数据库系统原理与应用.pptVIP

强制存取控制(MAC):指系统为保证更高程度的安全性，按照TCSEC/TDI标准中安全策略的要求，所采取的强制存取检查手段，对网络中的数据库安全实体作统一的、强制性的访问管理。强制型存取控制系统主要通过对主体和客体的已分配的安全属性进行匹配判断，决定主体是否有权对客体进行进一步的访问操作。*存取控制机制的方式由于数据库在操作系统中以文件形式存储，所以入侵者可以直接利用操作系统的漏洞窃取或篡改数据库文件，而且数据在通信线路传输过程中可能被监听或窃取，并且数据库管理员可以访问所有数据，如果管理不善通常会造成安全隐患。因此，数据库加密技术基于主动防御机制，可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取、防止绕开合法应用系统直接访问数据库，从根本上解决数据库敏感数据泄漏问题。*加密的思想加密的基本思想：是使用一定的算法将原始数据明文转换为不可直接识别的密文，只有知道加密算法的人才能通过解析密文而获取原始数据，从而达到保护数据的目的。数据库加密的主要方法有MD5加密算法和哈希加盐加密算法。*加密的思想密码系统由明文集合、密文集合、密钥集合和算法组成，其中密钥和算法构成了密码系统的基本单元。数据加密机制如图*加密的思想加密算法解密算法加密密钥解密密钥明文密钥信道密文明文严重影响系统运行效率难以实现对数据完整性的约束SQL语言及SQL函数的使用受到制约加密数据容易成为攻击目标*加密的影响加解密速度要求足够快，尽可能减少对数据操作响应时间的影响。加密强度足够大，保证大部分数据长时间无法破译或者破解密文的代价远大于获取其中数据的收益。对数据库的合法用户来说加解密操作是透明的，用户不关心数据如何完成加解密，不能影响用户的合理操作。数据库加密后，存储量不能有较大程度的增加。密钥管理方案灵活，高效，密钥安全存储，使用方便可靠。*加密系统要求视图机制是数据库系统提供给用户以多种角度观察数据库中数据的重要机制，是从一个或几个基本表（或视图）导出的表，它与基表不同，是一个虚表，它本身不存储实际数据，数据存储在基本表中，数据库中只存放视图的定义。*12.2.4视图机制视图机制最主要的功能在于提供数据独立性，在实际应用中，常常将视图机制与存取控制机制结合起来使用，把要必威体育官网网址的数据对无权存取这些数据的用户隐藏起来，对数据提供一定程度的安全保护，一般都是先使用视图机制屏蔽一部分必威体育官网网址数据，再在视图上进一步定义存取权限。*12.2.4视图机制数据库审计（简称DBAudit）是数据库安全技术之一，是DBMS达到C2级以上安全级别必不可少的指标，这是数据库系统的最后一道安全防线。*12.2.5数据库审计DBA以安全事件为中心，把用户对数据库的所有操作自动记录下来，存放在日志文件中，通过对用户访问数据库行为的记录、分析和汇报，来帮助用户事后生对事故追根溯源，DBA可以利用审计跟踪的信息，重现导致数据库现有状况的一系列事件，找出非法访问数据库的人、时间、地点以及所有访问数据库的对象和所执行的动作，定位事件原因，以便日后查询、分析、过滤，实现对数据库网络行为的监控，提高数据资产安全。*12.2.5数据库审计两种审计方式：用户审计：DBMS的审计系统记下所有对表或视图进行访问的企图及每次操作的用户名、时间、操作代码等信息。这些信息一般都被记录在数据字典之中，利用这些信息用户可以进行审计分析。系统审计：由系统管理员进行，其审计内容主要是系统一级命令以及数据库客体的使用情况。*12.2.5数据库审计12.3SQLServer安全验证管理12.3.1身份验证简介Windows身份验证混合身份验证12.3.2验证模式的修改*安全验证用来控制是否具有SQL?Server系统的访问权限，数据库只有在验证了指定的登录ID及密码有效后，才完成连接，这种登录验证称为身份验证。*Windows身份验证Windows身份认证使用Windows操作系统的内置安全机制，也就是使用Windows的用户或组账号控制用户对SQL?Server的访问。在这种模式下，用户只需通过Windows的认证，就可以连接到SQL?Server，而SQL?Server本身不再需要管理一套登录数据。Windows身份认证采用了Windows安全特性的许多优点，包括加密口令、口令期限、域范围的用户账号及基于Windows的用户管理等，从而实现了SQL?Server与Windows登录安全的紧密集成。?*Windows身份验证在混合验证模式下，Windows验证和SQLServer验证这两种验证模式都是可用的。对于SQLS