[工学]数据库陶宏才版教案 第五章.ppt

数据库原理及设计Principle and Design of Databases 第五章 数据库的保护 学习内容和要求 数据库保护概况 数据库安全性 数据库完整性 故障恢复 并发控制 数据库保护概况 数据库安全性概况 DBMS与OS在安全上的关系 除了OS的安全屏障外，DBMS为加强其安全性，亦应建立有自己的安全体系； 由于DBMS建立在OS之上，要求OS提供承诺，即：不允许用户绕过DBMS安全体系而直接访问DB； 正是因为DBMS和OS有各自独立的安全体系，因此OS的用户要想访问DBMS，必须由DBA设置成DBMS的用户。 数据库安全性的目标 信息安全中有五要素： 数据的私密性、数据的完整性、可用性、认证性和审计。 数据库安全性目标是：私密性、完整性、可用性 绝大多数的商用RDBMS，一般是通过提供“访问控制”安全服务来实现数据库的安全目标。 访问控制类型： DAC：自主访问控制 MAC：强制访问控制 RBAC：基于角色的访问控制策略 访问控制类型 自主访问控制DAC (Discretionary Access Control)：基于访问权限概念。SQL2通过GRANT（授权）和REVOKE（撤权）支持该DAC。 强制访问控制MAC (Mandatory Access Control)：基于全系统范围策略，而不由某个用户改变。 客体（Object，如：各种DB对象）和主体（Subject，如：用户、计算机、进程等）分别具有相应的安全级别(Security Class和Clearance)，如：绝密（Top-secret，TS）、机密（ Secret，S）、秘密（ Confidential，C）和无密级（Unclassified，U），主体只有在满足一定规则（如：下读——主体的安全级别必须高于所读客体的安全级别 、上写——主体的安全级别必须低于所写入的客体的安全级别）才能访问某个客体。 标准支持情况：SQL-92不支持MAC。 安全级别 现状：目前大多数RDBMS支持C2级DAC和B1级MAC。 DoD（美国防部）的桔皮书中定义： 计算机系统的安全级为A、B、C和D四个等级，A最高，D最低。 C级：要求支持DAC，又分二个子级C1、C2。C2要求身份认证(Login verification)和审计跟踪(Audit Trails)。 B级：要求支持MAC，又分三个子级B1、B2、B3。 A级：要求有数学防范能力。 用户标识与鉴别 用户标识：用户名。 用户鉴别： 只有用户知道的信息，如口令、公式等； 只有用户具有的物品，如钥匙、IC卡等； 个人特征，如指纹、眼波纹等。 最常见的用户鉴别：口令，要求长度/时间长短/不回显，不可逆加密保存。 SQL中的安全性机制 视图：被用来对无权用户屏蔽物理数据。 权限：将对数据库对象的操作定义为权限提供给用户。 用户是实际的人或是访问数据库的应用程序。 从应用业务角度看，某个数据库可有多个用户： 教学管理数据库系统：学生、教师、学院教务员、校教务处人员、家长。 每个用户有独立的ID和PSW，用户需要登录到DB中才能使用DB。 角色是一组具有相同权限的用户。　 用户与角色 用户要登录DBMS和DBS，都要申请帐户和密码。这就有了每个人的几套帐号。 用帐号终于登录到某个DB后，对数据库、表、视图等有什么样的操作权利（只读，读写，视图操作，等）？不由用户的帐号决定！由用户被划分的角色来决定！ 用户进到DBMS后要被赋予不同的角色：某个DB的DBA，某个数据库的owner,某个数据库某些表的使用者，… 由超级用户为每一个登录的用户分配角色组，每组有其规定DB操作的权限。 Public为公共组角色，权利低，新用户常被分到public组。 角色和用户之间是多对多的关系：一个业务用户可以属于多个角色组，一个角色组有多个用户。如学生既属于选课成绩表可读角色组，又属于选课表可读写角色组。 DAC访问控制的授/撤权 角色权限的授/撤权 GRANT 角色类型 [{ ,角色类型}] TO 用户 [IDENTIFIED BY 口令] 角色类型::=Connect|Resource|DBA 例如: GRANT DBA TO Wan 撤权： REVOKE 角色类型[{ ,角色类型}] FROM 用户 例如：REVOKE DBA FROM Wan 数据库对象（表）的授/撤权 授权： GRANT 权限 ON 表名 TO 受权者[{, 受权者}] [WITH GRANT OPTION] 权限::=ALL PRIVILEGES | 操作 [{, 操作}] 操作::=SELECT | INSERT | DELETE | UPDATE [(列名表)] 列名表::= 列名 [{, 列名}]