数据库原理及应用教案第5章数据库的管理.ppt

　　第5章 数据库的管理 5.1 数据库的安全控制 5.2 数据库的恢复技术 5.3 数据库的并发控制 5.1 数据库的安全控制 数据库的安全性是指保护数据库防止用户不合法地使用数据库所造成的数据泄密、更改或破坏。在数据库系统中，大量数据集中存放，而且为许多用户直接共享，是宝贵的信息资源，从而使得安全问题更为突出。系统安全保护措施是否有效，是评价数据库系统性能的主要指标。 　　　　　　5.1.1概述 数据库安全性是保证数据库能否反映现实世界的重要措施，用以防止非法使用数据库中的数据，防止错误数据的输入和输出。完整性措施的防范对象是不合语义的数据。可见，安全性是针对未授权用户而对数据采取的保护措施，而完整性是针对授权用户而采取的数据保护措施。数据库的完整性是指尽可能避免对数据库的无意滥用；数据库的安全性是指尽可能避免对数据库的恶意滥用。无意滥用可以通过约束来避免，完全避免恶意滥用是不可能的，但可以尽量增加一些保护措施，提高数据库的安全性。 　　　　　　　5.1.1概述 一般计算机系统中，安全措施往往是一级一级层层设置的，其模型如图5-1所示。 　　　　　　5.1.1概述 安全的操作系统是数据库安全的前提。数据库系统的安全措施有以下几个方面： (1)权限机制 通过权限机制，限定用户对数据的操作权限，把数据的操作限定在指定权限的用户范围内。 　　　　　　5.1.1概述 (2)视图机制 通过建立用户视图，用户或应用程序只能通过视图来操作数据，保证了视图之外的数据的安全性。 (3)数据加密 对数据库中的数据进行加密，可以防止数据在存储和传输过程中失密。 　　　5.1.2 用户标识和鉴别 任何数据库用户要访问数据库时，都需声明自己的用户标识符，只有通过核实的人才能进入系统，这个核实工作就称为用户鉴别。鉴别的方法有以下3种: 1．口令（Password） 口令是最广泛使用的用户鉴别方法。所谓口令就是注册时DBMS 给予每个用户的一个字符串。 　　　5.1.2 用户标识和鉴别 2．利用用户的个人特征 用户的个人特征包括指纹、签名、声波纹等。这些鉴别方法效果不错，但需要特殊的鉴别装置。 3．磁卡 磁卡是使用较广的鉴别手段，磁卡上记录有用户的用户标识符。 　　　　　5.1.3 访问控制 鉴别解决了用户是否合法的问题，但合法用户的权利是不应该相同的，任何合法用户都只能执行他有权执行的操作，只能访问他有权访问的数据库数据。访问控制的目的就是解决此问题，主要包括 授权 检查权限 1．数据库用户的种类 数据库用户按其访问权利分为3类: 一般数据库用户 具有创建表权力的用户 具有DBA特权的用户。 1．数据库用户的种类 1）一般数据库用户—具有CONNECT特权的用户 该类用户可进入该数据库系统，但只有以下权利: (1)根据授权，查新或更改数据库中的部分数据; (2)可以创建视图或定义数据别名。 1．数据库用户的种类 2）具有创建表权力的用户—具有RESOURCE特权的用户 该类用户除具有一般数据库用户所具有的权利外，还有以下特权: (1)可以在此数据库内创建表、 索引和聚簇; (2)可以授予其他数据库用户对其所创建的表的各种访问，还可收回授出的访问权; (3)有权跟踪审计( audit )自己所创建的数据对象。 1．数据库用户的种类 3）具有DBA特权的用户 具有DBA特权的用户可支配这个数据库的所有资源。DBA除拥有RESOURCE所拥有的权利外，主要还有以下特权: (1)可访问数据库中任何数据; (2)为数据库用户注册及撤销注册的权利; (3)授予及收回数据库用户对数据库的访问权; (4)有权控制这个数据库的跟踪审计 。 2．DBA对用户的注册工作 （1）DBA为用户进行注册—GRANT 在SQL中语言，DBA可用GRANT命令为用户注册，命令格式如下： GRANT 特权类型 TO 用户标识符 [IDENTIFIED BY 口令] 其中， 特权类型 有3种: CONNECT，RESOURCE和DBA。 对于新用户，命令中必须有口令选项;已是数据库的用户，只是增加特权类型，则不必再有口令 。 举例 【例5.1】把新用户WANG注册为RESOURCE用户，口令为W02XYZ: GRANT RESOURCE TO WANG IDENTIFIED BY W02XYZ 【例5.2】再把【例5.1】中用户WANG注册为DBA用户(此时不必有口令项): GRANT DBA TO WANG 2．DBA对用户的注册工作 （2）DBA撤消对用户的注