DB04数据库第四章教学ppt课件.ppt

第4章 数据库安全性;计算机安全性概述 数据库安全性控制 视图机制 审计（Audit） 数据加密 统计数据库安全性;4.1 计算机安全性概述 ;4.1.1 计算机系统的三类安全性问题 ;三类计算机系统安全性问题 技术安全类 管理安全类 政策法律类;4.1.2 安全标准简介;4.1.2 安全标准简介;安 全 级 别;B2以上的系统 还处于理论研究阶段 应用多限于一些特殊的部门，如军队等 美国正在大力发展安全产品，试图将目前仅限于少数领域应用的B2安全级别下放到商业应用中来，并逐步成为新的商业标准;国际信息技术安全通用评估准则(Common Criteria for Information Technology Security Evaluation,简称CC)是美国、英国、法国、德国、荷兰、加拿大六国历经20多年制定的评估信息安全产品和系统安全特性的基础准则,它不但提出了信息安全评估的模型和原则,而且还对信息安全产品和系统的安全功能需求和安全保证要求做出了明确的规.. ;4.1.2 安全标准简介;4.2 数据库安全性控制概述;计算机系统中，安全措施是一级一级层层设置 ;数据库安全性控制的常用方法 用户标识和鉴定 存取控制 视图 审计 密码存储;4.2.1 用户标识与鉴别;4.2.2 存取控制;常用存取控制方法 自主存取控制（Discretionary Access Control ，简称DAC） C2级 灵活 强制存取控制（Mandatory Access Control，简称 MAC） B1级 严格;4.2.3 自主存取控制方法;4.2.3 自主存取控制方法;4.2.4 授权与回收;发出GRANT： DBA 数据库对象创建者（即属主Owner） 拥有该权限的用户 接受权限的用户 一个或多个具体用户 PUBLIC（全体用户） ;4.2.4 授权与回收;[例1] 把查询Student表权限授给用户U1 GRANT SELECT ON TABLE Student TO U1;;[例3] 把对表SC的查询权限授予所有用户 GRANT SELECT ON TABLE SC TO PUBLIC; ;[例4] 把查询Student表和修改学生学号的权限授给用户U4 　 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4; 对属性列的授权时必须明确指出相应属性列名 ;[例5] 把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;;执行例5后，U5不仅拥有了对表SC的INSERT权限，还可以传播此权限： [例6] GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同样，U6还可以将此权限授予U7： [例7] GRANT INSERT ON TABLE SC TO U7; 但U7不能再传播此权限。 ; 下表是执行了［例1］到［例7］的语句后，学生-课程数据库中的用户权限定义表 ;二、REVOKE 授予的权限可以由DBA或其他授权者用REVOKE语句收回 REVOKE语句的一般格式为： REVOKE 权限 ［,权限］... ［ON 对象类型 对象名］ FROM 用户 ［,用户］...; ;[例8] 把用户U4修改学生学号的权限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4;;[例10] 把用户U5对SC表的INSERT权限收回 REVOKE INSERT ON TABLE SC FROM U5 CASCADE ; 将用户U5的INSERT权限收回的时候必须级联（CASCADE）收回 系统只收回直接或间接从U5处获得的权限 ;4.2.4 授权与回收;DBA：拥有所有对象的所有权限 不同的权限授予不同的用户 用户：拥有自己建立的对象的全部的操作权限 GRANT：授予其他用户 被授权的用户 “继续授权”许可：再授予 所有授予出去的权力在必要时又都可用REVOKE语句收回;4.2.4 授权与回收;4.2.4 授权与回收;4.2.5 数据库角色;用户;一、角色的创建 CREATE ROLE 角色名 二、给角色授权 GRANT 权限［，权限］… ON 对象类型对象名 TO 角色［，角色］… ;三、将一个角色授予其他的角色或用户 GRANT 角色1［，角