数据库第四章——数据库安全性.pptVIP

An Introduction to Database System 3、收回（取消）权限 授予的权限可以由DBA或其他授权者用REVOKE语句收回。 REVOKE语句的一般格式为： REVOKE 权限[,权限]... [ON 对象类型 对象名] FROM 用户[,用户]...; 例1：把用户stu1查询student的权限收回； REVOKE SELECT ON Student FROM stu1 An Introduction to Database System 例2：收回所有用户查询Student表的权限； GRANT SELECT ON Student FROM Public 例3：把用户stu4对SC表的查询权限收回； GRANT SELECT , UPDATE(Sno) ON Student FROM stu4 CASCADE --权限收回的时候必须级联收回 An Introduction to Database System 4、创建数据库角色并分配权限 一、角色的创建：CREATE ROLE 角色名 二、给角色授权 ： GRANT 权限［，权限］… ON 对象类型对象名 TO 角色［，角色］… 三、将一个角色授予其他的角色或用户： GRANT 角色1［，角色2］… TO 角色3［，用户1］… [WITH ADMIN OPTION］ --可将权限授予其他角色 四、角色权限的收回： REVOKE 权限［，权限］… ON 对象类型 对象名 FROM 角色［，角色］… An Introduction to Database System 5、给数据库角色添加用户 添加成员： sp_addrolemember [ @rolename = ] role ,?? ?[ @membername = ] security_account 删除成员：sp_droprolemember [ @rolename = ] role ,?? ?[ @membername = ] security_account 例1：将数据库用户stu添加到数据库角色role中； USE stu EXEC sp_addrolemember ‘role’，‘stu’ 例2：从数据库角色role中删除数据库用户stu； EXEC sp_droprolemember ‘role’，‘stu’ An Introduction to Database System An Introduction to Database System An Introduction to Database System 使用系统存储过程在一个服务器角色中添加登录时要注意： 1、sysadmin固定服务器成员可以将成员添加到任何固定的服务器角色。而其他固定服务器成员只能将成员添加到同一个固定服务器角色。 2、在将登录添加到固定服务器角色时，该登录会得到与此固定服务器角色相关的权限。 3、不能更改sa登录的角色成员资格。 An Introduction to Database System 使用系统存储过程在一个服务器角色删除成员时要注意： 1、sysadmin固定服务器成员可以执行该存储过程将任意登录从固定的服务器角色中删除。一个固定服务器成员只能将相同固定服务器角色中的其他成员删除。 2、在将登录从某固定服务器角色中删除，该登录因此固定服务器角色所得的权限也会失去。 3、不能从任何固定服务器角色中删除sa登录。 An Introduction to Database System An Introduction to Database System An Introduction to Database System An Introduction to Database System An Introduction to Database System 四、其他数据库安全性控制 强制存取控制方法（MAC） 视图机制 审计 数据加密 统计数据库安全性 An Introduction to Database System 1、强制存取控制方法（P143） 自主存取控制（DAC）缺点： 可能存在数据的“无意泄露”； 原因：这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标记； 解决：对系统控制下的所有主客体实施强制存取控制策略。 强制存取控制（MAC) 保证更高程度的安全性 用户能不能直接感知或进行控制 适用于对数据有严格而固