,（1）用戶標(biāo)識(shí)和鑒別,鑒別用戶身份的方法主要有四種： （1）用戶口令 （2）用戶與系統(tǒng)的對(duì)話 （3）用戶的生物特征 （4）用戶特有的物品身份證明,19,（2）存取控制,數(shù)據(jù)庫(kù)安全性所關(guān)心的主要問(wèn)題就是DBMS的存取控制機(jī)制。 數(shù)據(jù)庫(kù)的存取控制機(jī)制定義和控制一個(gè)對(duì)象對(duì)另一個(gè)對(duì)象的存取訪問(wèn)權(quán)限。對(duì)存取訪問(wèn)權(quán)限的定義稱為授權(quán)。 數(shù)據(jù)庫(kù)安全最重要的一點(diǎn)就是確保把訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限只授權(quán)給有資格的用戶，同時(shí)令所有未被授權(quán)的人員無(wú)法接近數(shù)據(jù)。,20,用戶權(quán)限與授權(quán)（數(shù)據(jù)庫(kù)級(jí)安全性）,在SQ

9、L中，數(shù)據(jù)庫(kù)用戶按其權(quán)限自低向高分為： CONNECT特權(quán)用戶 RESOURSE特權(quán)用戶 DBA特權(quán)用戶,21,用戶權(quán)限與授權(quán)（數(shù)據(jù)庫(kù)級(jí)安全性）,在SQL中，數(shù)據(jù)庫(kù)用戶按其權(quán)限自低向高分為： CONNECT特權(quán)用戶 RESOURSE特權(quán)用戶 DBA特權(quán)用戶,是具有連接登錄數(shù)據(jù)庫(kù)特權(quán)的用戶，任何要訪問(wèn)數(shù)據(jù)庫(kù)的用戶都必須具有CONNECT特權(quán)： 在那些已授予他SELECT和UPDATE特權(quán)的數(shù)據(jù)庫(kù)表上進(jìn)行查詢和更新表中數(shù)據(jù)的操作； 在那些已授予他SELECT特權(quán)的數(shù)據(jù)庫(kù)表上建立視圖或定義數(shù)據(jù)的別名。,意指： 僅具有CONNECT特權(quán)的用戶僅能對(duì)別的用戶建立的數(shù)據(jù)庫(kù)表進(jìn)行這些操作，而且別的用戶還必須

10、授予了他SELECT和/或UPDATE特權(quán)。 具有SELECT和/或UPDATE特權(quán)的用戶不具有建立數(shù)據(jù)庫(kù)表的特權(quán)。,22,用戶權(quán)限與授權(quán)（數(shù)據(jù)庫(kù)級(jí)安全性）,在SQL中，數(shù)據(jù)庫(kù)用戶按其權(quán)限自低向高分為： CONNECT特權(quán)用戶 RESOURSE特權(quán)用戶 DBA特權(quán)用戶,具有RESOUREE特權(quán)用戶也即具有支配部分?jǐn)?shù)據(jù)庫(kù)資源的用戶。這類用戶除了具有CONNECT特權(quán)用戶的所有特權(quán)外，還包括：,建立表、索引和聚簇； 授權(quán)：用GRANT命令將自己所建的表、索引和聚簇的SELECT和/或UPDATE特權(quán)授予別的用戶，或用REVOKE命令收回授權(quán)； 審計(jì)：通過(guò)審計(jì)命令A(yù)UDIT對(duì)自己所建表、索引和聚簇的

11、訪問(wèn)進(jìn)行跟蹤審查。,許多系統(tǒng)要求，在授予某用戶RESOURCE特權(quán)時(shí)，必須同時(shí)授予CONNECT特權(quán)，否則會(huì)出現(xiàn)系統(tǒng)授權(quán)錯(cuò)誤。,23,用戶權(quán)限與授權(quán)（數(shù)據(jù)庫(kù)級(jí)安全性）,在SQL中，數(shù)據(jù)庫(kù)用戶按其權(quán)限自低向高分為： CONNECT特權(quán)用戶 RESOURSE特權(quán)用戶 DBA特權(quán)用戶,具有DBA特權(quán)的用戶除了具有CONNECT和RESOURCE特權(quán)用戶的所有特權(quán)外，還包括：,利用SQL語(yǔ)句訪問(wèn)任何數(shù)據(jù)庫(kù)中的數(shù)據(jù)； 建立或撤消任何數(shù)據(jù)庫(kù)用戶； 授權(quán)：授予和收回用戶對(duì)數(shù)據(jù)庫(kù)表的訪問(wèn)特權(quán)； 為任何用戶的數(shù)據(jù)庫(kù)表建立所有用戶都可使用的別名； 對(duì)數(shù)據(jù)庫(kù)進(jìn)行調(diào)整和重組，或調(diào)整數(shù)據(jù)庫(kù)的空間分配等； 對(duì)整個(gè)數(shù)據(jù)庫(kù)或

12、對(duì)某些表進(jìn)行跟蹤審計(jì)； 可以完成數(shù)據(jù)庫(kù)的卸出或裝入，也即進(jìn)行數(shù)據(jù)庫(kù)備份和恢復(fù)備份。,24,用戶權(quán)限與授權(quán)（數(shù)據(jù)庫(kù)級(jí)安全性）,在SQL中，數(shù)據(jù)庫(kù)用戶按其權(quán)限自低向高分為： CONNECT特權(quán)用戶 RESOURSE特權(quán)用戶 DBA特權(quán)用戶,用戶權(quán)限是有高低等級(jí)的！,25,用戶權(quán)限與授權(quán)（數(shù)據(jù)庫(kù)級(jí)安全性）,在SQL語(yǔ)言中 GRANT命令對(duì)用戶的授權(quán) REVOKE命令權(quán)限回收,26,用戶的授權(quán),當(dāng)用戶被授予了對(duì)數(shù)據(jù)庫(kù)對(duì)象的操作權(quán)限后，用戶的這些操作權(quán)限就存儲(chǔ)在數(shù)據(jù)字典中。 每當(dāng)用戶發(fā)出數(shù)據(jù)庫(kù)的操作請(qǐng)求后，DBMS查找數(shù)據(jù)字典，根據(jù)用戶權(quán)限進(jìn)行合法權(quán)限檢查。 若用戶的操作請(qǐng)求超出了定義的權(quán)限時(shí)，系統(tǒng)將拒

13、絕執(zhí)行此操作。,27,用戶的授權(quán),授權(quán)語(yǔ)句的功能是創(chuàng)建新用戶、授權(quán)或更改用戶口令。對(duì)不同用戶的授權(quán)命令格式為： GRANT ，RESOURCE，DBA TO IDENTIFIED BY ； 其中： 系統(tǒng)管理員或某用戶可以將CONNECT特權(quán)，或同時(shí)將CONNECT和RESOURCE特權(quán)，或同時(shí)將CONNECT、RESOURCE和DBA特權(quán)授予某一個(gè)用戶或幾個(gè)用戶。,28,用戶的授權(quán),授權(quán)語(yǔ)句的功能是創(chuàng)建新用戶、授權(quán)或更改用戶口令。對(duì)不同用戶的授權(quán)命令格式為： GRANT ，RESOURCE，DBA TO IDENTIFIED BY ； 顯然，只有高權(quán)限的用戶才能將同等級(jí)或低等級(jí)權(quán)限分配給其他用

14、戶。 并且要注意，由于DBA具有管理數(shù)據(jù)庫(kù)的一切特權(quán)，所以是否能將DBA特權(quán)授予某一用戶一定要慎重！,29,用戶的授權(quán),授權(quán)語(yǔ)句的功能是創(chuàng)建新用戶、授權(quán)或更改用戶口令。對(duì)不同用戶的授權(quán)命令格式為： GRANT ，RESOURCE，DBA TO IDENTIFIED BY ； 其中： = ，且用戶標(biāo)識(shí)一般指用戶名。 =，。,30,用戶的授權(quán),授權(quán)語(yǔ)句的功能是創(chuàng)建新用戶、授權(quán)或更改用戶口令。對(duì)不同用戶的授權(quán)命令格式為： GRANT ，RESOURCE，DBA TO IDENTIFIED BY ； 其中： 用戶自己或DBA可以使用如下格式的命令改變用戶口令 GRANT CONNECT TO IDEN

15、TIFIED BY ；,31,用戶的授權(quán),例7.2 教學(xué)信息管理系統(tǒng)數(shù)據(jù)庫(kù)管理員把CONNECT和RESOURCE特權(quán)授予學(xué)籍管理子系統(tǒng)用戶Manger_XJ和教學(xué)計(jì)劃管理子系統(tǒng)用戶Manger_JH，設(shè)其口令分別為MXJ123和MJH456。授權(quán)語(yǔ)句如下： GRANT CONNECT，RESOURCE TO Manger_XJ, Manger_JH IDENTIFIED BY MXJ123，MJH456；,32,收回授權(quán),收回特權(quán)的命令格式為： REVOKE ，RESOURCE ，DBA FROM ；,33,收回授權(quán),例7.3：收回授予學(xué)籍管理子系統(tǒng)用戶Manger_XJ的CONNECT特權(quán)

16、 REVOKE CONNECT FROM Manger_XJ； 收回授予教學(xué)計(jì)劃管理子系統(tǒng)用戶Manger_JH的CONNECT特權(quán)和RESOURCE特權(quán)。 REVOKE CONNECT，RESOURCE FROM Manger_JH；,34,收回授權(quán),注意： 在SQL中，如果一個(gè)用戶被剝奪了CONNECT特權(quán)，那么他就無(wú)法連接并訪問(wèn)數(shù)據(jù)庫(kù)。 但即使一個(gè)用戶已被剝奪了CONNECT特權(quán)(系統(tǒng)會(huì)從數(shù)據(jù)字典中除去有關(guān)該用戶的信息)，他所創(chuàng)建的數(shù)據(jù)庫(kù)表仍會(huì)繼續(xù)存在于數(shù)據(jù)庫(kù)中，DBA及其他被授權(quán)的用戶仍可以繼續(xù)使用它們。,35,數(shù)據(jù)庫(kù)對(duì)象的授權(quán)與權(quán)限回收（數(shù)據(jù)庫(kù)的表級(jí)安全性）,在數(shù)據(jù)庫(kù)系統(tǒng)中，數(shù)據(jù)庫(kù)對(duì)

17、象主要包括表、視圖等。 不同的用戶對(duì)數(shù)據(jù)庫(kù)對(duì)象具有不同的操作權(quán)限，這些操作權(quán)限包括查詢(SELECT) 、插入(INSERT) 、修改(UPDATE) 、刪除(DELETE) 等。,36,對(duì)數(shù)據(jù)庫(kù)對(duì)象操作權(quán)的授權(quán)語(yǔ)句格式為： GRANT ON TO WITH GRANT OPTION； 其中： =ALL|， =SELECT|INSERT|DELETE|UPDATE =， =PUBLIC| = ，,數(shù)據(jù)庫(kù)對(duì)象的授權(quán),37,若特權(quán)為ALL時(shí)，表示同時(shí)把由指定的列的SELECT、INSERT、DELETE、UPDATE等所有特權(quán)授予； 若為PUBLIC時(shí)，表示同時(shí)把對(duì)由指定的列的授予所有數(shù)據(jù)庫(kù)系統(tǒng)中

18、的所有用戶。 當(dāng)不選擇可選項(xiàng)“WITH GRANT OPTION”時(shí)，接受該的用戶無(wú)權(quán)將獲得的特權(quán)傳遞給其他用戶；當(dāng)選擇可選項(xiàng)“WITH GRANT OPTION”，接受該的用戶就可以將獲得的特權(quán)再授權(quán)給其他用戶。,數(shù)據(jù)庫(kù)對(duì)象的授權(quán),38,例7.4 用戶MANAGER把學(xué)生關(guān)系S的所有特權(quán)授予學(xué)籍管理子系統(tǒng)用戶Manger_XJ，并允許學(xué)籍管理子系統(tǒng)用戶Manger_XJ將獲得的特權(quán)授予其他用戶，授權(quán)語(yǔ)句為： GRANT ALL ON S TO Manger_XJ WITH GRANT OPTION； Manger_XJ用戶把學(xué)生關(guān)系S的SELECT特權(quán)授予計(jì)劃管理子系統(tǒng)用戶Manger_JH

19、，授權(quán)語(yǔ)句為： GRANT SELECT ON MANAGER.S TO Manger_JH； 其中，MANAGER.S表示表S的真正擁有者是MANAGER。,數(shù)據(jù)庫(kù)對(duì)象的授權(quán),39,授予用戶的數(shù)據(jù)庫(kù)對(duì)象操作特權(quán)可以收回?；厥諗?shù)據(jù)庫(kù)對(duì)象操作特權(quán)的命令格式為： REVOKE ON FROM ； 其中，和與授權(quán)語(yǔ)句GRANT中的定義相同。,數(shù)據(jù)庫(kù)對(duì)象特權(quán)的收回,40,例7.5：收回授予學(xué)籍管理子系統(tǒng)用戶Manger_XJ對(duì)學(xué)生關(guān)系S的所有操作特權(quán)。收回語(yǔ)句為： REVOKE ALL ON S FROM Manger_XJ； 在收回Manger_XJ用戶對(duì)表S的所有操作特權(quán)的同時(shí)，用戶Manger_

20、JH也就同時(shí)失去了對(duì)表MANAGER.S的SELECT特權(quán)。,數(shù)據(jù)庫(kù)對(duì)象特權(quán)的收回,41,按照上述對(duì)數(shù)據(jù)庫(kù)對(duì)象操作權(quán)限的授權(quán)方法一般稱為自主存取控制。目前的大型DBMS一般都支持C2級(jí)中的自主存取控制。 在自主存取控制中，用戶對(duì)于不同的數(shù)據(jù)庫(kù)對(duì)象有不同的存取權(quán)限，不同的用戶對(duì)同一數(shù)據(jù)庫(kù)對(duì)象也有不同的權(quán)限，而且用戶還可以將自己擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。因此自主存取控制非常靈活。,自主存取控制,42,在數(shù)據(jù)庫(kù)對(duì)象操作權(quán)限的授權(quán)中，數(shù)據(jù)對(duì)象范圍越小，授權(quán)子系統(tǒng)就越靈活。例如修改權(quán)限定義可精細(xì)到字段級(jí)，而有的系統(tǒng)只能對(duì)關(guān)系授權(quán)。授權(quán)粒度越細(xì)，授權(quán)子系統(tǒng)就越靈活，但系統(tǒng)定義與檢查權(quán)限的開(kāi)銷也會(huì)相應(yīng)地

21、增大。 衡量授權(quán)子系統(tǒng)精巧程度的另一個(gè)尺度是能否提供與數(shù)據(jù)值有關(guān)的授權(quán)。上面的授權(quán)定義是獨(dú)立于數(shù)據(jù)值的，即用戶能否對(duì)某類數(shù)據(jù)對(duì)象執(zhí)行的操作與數(shù)據(jù)值無(wú)關(guān)，完全由數(shù)據(jù)名(屬性)決定。反之，若授權(quán)依賴于數(shù)據(jù)對(duì)象的內(nèi)容，則稱為與數(shù)據(jù)值有關(guān)的授權(quán)。,自主存取控制,43,自主存取控制能夠通過(guò)授權(quán)機(jī)制有效地控制其他用戶對(duì)敏感數(shù)據(jù)的存取。但是由于用戶對(duì)數(shù)據(jù)的存取權(quán)限是“自主”的，用戶可以自由地決定將數(shù)據(jù)的存取權(quán)限授予何人、決定是否也將“授權(quán)”的權(quán)限授予別人。在這種授權(quán)機(jī)制下，仍可能存在數(shù)據(jù)的“無(wú)意泄露”。,自主存取控制,44,7.2.3 視圖機(jī)制,視圖機(jī)制是為不同的用戶定義不同的視圖，把要保密的數(shù)據(jù)對(duì)無(wú)權(quán)存取

22、的用戶隱藏起來(lái)，從而自動(dòng)地對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)。 視圖機(jī)制可以實(shí)現(xiàn)列級(jí)安全性。 方法：定義視圖時(shí)隱藏特定字段，或者定義視圖中列的更新特權(quán)。 視圖機(jī)制可以實(shí)現(xiàn)行級(jí)安全性。 方法：利用一個(gè)帶選擇條件的視圖限制被授權(quán)用戶對(duì)某些行的訪問(wèn)。,45,（1）建立視圖,例7.6：在學(xué)生關(guān)系表S上建立只有屬性列學(xué)號(hào)、姓名、專業(yè)，且班級(jí)僅為200401的視圖，并將查詢權(quán)限授予該班的教導(dǎo)員ZHANG_MING，然后以ZHANG_MING張鳴的身份進(jìn)行操作。 S（S#，SNAME，SSEX，SBIRTHIN，PLACEOFB，SCODE，CLASS）,學(xué) 號(hào) 姓 名性別出生年月籍貫 專業(yè)代碼 班級(jí)200401

23、001 張 華男14-dec-82北京S0401200401 200401002 李建平男20-aug-82上海S0401200401 200401003 王麗麗女02-feb-83上海S0401200401 200402001 楊秋紅女09-may-83西安S0402200402 200402002 吳志偉男30-jun-82南京S0402200402 200402003 李 濤男25-jun-83西安S0402200402 200403001 趙曉艷女11-mar-82長(zhǎng)沙S0403200403,46,（1）建立視圖,CREATE VIEW NEW_S AS SELECT S#，SNAME

24、，SCODE FROM S WHERE CLASS=200401 WITH CHECK OPTION； 建立的視圖為NEW_S(S#，SNAME，SCODE),47,（2）授權(quán),GRANT SELECT ON NEW_S TO ZHANG_MING； 向ZHANG_MING授予對(duì)視圖NEW_S的查詢權(quán)。,48,（3）視圖操作,以ZHANG_MING的身份進(jìn)行操作 SELECT * FROM NEW_S； 查詢結(jié)果為： 學(xué) 號(hào) 姓名 專業(yè) 200401001 張 華 S0401 200401002 李建平 S0401 200401003 王麗麗 S0401,49,（3）視圖操作,在上例中，200

25、401班的教導(dǎo)員只能查詢?cè)摪鄬W(xué)生的情況，從而實(shí)現(xiàn)了對(duì)其它班的同學(xué)的記錄(行)的隱藏和保護(hù)。 而且約定只能查看學(xué)生的學(xué)號(hào)、姓名和專業(yè)，所以也實(shí)現(xiàn)了對(duì)原學(xué)生關(guān)系S中的某些屬性列，例如籍貫等，的隱藏和保護(hù)。,50,7.2.4 審計(jì),任何系統(tǒng)的安全保護(hù)措施都不是完美無(wú)缺的，蓄意盜竊、破壞數(shù)據(jù)的人總是想方設(shè)法打破控制。 審計(jì)功能是把用戶對(duì)數(shù)據(jù)庫(kù)的所有操作自動(dòng)記錄下來(lái)放入審計(jì)日志(Audit Log)，或跟蹤審查記錄(Audit Trail)。 DBA可以利用審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫(kù)現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。,51,審計(jì)信息,記錄的審計(jì)跟蹤信息一般包括： （1）操作類型，例如修改、查詢等； （2）操作涉及的數(shù)據(jù)，例如表、視圖、記錄、屬性列等； （3）操作日期和時(shí)間； （4）操作終端標(biāo)識(shí)與操作者標(biāo)識(shí)等。,52,一般用戶的審計(jì)操作,跟蹤審計(jì)一般由DBA控制，有些也可以由