- 1、本文档共16页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
数据库技术讲义 第9章 数据库安全性
第九章 数据库安全性 9.1 计算机安全性概论 安全性: 是指保护数据库,以防止不合法的使用所造成的数据泄露、更改或破坏。 数据库系统中大量数据集中存放,许多用户直接共享。 系统安全保护措施是否有效是数据库系统的主要性能指标之一。 计算机系统安全性:是指为计算机系统建立和采取的各种安全保护措施,以保护计算机系统中的硬件、软件及数据,防止其因偶然或恶意的原因使系统遭到破坏,数据遭到更改或泄露等。 9.1 计算机安全性概论 技术安全类:计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护,当计算机系统受到无意或恶意的攻击时仍能保证系统正常运行,保证系统内的数据不增加、不丢失、不泄漏。 管理安全类:软硬件意外故障、场地意外事故、管理不善导致的计算机设备和数据介质的物理破坏、丢失等安全问题。 政策法律类:政府部门建立的有关计算机犯罪、数据安全必威体育官网网址的法律道德准则和政策法规、法令。 9.1.2 可信计算机系统评测标准 R1 安全策略(Security Policy) R2 责任(Accountability) R3 保证(Assurance) R4 文档(Documentation) 9.1.2 可信计算机系统评测标准 9.2 数据库安全性控制 用户标识与鉴别 存取控制 自主存取控制方法 强制存取控制 视图机制 审计 数据加密 9.2.1 用户标识与鉴别 用户标识和鉴别是系统提供的最外层安全保护措施。其方法是由系统提供一定的方式让用户标识自己的名字或身份。每次用户要求进入系统时,由系统进行核对,通过鉴定后才提供机器使用权。 常用方式:帐号、密码 9.2.2 存取控制 存取控制机制主要包括两部分: 定义用户权限,并将用户权限登记到数据字典中。 合法权限检查,每当用户发出存取数据库的操作请求后,DBMS查找数据字典,根据安全规则进行合法权限检查。 9.2.2 存取控制 自主存取控制:用户对于不同的数据对象有不同的存取权限,不同的用户对同一对象也有不同的存取权限,而且用户还可以将其拥有的存取权限转授给其他用户。 强制存取控制:每一个数据对象被标以一定的密级,每一个用户也被授予某一个级别的许可证。对于任意一个对象,只有具有合法许可证的用户才可以存取。 9.2.3 自主存取控制方法 大型数据库管理系统几乎都支持自主存取控制。目前主要通过GRANT、REVOKE语句实现。 用户权限定义中数据对象范围越小授权子系统就越灵活,但系统定义与检查权限的开销也就越大。 衡量授权子系统精巧程度的另一个尺度是能否提供与数据值相关的授权。 自主存取控制对授权无法控制。仍可能存在数据的“无意泄漏”。 9.2.4 强制存取控制 在MAC中所以实体被分为主体和客体。 遵循如下规则: 仅当主体的许可证级别大于或等于客体的密级时,主体裁可以读取相应当客体。 仅当主体的许可证级别等于客体的密级时,主体才能写相应当客体。 强制存取控市对数据本身进行密级标记,无论数据如何复制,标记与数据是一个不可分割的整体,只有符合密级标记要求的用户才能操纵数据。 9.2.5 视图机制 进行存取权限控制时可以为不同的用户定义不同的视图,把数据对象限制在一定的范围内。 视图机制可以间接地实现对存取谓词用户权限定义。 9.2.6 审计 审计功能把用户对数据库的所以操作自动记录下来放入审计日志,DBA可以利用审计的信息,重现导致数据库现有状况的一系列事件,找出非法存取数据的人、时间和内容等。 审计通常是很费时间和空间的,所以DBMS往往将其作为可选特征,一般主要用于对安全性要求较高的部门。 9.2.7 数据加密 数据加密是防止数据库中数据在存储和传输中失密的有效手段。加密的基本思想是按照一定的算法将原始数据变换为不可直接识别的格式。 加密的方法主要有两种:替换法和置换法。 9.3 统计数据库安全性 一般地,统计数据库允许用户查询聚集类型的信息,但是不允许查询单个记录信息。 在统计数据库中存在着特殊的安全性问题,即可能存在着隐蔽的信息通道,使得可以从合法的查询中推导出不合法的信息。 9.4 Oracle数据库的安全性措施 用户标识和鉴定; 授权和检查机制; 审计技术(是否使用审计技术可由用户灵活选择); 用户定义的安全性措施。 * * *
文档评论(0)