數(shù)據(jù)庫安全性練習(xí)題和答案(共8頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上數(shù)據(jù)庫安全性習(xí)題一、選擇題 1. 以下（ ）不屬于實(shí)現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性的主要技術(shù)和方法。 A. 存取控制技術(shù) B. 視圖技術(shù) C. 審計(jì)技術(shù) D. 出入機(jī)房登記和加鎖 2 SQL中的視圖提高了數(shù)據(jù)庫系統(tǒng)的（ ）。 A. 完整性 B. 并發(fā)控制 C. 隔離性 D. 安全性 3 SQL語言的GRANT和REVOKE語句主要是用來維護(hù)數(shù)據(jù)庫的（ ）。 A. 完整性 B. 可靠性 C. 安全性 D. 一致性 4. 在數(shù)據(jù)庫的安全性控制中，授權(quán)的數(shù)據(jù)對(duì)象的（ ），授權(quán)子系統(tǒng)就越靈活。 A. 范圍越小 B. 約束越細(xì)致 C. 范圍越大 D. 約束范圍大 三、簡(jiǎn)答題 1. 什么是數(shù)

2、據(jù)庫的安全性？ 答： 數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。 2. 數(shù)據(jù)庫安全性和計(jì)算機(jī)系統(tǒng)的安全性有什么關(guān)系？ 答： 安全性問題不是數(shù)據(jù)庫系統(tǒng)所獨(dú)有的，所有計(jì)算機(jī)系統(tǒng)都有這個(gè)問題。只是在數(shù)據(jù)庫系統(tǒng)中大量數(shù)據(jù)集中存放，而且為許多最終用戶直接共享，從而使安全性問題更為突出。 系統(tǒng)安全保護(hù)措施是否有效是數(shù)據(jù)庫系統(tǒng)的主要指標(biāo)之一。 數(shù)據(jù)庫的安全性和計(jì)算機(jī)系統(tǒng)的安全性，包括操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的安全性是緊密聯(lián)系、相互支持的， 3.試述實(shí)現(xiàn)數(shù)據(jù)庫安全性控制的常用方法和技術(shù)。 答： 實(shí)現(xiàn)數(shù)據(jù)庫安全性控制的常用方法和技術(shù)有： 1)用(戶標(biāo)識(shí)和鑒別：該方法由系統(tǒng)提供一定的方

3、式讓用戶標(biāo)識(shí)自己的名字或身份。每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)進(jìn)行核對(duì)，通過鑒定后才提供系統(tǒng)的使用權(quán)。 2)存取控制：通過用戶權(quán)限定義和合法權(quán)檢查確保只有合法權(quán)限的用戶訪問數(shù)據(jù)庫，所有未被授權(quán)的人員無法存取數(shù)據(jù)。例如C2級(jí)中的自主存取控制（DAC），B1級(jí)中的強(qiáng)制存取控制（MAC）； 3)視圖機(jī)制：為不同的用戶定義視圖，通過視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無權(quán)存取的用戶隱藏起來，從而自動(dòng)地對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)。 4)審計(jì)：建立審計(jì)日志，把用戶對(duì)數(shù)據(jù)庫的所有操作自動(dòng)記錄下來放入審計(jì)日志中， DBA可以利用審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。 5)

4、數(shù)據(jù)加密：對(duì)存儲(chǔ)和傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理，從而使得不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容。 4.什么是數(shù)據(jù)庫中的自主存取控制方法和強(qiáng)制存取控制方法？ 答： 自主存取控制方法：定義各個(gè)用戶對(duì)不同數(shù)據(jù)對(duì)象的存取權(quán)限。當(dāng)用戶對(duì)數(shù)據(jù)庫訪問時(shí)首先檢查用戶的存取權(quán)限。防止不合法用戶對(duì)數(shù)據(jù)庫的存取。 強(qiáng)制存取控制方法：每一個(gè)數(shù)據(jù)對(duì)象被（強(qiáng)制地）標(biāo)以一定的密級(jí)，每一個(gè)用戶也被（強(qiáng)制地）授予某一個(gè)級(jí)別的許可證。系統(tǒng)規(guī)定只有具有某一許可證級(jí)別的用戶才能存取某一個(gè)密級(jí)的數(shù)據(jù)對(duì)象。 *解析：自主存取控制中自主的含義是：用戶可以將自己擁有的存取權(quán)限“自主”地授予別人。即用戶具有一定的“自主”權(quán)。 5.SQL語言中提供了哪

5、些數(shù)據(jù)控制（自主存取控制）的語句？請(qǐng)?jiān)嚺e幾例說明它們的使用方法。 答： SQL中 的自主存取控制是通過GRANT 語句和 REVOKE 語句來實(shí)現(xiàn)的。如： GRANT SELECT， INSERT ON Student TO 王平 WITH GRANT OPTION； 就將Student表的SELECT和INSERT權(quán)限授予了用戶王平，后面的“WITH GRANT OPTION”子句表示用戶王平同時(shí)也獲得了“授權(quán)”的權(quán)限，即可以把得到的權(quán)限繼續(xù)授予其他用戶。 REVOKE INSERT ON Student FROM 王平 CASCADE； 就將Student表 的INSERT權(quán)限從用戶王平處

6、收回，選項(xiàng) CASCADE 表示，如果用戶王平將 Student 的 INSERT 權(quán)限又轉(zhuǎn)授給了其他用戶，那么這些權(quán)限也將從其他用戶處收回。 6.今有兩個(gè)關(guān)系模式： 職工（職工號(hào)，姓名，年齡，職務(wù)，工資，部門號(hào)） 部門（部門號(hào)，名稱，經(jīng)理名，地址，電話號(hào)） 請(qǐng)用SQL的GRANT和REVOKE語句（加上視圖機(jī)制）完成以下授權(quán)定義或存取控制功能： (a) 用戶王明對(duì)兩個(gè)表有SELECT權(quán)力； GRANT SELECT ON 職工，部門 TO 王明； (b) 用戶李勇對(duì)兩個(gè)表有INSERT和DELETE權(quán)力； GRANT INSERT，DELETE ON 職工，部門 TO 李勇； (c) *每個(gè)

7、職工只對(duì)自己的記錄有SELECT權(quán)力； GRANT SELECT ON 職工 WHEN USER（）= NAME TO ALL； 這里假定系統(tǒng)的GRANT語句支持WHEN子句和USER（）的使用。用戶將自己的名字作為ID。注意，不同的系統(tǒng)這些擴(kuò)展語句可能是不同的。讀者應(yīng)該了解你使用的DBMS產(chǎn)品的擴(kuò)展語句。 (d) 用戶劉星對(duì)職工表有SELECT權(quán)力，對(duì)工資字段具有更新權(quán)力； GRANT SELECT，UPDATE（工資） ON 職工 TO 劉星； (e) 用戶張新具有修改這兩個(gè)表的結(jié)構(gòu)的權(quán)力； GRANT ALTER TABLE ON 職工，部門 TO 張新； (f) 用戶周平具有對(duì)兩個(gè)表所

8、有權(quán)力(讀，插，改，刪數(shù)據(jù))，并具有給其他用戶授權(quán)的權(quán)力； GRANT ALL PRIVILIGES ON 職工，部門 TO 周平 WITH GRANT OPTION； (g) 用戶楊蘭具有從每個(gè)部門職工中SELECT最高工資，最低工資，平均工資的權(quán)力，他不能查看每個(gè)人的工資。 答： 首先建立一個(gè)視圖。然后對(duì)這個(gè)視圖定義楊蘭的存取權(quán)限。 CREATE VIEW 部門工資 AS SELECT 部門.名稱，MAX（工資），MIN（工資），AVG（工資） FROM 職工，部門 WHERE 職工.部門號(hào) = 部門. 部門號(hào) GROUP BY 職工.部門號(hào)； GRANT SELECT ON 部門工資 T

9、O 楊蘭； 7.把習(xí)題8中(a)(g) 的每一種情況，撤銷各用戶所授予的權(quán)力。 答： (a) REVOKE SELECT ON 職工，部門 FROM 王明； (b) REVOKE INSERT，DELETE ON 職工，部門 FROM 李勇； (c) REOVKE SELECT ON 職工 WHEN USER（）= NAME FROM ALL； 這里假定用戶將自己的名字作為ID，且系統(tǒng)的REOVKE語句支持WHEN子句，系統(tǒng)也支持USER（）的使用。 (d) REVOKE SELECT，UPDATE ON 職工 FROM 劉星； (e) REVOKE ALTER TABLE ON 職工，部門

10、FROM 張新； (f) REVOKE ALL PRIVILIGES ON 職工，部門 FROM 周平； (g) REVOKE SELECT ON 部門工資 FROM 楊蘭； DROP VIEW 部門工資； 8.為什么強(qiáng)制存取控制提供了更高級(jí)別的數(shù)據(jù)庫安全性？ 答： 強(qiáng)制存取控制（MAC）是對(duì)數(shù)據(jù)本身進(jìn)行密級(jí)標(biāo)記，無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個(gè)不可分的整體，只有符合密級(jí)標(biāo)記要求的用戶才可以操縱數(shù)據(jù)，從而提供了更高級(jí)別的安全性。 9.理解并解釋MAC機(jī)制中主體、客體、敏感度標(biāo)記的含義。 答： 主體是系統(tǒng)中的活動(dòng)實(shí)體，既包括DBMS所管理的實(shí)際用戶，也包括代表用戶的各進(jìn)程。 客體是系統(tǒng)中的被動(dòng)

11、實(shí)體，是受主體操縱的，包括文件、基表、索引、視圖等。 對(duì)于主體和客體，DBMS為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（Label）。敏感度標(biāo)記被分成若干級(jí)別，例如絕密（Top Secret）、機(jī)密（Secret）、可信（Confidential）、公開（Public）等。主體的敏感度標(biāo)記稱為許可證級(jí)別（Clearance Level），客體的敏感度標(biāo)記稱為密級(jí)（Classification Level）。 10.什么是數(shù)據(jù)庫的審計(jì)功能，為什么要提供審計(jì)功能？ 答： 審計(jì)功能是指DBMS的審計(jì)模塊在用戶對(duì)數(shù)據(jù)庫執(zhí)行操作的同時(shí)把所有操作自動(dòng)記錄到系統(tǒng)的審計(jì)日志中。 因?yàn)槿魏蜗到y(tǒng)的安全保護(hù)措施都不是完美無缺的，蓄意盜竊破壞數(shù)據(jù)的人總可能存在。利用數(shù)據(jù)庫的審計(jì)功能，DBA可以根據(jù)審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致