14.9 元
下载资源

(企管)chp4数据库安全性

上传人:wux****ua 文档编号:22918181 上传时间:2021-06-02 格式:PPT 页数:84 大小:3.36MB
返回 下载 相关 举报
(企管)chp4数据库安全性_第1页
第1页 / 共84页
(企管)chp4数据库安全性_第2页
第2页 / 共84页
(企管)chp4数据库安全性_第3页
第3页 / 共84页
点击查看更多>>
资源描述
An Introduction to Database System 问 题 的 提 出 数 据 库 的 一 大 特 点 是 数 据 可 以 共 享 数 据 共 享 必 然 带 来 数 据 库 的 安 全 性 问 题 数 据 库 系 统 中 的 数 据 共 享 不 能 是 无 条 件 的 共 享例 : 军 事 秘 密 、 国 家 机 密 、 新 产 品 实 验 数 据 、 市 场 需 求 分 析 、 市 场 营 销 策 略 、 销 售 计 划 、 客 户 档 案 、 医 疗 档 案 、 银 行 储 蓄 数 据 An Introduction to Database System 数 据 库 安 全 性 了解:计算机以及信息安全技术标准的进展。重点:使用SQL中的GRANT 语句和 REVOKE 语句来实现数据库的实现自主存取控制功能。使用SQL中CREATE ROLE语句创建角色,用GRANT 语句给角色授权。掌握视图机制在数据库安全保护中的作用。难点:强制存取控制(MAC)机制中确定主体能否存取客体的存取规则,要理解并掌握存取规则为什么要这样规定。 An Introduction to Database System 4.1 计 算 机 安 全 性 概 述 (了 解 )4.2 数 据 库 安 全 性 控 制4.3 视 图 机 制4.4 审 计 ( Audit) 4.5 数 据 加 密4.6 统 计 数 据 库 安 全 性4.7 小 结 An Introduction to Database System 4.1.1 计 算 机 系 统 的 三 类 安 全 性 问 题 4.1.2 安 全 标 准 简 介 An Introduction to Database System 计 算 机 系 统 安 全 性 为 计 算 机 系 统 建 立 和 采 取 的 各 种 安 全 保 护 措 施 , 以保 护 计 算 机 系 统 中 的 硬 件 、 软 件 及 数 据 , 防 止 其 因偶 然 或 恶 意 的 原 因 使 系 统 遭 到 破 坏 , 数 据 遭 到 更 改或 泄 露 等 。 An Introduction to Database System 三 类 计 算 机 系 统 安 全 性 问 题 技 术 安 全 类 管 理 安 全 类 政 策 法 律 类 An Introduction to Database System 4.1.1 计 算 机 系 统 的 三 类 安 全 性 问 题 4.1.2 安 全 标 准 简 介 An Introduction to Database System TCSEC标 准CC标 准 An Introduction to Database System An Introduction to Database System信 息 安 全 标 准 的 发 展 历 史 TCSEC/TDI标 准 的 基 本 内 容 TCSEC/TDI, 从 四 个 方 面 来 描 述 安 全 性 级 别 划 分 的指 标安 全 策 略责 任保 证文 档 An Introduction to Database System TCSEC/TDI安全级别划分 An Introduction to Database System 安 全 级 别 定 义A1 验 证 设 计 ( Verified Design)B3 安 全 域 ( Security Domains)B2 结 构 化 保 护 ( Structural Protection)B1 标 记 安 全 保 护 ( Labeled Security Protection)C2 受 控 的 存 取 保 护 ( Controlled Access Protection)C1 自 主 安 全 保 护 ( Discretionary Security Protection)D 最 小 保 护 ( Minimal Protection) 按 系 统 可 靠 或 可 信 程 度 逐 渐 增 高 各 安 全 级 别 之 间 : 偏 序 向 下 兼 容 An Introduction to Database System B2以 上 的 系 统 还 处 于 理 论 研 究 阶 段 应 用 多 限 于 一 些 特 殊 的 部 门 , 如 军 队 等 美 国 正 在 大 力 发 展 安 全 产 品 , 试 图 将 目 前 仅 限 于 少数 领 域 应 用 的 B2安 全 级 别 下 放 到 商 业 应 用 中 来 , 并逐 步 成 为 新 的 商 业 标 准 An Introduction to Database System CC 提 出 国 际 公 认 的 表 述 信 息 技 术 安 全 性 的 结 构 把 信 息 产 品 的 安 全 要 求 分 为 安 全 功 能 要 求 安 全 保 证 要 求 An Introduction to Database System CC文 本 组 成 简 介 和 一 般 模 型 安 全 功 能 要 求 安 全 保 证 要 求 An Introduction to Database System CC评 估 保 证 级 划 分 评 估 保 证级 定 义 TCSEC安 全 级 别 ( 近 似 相当 )EAL1 功 能 测 试 ( functionally tested)EAL2 结 构 测 试 ( structurally tested) C1EAL3 系 统 地 测 试 和 检 查 ( methodically tested and checked) C2EAL4 系 统 地 设 计 、 测 试 和 复 查 ( methodically designed, tested, and reviewed) B1EAL5 半 形 式 化 设 计 和 测 试 ( semiformally designed and tested) B2EAL6 半 形 式 化 验 证 的 设 计 和 测 试 ( semiformally verified design and B3tested)EAL7 形 式 化 验 证 的 设 计 和 测 试 ( formally verified design and tested) A1An Introduction to Database System 4.1 计 算 机 安 全 性 概 述4.2 数 据 库 安 全 性 控 制4.3 视 图 机 制4.4 审 计 ( Audit) 4.5 数 据 加 密4.6 统 计 数 据 库 安 全 性4.7 小 结 An Introduction to Database System 非 法 使 用 数 据 库 的 情 况 编 写 合 法 程 序 绕 过 DBMS及 其 授 权 机 制 直 接 或 编 写 应 用 程 序 执 行 非 授 权 操 作 通 过 多 次 合 法 查 询 数 据 库 从 中 推 导 出 一 些 保 密 数 据 An Introduction to Database System 计 算 机 系 统 中 , 安 全 措 施 是 一 级 一 级 层 层 设 置 An Introduction to Database System计 算 机 系 统 的 安 全 模 型 数 据 库 安 全 性 控 制 的 常 用 方 法 用 户 标 识 和 鉴 定 存 取 控 制 视 图 审 计 密 码 存 储 An Introduction to Database System 4.2.1 用 户 标 识 与 鉴 别4.2.2 存 取 控 制4.2.3 自 主 存 取 控 制 方 法4.2.4 授 权 与 回 收4.2.5 数 据 库 角 色4.2.6 强 制 存 取 控 制 方 法 An Introduction to Database System 用 户 标 识 与 鉴 别 ( Identification 语 义 : 将 对 指 定 操 作 对 象 的 指 定 操 作 权 限 授 予 指 定的 用 户 An Introduction to Database System 发 出 GRANT: DBA 数 据 库 对 象 创 建 者 ( 即 属 主 Owner) 拥 有 该 权 限 的 用 户 按 受 权 限 的 用 户 一 个 或 多 个 具 体 用 户 PUBLIC( 全 体 用 户 ) An Introduction to Database System WITH GRANT OPTION子 句 : 指 定 : 可 以 再 授 予 没 有 指 定 : 不 能 传 播 不 允 许 循 环 授 权 An Introduction to Database System 例 1 把 查 询 Student表 权 限 授 给 用 户 U1 GRANT SELECT ON TABLE Student TO U1; An Introduction to Database System 例 2 把 对 Student表 和 Course表 的 全 部 权 限 授予 用 户 U2和 U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3; An Introduction to Database System 例 3 把 对 表 SC的 查 询 权 限 授 予 所 有 用 户 GRANT SELECT ON TABLE SC TO PUBLIC; An Introduction to Database System 例 4 把 查 询 Student表 和 修 改 学 生 学 号 的 权 限 授给 用 户 U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;对 属 性 列 的 授 权 时 必 须 明 确 指 出 相 应 属 性 列 名 An Introduction to Database System 例 5 把 对 表 SC的 INSERT权 限 授 予 U5用 户 , 并允 许 他 再 将 此 权 限 授 予 其 他 用 户 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION; An Introduction to Database System 执 行 例 5后 , U5不 仅 拥 有 了 对 表 SC的 INSERT权 限 , 还 可 以 传 播 此 权 限 : 例 6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同 样 , U6还 可 以 将 此 权 限 授 予 U7: 例 7 GRANT INSERT ON TABLE SC TO U7; 但 U7不 能 再 传 播 此 权 限 。 An Introduction to Database System 下 表 是 执 行 了 例 1 到 例 7 的 语 句 后 , 学 生 -课 程 数 据库 中 的 用 户 权 限 定 义 表 授 权 用 户 名 被 授 权 用 户 名 数 据 库 对 象 名 允 许 的 操 作 类 型 能 否 转 授 权DBA U1 关 系 Student SELECT 不 能DBA U2 关 系 Student ALL 不 能DBA U2 关 系 Course ALL 不 能DBA U3 关 系 Student ALL 不 能DBA U3 关 系 Course ALL 不 能DBA PUBLIC 关 系 SC SELECT 不 能DBA U4 关 系 Student SELECT 不 能DBA U4 属 性 列 Student.Sno UPDATE 不 能 DBA U5 关 系 SC INSERT 能U5 U6 关 系 SC INSERT 能U6 U7 关 系 SC INSERT 不 能An Introduction to Database System 二 、 REVOKE授 予 的 权 限 可 以 由 DBA或 其 他 授 权 者 用 REVOKE语句 收 回REVOKE语 句 的 一 般 格 式 为 : REVOKE ,. ON FROM ,.; An Introduction to Database System 例 8 把 用 户 U4修 改 学 生 学 号 的 权 限 收 回REVOKE UPDATE(Sno)ON TABLE Student FROM U4; An Introduction to Database System 例 9 收 回 所 有 用 户 对 表 SC的 查 询 权 限REVOKE SELECT ON TABLE SC FROM PUBLIC; An Introduction to Database System 例 10 把 用 户 U5对 SC表 的 INSERT权 限 收 回REVOKE INSERT ON TABLE SC FROM U5 CASCADE ; 将 用 户 U5的 INSERT权 限 收 回 的 时 候 必 须 级 联 ( CASCADE) 收 回 系 统 只 收 回 直 接 或 间 接 从 U5处 获 得 的 权 限 An Introduction to Database System 执 行 例 8 到 例 10 的 语 句 后 , 学 生 -课 程 数 据 库 中 的 用户 权 限 定 义 表授 权 用 户 名 被 授 权 用 户 名 数 据 库 对 象 名 允 许 的 操 作 类 型 能 否 转 授 权DBA U1 关 系 Student SELECT 不 能DBA U2 关 系 Student ALL 不 能DBA U2 关 系 Course ALL 不 能DBA U3 关 系 Student ALL 不 能DBA U3 关 系 Course ALL 不 能DBA U4 关 系 Student SELECT 不 能 An Introduction to Database System DBA: 拥 有 所 有 对 象 的 所 有 权 限 不 同 的 权 限 授 予 不 同 的 用 户 用 户 : 拥 有 自 己 建 立 的 对 象 的 全 部 的 操 作 权 限 GRANT: 授 予 其 他 用 户 被 授 权 的 用 户 “ 继 续 授 权 ” 许 可 : 再 授 予 所 有 授 予 出 去 的 权 力 在 必 要 时 又 都 可 用 REVOKE语 句 收 回 An Introduction to Database System 三 、 创 建 数 据 库 模 式 的 权 限 DBA在 创 建 用 户 时 实 现 CREATE USER语 句 格 式 CREATE USER WITH DBA | RESOURCE | CONNECT An Introduction to Database System 拥 有 的权 限 可 否 执 行 的 操 作CREATE USER CREATE SCHEMA CREATE TABLE 登 录 数 据 库 执 行 数 据查 询 和 操 纵DBA 可 以 可 以 可 以 可 以RESOURCE 不 可 以 不 可 以 可 以 可 以CONNECT 不 可 以 不 可 以 不 可 以 可 以 , 但 必 须 拥 有 相应 权 限 An Introduction to Database System权 限 与 可 执 行 的 操 作 对 照 表 4.2.1 用 户 标 识 与 鉴 别4.2.2 存 取 控 制4.2.3 自 主 存 取 控 制 方 法4.2.4 授 权 与 回 收4.2.5 数 据 库 角 色4.2.6 强 制 存 取 控 制 方 法 An Introduction to Database System 数 据 库 角 色 : 被 命 名 的 一 组 与 数 据 库 操 作 相 关的 权 限 角 色 是 权 限 的 集 合 可 以 为 一 组 具 有 相 同 权 限 的 用 户 创 建 一 个 角 色 简 化 授 权 的 过 程 An Introduction to Database System 一 、 角 色 的 创 建CREATE ROLE 二 、 给 角 色 授 权 GRANT , ON 对 象 名 TO , An Introduction to Database System 三 、 将 一 个 角 色 授 予 其 他 的 角 色 或 用 户GRANT , TO , WITH ADMIN OPTION 四 、 角 色 权 限 的 收 回 REVOKE , ON FROM , An Introduction to Database System 例 11 通 过 角 色 来 实 现 将 一 组 权 限 授 予 一 个 用 户 。步 骤 如 下 :1. 首 先 创 建 一 个 角 色 R1 CREATE ROLE R1;2. 然 后 使 用 GRANT语 句 , 使 角 色 R1拥 有 Student表 的 SELECT、UPDATE、 INSERT权 限 GRANT SELECT, UPDATE, INSERT ON TABLE Student TO R1; An Introduction to Database System 3. 将 这 个 角 色 授 予 王 平 , 张 明 , 赵 玲 。 使 他 们 具 有 角 色R1所 包 含 的 全 部 权 限 GRANT R1 TO 王 平 , 张 明 , 赵 玲 ;4. 可 以 一 次 性 通 过 R1来 回 收 王 平 的 这 3个 权 限 REVOKE R1 FROM 王 平 ; An Introduction to Database System 例 12 角 色 的 权 限 修 改 GRANT DELETE ON TABLE Student TO R1 An Introduction to Database System 例 13 REVOKE SELECT ON TABLE Student FROM R1; An Introduction to Database System 4.2.1 用 户 标 识 与 鉴 别4.2.2 存 取 控 制4.2.3 自 主 存 取 控 制 方 法4.2.4 授 权 与 回 收4.2.5 数 据 库 角 色4.2.6 强 制 存 取 控 制 方 法 An Introduction to Database System 可 能 存 在 数 据 的 “ 无 意 泄 露 ” 原 因 : 这 种 机 制 仅 仅 通 过 对 数 据 的 存 取 权 限 来 进 行安 全 控 制 , 而 数 据 本 身 并 无 安 全 性 标 记 解 决 : 对 系 统 控 制 下 的 所 有 主 客 体 实 施 强 制 存 取 控制 策 略 An Introduction to Database System 强 制 存 取 控 制 ( MAC) 保 证 更 高 程 度 的 安 全 性 用 户 能 不 能 直 接 感 知 或 进 行 控 制 适 用 于 对 数 据 有 严 格 而 固 定 密 级 分 类 的 部 门 军 事 部 门 政 府 部 门An Introduction to Database System 主 体 是 系 统 中 的 活 动 实 体 DBMS所 管 理 的 实 际 用 户 代 表 用 户 的 各 进 程客 体 是 系 统 中 的 被 动 实 体 , 是 受 主 体 操 纵 的 文 件 基 表 索 引 视 图 An Introduction to Database System 敏 感 度 标 记 ( Label) 绝 密 ( Top Secret) 机 密 ( Secret) 可 信 ( Confidential) 公 开 ( Public) 主 体 的 敏 感 度 标 记 称 为 许 可 证 级 别 ( Clearance Level) 客 体 的 敏 感 度 标 记 称 为 密 级 ( Classification Level) An Introduction to Database System 强 制 存 取 控 制 规 则 (1)仅 当 主 体 的 许 可 证 级 别 大 于 或 等 于 客 体 的 密 级 时 ,该 主 体 才 能 读 取 相 应 的 客 体 (2)仅 当 主 体 的 许 可 证 级 别 等 于 客 体 的 密 级 时 , 该 主体 才 能 写 相 应 的 客 体修 正 规 则 主 体 的 许 可 证 级 别 得 到 的利 益 An Introduction to Database System 4.1 计 算 机 安 全 性 概 述4.2 数 据 库 安 全 性 控 制4.3 视 图 机 制4.4 审 计 ( Audit) 4.5 数 据 加 密4.6 统 计 数 据 库 安 全 性4.7 小 结 An Introduction to Database System 数 据 的 共 享 日 益 加 强 , 数 据 的 安 全 保 密 越 来 越 重 要 DBMS是 管 理 数 据 的 核 心 , 因 而 其 自 身 必 须 具 有 一 整套 完 整 而 有 效 的 安 全 性 机 制 An Introduction to Database System 实 现 数 据 库 系 统 安 全 性 的 技 术 和 方 法 存 取 控 制 技 术 视 图 技 术 审 计 技 术 自 主 存 取 控 制 功 能 通 过 SQL 的 GRANT语 句 和 REVOKE语 句 实 现 角 色 使 用 角 色 来 管 理 数 据 库 权 限 可 以 简 化 授 权 过 程 CREATE ROLE语 句 创 建 角 色 GRANT 语 句 给 角 色 授 权 An Introduction to Database System
展开阅读全文
相关资源
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!