教学对象教学时间年月日教学内容数据库的安全保护71.docVIP

教学对象 ? 教学时间 年 月 日 教学内容 第7章　数据库的安全保护 7.1　数据库的安全性 教学目的 通过本节内容的学习，能够正确理解数据安全性的含义，了解数据库安全性的控制方法。 教学重点 数据库安全性的含义；数据库安全性的控制方法。 教学难点 ? 建议学时 1学时 教学教具 多媒体教学系统 教学方法 讲授（PPT） 演示设计 板书设计 7.1.1　数据库安全性的含义 7.1.2　数据库安全性的控制方法 教学过程 课程导入 ?提问：什么是数据库安全性？ 从安全性的广泛定义引入数据库的安全性的定义，再进一步介绍什么是安全性控制？主要包括以下5种方法。 ? 7.1 数据库的安全性 7.1.1 数据库安全性的含义 数据库安全性从字面上理解含义很广，诸如防火、防盗、防震、防掉电等，这些措施对于数据库的安全固然重要，但本章所讨论的安全性是指在数据库管理系统的控制之下保护数据，以防止不合法的使用而造成的数据泄漏、更改和破坏。 7.1.2 安全性控制的方法 安全性控制是指要尽可能地杜绝所有可能的数据库非法访问。每种数据库管理系统都会提供一些安全性控制方法供数据库管理员选用，以下是常用的几种方法： 1．用户标识与鉴别 数据库系统不允许一个未经授权的用户对数据库进行操作。用户标识和鉴别是系统提供的最外层的安全保护措施。数据库用户在数据库管理系统注册时，每个用户都有一个用户标识符。但一般说来，用户标识符是用户公开的标识，它不足以成为鉴别用户身份的凭证。为了鉴别用户身份，一般采用以下几种方法： （1）利用只有用户知道的信息鉴别用户 （2）利用只有用户具有的物品鉴别用户 （3）利用用户的个人特征鉴别用户 目前，几乎所有的商品化数据库管理系统都是采用口令识别用户。口令识别这种控制机制的优点是简单并易掌握。目前对其攻击主要有尝试猜测、假冒登录和有哪些信誉好的足球投注网站系统口令表等三种方法。 2. 授权 授权（Authorization）是指对用户存取权限的规定和限制。在数据库管理系统中，用户存取权限指的是不同的用户对于不同数据对象所允许执行的操作权限，每个用户只能访问他有权存取的数据并执行有权进行的操作。存取权限由两个要素组成：数据对象和操作类型。对一个用户进行授权就是定义这个用户可以在哪些数据对象上进行哪些类型的操作。 授权有两种：系统特权和对象特权。系统特权由DBA授予某些数据库用户，只有得到系统特权，才能成为数据库用户。对象特权是授予数据库用户对某些数据对象进行某些操作的特权，它既可由DBA授予，也可由数据对象的创建者授予。在系统初始化时，系统中至少有一个具有DBA特权的用户。 授权表中一个衡量授权机制的重要指标就是授权粒度，即可以定义的数据对象的范围。在关系数据库中，授权粒度包括关系、记录或属性。一般说来，授权定义中粒度越细，授权子系统就越灵活。如表7-1是一个授权粒度很粗的表，只对整个关系授权：USER1拥有对关系A的所有权限，USER2拥有对关系B的SELECT权限和对关系C的UPDATE权限，USER3则拥有对关系C的INSERT权限。而表7-2的授权精确到关系的某一属性，授权粒度较为精细：USER2只能查询关系B的ID列和关系C的NAME列。 表7-1 授权表一 用户标识 数据对象 访问特权 USER1 关系A ALL USER2 关系B SELECT USER2 关系C UPDATE USER3 关系C INSERT 。。。 。。。 。。。 表7-2 授权表二 用户标识 数据对象 访问特权 USER1 关系A ALL USER2 列B.ID SELECT USER2 列C.NAME UPDATE USER3 关系C INSERT 。。。 。。。 。。。 授权表中衡量授权机制的另一个重要指标是允许的登记项的范围。表7-1和表7-2的授权表中的授权只涉及到关系、或列的名字，不涉及具体的值，这种系统不必访问具体数据本身就可实现的控制称为“值独立”控制。而表7-3中的授权表不但可以对列授权，还可通过存取谓词提供与具体数值有关的授权，即可以对关系中的一组满足特定条件的记录授权。表中USER1只能对关系A的ID值5000的记录进行操作。对于与数据值有关的授权，可以通过另一种措施——视图定义与查询修改来保护数据库的安全。 表7-3 授权表三 用户标识 数据对象 访问特权 存取谓词 USER1 关系A ALL ID5000 USER2 列B.ID SELECT USER2 列C.NAME UPDATE USER3 关系C INSERT 。。。 。。。 。。。 3．视图定义与查询修改 此前曾提到过，与数据值有关的授权，可以通视图定义与查询修改来保护数据库