第四章 数据库安全().pptVIP

第四章 数据库安全性 第一篇 基础篇 第一章 绪论 第二章 关系数据库 第三章 关系数据库标准语言SQL 第四章 数据库安全性 第五章 数据库完整性 第二篇 设计与应用开发篇 第六章 关系数据理论 第四章 数据库安全性 学习内容 4.1 计算机安全性概述 4.2 数据库安全性控制 4.3 统计数据库安全性 问题的提出 数据库的一大特点是数据可以共享 数据共享必然带来数据库的安全性问题 数据库系统中的数据共享不能是无条件的共享 数据库的安全性 什么是数据库的安全性？ 是指保护数据库，防止因用户 非法使用数据库造成数据泄露、 更改或破坏。 4.1 计算机系统安全性概述 什么是计算机系统安全性？ 为计算机系统建立和采取的各种 安全保护措施，以保护计算机系统中 的硬件、软件及数据，防止其因偶然或 恶意的原因使系统遭到破坏，数据遭到 更改或泄露等。 计算机系统的三类安全性问题 技术安全类 管理安全类 政策法律类 4.1.2 安全标准 为降低进而消除对系统的安全攻击，各国引用或制定了一系列安全标准 TCSEC (桔皮书) TDI (紫皮书) TDI/TCSEC标准的基本内容 TDI与TCSEC一样，从四个方面来描述安全性级别划分的指标 安全策略 责任 保证 文档 R1 安全策略（Security Policy） R1.1 自主存取控制 （Discretionary Access Control，简记DAC） R1.2 客体重用（Object Reuse） R1.3 标记（Labels） R1.4 强制存取控制（Mandatory Access Control，简记为MAC） R2 责任（Accountability） R2.1 标识与鉴别（Identification Authentication） R2.2 审计（Audit） R3 保证（Assurance） R3.1 操作保证（Operational Assurance） R3.2 生命周期保证（Life Cycle Assurance） R4 文档（Documentation） R4.1 安全特性用户指南（Security Features Users Guide） R4.2 可信设施手册（Trusted Facility Manual） R4.3 测试文档（Test Documentation） R4.4 设计文档（Design Documentation） TCSEC/TDI安全级别划分 参考文献 Department of Defense(USA).Department of Defense Trusted Computer System Evaluation Criteria (Orange Book),Rainbow Series-12/85(DoD 5200.28-std) Department of Defense(USA). Trusted Database Management System of TCSEC,1991 Common Criteria for Information Technology Security Evaluation.Version 2.1.ISO/IEC 15408.CCIB-99-031,1999 国家技术监督局.信息技术、安全技术、信息技术安全性评估准则.GB/T 18336-2001,2001 4.2.1 数据库安全性控制概述 用户编写一段合法的程序绕过DBMS及其授权机制，通过操作系统直接存取、修改或备份数据库中的数据 直接编写应用程序执行非授权操作 通过多次合法查询数据库从中推导出一些必威体育官网网址数据 计算机系统中的安全模型 数据库安全性控制的常用方法 用户标识和鉴定 存取控制 视图 审计 密码存储 4.2.2 用户标识与鉴别 用户标识