第7章數(shù)據(jù)庫安全性電子教案

1、2017第7章數(shù)據(jù)庫安全性典型的數(shù)據(jù)訪問方式典型的數(shù)據(jù)訪問方式查詢數(shù)據(jù)執(zhí)行C/S結(jié)構(gòu)服務(wù)器客戶執(zhí)行數(shù)據(jù)查詢數(shù)據(jù)庫作為服務(wù)數(shù)據(jù)執(zhí)行查詢依賴于數(shù)據(jù)的方法數(shù)據(jù)庫安全概述數(shù)據(jù)庫安全概述q數(shù)據(jù)庫系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫系數(shù)據(jù)庫系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標(biāo)之一統(tǒng)主要的性能指標(biāo)之一q數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性q指保護(hù)數(shù)據(jù)庫，防止因指保護(hù)數(shù)據(jù)庫，防止因用戶非法用戶非法使用數(shù)據(jù)庫使用數(shù)據(jù)庫所造成的數(shù)據(jù)泄漏、更改或破壞所造成的數(shù)據(jù)泄漏、更改或破壞q數(shù)據(jù)的保密數(shù)據(jù)的保密q指指用戶合法用戶合法地訪問到機密數(shù)據(jù)后能否對這些地訪問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密數(shù)據(jù)保密q通過制訂法律道德

2、準(zhǔn)則和政策法規(guī)來保證通過制訂法律道德準(zhǔn)則和政策法規(guī)來保證非法使用數(shù)據(jù)庫的情況非法使用數(shù)據(jù)庫的情況l用戶編寫一段合法的程序繞過用戶編寫一段合法的程序繞過DBMS及其授權(quán)機制，通及其授權(quán)機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)l直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作l通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù)通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù) 例如：某數(shù)據(jù)庫應(yīng)用系統(tǒng)禁止查詢單個人的工資，但例如：某數(shù)據(jù)庫應(yīng)用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的允許查任意一組人的平均工資

3、。用戶甲想了解張三的工資工資l首先查詢包括張三在內(nèi)的一組人的平均工資首先查詢包括張三在內(nèi)的一組人的平均工資l然后查用自己替換張三后這組人的平均工資然后查用自己替換張三后這組人的平均工資推導(dǎo)出張三的工資推導(dǎo)出張三的工資l破壞安全性的行為可能是無意的，故意的，惡意的破壞安全性的行為可能是無意的，故意的，惡意的數(shù)據(jù)庫系統(tǒng)的安全機制數(shù)據(jù)庫系統(tǒng)的安全機制授權(quán)機制授權(quán)機制約束機制約束機制審計審計觸發(fā)器觸發(fā)器存儲過程存儲過程用戶用戶身份驗證身份驗證操作系統(tǒng)操作系統(tǒng)數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器(RDBMS)視圖視圖計算機系統(tǒng)中的安全模型計算機系統(tǒng)中的安全模型 應(yīng)用應(yīng)用DBMSOS DB 低低 高高安全性控制層次安

4、全性控制層次 方法：方法： 用戶標(biāo)識用戶標(biāo)識和鑒定和鑒定 存取控制存取控制審計審計視圖視圖 操作系統(tǒng)操作系統(tǒng) 安全保護(hù)安全保護(hù) 密碼存儲密碼存儲數(shù)據(jù)庫安全性控制的常用方法數(shù)據(jù)庫安全性控制的常用方法l用戶標(biāo)識和鑒定（用戶標(biāo)識和鑒定（Identification & Authentication ） 系統(tǒng)提供的最外層安全保護(hù)措施系統(tǒng)提供的最外層安全保護(hù)措施l存取控制存取控制 訪問權(quán)限訪問權(quán)限l通過視圖調(diào)整授權(quán)通過視圖調(diào)整授權(quán) 定義可向用戶授權(quán)數(shù)據(jù)庫特定部分的用戶視圖定義可向用戶授權(quán)數(shù)據(jù)庫特定部分的用戶視圖l審計審計 追蹤信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件追蹤信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系

5、列事件l密碼存儲密碼存儲 使用加密技術(shù)保護(hù)機密數(shù)據(jù)使用加密技術(shù)保護(hù)機密數(shù)據(jù)用戶標(biāo)識與鑒定用戶標(biāo)識與鑒定l基本方法基本方法 系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份；系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份； 系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識；系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識； 每次用戶要求進(jìn)入系統(tǒng)時，由系統(tǒng)核對用戶提供的身每次用戶要求進(jìn)入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標(biāo)識；份標(biāo)識； 通過鑒定后才提供機器使用權(quán)。通過鑒定后才提供機器使用權(quán)。 用戶標(biāo)識和鑒定可以重復(fù)多次用戶標(biāo)識和鑒定可以重復(fù)多次用戶標(biāo)識與鑒定用戶標(biāo)識與鑒定l讓用戶標(biāo)識自己的名字或身份的方法讓用戶標(biāo)識自己的名字或身份的方法

6、 用戶名用戶名/口令口令l簡單易行，容易被人竊取簡單易行，容易被人竊取 每個用戶預(yù)先約定好一個每個用戶預(yù)先約定好一個計算過程計算過程或者或者函數(shù)函數(shù)l系統(tǒng)提供一個隨機數(shù)系統(tǒng)提供一個隨機數(shù)l用戶根據(jù)自己預(yù)先約定的計算過程或者函數(shù)進(jìn)行用戶根據(jù)自己預(yù)先約定的計算過程或者函數(shù)進(jìn)行計算計算l系統(tǒng)根據(jù)用戶計算結(jié)果是否正確鑒定用戶身份系統(tǒng)根據(jù)用戶計算結(jié)果是否正確鑒定用戶身份用戶標(biāo)識和鑒定用戶標(biāo)識和鑒定lSQL Server提供兩種不同的方法來驗證用戶進(jìn)入服務(wù)提供兩種不同的方法來驗證用戶進(jìn)入服務(wù)器。用戶可以根據(jù)自己的網(wǎng)絡(luò)配置決定使用其中一種。器。用戶可以根據(jù)自己的網(wǎng)絡(luò)配置決定使用其中一種。 Windows驗證

7、驗證lNT以上以上O.S.：允許：允許SQL Server使用使用O.S.的用戶的用戶名和口令名和口令 SQL Server驗證驗證l用戶傳給服務(wù)器的登錄信息與系統(tǒng)表用戶傳給服務(wù)器的登錄信息與系統(tǒng)表syslogins中的信息進(jìn)行比較。如果兩個口令匹配，中的信息進(jìn)行比較。如果兩個口令匹配，SQL Server允許用戶訪問服務(wù)器。如果不匹配，允許用戶訪問服務(wù)器。如果不匹配，SQL Server不允許訪問，并且用戶會從服務(wù)器上收到不允許訪問，并且用戶會從服務(wù)器上收到一個出錯信息一個出錯信息用戶標(biāo)識和鑒定用戶標(biāo)識和鑒定l服務(wù)器登錄標(biāo)識管理服務(wù)器登錄標(biāo)識管理 sa和和Administrator是系統(tǒng)在安

8、裝時創(chuàng)建的分別用是系統(tǒng)在安裝時創(chuàng)建的分別用于于SQL Server混合驗證模式和混合驗證模式和Windows驗證模式驗證模式的系統(tǒng)登錄名。如果用戶想創(chuàng)建新的登錄名或刪除的系統(tǒng)登錄名。如果用戶想創(chuàng)建新的登錄名或刪除已有的登錄名，可使用下列兩種方法已有的登錄名，可使用下列兩種方法 使用使用SQL Server企業(yè)管理器管理登錄名企業(yè)管理器管理登錄名 使用使用SQL Server系統(tǒng)存儲過程管理登錄名系統(tǒng)存儲過程管理登錄名用戶標(biāo)識和鑒定用戶標(biāo)識和鑒定l數(shù)據(jù)庫用戶管理數(shù)據(jù)庫用戶管理 在在SQL Server中，登錄對象和用戶對象是中，登錄對象和用戶對象是SQL Server進(jìn)行權(quán)限管理的兩種不同的對象

9、。進(jìn)行權(quán)限管理的兩種不同的對象。 登錄對象登錄對象：服務(wù)器方的一個實體，使用一個登錄名可：服務(wù)器方的一個實體，使用一個登錄名可以與服務(wù)器上的所有數(shù)據(jù)庫進(jìn)行交互。以與服務(wù)器上的所有數(shù)據(jù)庫進(jìn)行交互。 用戶對象用戶對象：一個或多個登錄對象在數(shù)據(jù)庫中的映射，：一個或多個登錄對象在數(shù)據(jù)庫中的映射，可以對用戶對象進(jìn)行授權(quán)，以便為登錄對象提供對數(shù)可以對用戶對象進(jìn)行授權(quán)，以便為登錄對象提供對數(shù)據(jù)庫的訪問權(quán)限，一個登錄名可以被授權(quán)訪問多個數(shù)據(jù)庫的訪問權(quán)限，一個登錄名可以被授權(quán)訪問多個數(shù)據(jù)庫，一個登錄名在每個數(shù)據(jù)庫中只能映射一次。據(jù)庫，一個登錄名在每個數(shù)據(jù)庫中只能映射一次。 用戶標(biāo)識和鑒定用戶標(biāo)識和鑒定l數(shù)據(jù)庫用

10、戶管理數(shù)據(jù)庫用戶管理SQL Server可使用下列兩種方法來管理數(shù)據(jù)庫用戶 使用使用SQL Server企業(yè)管理器管理數(shù)據(jù)庫用戶；企業(yè)管理器管理數(shù)據(jù)庫用戶； 使用使用SQL Server系統(tǒng)存儲過程系統(tǒng)存儲過程sp_grantdbaccess管理數(shù)據(jù)庫用戶管理數(shù)據(jù)庫用戶l在在SQL Server中主要有兩種類型的角色中主要有兩種類型的角色 服務(wù)器角色服務(wù)器角色 數(shù)據(jù)庫角色數(shù)據(jù)庫角色存取控制存取控制用戶權(quán)限用戶權(quán)限: 用戶對數(shù)據(jù)庫中的不同用戶對數(shù)據(jù)庫中的不同數(shù)據(jù)對象數(shù)據(jù)對象允許執(zhí)行的允許執(zhí)行的操作權(quán)限操作權(quán)限關(guān)系系統(tǒng)中的存取權(quán)限關(guān)系系統(tǒng)中的存取權(quán)限: 不同的不同的DBMS具體具體實現(xiàn)方法是存在一

11、些差別的實現(xiàn)方法是存在一些差別的數(shù)據(jù)本身數(shù)據(jù)本身: 表、屬性列表、屬性列外模式外模式, 模式模式, 內(nèi)模式內(nèi)模式不同類型的數(shù)不同類型的數(shù)據(jù)對象有不同據(jù)對象有不同的操作權(quán)力的操作權(quán)力DBMS的的存取控制存取控制SQL:GrantRevoke數(shù)據(jù)字典數(shù)據(jù)字典數(shù)據(jù)庫數(shù)據(jù)庫DBMS 用戶、DBA用戶SQL:查詢l任意控制（DAC）l強制控制（MAC）SQL語法分析 語義檢查DAC檢查檢查MAC檢查檢查繼續(xù)安全檢查q存取控制機制包括存取控制機制包括: 定義用戶權(quán)限定義用戶權(quán)限, 該定義被存放到數(shù)據(jù)字典中該定義被存放到數(shù)據(jù)字典中合法權(quán)限檢查合法權(quán)限檢查, 根據(jù)數(shù)據(jù)字典檢查用戶權(quán)限根據(jù)數(shù)據(jù)字典檢查用戶權(quán)限定

12、義存儲權(quán)限檢查存儲權(quán)限存取控制存取控制 授權(quán)授權(quán)(Authorization)q誰定義？誰定義？DBA是表的建立者（即表的屬主）是表的建立者（即表的屬主）q如何定義？如何定義？ SQL語句：語句：GRANT -將對指定將對指定操作對象操作對象的指定的指定操作權(quán)限操作權(quán)限授予指定的授予指定的用戶用戶REVOKE -從指定從指定用戶用戶那里收回對指定那里收回對指定對象對象的指定的指定權(quán)限權(quán)限存取控制存取控制 授權(quán)授權(quán)qGRANT語句的一般格式語句的一般格式: grant , on to , with grant option;q例子例子: 把查詢把查詢Students表的權(quán)限授給用戶表的權(quán)限授給用

13、戶wang grant select on table Students to wang;q例子例子: 把對把對Students和和SC表的所有訪問權(quán)限授給全部用戶表的所有訪問權(quán)限授給全部用戶 grant all priviliges on table Students, SC to public;qDBA把在數(shù)據(jù)庫把在數(shù)據(jù)庫SC中建立表的權(quán)限授予用戶中建立表的權(quán)限授予用戶zhao grant createtab on database SC to zhao;存取控制存取控制 授權(quán)授權(quán)qwith grant option子句子句 例子例子: 把對表把對表SC的查詢權(quán)限、修改成績權(quán)限授給的查詢權(quán)

14、限、修改成績權(quán)限授給wang和和zhang, 并允許并允許wang和和zhang將該權(quán)限授予他人將該權(quán)限授予他人 grant select, update(Grade) on table SC to wang, zhang with grant option;qDBA、對象的建立者和經(jīng)過、對象的建立者和經(jīng)過with grant option授權(quán)的用戶授權(quán)的用戶可以把他們對該對象具有的操作權(quán)限授予其它的合法用戶可以把他們對該對象具有的操作權(quán)限授予其它的合法用戶USER1USER2USER3USER4操作權(quán)限操作權(quán)限 對象對象類型操 作 權(quán) 限 屬性列TABLESELECT,INSERT,UPDA

15、TEDELETE,ALL PRIVIEGES 視圖TABLESELECT,INSERT,UPDATEDELETE,ALL PRIVIEGES 基本表TABLESELECT,INSERT,UPDATEDELETE,ALTER, INDEX,ALL PRIVIEGES 數(shù)據(jù)庫DATABASECREATETAB用戶權(quán)限用戶權(quán)限l建表（建表（CREATETABCREATETAB）的權(quán)限）的權(quán)限: :屬于屬于DBADBAlDBADBA授予授予-普通用戶普通用戶l基本表或視圖的屬主擁有對該表或視圖的一切操作權(quán)限基本表或視圖的屬主擁有對該表或視圖的一切操作權(quán)限l接受權(quán)限的用戶接受權(quán)限的用戶一個或多個具體用戶

16、一個或多個具體用戶PUBLICPUBLIC（全體用戶）（全體用戶）存取控制存取控制 授權(quán)回收授權(quán)回收l授出的權(quán)限可以由授出的權(quán)限可以由DBA或其他的授權(quán)者收回或其他的授權(quán)者收回 revoke , on from , q例子例子: 把用戶把用戶wang和和zhang修改成績的權(quán)限收回修改成績的權(quán)限收回 revoke update(Grade) on table SC from wang, zhang;q例子例子: 收回所有用戶對收回所有用戶對SC表的查詢授權(quán)表的查詢授權(quán) revoke SELECT on TABLE SC from PUBLIC;q授權(quán)回收操作是級聯(lián)的授權(quán)回收操作是級聯(lián)的USER

17、1USER2USER3USER4數(shù)據(jù)庫角色（數(shù)據(jù)庫角色（Role）l如果要給成千上萬個雇員分配許可，將面臨很大的管如果要給成千上萬個雇員分配許可，將面臨很大的管理難題，每次有雇員到來或者離開時，就得有人分配理難題，每次有雇員到來或者離開時，就得有人分配或去除可能與數(shù)百張表或視圖有關(guān)的權(quán)限。這項任務(wù)或去除可能與數(shù)百張表或視圖有關(guān)的權(quán)限。這項任務(wù)不但耗時，而且容易出錯。不但耗時，而且容易出錯。l一個一個相對簡單有效的解決方案就是定義數(shù)據(jù)庫角色相對簡單有效的解決方案就是定義數(shù)據(jù)庫角色。l數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限，數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限，即一組相關(guān)權(quán)限的集

18、合。即一組相關(guān)權(quán)限的集合。l可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色。使用可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色。使用角色來管理數(shù)據(jù)庫權(quán)限可以簡化授權(quán)的過程。角色來管理數(shù)據(jù)庫權(quán)限可以簡化授權(quán)的過程。授權(quán)管理授權(quán)管理DBARole用戶用戶用戶用戶授權(quán)授權(quán)屬于任意控制任意控制視圖機制視圖機制l視圖機制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)視圖機制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來，從而自動地對數(shù)據(jù)提供一定的用戶隱藏起來，從而自動地對數(shù)據(jù)提供一定程度的安全保護(hù)程度的安全保護(hù)l視圖機制更主要的功能在于提供數(shù)據(jù)獨立性，視圖機制更主要的功能在于提供數(shù)據(jù)獨立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到

19、應(yīng)其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求用系統(tǒng)的要求視圖機制視圖機制l在實際應(yīng)用中通常是視圖機制與授權(quán)機制配合在實際應(yīng)用中通常是視圖機制與授權(quán)機制配合使用，首先用視圖機制屏蔽掉一部分保密數(shù)據(jù)，使用，首先用視圖機制屏蔽掉一部分保密數(shù)據(jù)，然后在視圖上面再進(jìn)一步定義存取權(quán)限然后在視圖上面再進(jìn)一步定義存取權(quán)限l這時視圖機制實際上間接實現(xiàn)了支持存取謂詞這時視圖機制實際上間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義的用戶權(quán)限定義視圖機制視圖機制l例如：例如：USER1只能檢索計算機系學(xué)生的信息只能檢索計算機系學(xué)生的信息 (1) 先建立計算機系學(xué)生的視圖先建立計算機系學(xué)生的視圖CS_Student C

20、REATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=CS； (2) 在視圖上進(jìn)一步定義存取權(quán)限在視圖上進(jìn)一步定義存取權(quán)限GRANT SELECT ON CS_Student TO USER1；SQL Server的安全機制的安全機制lSQL Server采用采用4個等級的安全驗證個等級的安全驗證： 操作系統(tǒng)安全驗證；操作系統(tǒng)安全驗證； SQL Server安全驗證；安全驗證； SQL Server數(shù)據(jù)庫安全驗證；數(shù)據(jù)庫安全驗證； SQL Server數(shù)據(jù)庫對象安全驗證。數(shù)據(jù)庫對象安全驗證。SQL Server的安全機制的安全機制l權(quán)

21、限管理：權(quán)限管理：在SQL Server中有三種類型的權(quán)限 語句權(quán)限：可以委派給其它用戶語句權(quán)限：可以委派給其它用戶 對象權(quán)限：可以委派給其它用戶對象權(quán)限：可以委派給其它用戶 隱含權(quán)限：只允許屬于特定角色的人使用隱含權(quán)限：只允許屬于特定角色的人使用l在在SQL Server中主要有兩種類型的角色中主要有兩種類型的角色 服務(wù)器角色與數(shù)據(jù)庫角色服務(wù)器角色與數(shù)據(jù)庫角色SQL Server的安全機制的安全機制l語句權(quán)限語句權(quán)限 是是SQL Server中功能最強大的一些權(quán)限，這些權(quán)限只中功能最強大的一些權(quán)限，這些權(quán)限只限分配在單個數(shù)據(jù)庫，跨數(shù)據(jù)庫的權(quán)限是不可能的限分配在單個數(shù)據(jù)庫，跨數(shù)據(jù)庫的權(quán)限是不可

22、能的 通常只給那些需要在數(shù)據(jù)庫中創(chuàng)建或修改對象、執(zhí)行通常只給那些需要在數(shù)據(jù)庫中創(chuàng)建或修改對象、執(zhí)行數(shù)據(jù)庫或事務(wù)日志備份的用戶數(shù)據(jù)庫或事務(wù)日志備份的用戶 當(dāng)分配語句權(quán)限給用戶時，就給了他們創(chuàng)建對象的能當(dāng)分配語句權(quán)限給用戶時，就給了他們創(chuàng)建對象的能力，通常使用對應(yīng)的力，通常使用對應(yīng)的SQL Server命令來引用命令來引用SQL Server的安全機制的安全機制l語句權(quán)限語句權(quán)限 CREATE DATABASE創(chuàng)建數(shù)據(jù)庫 CREATE TABLE創(chuàng)建表 CREATE VIEW創(chuàng)建視圖 CREATE RULE創(chuàng)建規(guī)則 CREATE DEFAULT創(chuàng)建缺省 CREATE PROCEDURE創(chuàng)建存儲過程

23、 BACKUP DATABASE備份數(shù)據(jù)庫 BACKUP LOG備份事務(wù)日志SQL Server的安全機制的安全機制l對象權(quán)限對象權(quán)限 對象權(quán)限分配給數(shù)據(jù)庫層次上的對象，并允許用戶訪問對象權(quán)限分配給數(shù)據(jù)庫層次上的對象，并允許用戶訪問和操作數(shù)據(jù)庫中已存在的對象和操作數(shù)據(jù)庫中已存在的對象 沒有這些權(quán)限，用戶將不能訪問數(shù)據(jù)庫里的任何對象。沒有這些權(quán)限，用戶將不能訪問數(shù)據(jù)庫里的任何對象。這些權(quán)限實際上給了用戶運行特定這些權(quán)限實際上給了用戶運行特定SQL語句的能力語句的能力l對象授權(quán)操作 表：表：SELECT, INSERT, UPDATE, DELETE, REFERENCE 視圖：視圖：SELECT

24、, INSERT, UPDATE, DELETE 存儲過程：存儲過程：EXECUTE 列：列：SELECT, UPDATEOracle數(shù)據(jù)庫的安全性措施數(shù)據(jù)庫的安全性措施lORACLE的安全措施的安全措施: 用戶標(biāo)識和鑒定 授權(quán)和檢查機制 審計技術(shù) 用戶通過觸發(fā)器靈活定義自己的安全性措施ORACLE的用戶標(biāo)識和鑒定的用戶標(biāo)識和鑒定lORACLE允許用戶重復(fù)標(biāo)識三次允許用戶重復(fù)標(biāo)識三次l如果三次仍未通過，系統(tǒng)自動退出如果三次仍未通過，系統(tǒng)自動退出ORACLE的授權(quán)與檢查機制的授權(quán)與檢查機制lORACLE授權(quán)和檢查機制的特色授權(quán)和檢查機制的特色 ORACLE的權(quán)限包括的權(quán)限包括系統(tǒng)權(quán)限系統(tǒng)權(quán)限和和

25、數(shù)據(jù)庫對象的權(quán)限數(shù)據(jù)庫對象的權(quán)限 采用非集中式的授權(quán)機制采用非集中式的授權(quán)機制 每個用戶授予與回收自己創(chuàng)建的數(shù)據(jù)庫對象的權(quán)限每個用戶授予與回收自己創(chuàng)建的數(shù)據(jù)庫對象的權(quán)限 DBA負(fù)責(zé)授予與回收系統(tǒng)權(quán)限，也可以授予與回收所負(fù)責(zé)授予與回收系統(tǒng)權(quán)限，也可以授予與回收所有數(shù)據(jù)庫對象的權(quán)限有數(shù)據(jù)庫對象的權(quán)限 允許重復(fù)授權(quán)，即可將某一權(quán)限多次授予同一用戶，允許重復(fù)授權(quán)，即可將某一權(quán)限多次授予同一用戶，系統(tǒng)不會出錯系統(tǒng)不會出錯 允許無效回收，即用戶不具有某權(quán)限，但回收此權(quán)限允許無效回收，即用戶不具有某權(quán)限，但回收此權(quán)限的操作仍是成功的。的操作仍是成功的。ORACLE的授權(quán)與檢查機制的授權(quán)與檢查機制lORACL

26、E的權(quán)限的權(quán)限 系統(tǒng)權(quán)限系統(tǒng)權(quán)限(80多種多種)l創(chuàng)建會話創(chuàng)建會話l創(chuàng)建表創(chuàng)建表l創(chuàng)建視圖創(chuàng)建視圖l創(chuàng)建用戶創(chuàng)建用戶 數(shù)據(jù)庫對象的權(quán)限數(shù)據(jù)庫對象的權(quán)限Oracle系統(tǒng)權(quán)限系統(tǒng)權(quán)限lDBA在創(chuàng)建一個用戶時需要將其中的一些權(quán)限授予該用戶在創(chuàng)建一個用戶時需要將其中的一些權(quán)限授予該用戶l角色角色 ORACLE支持角色的概念支持角色的概念 ORACLE允許允許DBA定義角色定義角色 ORACLE提供的預(yù)定義角色提供的預(yù)定義角色l CONNECTl RESOURCEl DBAOracle系統(tǒng)權(quán)限系統(tǒng)權(quán)限lCONNECT角色角色 允許用戶登錄數(shù)據(jù)庫并執(zhí)行數(shù)據(jù)查詢和操縱l ALTER TABLEl CREAT

27、E VIEW / INDEX l DROP TABLE / VIEW / INDEXl GRANT, REVOKEl INSERT, UPDATE, DELETEl SELETEl AUDIT / NOAUDITOracle系統(tǒng)權(quán)限系統(tǒng)權(quán)限lRESOURCE角色角色 允許用戶建表，即執(zhí)行CREATE TABLE操作 由于創(chuàng)建表的用戶將擁有該表，因此他具有對該表的任何權(quán)限Oracle系統(tǒng)權(quán)限系統(tǒng)權(quán)限lDBA角色角色 允許用戶執(zhí)行授權(quán)命令，建表，對任何表的數(shù)據(jù)進(jìn)行操縱。 DBA角色涵蓋了前兩種角色，此外還可以執(zhí)行一些管理操作。 DBA角色擁有最高級別的權(quán)限。Oracle系統(tǒng)權(quán)限系統(tǒng)權(quán)限例：例：DB

28、A建立一用戶建立一用戶U12后，欲將后，欲將ALTER TABLE、CREATE VIEW、CREATE INDEX、DROP TABLE、DROP VIEW、DROP INDEX, GRANT,REVOKE、INSERT 、SELETE、UPDATE、DELETE、AUDIT、NOAUDIT等系統(tǒng)權(quán)限授予等系統(tǒng)權(quán)限授予U12，則可以只簡單地將，則可以只簡單地將CONNECT角色授予角色授予U12即可：即可： GRANT CONNECT TO U12; 這樣就可以省略十幾條這樣就可以省略十幾條GRANT語句。語句。Oracle數(shù)據(jù)庫對象的權(quán)限數(shù)據(jù)庫對象的權(quán)限lORACLE可以授權(quán)的數(shù)據(jù)庫對象可

29、以授權(quán)的數(shù)據(jù)庫對象 基本表基本表 視圖視圖 序列序列l(wèi)利用它可生成唯一的整數(shù)。一般用于自動生成主碼值。避免利用它可生成唯一的整數(shù)。一般用于自動生成主碼值。避免了在應(yīng)用層實現(xiàn)序列而引起的性能瓶頸。了在應(yīng)用層實現(xiàn)序列而引起的性能瓶頸。 同義詞同義詞:一種映射關(guān)系一種映射關(guān)系 lcreate public synonym table_name for user.table_name 存儲過程存儲過程 函數(shù)函數(shù)Oracle數(shù)據(jù)庫對象的權(quán)限數(shù)據(jù)庫對象的權(quán)限l基本表的安全性級別基本表的安全性級別 表級表級 行級行級 列級列級Oracle數(shù)據(jù)庫對象的權(quán)限數(shù)據(jù)庫對象的權(quán)限l表級安全性表級安全性 表的創(chuàng)建者或表

30、的創(chuàng)建者或DBA可以把對表的權(quán)限授予其他用戶可以把對表的權(quán)限授予其他用戶 表級權(quán)限表級權(quán)限l ALTER： 修改表定義修改表定義l DELETE：刪除表記錄：刪除表記錄l INDEX： 在表上建索引在表上建索引l INSERT： 向表中插入數(shù)據(jù)記錄向表中插入數(shù)據(jù)記錄l SELECT：查找表中記錄：查找表中記錄l UPDATE：修改表中的數(shù)據(jù)：修改表中的數(shù)據(jù)l ALL： 上述所有權(quán)限上述所有權(quán)限 表級授權(quán)使用表級授權(quán)使用GRANTREVOKE語句語句 例：例： GRANT SELECT ON SC TO U12;Oracle數(shù)據(jù)庫對象的權(quán)限數(shù)據(jù)庫對象的權(quán)限l行級安全性行級安全性 ORACLE行級

31、安全性由視圖間接實現(xiàn)例：用戶例：用戶U1只允許用戶只允許用戶U12查看自己創(chuàng)建的查看自己創(chuàng)建的Student表中表中有關(guān)信息系學(xué)生的信息，則首先創(chuàng)建視圖信息系學(xué)生有關(guān)信息系學(xué)生的信息，則首先創(chuàng)建視圖信息系學(xué)生視圖視圖S_IS： CREATE VIEW S_IS AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept=IS; 然后將關(guān)于該視圖的然后將關(guān)于該視圖的SELECT權(quán)限授予權(quán)限授予U12用戶：用戶： GRANT SELECT ON S_IS TO U12;Oracle數(shù)據(jù)庫對象的權(quán)限數(shù)據(jù)庫對象的權(quán)限l列級安全性列級安全性

32、借助視圖實現(xiàn)列級安全性借助視圖實現(xiàn)列級安全性 CREATE VIEW S_V AS SELECT Sno, Sname FROM Student； GRANT SELECT ON S_V TO U12; 直接在基本表上定義列級安全性直接在基本表上定義列級安全性 例：例：GRANT UPDATE (Sno, Cno) ON SC TO U12;Oracle數(shù)據(jù)庫對象的權(quán)限數(shù)據(jù)庫對象的權(quán)限l三級對象的層次結(jié)構(gòu)三級對象的層次結(jié)構(gòu) 表、行、列三級對象自上而下構(gòu)成一個層次表、行、列三級對象自上而下構(gòu)成一個層次結(jié)構(gòu)結(jié)構(gòu) 上一級對象的權(quán)限制約下一級對象的權(quán)限上一級對象的權(quán)限制約下一級對象的權(quán)限 例：當(dāng)一個用

33、戶擁有了對某個表的例：當(dāng)一個用戶擁有了對某個表的UPDATE權(quán)權(quán) 限，即相當(dāng)于在表的所有列了都擁有了限，即相當(dāng)于在表的所有列了都擁有了 UPDATE 權(quán)限。權(quán)限。Oracle數(shù)據(jù)庫對象的權(quán)限數(shù)據(jù)庫對象的權(quán)限lORACLE對數(shù)據(jù)庫對象的權(quán)限采用分散控制方式對數(shù)據(jù)庫對象的權(quán)限采用分散控制方式 允許具有WITH GRANT OPTION的用戶把相應(yīng)權(quán)限或其子集傳遞授予其他用戶lORACLE不允許循環(huán)授權(quán)，即授權(quán)者不能把權(quán)限再授不允許循環(huán)授權(quán)，即授權(quán)者不能把權(quán)限再授予其授權(quán)者或祖先予其授權(quán)者或祖先 U1 U2 U3 U4 ORACLE的授權(quán)與檢查機制的授權(quán)與檢查機制lORACLE的權(quán)限檢查機制的權(quán)限檢

34、查機制 ORACLE把所有權(quán)限信息記錄在數(shù)據(jù)字典中把所有權(quán)限信息記錄在數(shù)據(jù)字典中 當(dāng)用戶進(jìn)行數(shù)據(jù)庫操作時，當(dāng)用戶進(jìn)行數(shù)據(jù)庫操作時，ORACLE首先根據(jù)數(shù)據(jù)首先根據(jù)數(shù)據(jù)字典中的權(quán)限信息，檢查操作的合法性字典中的權(quán)限信息，檢查操作的合法性 在在ORACLE中，安全性檢查是任何數(shù)據(jù)庫操作的第中，安全性檢查是任何數(shù)據(jù)庫操作的第一步一步以下內(nèi)容供參考以下內(nèi)容供參考l強制控制強制控制l審計審計l數(shù)據(jù)庫加密數(shù)據(jù)庫加密l統(tǒng)計數(shù)據(jù)庫的安全性統(tǒng)計數(shù)據(jù)庫的安全性強制控制強制控制l任意訪問控制是關(guān)系數(shù)據(jù)庫的傳統(tǒng)方法，可對數(shù)據(jù)庫提供充分保護(hù)，但它不支持隨數(shù)據(jù)庫各部分的機密性而變化，技術(shù)高超的專業(yè)人員可能突破該保護(hù)機制獲

35、得未授權(quán)訪問l另外，由于用戶對數(shù)據(jù)的存取權(quán)限是“自主”的，用戶可以自由地決定將數(shù)據(jù)的存取權(quán)限授予何人、決定是否也將“授權(quán)”的權(quán)限授予別人。在這種授權(quán)機制下，仍可能存在數(shù)據(jù)的“無意泄露”強制控制強制控制l強制訪問控制克服了任意訪問控制的缺點。l在強制訪問控制方法中，不能由一個用戶不加控制地將訪問權(quán)限授予或傳遞給另一用戶。l強制訪問控制方法是指系統(tǒng)為了保證更高程度的安全性，它不是用戶能直接感知或進(jìn)行控制的。l強制訪問控制主要適用于對數(shù)據(jù)有嚴(yán)格要求而固定密級分類的部門，如軍事部門或政府部門強制控制強制控制l強制訪問控制模型基于與每個數(shù)據(jù)項和每個用戶關(guān)聯(lián)強制訪問控制模型基于與每個數(shù)據(jù)項和每個用戶關(guān)聯(lián)的

36、安全性標(biāo)識的安全性標(biāo)識(Security Label)。安全性標(biāo)識被分為若。安全性標(biāo)識被分為若干級別干級別 絕密絕密 (Top Secret) 機密機密 (Secret) 秘密秘密 (Confidential) 一般一般 (Public)l數(shù)據(jù)的標(biāo)識稱為數(shù)據(jù)的標(biāo)識稱為密級密級(Security Classification)l用戶的標(biāo)識稱為用戶的標(biāo)識稱為許可證級別許可證級別 (Security Clearance)強制控制強制控制l當(dāng)某一用戶以某一密級進(jìn)入系統(tǒng)時，在確定該當(dāng)某一用戶以某一密級進(jìn)入系統(tǒng)時，在確定該用戶能否訪問系統(tǒng)上的數(shù)據(jù)時應(yīng)用戶能否訪問系統(tǒng)上的數(shù)據(jù)時應(yīng)遵守如下規(guī)則遵守如下規(guī)則 (

37、1) 當(dāng)且僅當(dāng)用戶許可證級別當(dāng)且僅當(dāng)用戶許可證級別大于等于大于等于數(shù)據(jù)數(shù)據(jù)的密級時，該用戶才能對該數(shù)據(jù)進(jìn)行的密級時，該用戶才能對該數(shù)據(jù)進(jìn)行讀讀操作操作 (2) 當(dāng)且僅當(dāng)用戶的許可證級別當(dāng)且僅當(dāng)用戶的許可證級別小于或等于小于或等于數(shù)據(jù)的密級時，該用戶才能對該數(shù)據(jù)進(jìn)行數(shù)據(jù)的密級時，該用戶才能對該數(shù)據(jù)進(jìn)行寫寫操作操作審計審計l審計功能啟用一個專用的審計功能啟用一個專用的審計日志（審計日志（Audit Log），系統(tǒng)自動將用戶對數(shù)據(jù)庫的所有操作，系統(tǒng)自動將用戶對數(shù)據(jù)庫的所有操作記錄在上面記錄在上面lDBA可以利用審計日志中的追蹤信息，重現(xiàn)導(dǎo)可以利用審計日志中的追蹤信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事

38、件，以找出非法致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，以找出非法存取數(shù)據(jù)的人存取數(shù)據(jù)的人C2以上安全級別的以上安全級別的DBMS必須具有審計功能必須具有審計功能審計審計l審計日志一般包括下列內(nèi)容：審計日志一般包括下列內(nèi)容： (1) 操作類型（如修改、查詢等）操作類型（如修改、查詢等） (2) 操作終端標(biāo)識與操作人員標(biāo)識操作終端標(biāo)識與操作人員標(biāo)識 (3) 操作日期和時間操作日期和時間 (4) 操作的數(shù)據(jù)對象（如表、視圖、記錄、操作的數(shù)據(jù)對象（如表、視圖、記錄、屬性等）屬性等） (5) 數(shù)據(jù)修改前后的值數(shù)據(jù)修改前后的值審計功能的可選性審計功能的可選性l審計很費時間和空間，所以審計很費時間和空間，所以DBMS

39、往往都將其作為可選特往往都將其作為可選特征征 DBA可以根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉可以根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉審計功能審計功能l審計技術(shù)是預(yù)防手段，監(jiān)測可能的不合法行為審計技術(shù)是預(yù)防手段，監(jiān)測可能的不合法行為l當(dāng)數(shù)據(jù)相當(dāng)敏感，或者對數(shù)據(jù)的處理極為重要時，就必須當(dāng)數(shù)據(jù)相當(dāng)敏感，或者對數(shù)據(jù)的處理極為重要時，就必須使用審計技術(shù)使用審計技術(shù)審計審計l審計一般可以分為審計一般可以分為 用戶級審計用戶級審計是任何用戶可設(shè)置的審計，主要是任何用戶可設(shè)置的審計，主要是針對自己創(chuàng)建的數(shù)據(jù)庫或視圖進(jìn)行審計，是針對自己創(chuàng)建的數(shù)據(jù)庫或視圖進(jìn)行審計，記錄所有用戶對這些表或視圖的一切成功和記

40、錄所有用戶對這些表或視圖的一切成功和（或）不成功的訪問要求以及各種類型的（或）不成功的訪問要求以及各種類型的SQL操作操作 系統(tǒng)級審計系統(tǒng)級審計只能由只能由DBA設(shè)置，用以監(jiān)測成設(shè)置，用以監(jiān)測成功或失敗的登錄要求、監(jiān)測功或失敗的登錄要求、監(jiān)測Grant和和Revoke操作以及其他數(shù)據(jù)庫級權(quán)限下的操操作以及其他數(shù)據(jù)庫級權(quán)限下的操作作數(shù)據(jù)庫加密技術(shù)數(shù)據(jù)庫加密技術(shù)l防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段l針對的情況針對的情況 入侵者繞過系統(tǒng)訪問數(shù)據(jù)庫的信息內(nèi)容入侵者繞過系統(tǒng)訪問數(shù)據(jù)庫的信息內(nèi)容 入侵者通過物理移除磁盤或備份磁盤盜走數(shù)據(jù)庫入侵者通過物理

41、移除磁盤或備份磁盤盜走數(shù)據(jù)庫 入侵者接入載有真實用戶數(shù)據(jù)的通信鏈路入侵者接入載有真實用戶數(shù)據(jù)的通信鏈路 聰明的入侵者通過運行程序突破操作系統(tǒng)防線來檢聰明的入侵者通過運行程序突破操作系統(tǒng)防線來檢索數(shù)據(jù)索數(shù)據(jù)l在這些情況下，數(shù)據(jù)庫系統(tǒng)的各種授權(quán)規(guī)則或許不能在這些情況下，數(shù)據(jù)庫系統(tǒng)的各種授權(quán)規(guī)則或許不能提供充分的保護(hù)。標(biāo)準(zhǔn)安全技術(shù)無法防范繞過系統(tǒng)訪提供充分的保護(hù)。標(biāo)準(zhǔn)安全技術(shù)無法防范繞過系統(tǒng)訪問數(shù)據(jù)的侵?jǐn)_，這就需要采取其他保護(hù)措施來加強安問數(shù)據(jù)的侵?jǐn)_，這就需要采取其他保護(hù)措施來加強安全系統(tǒng)全系統(tǒng)加密的基本思想加密的基本思想l根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文明文，P

42、lain text）變換為不可直接識別的格式（術(shù)）變換為不可直接識別的格式（術(shù)語為語為密文密文，Cipher text）l不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容加密方法加密方法l替換方法替換方法 使用密鑰（Encryption Key）將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符l置換方法置換方法 將明文的字符按不同的順序重新排列l(wèi) 這兩種方法結(jié)合能提供相當(dāng)高的安全程度這兩種方法結(jié)合能提供相當(dāng)高的安全程度 例：美國例：美國1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，簡稱，簡稱DE

43、S）數(shù)據(jù)庫加密技術(shù)數(shù)據(jù)庫加密技術(shù)l基于文件的加密基于文件的加密 把數(shù)據(jù)庫文件作為整體，用加密算法對整個數(shù)據(jù)庫把數(shù)據(jù)庫文件作為整體，用加密算法對整個數(shù)據(jù)庫文件加密來保證信息的真實性和完整性。數(shù)據(jù)的共文件加密來保證信息的真實性和完整性。數(shù)據(jù)的共享是通過用戶用解密密鑰對整個數(shù)據(jù)庫文件進(jìn)行解享是通過用戶用解密密鑰對整個數(shù)據(jù)庫文件進(jìn)行解密來實現(xiàn)的。密來實現(xiàn)的。l實際應(yīng)用受到多方面的限制實際應(yīng)用受到多方面的限制 數(shù)據(jù)修改的工作將變得十分困難，需要進(jìn)行解密、數(shù)據(jù)修改的工作將變得十分困難，需要進(jìn)行解密、修改、復(fù)制和加密四個操作，修改、復(fù)制和加密四個操作，極大地增加了系統(tǒng)的極大地增加了系統(tǒng)的時空開銷時空開銷 即

44、使用戶只是需要查看某一條記錄，也必須將整個即使用戶只是需要查看某一條記錄，也必須將整個數(shù)據(jù)庫文件解密，這樣數(shù)據(jù)庫文件解密，這樣無法實現(xiàn)對文件中不需要讓無法實現(xiàn)對文件中不需要讓用戶知道的信息的控制用戶知道的信息的控制數(shù)據(jù)庫加密技術(shù)數(shù)據(jù)庫加密技術(shù)l字段加密（字段是最小的加密單位）字段加密（字段是最小的加密單位）l字段加密的原理字段加密的原理 將重要的字段內(nèi)容進(jìn)行加密，當(dāng)使用查詢語句獲取結(jié)將重要的字段內(nèi)容進(jìn)行加密，當(dāng)使用查詢語句獲取結(jié)果集后，再將這些重要的字段內(nèi)容進(jìn)行解密。每個字果集后，再將這些重要的字段內(nèi)容進(jìn)行解密。每個字段可以使用不同的密鑰，也可以使用共同的密鑰段可以使用不同的密鑰，也可以使用共

45、同的密鑰l字段加密的特點字段加密的特點 較高的安全性較高的安全性 影響數(shù)據(jù)庫的訪問速度：影響數(shù)據(jù)庫的訪問速度：對一個記錄進(jìn)行存取時需要對一個記錄進(jìn)行存取時需要多次的加多次的加/解密處理解密處理 對數(shù)據(jù)庫管理系統(tǒng)（對數(shù)據(jù)庫管理系統(tǒng)（DBMS）的功能影響也很大）的功能影響也很大在實際應(yīng)用中，一般不會對所有記錄都進(jìn)行加密處理，在實際應(yīng)用中，一般不會對所有記錄都進(jìn)行加密處理，而是對部分安全性要求高的字段進(jìn)行加密處理而是對部分安全性要求高的字段進(jìn)行加密處理數(shù)據(jù)庫加密技術(shù)數(shù)據(jù)庫加密技術(shù)l通常情況下，以下幾種字段不宜加密通常情況下，以下幾種字段不宜加密 索引字段不能加密索引字段不能加密 關(guān)系運算的比較字段不能加密關(guān)系運算的比較字段不能加密 表間的連接碼字段不能加密表間的連接碼字段不能加密數(shù)據(jù)庫加密技術(shù)數(shù)據(jù)庫加密技術(shù)l記錄加密記錄加密 將表中的行的所有字段或部分字段組成一個整體，將表中的行的所有字段或部分字段組成一個整體，進(jìn)行統(tǒng)一加密，當(dāng)應(yīng)用程