14.9 元
下载资源

数据库安全性anoth

上传人:san****019 文档编号:23741590 上传时间:2021-06-10 格式:PPT 页数:139 大小:341.50KB
返回 下载 相关 举报
数据库安全性anoth_第1页
第1页 / 共139页
数据库安全性anoth_第2页
第2页 / 共139页
数据库安全性anoth_第3页
第3页 / 共139页
点击查看更多>>
资源描述
数 据 库 系 统 概 论An Introduction to Database System第 四 章 数 据 库 安 全 性 第 四 章 数 据 库 安 全 性 问 题 的 提 出数 据 库 的 一 大 特 点 是 数 据 可 以 共 享但 数 据 共 享 必 然 带 来 数 据 库 的 安 全 性 问 题数 据 库 系 统 中 的 数 据 共 享 不 能 是 无 条 件 的 共 享例 : 军 事 秘 密 、 国 家 机 密 、 新 产 品 实 验 数 据 、 市 场 需 求 分 析 、 市 场 营 销 策 略 、 销 售 计 划 、 客 户 档 案 、 医 疗 档 案 、 银 行 储 蓄 数 据 数 据 库 安 全 性 ( 续 )数 据 库 中 数 据 的 共 享 是 在 DBMS统 一 的 严 格 的控 制 之 下 的 共 享 , 即 只 允 许 有 合 法 使 用 权 限 的用 户 访 问 允 许 他 存 取 的 数 据数 据 库 系 统 的 安 全 保 护 措 施 是 否 有 效 是 数 据 库系 统 主 要 的 性 能 指 标 之 一 数 据 库 安 全 性 ( 续 ) 什 么 是 数 据 库 的 安 全 性数 据 库 的 安 全 性 是 指 保 护 数 据 库 , 防 止 因 用户 非 法 使 用 数 据 库 造 成 数 据 泄 露 、 更 改 或 破坏 。 什 么 是 数 据 的 保 密数 据 保 密 是 指 用 户 合 法 地 访 问 到 机 密 数 据 后能 否 对 这 些 数 据 保 密 。通 过 制 订 法 律 道 德 准 则 和 政 策 法 规 来 保 证 。 第 四 章 数 据 库 安 全 性4.1 计 算 机 安 全 性 概 论4.2 数 据 库 安 全 性 控 制4.3 统 计 数 据 库 安 全 性4.4 Oracle数 据 库 的 安 全 性 措 施4.5 小 结 第 九 章 数 据 库 安 全 性9.1 计 算 机 安 全 性 概 论9.2 数 据 库 安 全 性 控 制9.3 统 计 数 据 库 安 全 性9.4 Oracle数 据 库 的 安 全 性 措 施9.5 小 结 9.1 计 算 机 安 全 性 概 论9.1.1 计 算 机 系 统 的 三 类 安 全 性 问 题 9.1.2 可 信 计 算 机 系 统 评 测 标 准 9.1 计 算 机 安 全 性 概 论9.1.1 计 算 机 系 统 的 三 类 安 全 性 问 题 9.1.2 可 信 计 算 机 系 统 评 测 标 准 9.1.1 计 算 机 系 统 的 三 类 安 全 性 问 题 什 么 是 计 算 机 系 统 安 全 性为 计 算 机 系 统 建 立 和 采 取 的 各 种 安 全 保 护 措 施 ,以 保 护 计 算 机 系 统 中 的 硬 件 、 软 件 及 数 据 , 防止 其 因 偶 然 或 恶 意 的 原 因 使 系 统 遭 到 破 坏 , 数据 遭 到 更 改 或 泄 露 等 。 计 算 机 系 统 的 三 类 安 全 性 问 题 ( 续 ) 计 算 机 安 全 涉 及 问 题计 算 机 系 统 本 身 的 技 术 问 题计 算 机 安 全 理 论 与 策 略计 算 机 安 全 技 术管 理 问 题安 全 管 理安 全 评 价安 全 产 品 计 算 机 系 统 的 三 类 安 全 性 问 题 ( 续 ) 计 算 机 安 全 涉 及 问 题 (续 )法 学计 算 机 安 全 法 律犯 罪 学计 算 机 犯 罪 与 侦 察安 全 监 察心 理 学 计 算 机 系 统 的 三 类 安 全 性 问 题 ( 续 ) 三 类 计 算 机 系 统 安 全 性 问 题技 术 安 全 类管 理 安 全 类政 策 法 律 类 计 算 机 系 统 的 三 类 安 全 性 问 题 ( 续 ) 技 术 安 全指 计 算 机 系 统 中 采 用 具 有 一 定 安 全 性 的硬 件 、 软 件 来 实 现 对 计 算 机 系 统 及 其 所存 数 据 的 安 全 保 护 , 当 计 算 机 系 统 受 到无 意 或 恶 意 的 攻 击 时 仍 能 保 证 系 统 正 常运 行 , 保 证 系 统 内 的 数 据 不 增 加 、 不 丢失 、 不 泄 露 。 计 算 机 系 统 的 三 类 安 全 性 问 题 ( 续 ) 管 理 安 全软 硬 件 意 外 故 障 、 场 地 的 意 外 事 故 、 管理 不 善 导 致 的 计 算 机 设 备 和 数 据 介 质 的物 理 破 坏 、 丢 失 等 安 全 问 题 计 算 机 系 统 的 三 类 安 全 性 问 题 ( 续 ) 政 策 法 律 类政 府 部 门 建 立 的 有 关 计 算 机 犯 罪 、 数 据安 全 保 密 的 法 律 道 德 准 则 和 政 策 法 规 、法 令 9.1 计 算 机 安 全 性 概 论9.1.1 计 算 机 系 统 的 三 类 安 全 性 问 题 9.1.2 可 信 计 算 机 系 统 评 测 标 准 9.1.2 可 信 计 算 机 系 统 评 测 标 准 为 降 低 进 而 消 除 对 系 统 的 安 全 攻 击 , 各 国 引 用 或制 定 了 一 系 列 安 全 标 准TCSEC (桔 皮 书 )TDI (紫 皮 书 ) 可 信 计 算 机 系 统 评 测 标 准 ( 续 ) 1985年 美 国 国 防 部 ( DoD) 正 式 颁 布 DoD可信 计 算 机 系 统 评 估 标 准 ( 简 称 TCSEC或DoD85)TCSEC又 称 桔 皮 书TCSEC标 准 的 目 的 提 供 一 种 标 准 , 使 用 户 可 以 对 其 计 算 机 系 统 内 敏 感信 息 安 全 操 作 的 可 信 程 度 做 评 估 。 给 计 算 机 行 业 的 制 造 商 提 供 一 种 可 循 的 指 导 规 则 ,使 其 产 品 能 够 更 好 地 满 足 敏 感 应 用 的 安 全 需 求 。 可 信 计 算 机 系 统 评 测 标 准 ( 续 ) 1991年 4月 美 国 NCSC( 国 家 计 算 机 安 全 中 心 )颁 布 了 可 信 计 算 机 系 统 评 估 标 准 关 于 可 信 数 据库 系 统 的 解 释 ( Trusted Database Interpretation 简 称 TDI)TDI又 称 紫 皮 书 。 它 将 TCSEC扩 展 到 数 据 库 管理 系 统 。TDI中 定 义 了 数 据 库 管 理 系 统 的 设 计 与 实 现 中需 满 足 和 用 以 进 行 安 全 性 级 别 评 估 的 标 准 。 可 信 计 算 机 系 统 评 测 标 准 ( 续 ) TDI/TCSEC标 准 的 基 本 内 容TDI与 TCSEC一 样 , 从 四 个 方 面 来 描 述 安 全 性级 别 划 分 的 指 标安 全 策 略责 任保 证文 档 可 信 计 算 机 系 统 评 测 标 准 ( 续 ) R1 安 全 策 略 ( Security Policy) R1.1 自 主 存 取 控 制 ( Discretionary Access Control, 简 记 为DAC) R1.2 客 体 重 用 ( Object Reuse) R1.3 标 记 ( Labels) R1.4 强 制 存 取 控 制 ( Mandatory Access Control, 简 记 为MAC) 可 信 计 算 机 系 统 评 测 标 准 ( 续 ) R2 责 任 ( Accountability) R2.1 标 识 与 鉴 别 ( Identification 这 样 就 可 以 省 略 十 几 条 GRANT语 句 ORACLE的 授 权 与 检 查 机 制 ( 续 ) ORACLE的 权 限 系 统 权 限 数 据 库 对 象 的 权 限 2.数 据 库 对 象 的 权 限ORACLE可 以 授 权 的 数 据 库 对 象 基 本 表 视 图 序 列 同 义 词 存 储 过 程 函 数 数 据 库 对 象 的 权 限 ( 续 ) 基 本 表 的 安 全 性 级 别 表 级 行 级 列 级 数 据 库 对 象 的 权 限 ( 续 ) 表 级 权 限 ALTER: 修 改 表 定 义 DELETE: 删 除 表 记 录 INDEX: 在 表 上 建 索 引 INSERT: 向 表 中 插 入 数 据 记 录 SELECT: 查 找 表 中 记 录 UPDATE: 修 改 表 中 的 数 据 ALL: 上 述 所 有 权 限 数 据 库 对 象 的 权 限 ( 续 ) 表 级 授 权 使 用 GRANT REVOKE语 句 例 : GRANT SELECT ON SC TO U12; 数 据 库 对 象 的 权 限 ( 续 ) 行 级 安 全 性 ORACLE行 级 安 全 性 由 视 图 间 接 实 现 数 据 库 对 象 的 权 限 ( 续 )例 : 用 户 U1只 允 许 用 户 U12查 看 自 己 创 建 的Student表 中 有 关 信 息 系 学 生 的 信 息 , 则 首 先创 建 视 图 信 息 系 学 生 视 图 S_IS: CREATE VIEW S_IS AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept=IS; 然 后 将 关 于 该 视 图 的 SELECT权 限 授 予 U12用 户 : GRANT SELECT ON S_IS TO U12; 数 据 库 对 象 的 权 限 ( 续 ) 列 级 安 全 性 实 现 方 法 由 视 图 间 接 实 现 直 接 在 基 本 表 上 定 义 数 据 库 对 象 的 权 限 ( 续 ) 列 级 安 全 性 (续 )借 助 视 图 实 现 列 级 安 全 性CREATE VIEW S_V AS SELECT Sno.Sname FROM Student; GRANT SELECT ON S_V TO U12; 数 据 库 对 象 的 权 限 ( 续 ) 列 级 安 全 性 (续 ) 直 接 在 基 本 表 上 定 义 列 级 安 全 性 例 : GRANT UPDATE(Sno,Cno) ON SC TO U12; 数 据 库 对 象 的 权 限 ( 续 )上 一 级 对 象 的 权 限 制 约 下 一 级 对 象 的 权 限 例 : 当 一 个 用 户 拥 有 了 对 某 个 表 的 UPDATE权 限 相 当 于 在 表 的 所 有 列 了 都 拥 有 UPDATE 权 限 数 据 库 对 象 的 权 限 ( 续 )ORACLE对 数 据 库 对 象 的 权 限 采 用 分 散 控 制 方 式允 许 具 有 WITH GRANT OPTION的 用 户 把 相 应权 限 或 其 子 集 传 递 授 予 其 他 用 户ORACLE不 允 许 循 环 授 权 U1 U2 U3 U4 ORACLE的 授 权 与 检 查 机 制 ( 续 ) ORACLE的 权 限 信 息 记 录 在 数 据 字 典 中 当 用 户 进 行 数 据 库 操 作 时 ORACLE首 先 根 据 数 据 字 典 中 的 权 限 信息 , 检 查 操 作 的 合 法 性 9.4 Oracle数 据 库 的 安 全 性 措 施 ORACLE的 安 全 措 施 :用 户 标 识 和 鉴 定授 权 和 检 查 机 制审 计 技 术用 户 通 过 触 发 器 灵 活 定 义 自 己 的 安 全 性 措 施 三 、 ORACLE的 审 计 技 术 审 计 分 类用 户 级 审 计系 统 级 审 计 三 、 ORACLE的 审 计 技 术 用 户 级 审 计由 用 户 设 置用 户 针 对 自 己 创 建 的 数 据 库 表 或 视 图 进 行 审 计审 计 内 容 所 有 用 户 对 这 些 表 或 视 图 的 一 切 成 功 和 或 不 成 功的 访 问 要 求 所 有 用 户 对 这 些 表 或 视 图 的 各 类 SQL操 作 ORACLE的 审 计 技 术 (续 ) 系 统 级 审 计DBA设 置审 计 对 象 和 内 容 成 功 或 失 败 的 登 录 要 求GRANT和 REVOKE操 作 其 他 数 据 库 级 权 限 下 的 操 作 ORACLE的 审 计 设 置 可 以 自 由 设 置AUDIT: 设 置 审 计 功 能 例 : AUDIT ALTER,UPDATE ON SC; NOAUDIT: 取 消 审 计 功 能 例 : NOAUDIT ALL ON SC; 对 哪 些 表 进 行 审 计 对 哪 些 操 作 进 行 审 计 ORACLE的 审 计 技 术 ( 续 ) 与 审 计 功 能 有 关 的 数 据 字 典 表 SYS.TABLES: 审 计 设 置 SYS.AUDIT_TRAIL: 审 计 内 容SYSTEM.AUDIT_ACTION ORACLE的 审 计 技 术 ( 续 ) SYS.TABLES:TAB$NAME: 表 名 ;TAB$OWNER: 表 的 拥 有 者 ( 即 创 建 者 )TAB$AUDIT: 审 计 设 置 9.4 Oracle数 据 库 的 安 全 性 措 施 ORACLE的 安 全 措 施 :用 户 标 识 和 鉴 定授 权 和 检 查 机 制审 计 技 术用 户 通 过 触 发 器 灵 活 定 义 自 己 的 安 全 性 措 施 四 、 用 户 定 义 的 安 全 性 措 施 用 数 据 库 级 触 发 器 定 义 用 户 级 安 全 性例 : 规 定 只 能 在 工 作 时 间 内 更 新 Student表 可 以 定 义 如 下 触 发 器 : 用 户 定 义 的 安 全 性 措 施 ( 续 )CREATE OR REPLACE TRIGGER secure_studentBEFORE INSERT OR UPDATE OR DELETE ON Student BEGIN IF (TO_CHAR(sysdate,DY) IN (SAT,SUN) OR (TO_NUMBER(sysdate,HH24) NOT BETWEEN 8 AND 17) THEN RAISE_APPLICATION_ERROR(-20506, You may only change data during normal business hours.) END IF; END; 用 户 定 义 的 安 全 性 措 施 ( 续 )触 发 器 存 放 在 数 据 字 典 中用 户 每 次 对 Student表 执 行 INSERT、 UPDATE或 DELETE自 动 触 发 该 触 发 器系 统 检 查 当 时 的 系 统 时 间 , 如 是 周 六 或 周 日 ,或 者 不 是 8点 至 17点 , 系 统 会 拒 绝 执 行 用 户 的更 新 操 作 , 并 提 示 出 错 信 息 。 用 户 定 义 的 安 全 性 措 施 ( 续 ) 利 用 触 发 器 进 一 步 细 化 审 计 规 则 , 使 审 计操 作 的 粒 度 更 细 第 九 章 数 据 库 安 全 性9.1 计 算 机 安 全 性 概 论9.2 数 据 库 安 全 性 控 制9.3 统 计 数 据 库 安 全 性9.4 Oracle数 据 库 的 安 全 性 措 施9.5 小 结 9.5 小 结 随 着 计 算 机 网 络 的 发 展 , 数 据 的 共 享 日 益 加 强 ,数 据 的 安 全 保 密 越 来 越 重 要 DBMS是 管 理 数 据 的 核 心 , 因 而 其 自 身 必 须 具 有一 整 套 完 整 而 有 效 的 安 全 性 机 制 。 小 结 ( 续 ) 可 信 计 算 机 系 统 评 测 标 准 TCSEC/TDI是 目 前各 国 所 引 用 或 制 定 的 一 系 列 安 全 标 准 中 最 重 要 的一 个 。 CSEC/TDI从 安 全 策 略 、 责 任 、 保 证 和 文 档 四 个方 面 描 述 了 安 全 性 级 别 的 指 标 小 结 ( 续 ) 实 现 数 据 库 系 统 安 全 性 的 技 术 和 方 法 有 多 种 , 最重 要 的 是 存 取 控 制 技 术 和 审 计 技 术 。目 前 许 多 大 型 DBMS 达 到 了 C2级 , 其 安 全 版 本达 到 了 B1C2级 的 DBMS必 须 具 有 自 主 存 取 控 制 功 能 和 初步 的 审 计 功 能B1级 的 DBMS必 须 具 有 强 制 存 取 控 制 和 增 强 的审 计 功 能自 主 存 取 控 制 功 能 一 般 是 通 过 SQL 的 GRANT语 句 和 REVOKE语 句 来 实 现 的
展开阅读全文
相关资源
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!