數(shù)據(jù)庫(kù)原理與技術(shù)第四章new

1、第四章第四章 數(shù)據(jù)庫(kù)的安全性與完整性數(shù)據(jù)庫(kù)的安全性與完整性計(jì)算機(jī)系統(tǒng)的安全性v計(jì)算機(jī)系統(tǒng)的安全性是指為計(jì)算機(jī)系統(tǒng)建立和采計(jì)算機(jī)系統(tǒng)的安全性是指為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件和數(shù)據(jù)，防止其因偶然或惡意的原因硬件、軟件和數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄漏等。使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄漏等。計(jì)算機(jī)系統(tǒng)安全問(wèn)題的分類(lèi)v技術(shù)安全類(lèi)技術(shù)安全類(lèi) 技術(shù)安全是指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計(jì)算機(jī)受到有意的或無(wú)意的攻擊時(shí)仍能保證系統(tǒng)的正常

2、運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。v管理安全類(lèi)管理安全類(lèi) 技術(shù)安全之外的，諸如軟硬件意外故障、場(chǎng)地的意外事故、管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問(wèn)題視為管理安全。v政策法律類(lèi)政策法律類(lèi) 指政府部門(mén)建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令。可信計(jì)算機(jī)評(píng)測(cè)標(biāo)準(zhǔn)v1985年，美國(guó)國(guó)防部制定了可信計(jì)算機(jī)評(píng)估標(biāo)年，美國(guó)國(guó)防部制定了可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)準(zhǔn)TCSEC（Trusted Computer System Evaluation Criteria)。1991年年4月，美國(guó)國(guó)月，美國(guó)國(guó)家計(jì)算機(jī)安全中心家計(jì)算機(jī)安全中心NCSC發(fā)布發(fā)布可信計(jì)算機(jī)系統(tǒng)可

3、信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)關(guān)于數(shù)據(jù)庫(kù)系統(tǒng)的解釋評(píng)估標(biāo)準(zhǔn)關(guān)于數(shù)據(jù)庫(kù)系統(tǒng)的解釋TDI（Trusted Database Interpretation）,將將TCSEC擴(kuò)展擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng)。它們從安全策略、責(zé)任、保到數(shù)據(jù)庫(kù)管理系統(tǒng)。它們從安全策略、責(zé)任、保證、文檔四個(gè)方面描述了安全級(jí)別劃分的指標(biāo)。證、文檔四個(gè)方面描述了安全級(jí)別劃分的指標(biāo)。可信計(jì)算機(jī)評(píng)測(cè)標(biāo)準(zhǔn)（續(xù)I）安全級(jí)別安全級(jí)別定定 義義A1驗(yàn)證設(shè)計(jì)（驗(yàn)證設(shè)計(jì)（Verified Design）B3安全域（安全域（Security Domain）B2結(jié)構(gòu)化保護(hù)（結(jié)構(gòu)化保護(hù)（Structural Protection）B1標(biāo)記安全保護(hù)（標(biāo)記安全保護(hù)（La

4、beled Security Protection）C2受控存取保護(hù)（受控存取保護(hù)（Controlled Access Protection）C1自主安全保護(hù)（自主安全保護(hù)（Discretionary Security Protection）D最小保護(hù)（最小保護(hù)（Minimal Protection）對(duì)數(shù)據(jù)庫(kù)的安全威脅v原則上，凡是造成對(duì)數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)數(shù)據(jù)的非授權(quán)原則上，凡是造成對(duì)數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)數(shù)據(jù)的非授權(quán)訪問(wèn)訪問(wèn)讀取，或非授權(quán)的寫(xiě)入讀取，或非授權(quán)的寫(xiě)入增加、刪除、修改增加、刪除、修改等，都屬于對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)安全造成了威脅或破等，都屬于對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)安全造成了威脅或破壞。另一方面，凡是影響授權(quán)用戶

5、以正常方式使壞。另一方面，凡是影響授權(quán)用戶以正常方式使用數(shù)據(jù)庫(kù)系統(tǒng)的數(shù)據(jù)服務(wù)的，也稱(chēng)之為造成侵犯，用數(shù)據(jù)庫(kù)系統(tǒng)的數(shù)據(jù)服務(wù)的，也稱(chēng)之為造成侵犯，對(duì)數(shù)據(jù)庫(kù)的安全形成了威脅或破壞。對(duì)數(shù)據(jù)庫(kù)的安全形成了威脅或破壞。對(duì)數(shù)據(jù)庫(kù)的安全威脅的分類(lèi)v偶然地、無(wú)意地接觸或修改偶然地、無(wú)意地接觸或修改DBMS管理下的數(shù)據(jù)管理下的數(shù)據(jù) 自然的或意外的事故 硬件或軟件的故障/錯(cuò)誤導(dǎo)致數(shù)據(jù)丟失 人為的失誤，如錯(cuò)誤的輸入和應(yīng)用系統(tǒng)的不正常使用。對(duì)數(shù)據(jù)庫(kù)的安全威脅的分類(lèi)（I）v蓄意的侵犯和敵意的攻擊蓄意的侵犯和敵意的攻擊 授權(quán)用戶可能濫用其權(quán)力 信息的非正常擴(kuò)散-泄密 由授權(quán)讀取的數(shù)據(jù)推論出不應(yīng)訪問(wèn)的數(shù)據(jù) 對(duì)信息的非正常修改

6、 敵對(duì)方的攻擊，內(nèi)部的或外部的非授權(quán)用戶從不同渠道進(jìn)行攻擊。 敵對(duì)方對(duì)軟件和硬件的蠻力破壞 繞過(guò)DBMS直接對(duì)數(shù)據(jù)進(jìn)行讀寫(xiě) 病毒、特洛伊木馬、天窗 通過(guò)各種途徑干擾DBMS的正常工作狀態(tài)，使之在正當(dāng)用戶提出數(shù)據(jù)請(qǐng)求時(shí)，不能正常提供服務(wù)。數(shù)據(jù)庫(kù)的安全性v數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)以防止不合法的數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用所造成的數(shù)據(jù)泄漏、更改和破壞。它包括兩使用所造成的數(shù)據(jù)泄漏、更改和破壞。它包括兩個(gè)方面的含義：個(gè)方面的含義： 向授權(quán)用戶提供可靠的信息服務(wù)。 同時(shí)，拒絕非授權(quán)的對(duì)數(shù)據(jù)的存取訪問(wèn)請(qǐng)求，保證數(shù)據(jù)庫(kù)管理下的數(shù)據(jù)的可用性、完整性和一致性，進(jìn)而保護(hù)數(shù)據(jù)庫(kù)所有者和使用者的

7、合法權(quán)益。數(shù)據(jù)庫(kù)安全性控制管理、技術(shù)、操作 多個(gè)方面物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用 多個(gè)層次設(shè)計(jì)、構(gòu)建、運(yùn)行、維護(hù) 整個(gè)周期安全數(shù)據(jù)庫(kù)安全性控制v數(shù)據(jù)庫(kù)安全控制涉及多個(gè)方面，它可分為內(nèi)部安數(shù)據(jù)庫(kù)安全控制涉及多個(gè)方面，它可分為內(nèi)部安全控制和外部安全控制。全控制和外部安全控制。 內(nèi)部安全控制由計(jì)算機(jī)系統(tǒng)的軟硬件實(shí)現(xiàn)。它必須與管理系統(tǒng)物理存取的適當(dāng)?shù)耐獠堪踩刂葡嗯浜稀?外部安全控制解決內(nèi)部安全控制不能解決的問(wèn)題外部安全控制v實(shí)體安全控制實(shí)體安全控制 劃定安全區(qū)域，設(shè)置安全屏障和建立安全控制 評(píng)估安全風(fēng)險(xiǎn)，將涉密設(shè)備和材料放置在不同的安全區(qū)域v人員、組織安全控制人員、組織安全控制 建立安全管理機(jī)構(gòu)和相應(yīng)安全

8、評(píng)估、管理制度 明確組織間的訪問(wèn)安全關(guān)系 明確組織內(nèi)的安全角色和責(zé)任 建立人員聘用和考察制度，通過(guò)合同條款和保密協(xié)議，明確每個(gè)人的安全保密責(zé)任 建立責(zé)任追究制度外部安全控制v過(guò)程安全控制過(guò)程安全控制 確定業(yè)務(wù)操作過(guò)程的安全需求 制訂訪問(wèn)控制規(guī)則，并明確個(gè)人用戶（或組用戶）的權(quán)限 建立訪問(wèn)管理制度，確定用戶、特權(quán)、密碼等的管理措施和操作過(guò)程規(guī)定 明確用戶在密碼使用和設(shè)備安全等方面的責(zé)任 建立監(jiān)測(cè)和審查制度 建立安全事故管理制度數(shù)據(jù)庫(kù)安全性控制v數(shù)據(jù)庫(kù)系統(tǒng)的安全保護(hù)是由多個(gè)層次的構(gòu)成的。數(shù)據(jù)庫(kù)系統(tǒng)的安全保護(hù)是由多個(gè)層次的構(gòu)成的。本章只涉及由數(shù)據(jù)庫(kù)本身提供的安全機(jī)制。本章只涉及由數(shù)據(jù)庫(kù)本身提供的安全

9、機(jī)制。DBMSOSDB用戶標(biāo)識(shí)和鑒別網(wǎng)絡(luò)系統(tǒng)安全保護(hù)存取控制操作系統(tǒng)安全保護(hù)數(shù)據(jù)加密用戶標(biāo)識(shí)與鑒別v用戶標(biāo)識(shí)和鑒別是系統(tǒng)提供的最外層安全保護(hù)措用戶標(biāo)識(shí)和鑒別是系統(tǒng)提供的最外層安全保護(hù)措施。標(biāo)識(shí)是指系統(tǒng)采用一定的方式標(biāo)識(shí)其用戶或施。標(biāo)識(shí)是指系統(tǒng)采用一定的方式標(biāo)識(shí)其用戶或應(yīng)用程序的名字或身份。鑒別是指系統(tǒng)在用戶或應(yīng)用程序的名字或身份。鑒別是指系統(tǒng)在用戶或應(yīng)用程序登錄時(shí)判斷其是否為合法的授權(quán)用戶。應(yīng)用程序登錄時(shí)判斷其是否為合法的授權(quán)用戶。應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、DBMS都可以都可以進(jìn)行用戶標(biāo)識(shí)和鑒別，通常的做法是采用用戶名進(jìn)行用戶標(biāo)識(shí)和鑒別，通常的做法是采用用戶名

10、和口令。和口令。存取控制v存取控制確保合法用戶按照指定的權(quán)限使用存取控制確保合法用戶按照指定的權(quán)限使用DBMS和訪問(wèn)數(shù)據(jù)，而非法用戶或不具有相關(guān)權(quán)和訪問(wèn)數(shù)據(jù)，而非法用戶或不具有相關(guān)權(quán)限的用戶則不能。限的用戶則不能。v存取控制機(jī)制主要包括兩個(gè)部分：存取控制機(jī)制主要包括兩個(gè)部分： 定義用戶權(quán)限，并將用戶權(quán)限記錄到數(shù)據(jù)字典中，形成安全規(guī)則或授權(quán)規(guī)則。其中，用戶權(quán)限是指不同的用戶對(duì)于不同的數(shù)據(jù)對(duì)象允許執(zhí)行的操作權(quán)限。 合法權(quán)限檢查，每當(dāng)用戶發(fā)出數(shù)據(jù)庫(kù)操作請(qǐng)求后，DBMS根據(jù)數(shù)據(jù)字典中的安全規(guī)則進(jìn)行合法權(quán)限檢查，決定是否接受用戶的操作請(qǐng)求。 用戶權(quán)限定義和合法權(quán)限檢查機(jī)制一起組成了DBMS的安全子系統(tǒng)。

11、DAC與MACv存取控制可以分為：存取控制可以分為： 自主存取控制(discretionary access control，簡(jiǎn)稱(chēng)DAC)。用戶對(duì)于不同的數(shù)據(jù)對(duì)象擁有不同的存取權(quán)限，不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限，而且用戶還可以將其擁有的權(quán)限轉(zhuǎn)授給其他用戶。 強(qiáng)制存取控制(mandatory access control，簡(jiǎn)稱(chēng)MAC)。每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的密級(jí)，每一個(gè)用戶也被授予某一個(gè)級(jí)別的許可證。對(duì)于任一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取。自主存取控制方法v用戶權(quán)限由兩個(gè)要素組成，數(shù)據(jù)對(duì)象和操作類(lèi)用戶權(quán)限由兩個(gè)要素組成，數(shù)據(jù)對(duì)象和操作類(lèi)型。定義一個(gè)用戶的存取權(quán)限就是要定義這

12、個(gè)型。定義一個(gè)用戶的存取權(quán)限就是要定義這個(gè)用戶可以在哪些數(shù)據(jù)對(duì)象上進(jìn)行哪些類(lèi)型的操用戶可以在哪些數(shù)據(jù)對(duì)象上進(jìn)行哪些類(lèi)型的操作，在數(shù)據(jù)庫(kù)系統(tǒng)中稱(chēng)之為授權(quán)。作，在數(shù)據(jù)庫(kù)系統(tǒng)中稱(chēng)之為授權(quán)。數(shù)據(jù)對(duì)象數(shù)據(jù)對(duì)象操作類(lèi)型操作類(lèi)型數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)模式模式基本表基本表視圖視圖索引索引建立、修改、檢索建立、修改、檢索建立、修改、檢索建立、修改、檢索建立、修改、檢索建立、修改、檢索建立、刪除建立、刪除數(shù)據(jù)數(shù)據(jù)表或視圖表或視圖屬性列屬性列查找、插入、刪除、修改查找、插入、刪除、修改查找、插入、刪除、修改查找、插入、刪除、修改SQL的數(shù)據(jù)控制v當(dāng)數(shù)據(jù)庫(kù)管理員建立了一個(gè)新用戶之后當(dāng)數(shù)據(jù)庫(kù)管理員建立了一個(gè)新用戶之后,必須授予必

13、須授予它一定的權(quán)限它一定的權(quán)限,該用戶才能使用數(shù)據(jù)庫(kù)。在數(shù)據(jù)庫(kù)該用戶才能使用數(shù)據(jù)庫(kù)。在數(shù)據(jù)庫(kù)系統(tǒng)中可以授予用戶兩類(lèi)權(quán)限：系統(tǒng)中可以授予用戶兩類(lèi)權(quán)限： 用戶級(jí)權(quán)限 用戶級(jí)權(quán)限是數(shù)據(jù)庫(kù)管理員為每個(gè)用戶授予的特定權(quán)限。這種權(quán)限與整個(gè)數(shù)據(jù)庫(kù)相關(guān)，與數(shù)據(jù)庫(kù)中具體的關(guān)系無(wú)關(guān)。這種權(quán)限是對(duì)用戶使用整個(gè)數(shù)據(jù)庫(kù)的權(quán)限的限定。 關(guān)系級(jí)權(quán)限 關(guān)系級(jí)權(quán)限是數(shù)據(jù)庫(kù)管理員或數(shù)據(jù)庫(kù)對(duì)象的擁有者為用戶授予的與關(guān)系或視圖有關(guān)的權(quán)限。這種權(quán)限是對(duì)用戶使用關(guān)系和視圖的權(quán)限的限定。角色與用戶組v為了管理數(shù)據(jù)庫(kù)特權(quán)的方便，數(shù)據(jù)庫(kù)還支持角色為了管理數(shù)據(jù)庫(kù)特權(quán)的方便，數(shù)據(jù)庫(kù)還支持角色和用戶組的概念。和用戶組的概念。 角色是一組權(quán)限的集合，

14、可以把它授予用戶或其他角色。當(dāng)把某個(gè)角色授予用戶（或角色）或從用戶（或角色）處收回時(shí)，就同時(shí)授予或收回了該角色代表的全部權(quán)限。 用戶組是一組具有相同特性用戶的集合。在授權(quán)或收回權(quán)限時(shí)，可以以用戶組為單位進(jìn)行。用戶級(jí)權(quán)限與角色的授予與收回v在SQL語(yǔ)言中，通過(guò)Grant語(yǔ)句為用戶授予用戶級(jí)權(quán)限或角色，其語(yǔ)法格式為：Grant | ,| To |public ,| With Grant Optionv其中，public指數(shù)據(jù)庫(kù)中的全部用戶。With Grant Option則允許被授權(quán)的用戶將指定的用戶級(jí)權(quán)限或角色授予其他用戶。用戶級(jí)權(quán)限與角色的授予與收回v為用戶授予用戶級(jí)權(quán)限為用戶授予用戶級(jí)權(quán)限

15、 Grant Create Session to SCOTT;v為用戶授予角色為用戶授予角色 Grant Connect to SCOTT;v將權(quán)限授予角色將權(quán)限授予角色 Grant Create table to Student_role;v將角色授予角色將角色授予角色 Grant Resource to Student_role;v將角色授予用戶組將角色授予用戶組 Grant Student_role to PUBLIC;Oracle默認(rèn)的角色北京航空航天大學(xué)軟件開(kāi)發(fā)環(huán)境重點(diǎn)實(shí)驗(yàn)室擁有的權(quán)限擁有的權(quán)限操作操作Create UserCreate SchemaCreate Table登錄數(shù)據(jù)庫(kù)

16、，執(zhí)行查詢(xún)和更新DBARESOURCECONNECT需要授權(quán)才可以執(zhí)行用戶級(jí)權(quán)限與角色的授予與收回v當(dāng)要取消一個(gè)用戶或角色的權(quán)限時(shí)，可以使用REVOKE語(yǔ)句將其收回：Revoke | ,| From |public ,|v例：取消用戶例：取消用戶SCOTTSCOTT的的Create TableCreate Table權(quán)限。權(quán)限。 Revoke Create Table From SCOTT;授權(quán)管理v多重授權(quán)多重授權(quán)v循環(huán)授權(quán)循環(huán)授權(quán)北京航空航天大學(xué)軟件開(kāi)發(fā)環(huán)境重點(diǎn)實(shí)驗(yàn)室U1U2U3U1U2U3x關(guān)系級(jí)權(quán)限的授予與收回v每一個(gè)用戶都擁有自己定義的數(shù)據(jù)庫(kù)對(duì)象如（基本表、視圖等），除了他自己和擁有

17、DBA權(quán)限的用戶以外，其他用戶都不能訪問(wèn)這些數(shù)據(jù)庫(kù)對(duì)象。如果想和其他用戶共享其中一部分?jǐn)?shù)據(jù)庫(kù)對(duì)象，就必須將這些數(shù)據(jù)庫(kù)對(duì)象上的部分或全部權(quán)限授予其他用戶。其語(yǔ)法格式為：v Grant ALL| , On | , | To , | public With Grant Option關(guān)系級(jí)權(quán)限的授予與收回v授予用戶Liming在Student表上的Select和Insert權(quán)限。 Grant Select , Update On Student To Liming With Grant Option;vLiming授予用戶SCOTT在Student表的Sno列上的Update權(quán)限。 Grant Upd

18、ate(Sno) On Student To SCOTT;v將Student表上的全部權(quán)限授予全體用戶。 Grant ALL On Student To PUBLIC;關(guān)系級(jí)權(quán)限的授予與收回v回收權(quán)限回收權(quán)限 Revoke ALL| , On | , | From ,|PUBLIC 例：收回Liming對(duì)Student表的全部權(quán)限Revoke ALL On Student From Liming; 收回權(quán)限時(shí)，若該用戶已將權(quán)限授予其它用戶，則也一并收回。用戶權(quán)限定義表用戶名用戶名數(shù)據(jù)對(duì)象名數(shù)據(jù)對(duì)象名允許的操作類(lèi)型允許的操作類(lèi)型王平王平關(guān)系關(guān)系StudentSELECT張明霞張明霞關(guān)系關(guān)系Stu

19、dentUPDATE張明霞張明霞關(guān)系關(guān)系CourseALL張明霞張明霞Sc.GradeUPDATE張明霞張明霞Sc.SnoSELECT張明霞張明霞Sc.CnoSELECT利用視圖實(shí)現(xiàn)安全控制v為不同的用戶定義不同的視圖，可以將用戶對(duì)數(shù)為不同的用戶定義不同的視圖，可以將用戶對(duì)數(shù)據(jù)的訪問(wèn)限制在一定的范圍內(nèi)。據(jù)的訪問(wèn)限制在一定的范圍內(nèi)。v例：限制王平只能檢索例：限制王平只能檢索Student表中計(jì)算機(jī)系學(xué)表中計(jì)算機(jī)系學(xué)生的學(xué)號(hào)和姓名。生的學(xué)號(hào)和姓名。 Create View CS_Student As Select Sno, Sname From Student Where Sdept = CS;

20、Grant Select On CS_Student To Wangping;強(qiáng)制存取方法v主體主體 是系統(tǒng)中的活動(dòng)實(shí)體，既包括是系統(tǒng)中的活動(dòng)實(shí)體，既包括DBMS所所管理的實(shí)際用戶，也包括代表用戶的各進(jìn)程。管理的實(shí)際用戶，也包括代表用戶的各進(jìn)程。v客體客體 是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的，是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的，包括文件、基本表、索引、視圖等包括文件、基本表、索引、視圖等v對(duì)于主體和客體，對(duì)于主體和客體，DBMS為他們每個(gè)實(shí)例（值）為他們每個(gè)實(shí)例（值）指定一個(gè)敏感度標(biāo)記。敏感度表被分為若干級(jí)指定一個(gè)敏感度標(biāo)記。敏感度表被分為若干級(jí)別，如絕密、機(jī)密、可信、公開(kāi)等。主體的敏別，如絕

21、密、機(jī)密、可信、公開(kāi)等。主體的敏感度標(biāo)記稱(chēng)為許可證級(jí)別，客體的敏感度標(biāo)記感度標(biāo)記稱(chēng)為許可證級(jí)別，客體的敏感度標(biāo)記稱(chēng)為密級(jí)。稱(chēng)為密級(jí)。強(qiáng)制存取方法v當(dāng)某一主體以某一許可證級(jí)別注冊(cè)入系統(tǒng)時(shí)，系當(dāng)某一主體以某一許可證級(jí)別注冊(cè)入系統(tǒng)時(shí)，系統(tǒng)要求他對(duì)任何客體的存取必須遵循如下規(guī)則：統(tǒng)要求他對(duì)任何客體的存取必須遵循如下規(guī)則： 僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體； 僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí)，該主體才能寫(xiě)相應(yīng)的客體；審計(jì)和數(shù)據(jù)加密v審計(jì)功能把用戶對(duì)數(shù)據(jù)庫(kù)的所有操作都自動(dòng)記錄審計(jì)功能把用戶對(duì)數(shù)據(jù)庫(kù)的所有操作都自動(dòng)記錄下來(lái)放入審計(jì)日志中。下來(lái)放入審計(jì)日志中。DBA可以

22、利用審計(jì)跟蹤的可以利用審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫(kù)現(xiàn)有狀況的一系列事件，信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫(kù)現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。v數(shù)據(jù)加密數(shù)據(jù)加密 是防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)和傳輸中失是防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段。加密的基本思想是根據(jù)一定的算密的有效手段。加密的基本思想是根據(jù)一定的算法將原始數(shù)據(jù)（明文）變換為不可識(shí)別的格式法將原始數(shù)據(jù)（明文）變換為不可識(shí)別的格式（密文），從而使得不知道解密算法的人無(wú)法獲（密文），從而使得不知道解密算法的人無(wú)法獲知數(shù)據(jù)的內(nèi)容。知數(shù)據(jù)的內(nèi)容。統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性v統(tǒng)計(jì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)分為兩類(lèi)，一

23、類(lèi)是微數(shù)據(jù)描統(tǒng)計(jì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)分為兩類(lèi)，一類(lèi)是微數(shù)據(jù)描述現(xiàn)實(shí)世界的實(shí)體、概念或事件的數(shù)據(jù)；另一類(lèi)述現(xiàn)實(shí)世界的實(shí)體、概念或事件的數(shù)據(jù)；另一類(lèi)是統(tǒng)計(jì)或綜合數(shù)據(jù)，是對(duì)微數(shù)據(jù)進(jìn)行綜合處理而是統(tǒng)計(jì)或綜合數(shù)據(jù)，是對(duì)微數(shù)據(jù)進(jìn)行綜合處理而得到的結(jié)果數(shù)據(jù)。統(tǒng)計(jì)數(shù)據(jù)庫(kù)只為用戶提供統(tǒng)計(jì)得到的結(jié)果數(shù)據(jù)。統(tǒng)計(jì)數(shù)據(jù)庫(kù)只為用戶提供統(tǒng)計(jì)數(shù)據(jù)，不允許用戶訪問(wèn)微數(shù)據(jù)。但微數(shù)據(jù)有時(shí)可數(shù)據(jù)，不允許用戶訪問(wèn)微數(shù)據(jù)。但微數(shù)據(jù)有時(shí)可以通過(guò)一組統(tǒng)計(jì)數(shù)據(jù)推導(dǎo)出來(lái)。統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全以通過(guò)一組統(tǒng)計(jì)數(shù)據(jù)推導(dǎo)出來(lái)。統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性的目的就是防止用戶訪問(wèn)或推導(dǎo)出統(tǒng)計(jì)數(shù)據(jù)庫(kù)性的目的就是防止用戶訪問(wèn)或推導(dǎo)出統(tǒng)計(jì)數(shù)據(jù)庫(kù)的微數(shù)據(jù)。的微數(shù)據(jù)。統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性v例：

24、例： 關(guān)系PERSON(NAME, SSN, INCOME, ADDRESS, CITY, STATE, ZIP, SEX, LAST_DEGREE)為人口統(tǒng)計(jì)數(shù)據(jù)庫(kù)中的一個(gè)關(guān)系。 假設(shè)已知王蘭獲博士學(xué)位，居住在黑龍江省哈爾濱市，現(xiàn)要查詢(xún)其收入，首先執(zhí)行： SELECT COUNT(*) FROM PERSON WHERE LAST_DEGREE = PH.D AND SEX = F AND CITY = 哈爾濱 AND STATE = 黑龍江;統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性 若返回結(jié)果為1，則在執(zhí)行以下查詢(xún)： SELECT AVG(INCOME) FROM PERSON WHERE LAST_DEGREE

25、 = PH.D AND SEX = F AND CITY = 哈爾濱 AND STATE = 黑龍江； 就可獲得王蘭的收入。統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性v為防止用戶推導(dǎo)出統(tǒng)計(jì)數(shù)據(jù)庫(kù)的微數(shù)據(jù)，可以采為防止用戶推導(dǎo)出統(tǒng)計(jì)數(shù)據(jù)庫(kù)的微數(shù)據(jù)，可以采取以下方法：取以下方法： 對(duì)統(tǒng)計(jì)結(jié)果的大小加以控制，將其限制在某一范圍之內(nèi)。這樣可以減小使用統(tǒng)計(jì)查詢(xún)推導(dǎo)微數(shù)據(jù)的可能性。 禁止在相同元組集合上重復(fù)執(zhí)行一系列統(tǒng)計(jì)查詢(xún)。 在統(tǒng)計(jì)查詢(xún)結(jié)果中加入噪聲，為推導(dǎo)微數(shù)據(jù)制造困難。完整性v數(shù)據(jù)庫(kù)的完整性是指數(shù)據(jù)的正確性和相容性。數(shù)據(jù)庫(kù)的完整性是指數(shù)據(jù)的正確性和相容性。其中，正確性是指數(shù)據(jù)應(yīng)具有合法的類(lèi)型，如其中，正確性是指數(shù)據(jù)應(yīng)具有合法

26、的類(lèi)型，如數(shù)值型的字段只能含有數(shù)值型的字段只能含有09，不能包含其它，不能包含其它符號(hào)；更進(jìn)一步，數(shù)據(jù)還應(yīng)在有效的取值范圍符號(hào)；更進(jìn)一步，數(shù)據(jù)還應(yīng)在有效的取值范圍之內(nèi)，如一年最多只有之內(nèi)，如一年最多只有12個(gè)月，不能出現(xiàn)個(gè)月，不能出現(xiàn)13個(gè)月。相容性是指表示同一個(gè)事實(shí)的兩個(gè)數(shù)據(jù)個(gè)月。相容性是指表示同一個(gè)事實(shí)的兩個(gè)數(shù)據(jù)應(yīng)該相同，如一個(gè)人不應(yīng)當(dāng)存在兩個(gè)年齡。數(shù)應(yīng)該相同，如一個(gè)人不應(yīng)當(dāng)存在兩個(gè)年齡。數(shù)據(jù)庫(kù)能否保持完整性關(guān)系到數(shù)據(jù)庫(kù)系統(tǒng)是否能據(jù)庫(kù)能否保持完整性關(guān)系到數(shù)據(jù)庫(kù)系統(tǒng)是否能夠真實(shí)的反映現(xiàn)實(shí)世界，因此維護(hù)數(shù)據(jù)庫(kù)的完夠真實(shí)的反映現(xiàn)實(shí)世界，因此維護(hù)數(shù)據(jù)庫(kù)的完整性十分重要。整性十分重要。完整性與安全性

27、v數(shù)據(jù)庫(kù)的完整性與安全性是兩個(gè)不同的概念。前數(shù)據(jù)庫(kù)的完整性與安全性是兩個(gè)不同的概念。前者是為了防止數(shù)據(jù)庫(kù)中存在不符合語(yǔ)義的數(shù)據(jù)，者是為了防止數(shù)據(jù)庫(kù)中存在不符合語(yǔ)義的數(shù)據(jù)，防止錯(cuò)誤信息的輸入和輸出，即所謂的垃圾進(jìn)垃防止錯(cuò)誤信息的輸入和輸出，即所謂的垃圾進(jìn)垃圾出所造成的無(wú)效操作和錯(cuò)誤結(jié)果。而后者是?；鏊斐傻臒o(wú)效操作和錯(cuò)誤結(jié)果。而后者是保護(hù)數(shù)據(jù)庫(kù)防止惡意的破壞和非法存取。也就是說(shuō)，護(hù)數(shù)據(jù)庫(kù)防止惡意的破壞和非法存取。也就是說(shuō)，安全性防范的是非法用戶和非法操作，完整性措安全性防范的是非法用戶和非法操作，完整性措施的防范對(duì)象是不合語(yǔ)義的數(shù)據(jù)。施的防范對(duì)象是不合語(yǔ)義的數(shù)據(jù)。完整性約束條件v施加在數(shù)據(jù)庫(kù)數(shù)

28、據(jù)之上的語(yǔ)義約束條件稱(chēng)為數(shù)據(jù)施加在數(shù)據(jù)庫(kù)數(shù)據(jù)之上的語(yǔ)義約束條件稱(chēng)為數(shù)據(jù)庫(kù)完整性約束條件。數(shù)據(jù)庫(kù)系統(tǒng)依據(jù)完整性約束庫(kù)完整性約束條件。數(shù)據(jù)庫(kù)系統(tǒng)依據(jù)完整性約束條件進(jìn)行完整性檢查。條件進(jìn)行完整性檢查。v完整性約束條件作用的對(duì)象可以是關(guān)系、元組、完整性約束條件作用的對(duì)象可以是關(guān)系、元組、列三種。其中列約束主要是列的類(lèi)型、取值范圍、列三種。其中列約束主要是列的類(lèi)型、取值范圍、精度等約束條件。元組的約束是元組中各個(gè)字段精度等約束條件。元組的約束是元組中各個(gè)字段間聯(lián)系的約束。關(guān)系的約束是若干元組間、關(guān)系間聯(lián)系的約束。關(guān)系的約束是若干元組間、關(guān)系集合上以及關(guān)系之間的聯(lián)系的約束。集合上以及關(guān)系之間的聯(lián)系的約束。

29、完整性約束條件v涉及這三類(lèi)對(duì)象的完整性約束又可分為靜態(tài)約涉及這三類(lèi)對(duì)象的完整性約束又可分為靜態(tài)約束和動(dòng)態(tài)約束。束和動(dòng)態(tài)約束。 靜態(tài)約束是指數(shù)據(jù)庫(kù)每一確定狀態(tài)（在某一時(shí)刻數(shù)據(jù)庫(kù)中的所有數(shù)據(jù)實(shí)例構(gòu)成了數(shù)據(jù)庫(kù)的一個(gè)狀態(tài)）時(shí)，數(shù)據(jù)對(duì)象所應(yīng)滿足的約束條件，它是反映數(shù)據(jù)庫(kù)狀態(tài)合理性的約束。 動(dòng)態(tài)約束是指數(shù)據(jù)庫(kù)從一種狀態(tài)轉(zhuǎn)變?yōu)榱硪环N狀態(tài)時(shí)，新、舊值之間所應(yīng)滿足的約束條件，它是反映數(shù)據(jù)庫(kù)狀態(tài)變遷的約束。靜態(tài)約束v固有約束固有約束 指數(shù)據(jù)模型固有的約束，如關(guān)系的屬性應(yīng)當(dāng)是原子的。v隱含約束隱含約束 指隱含于數(shù)據(jù)模式的約束，一般用DDL語(yǔ)句說(shuō)明，并存于數(shù)據(jù)字典中。如實(shí)體完整性約束。v顯式約束顯式約束 指固有約束，

30、隱含約束之外，依賴(lài)于數(shù)據(jù)的語(yǔ)義和應(yīng)用，需要顯式定義的完整性約束。靜態(tài)約束v靜態(tài)列級(jí)約束是對(duì)一個(gè)列的取值域的說(shuō)明，包括：靜態(tài)列級(jí)約束是對(duì)一個(gè)列的取值域的說(shuō)明，包括： 對(duì)數(shù)據(jù)類(lèi)型的約束（包括數(shù)據(jù)的類(lèi)型、長(zhǎng)度、單位、精度等） 如：Sname char（10） 對(duì)數(shù)據(jù)格式的約束 如日期的格式為：YYYY-MM-DD 對(duì)取值范圍或取值集合的約束 如Sex的取值必須為：男或女 對(duì)空值的約束 其他約束靜態(tài)約束v靜態(tài)元組約束規(guī)定了組成一個(gè)元組的各個(gè)列之間靜態(tài)元組約束規(guī)定了組成一個(gè)元組的各個(gè)列之間的約束關(guān)系。的約束關(guān)系。 如：教師關(guān)系中有職稱(chēng)和工資屬性，規(guī)定職稱(chēng)為教授的教師工資不得低于1000元v靜態(tài)關(guān)系約束規(guī)

31、定了一個(gè)關(guān)系的若干元組或者若靜態(tài)關(guān)系約束規(guī)定了一個(gè)關(guān)系的若干元組或者若干關(guān)系之間常常存在的各種聯(lián)系或約束。包括：干關(guān)系之間常常存在的各種聯(lián)系或約束。包括： 實(shí)體完整性約束 參照完整性約束 函數(shù)依賴(lài) 統(tǒng)計(jì)約束動(dòng)態(tài)約束v動(dòng)態(tài)列級(jí)約束是修改列定義或列值時(shí)應(yīng)滿足的約動(dòng)態(tài)列級(jí)約束是修改列定義或列值時(shí)應(yīng)滿足的約束條件，包括：束條件，包括： 修改列定義時(shí)的約束 如不能在包含null的列上定義 not null約束。 修改列值時(shí)的約束 如工資只能增長(zhǎng)，不能降低v動(dòng)態(tài)元組約束指修改元組值時(shí)元組中各個(gè)字段間動(dòng)態(tài)元組約束指修改元組值時(shí)元組中各個(gè)字段間需要滿足的約束。需要滿足的約束。 如規(guī)定調(diào)整后的工資不能低于原工資

32、（1+工齡/20）動(dòng)態(tài)約束v動(dòng)態(tài)關(guān)系約束是加在關(guān)系變化前后狀態(tài)上的限制動(dòng)態(tài)關(guān)系約束是加在關(guān)系變化前后狀態(tài)上的限制條件。條件。 如在工商銀行和建設(shè)銀行的賬戶A和B之間轉(zhuǎn)賬，要求New A + New B = Old A + Old B北京航空航天大學(xué)軟件開(kāi)發(fā)環(huán)境重點(diǎn)實(shí)驗(yàn)室數(shù)據(jù)庫(kù)的完整性控制機(jī)制v為保護(hù)數(shù)據(jù)庫(kù)的完整性，防止錯(cuò)誤的數(shù)據(jù)進(jìn)入數(shù)為保護(hù)數(shù)據(jù)庫(kù)的完整性，防止錯(cuò)誤的數(shù)據(jù)進(jìn)入數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)提供了完整性控制機(jī)制。它包括三據(jù)庫(kù)，數(shù)據(jù)庫(kù)提供了完整性控制機(jī)制。它包括三個(gè)方面的功能：個(gè)方面的功能： 定義功能，提供定義完整性約束條件的機(jī)制。 檢查功能，檢查用戶發(fā)出的操作請(qǐng)求是否違背了完整性約束條件。 違約響應(yīng)，若違背了完整性約束條件，則采取一定措施來(lái)保證數(shù)據(jù)的完整性。完整性檢查的時(shí)機(jī)v立即執(zhí)行約束是指在執(zhí)行用戶事務(wù)的過(guò)程中，立即執(zhí)行約束是指在執(zhí)行用戶事務(wù)的過(guò)程中，在一條語(yǔ)句執(zhí)行完后立即進(jìn)行完整性約束的檢在一條語(yǔ)句執(zhí)行完后立即進(jìn)行完整性約束的檢查。若違背了完整性約束，系統(tǒng)將拒絕該操作。查。若違背了完整性約束，系統(tǒng)將拒絕該操作。v延遲執(zhí)行約束是指在整個(gè)用戶事務(wù)執(zhí)行完畢后，延遲執(zhí)行約束是指在整個(gè)用戶事務(wù)執(zhí)行完畢后，再進(jìn)行完整性約束的檢查，若正確方允許提交再進(jìn)行完整性約束的檢查，若正確方允許提交事務(wù)。若違背了完整性約束，系統(tǒng)將拒絕整個(gè)事務(wù)。若違背了完整性約束，系統(tǒng)