数据库系统原理知识点小结
发布时间:2022-12-02 15:43:37 所属栏目:安全 来源:
导读: 数据库安全
4.1 数据库安全概述 数据库的不安全因素 非授权用户对数据库的恶意存取和破坏数据库中重要或敏感的数据被泄露安全环境的脆弱性 安全标准简介 TCSEC标准CC标准 4.2 数据库安全性控制 计算机
4.1 数据库安全概述 数据库的不安全因素 非授权用户对数据库的恶意存取和破坏数据库中重要或敏感的数据被泄露安全环境的脆弱性 安全标准简介 TCSEC标准CC标准 4.2 数据库安全性控制 计算机
|
数据库安全 4.1 数据库安全概述 数据库的不安全因素 非授权用户对数据库的恶意存取和破坏数据库中重要或敏感的数据被泄露安全环境的脆弱性 安全标准简介 TCSEC标准CC标准 4.2 数据库安全性控制 计算机中的系统安全性控制 计算机系统中,安全措施是一级一级层层设置的。 数据库安全性控制 数据库安全性控制的常用方法 1. 用户身份鉴别 鉴别方法 静态口令鉴别 静态口令一般由用户自己设定,这些口令是静态不变的。动态口令鉴别 口令是动态变化的,每次鉴别时均需使用动态产生新的口令登录数据库管理系统,即采用一次一密的方法。智能卡鉴别 智能卡是一种不可复制的硬件,内置集成电路的芯片,具有硬件加密功能。生物特征鉴别 通过生物特征进行认证的技术,生物特征如指纹,虹膜,掌纹。 合法用户也有可能做不合法的操作。为了使合法用户只能访问他们有权访问的那部分数据,需要对数据库进行存取控制。 2. 存取控制 存取控制组成 合法权限检查 用户权限定义和合法权检查机制一起组成了DBMS的存取控制子系统。 自主存取控制方法 授权:授予与回收 1. 权限授予:GRANT GRANT语句的一般格式 GRANT<权限>[,<权限>]... ON<对象类型><对象名>[,<对象类型><对象名>]... TO<用户>[,<用户>]... [WITH GRANT OPTION]; //指定该子句:可以再转授权限,没有指定则不能传播权限 WITH GRANT OPTION 按受权限的用户 全部权限可以用ALL PRIVILEGES代替所有用户可以用PUVLIC代替 2. 权限回收:REVOKE REVOKE语句的一般格式为: REVOKE<权限>[,<权限>]... ON<对象类型><对象名>[,<对象类型><对象名>]... FROM<用户>[,<用户>]...[CASCADE|RESTRICT]; 数据库角色 角色的创建 CREATE ROLE 给角色授权 GRANT <权限>[,<权限>]... ON<对象类型>对象名 TO<角色>[,<角色>]... 将角色授予其他的角色或用户 GRANT <角色1>[,<角色2>]... TO <角色3>[,<用户>]... [WITH ADMIN OPTION] 角色权限的回收 REVOKE <权限>[,<权限>]... ON <对象类型><对象名> FROM <角色>[,<角色>]... 例题 通过角色来实现权限管理。 创建一个角色R1 CREATE ROLE R1; 使用GRANT语句,使角色R1拥有Student表的SELECT\UPDATE\INSERT权限 GRANT SELECT,UPDATE,INSERT ON TABLE Student TO R1; 大数据智能营销系统郑州鹰眼大数据_数据库系统安全_12306撞库数据 将这个角色授予王平数据库系统安全,张明,赵玲。使他们具有角色R1所包含的全部权限 GRANT R1 TO 王平,张明,赵玲; 可以一次性通过R1来回收王平的这3个权限 REVOKE R1 FROM 王平; 增加角色的权限 GRANT DELETE ON TABLE Student TO R1; 使角色R1在原来的基础上增加了Student表的DELETE权限。 减少角色的权限 REVOKE SELECT ON TABLE Student FROM R1; 使R1减少了SELECT权限 自主存取控制缺点 可能存在数据的“无意泄露” 例:只有财务人员有权访问职工工资表EMP-Salary CREATE TABLE Salary-copy AS SELECT Eno, Name, Salary FROM EMP-Salary; //复制表内容 GRANT SELECT ON TABLE Salary-copy TO PUBLIC; //所有人都可以访问职工工资 自主存取控制仅仅通过对数据的存取权限来进行安全控制,而数据本身并无安全标记。 强制存取控制方法 强制存取控制(MAC) 强制存取控制中,数据库管理系统所管理的全部实体被分为主题和客体两大类 客体是系统中的被动实体,受主题操纵 敏感度标记(Label) 自主存取控制仅仅通过对数据的存取权限来进行安全控制,而数据本身并无安全性标记。 主体的敏感度标记称为许可证级别 客体的敏感度标记为密级 强制存取控制规则 (1)仅当主体的许可证级别大于或等于客体的密级时,该主体才能读取相应的客体 在这里插入图片描述 (2)仅当主体的许可证级别小于或等于客体的密级时,该主体才能写相应的客体。 在这里插入图片描述 在这里插入图片描述 自主存取控制DAC与强制存取控制MAC共同构成数据库管理系统的安全机制 在这里插入图片描述 3. 视图 把要保密的数据对无权存取这些数据的用户隐藏起来,对数据提供一定程度的安全保护。 授权只能访问整张表或者表中的列。 授予用户查询整个表的权限 GRANT SELECT ON TABLE Student TO U1; 授权用户查询某些列的权限 GRANT SELECT(Sno, Sname) ON TABLE Student TO U2; 授予用户查询某些行的权限? 例: 授权王平老师能查询计算机系学生的情况,授权系主任张明能对计算机系学生地信息进行所有的操作。 step1: 先建立计算机系学生的视图CS_Student CREATE VIEW CS_Student AS SELECT * FROM Student WHERE Sdept='CS'; step2: 在视图上进一步定义存取权限 GRANT SELECT ON CS_Student TO 王平; GRANT ALL PRIVILIGES ON CS_Student TO 张明; 4. 审计 监控措施 可以被审计的事件 系统权限 语句事件 模式对象事件 审计功能的可选性 审计功能设置 AUDIT语句:设置审计功能 NOAUDIT语句:取消审计功能 例: 对修改SC表结构或修改SC表数据的操作进行审计 AUDIT ALTER, UPDATE ON SC; 取消对SC表的一切审计 NOAUDIT ALTER, UPDATE ON SC; 5. 数据加密 防止数据库中数据在存储和传输中失密的有效手段。 (编辑:天瑞地安资讯网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐