4数据库安全性.ppt

Application of Database * 三、创建数据库模式的权限 对数据库模式的授权由DBA在创建用户时授权 CREATE USER语句格式 CREATE USER USERNAME [WITH][DBA|RESOURCE|CONNECT] 注意 只有系统的超级用户才有权创建一个新的数据库用户 新创建的数据库用户有三种权限 CONNECT、RESOURCE和DBA Application of Database * 三、创建数据库模式的权限（续） 三种权限 CONNECT：只能连接数据库，不能创建新用户、模式和基本表（默认权限） RESOURCE：可以创建基本表和视图，成为所创建对象的属主，可以使用GRANT语句授权该对象上的存取权限给其它用户（但不能创建模式） DBA：超级用户，可以创建用户、模式、基本表、视图等，拥有所有数据库对象的存取权限，还可以把这些权限授权给一般用户 Application of Database * 权限与可执行操作对照表 Application of Database * 4.2.5 数据库角色 数据库角色是被命名的一组与数据库操作相关的权限,是权限的集合 角色的创建 给角色授权 将一个角色授予其他的角色或用户 角色权限的回收 Application of Database * 角色的创建 CREATE ROLE 角色名 例：CREATE ROLE R1; 新创建的角色是空的，没有任何内容 Application of Database * 给角色授权 GRANT 权限[, 权限]… ON 对象类型 对象名 TO 角色 [,角色 ]… 例：GRANT SELECT,UPDATE,INSERT ON TABLE STUDENT TO R1; Application of Database * 将一个角色授予其他的角色或用户 GRANT 角色1[, 角色2]… TO 角色3[, 用户1]… WITH ADMIN OPTION 注意 WITH ADMIN OPTION:获得权限的角色或用户还可以把权限在授予其它的角色 授予者：角色创建者，或者拥有在这个角色上的ADMIN OPTION 一个角色的权限：直接授予这个角色的权限+其它角色授予这个角色的全部权限 Application of Database * 角色权限的回收 REVOKE 权限[, 权限]… ON 对象类型 对象名 FROM 角色1[,角色2]… 执行者：角色创建者，或者拥有在这个角色上的ADMIN OPTION 例： REVOKE SELECT ON TABLE Student FROM R1 Application of Database * 4.2.6 强制存取控制方法 强制存取控制的特点 MAC是对数据本身进行密级标记 无论数据如何复制，标记与数据是一个不可分的整体 只有符合密级标记要求的用户才可以操纵数据，从而提供了更高级别的安全性 Application of Database * MAC与DAC DAC与MAC共同构成DBMS的安全机制 原因：较高安全性级别提供的安全保护要包含较低级别的所有保护 先进行DAC检查，通过DAC检查的数据对象再由系统进行MAC检查，只有通过MAC检查的数据对象方可存取。 SQL语法分析 语义检查 ? DAC 检 查 安全检查 MAC 检 查 继 续 Application of Database * 4.3 视图机制 视图机制把要必威体育官网网址的数据对无权存取这些数据的用户隐藏起来， 视图机制能间接实现支持存取谓词的用户权限定义 Application of Database * 视图机制（续） 例：王平只能检索计算机系学生的信息 先建立计算机系学生的视图CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=CS； Application of Database * 视图机制（续