第九章 數(shù)據(jù)庫安全性練習(xí)題和答案

第九章數(shù)據(jù)庫安全性練習(xí)題和答案第九章數(shù)據(jù)庫安全性練習(xí)題和答案第九章數(shù)據(jù)庫安全性練習(xí)題和答案xxx公司第九章數(shù)據(jù)庫安全性練習(xí)題和答案文件編號(hào)：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計(jì)，管理制度第九章數(shù)據(jù)庫安全性一、選擇題1.以下（）不屬于實(shí)現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性的主要技術(shù)和方法。A.存取控制技術(shù)B.視圖技術(shù)C.審計(jì)技術(shù)D.出入機(jī)房登記和加鎖2．SQL中的視圖提高了數(shù)據(jù)庫系統(tǒng)的（）。A.完整性B.并發(fā)控制C.隔離性D.安全性3．SQL語言的GRANT和REVOKE語句主要是用來維護(hù)數(shù)據(jù)庫的（）。A.完整性B.可靠性C.安全性D.一致性4.在數(shù)據(jù)庫的安全性控制中，授權(quán)的數(shù)據(jù)對(duì)象的（），授權(quán)子系統(tǒng)就越靈活。A.范圍越小B.約束越細(xì)致C.范圍越大D.約束范圍大三、簡(jiǎn)答題1.什么是數(shù)據(jù)庫的安全性答：數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。2.數(shù)據(jù)庫安全性和計(jì)算機(jī)系統(tǒng)的安全性有什么關(guān)系答：安全性問題不是數(shù)據(jù)庫系統(tǒng)所獨(dú)有的，所有計(jì)算機(jī)系統(tǒng)都有這個(gè)問題。只是在數(shù)據(jù)庫系統(tǒng)中大量數(shù)據(jù)集中存放，而且為許多最終用戶直接共享，從而使安全性問題更為突出。系統(tǒng)安全保護(hù)措施是否有效是數(shù)據(jù)庫系統(tǒng)的主要指標(biāo)之一。數(shù)據(jù)庫的安全性和計(jì)算機(jī)系統(tǒng)的安全性，包括操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的安全性是緊密聯(lián)系、相互支持的，3.試述實(shí)現(xiàn)數(shù)據(jù)庫安全性控制的常用方法和技術(shù)。答：實(shí)現(xiàn)數(shù)據(jù)庫安全性控制的常用方法和技術(shù)有：1)用戶標(biāo)識(shí)和鑒別：該方法由系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份。每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)進(jìn)行核對(duì)，通過鑒定后才提供系統(tǒng)的使用權(quán)。2)存取控制：通過用戶權(quán)限定義和合法權(quán)檢查確保只有合法權(quán)限的用戶訪問數(shù)據(jù)庫，所有未被授權(quán)的人員無法存取數(shù)據(jù)。例如C2級(jí)中的自主存取控制（DAC），B1級(jí)中的強(qiáng)制存取控制（MAC）；3)視圖機(jī)制：為不同的用戶定義視圖，通過視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無權(quán)存取的用戶隱藏起來，從而自動(dòng)地對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)。4)審計(jì)：建立審計(jì)日志，把用戶對(duì)數(shù)據(jù)庫的所有操作自動(dòng)記錄下來放入審計(jì)日志中，DBA可以利用審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。5)數(shù)據(jù)加密：對(duì)存儲(chǔ)和傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理，從而使得不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容。具體內(nèi)容請(qǐng)參見《概論》。4.什么是數(shù)據(jù)庫中的自主存取控制方法和強(qiáng)制存取控制方法答：自主存取控制方法：定義各個(gè)用戶對(duì)不同數(shù)據(jù)對(duì)象的存取權(quán)限。當(dāng)用戶對(duì)數(shù)據(jù)庫訪問時(shí)首先檢查用戶的存取權(quán)限。防止不合法用戶對(duì)數(shù)據(jù)庫的存取。強(qiáng)制存取控制方法：每一個(gè)數(shù)據(jù)對(duì)象被（強(qiáng)制地）標(biāo)以一定的密級(jí)，每一個(gè)用戶也被（強(qiáng)制地）授予某一個(gè)級(jí)別的許可證。系統(tǒng)規(guī)定只有具有某一許可證級(jí)別的用戶才能存取某一個(gè)密級(jí)的數(shù)據(jù)對(duì)象。*解析：自主存取控制中自主的含義是：用戶可以將自己擁有的存取權(quán)限“自主”地授予別人。即用戶具有一定的“自主”權(quán)。語言中提供了哪些數(shù)據(jù)控制（自主存取控制）的語句請(qǐng)?jiān)嚺e幾例說明它們的使用方法。答：SQL中的自主存取控制是通過GRANT語句和REVOKE語句來實(shí)現(xiàn)的。如：GRANTSELECT，INSERTONStudentTO王平WITHGRANTOPTION；就將Student表的SELECT和INSERT權(quán)限授予了用戶王平，后面的“WITHGRANTOPTION”子句表示用戶王平同時(shí)也獲得了“授權(quán)”的權(quán)限，即可以把得到的權(quán)限繼續(xù)授予其他用戶。REVOKEINSERTONStudentFROM王平CASCADE；就將Student表的INSERT權(quán)限從用戶王平處收回，選項(xiàng)CASCADE表示，如果用戶王平將Student的INSERT權(quán)限又轉(zhuǎn)授給了其他用戶，那么這些權(quán)限也將從其他用戶處收回。6.今有兩個(gè)關(guān)系模式：職工（職工號(hào)，姓名，年齡，職務(wù)，工資，部門號(hào)）部門（部門號(hào)，名稱，經(jīng)理名，地址，電話號(hào)）請(qǐng)用SQL的GRANT和REVOKE語句（加上視圖機(jī)制）完成以下授權(quán)定義或存取控制功能：(a)用戶王明對(duì)兩個(gè)表有SELECT權(quán)力；GRANTSELECTON職工，部門TO王明；(b)用戶李勇對(duì)兩個(gè)表有INSERT和DELETE權(quán)力；GRANTINSERT，DELETEON職工，部門TO李勇；(c)*每個(gè)職工只對(duì)自己的記錄有SELECT權(quán)力；GRANTSELECTON職工WHENUSER（）=NAMETOALL；這里假定系統(tǒng)的GRANT語句支持WHEN子句和USER（）的使用。用戶將自己的名字作為ID。注意，不同的系統(tǒng)這些擴(kuò)展語句可能是不同的。讀者應(yīng)該了解你使用的DBMS產(chǎn)品的擴(kuò)展語句。(d)用戶劉星對(duì)職工表有SELECT權(quán)力，對(duì)工資字段具有更新權(quán)力；GRANTSELECT，UPDATE（工資）ON職工TO劉星；(e)用戶張新具有修改這兩個(gè)表的結(jié)構(gòu)的權(quán)力；GRANTALTERTABLEON職工，部門TO張新；(f)用戶周平具有對(duì)兩個(gè)表所有權(quán)力(讀，插，改，刪數(shù)據(jù))，并具有給其他用戶授權(quán)的權(quán)力；GRANTALLPRIVILIGESON職工，部門TO周平WITHGRANTOPTION；(g)用戶楊蘭具有從每個(gè)部門職工中SELECT最高工資，最低工資，平均工資的權(quán)力，他不能查看每個(gè)人的工資。答：首先建立一個(gè)視圖。然后對(duì)這個(gè)視圖定義楊蘭的存取權(quán)限。CREATEVIEW部門工資ASSELECT部門.名稱，MAX（工資），MIN（工資），AVG（工資）FROM職工，部門WHERE職工.部門號(hào)=部門.部門號(hào)GROUPBY職工.部門號(hào)；GRANTSELECTON部門工資TO楊蘭；7.把習(xí)題8中(a)~(g)的每一種情況，撤銷各用戶所授予的權(quán)力。答：(a)REVOKESELECTON職工，部門FROM王明；(b)REVOKEINSERT，DELETEON職工，部門FROM李勇；(c)REOVKESELECTON職工WHENUSER（）=NAMEFROMALL；這里假定用戶將自己的名字作為ID，且系統(tǒng)的REOVKE語句支持WHEN子句，系統(tǒng)也支持USER（）的使用。(d)REVOKESELECT，UPDATEON職工FROM劉星；(e)REVOKEALTERTABLEON職工，部門FROM張新；(f)REVOKEALLPRIVILIGESON職工，部門FROM周平；(g)REVOKESELECTON部門工資FROM楊蘭；DROPVIEW部門工資；8.為什么強(qiáng)制存取控制提供了更高級(jí)別的數(shù)據(jù)庫安全性答：強(qiáng)制存取控制（MAC）是對(duì)數(shù)據(jù)本身進(jìn)行密級(jí)標(biāo)記，無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個(gè)不可分的整體，只有符合密級(jí)標(biāo)記要求的用戶才可以操縱數(shù)據(jù)，從而提供了更高級(jí)別的安全性。9.理解并解釋MAC機(jī)制中主體、客體、敏感度標(biāo)記的含義。答：主體是系統(tǒng)中的活動(dòng)實(shí)體，既包括DBMS所管理的實(shí)際用戶，也包括代表用戶的各進(jìn)程。客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的，包括文件、基表、索引、視圖等。對(duì)于主體和客體，DBMS為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（Label）。敏感度標(biāo)記被分成若干級(jí)別，例如絕密（TopSecret）、機(jī)密（Secret）、可信（Confidential）、公開（Public）等。主體的敏感度標(biāo)記稱為許可證級(jí)別（ClearanceLevel），客體的敏感度標(biāo)記稱為密級(jí)（ClassificationLevel）。10.什么是數(shù)據(jù)庫的審計(jì)功能，為什么要提供審計(jì)功能答：審計(jì)功能是指DBMS的審計(jì)模塊在用戶對(duì)數(shù)據(jù)庫執(zhí)行操作的同時(shí)把所有操作自動(dòng)記錄到系統(tǒng)的審計(jì)日志中。因?yàn)槿魏蜗到y(tǒng)的安全保護(hù)措施都不是完美無缺的，蓄意盜竊破壞數(shù)據(jù)的人總可能存在。利用數(shù)據(jù)庫的審計(jì)功能，DBA可以根據(jù)審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。11.統(tǒng)計(jì)數(shù)據(jù)庫中存在何種特殊的安全性問題答：統(tǒng)計(jì)數(shù)據(jù)庫允許用戶查詢聚集類型的信息，如合計(jì)、平均值、最