第04章 數據庫安全性

*AnIntroductiontoDatabaseSystem1數據庫系統(tǒng)概論AnIntroductiontoDatabaseSystem第四章數據庫安全性*AnIntroductiontoDatabaseSystem2第四章數據庫安全性

問題的提出數據庫的一大特點是數據可以共享但數據共享必然帶來數據庫的安全性問題數據庫系統(tǒng)中的數據共享不能是無條件的共享例：軍事秘密、國家機密、新產品實驗數據、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數據*AnIntroductiontoDatabaseSystem3數據庫安全性（續(xù)）數據庫中數據的共享是在DBMS統(tǒng)一的嚴格的控制之下的共享，即只允許有合法使用權限的用戶訪問允許他存取的數據數據庫系統(tǒng)的安全保護措施是否有效是數據庫系統(tǒng)主要的性能指標之一*AnIntroductiontoDatabaseSystem4數據庫安全性（續(xù)）什么是數據庫的安全性數據庫的安全性是指保護數據庫，防止因用戶非法使用數據庫造成數據泄露、更改或破壞。什么是數據的保密數據保密是指用戶合法地訪問到機密數據后能否對這些數據保密。*AnIntroductiontoDatabaseSystem5第四章數據庫安全性4.1計算機安全性概論4.2數據庫安全性控制4.3視圖機制4.4審計4.5數據加密4.6統(tǒng)計數據庫安全性4.7小結*AnIntroductiontoDatabaseSystem64.1計算機安全性概論4.1.1計算機系統(tǒng)的三類安全性問題

4.1.2可信計算機系統(tǒng)評測標準*AnIntroductiontoDatabaseSystem74.1.1計算機系統(tǒng)的三類安全性問題

什么是計算機系統(tǒng)安全性為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數據，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數據遭到更改或泄露等。*AnIntroductiontoDatabaseSystem8計算機系統(tǒng)的三類安全性問題（續(xù)）

計算機安全涉及問題計算機系統(tǒng)本身的技術問題計算機安全理論與策略計算機安全技術管理問題安全管理安全評價安全產品*AnIntroductiontoDatabaseSystem9計算機系統(tǒng)的三類安全性問題（續(xù)）

計算機安全涉及問題(續(xù))法學計算機安全法律犯罪學計算機犯罪與偵察安全監(jiān)察心理學*AnIntroductiontoDatabaseSystem10計算機系統(tǒng)的三類安全性問題（續(xù)）

三類計算機系統(tǒng)安全性問題技術安全類管理安全類政策法律類*AnIntroductiontoDatabaseSystem11計算機系統(tǒng)的三類安全性問題（續(xù)）

技術安全指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數據的安全保護，當計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內的數據不增加、不丟失、不泄露。*AnIntroductiontoDatabaseSystem12計算機系統(tǒng)的三類安全性問題（續(xù)）

管理安全軟硬件意外故障、場地的意外事故、管理不善導致的計算機設備和數據介質的物理破壞、丟失等安全問題*AnIntroductiontoDatabaseSystem13計算機系統(tǒng)的三類安全性問題（續(xù)）

政策法律類政府部門建立的有關計算機犯罪、數據安全保密的法律道德準則和政策法規(guī)、法令*AnIntroductiontoDatabaseSystem144.1計算機安全性概論4.1.1計算機系統(tǒng)的三類安全性問題4.1.2可信計算機系統(tǒng)評測標準（安全標準）*AnIntroductiontoDatabaseSystem154.1.2可信計算機系統(tǒng)評測標準為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標準TCSEC(TrustedComputerSystemEvaluationCriteria)(桔皮書)TDI(TrustedDatabaseInterpretation)(紫皮書)*AnIntroductiontoDatabaseSystem16可信計算機系統(tǒng)評測標準（續(xù)）1985年美國國防部（DoD）正式頒布《DoD可信計算機系統(tǒng)評估標準》（簡稱TCSEC或DoD85）TCSEC又稱桔皮書TCSEC標準的目的提供一種標準，使用戶可以對其計算機系統(tǒng)內敏感信息安全操作的可信程度做評估。給計算機行業(yè)的制造商提供一種可循的指導規(guī)則，使其產品能夠更好地滿足敏感應用的安全需求。*AnIntroductiontoDatabaseSystem17可信計算機系統(tǒng)評測標準（續(xù)）1991年4月美國NCSC（國家計算機安全中心）頒布了《可信計算機系統(tǒng)評估標準關于可信數據庫系統(tǒng)的解釋》（TrustedDatabaseInterpretation簡稱TDI）TDI又稱紫皮書。它將TCSEC擴展到數據庫管理系統(tǒng)。TDI中定義了數據庫管理系統(tǒng)的設計與實現(xiàn)中需滿足和用以進行安全性級別評估的標準。*AnIntroductiontoDatabaseSystem18可信計算機系統(tǒng)評測標準（續(xù)）TDI/TCSEC標準的基本內容TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標安全策略責任保證文檔*AnIntroductiontoDatabaseSystem19可信計算機系統(tǒng)評測標準（續(xù)）R1安全策略（SecurityPolicy）

R1.1自主存取控制（DiscretionaryAccessControl，簡記為DAC）

R1.2客體重用（ObjectReuse）

R1.3標記（Labels）

R1.4強制存取控制（MandatoryAccessControl，簡記為MAC）*AnIntroductiontoDatabaseSystem20可信計算機系統(tǒng)評測標準（續(xù)）R2責任（Accountability）

R2.1標識與鑒別（Identification&Authentication）

R2.2審計（Audit）R3保證（Assurance）

R3.1操作保證（OperationalAssurance）

R3.2生命周期保證（LifeCycleAssurance）*AnIntroductiontoDatabaseSystem21可信計算機系統(tǒng)評測標準（續(xù)）R4文檔（Documentation）

R4.1安全特性用戶指南（SecurityFeaturesUser'sGuide）

R4.2可信設施手冊（TrustedFacilityManual）

R4.3測試文檔（TestDocumentation）

R4.4設計文檔（DesignDocumentation）*AnIntroductiontoDatabaseSystem22可信計算機系統(tǒng)評測標準（續(xù)）

TCSEC/TDI安全級別劃分安全級別

定義A1驗證設計（VerifiedDesign）B3安全域（SecurityDomains）

B2結構化保護（StructuralProtection）

B1標記安全保護（LabeledSecurityProtection）

C2受控的存取保護（ControlledAccessProtection）C1自主安全保護（DiscretionarySecurityProtection）

D最小保護（MinimalProtection）*AnIntroductiontoDatabaseSystem23可信計算機系統(tǒng)評測標準（續(xù)）四組(division)七個等級

DC（C1，C2）

B（B1，B2，B3）

A（A1）按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。*AnIntroductiontoDatabaseSystem24可信計算機系統(tǒng)評測標準（續(xù)）D級將一切不符合更高標準的系統(tǒng)均歸于D組典型例子：DOS是安全標準為D的操作系統(tǒng)

DOS在安全性方面幾乎沒有什么專門的機制來保障*AnIntroductiontoDatabaseSystem25可信計算機系統(tǒng)評測標準（續(xù)）C1級非常初級的自主安全保護能夠實現(xiàn)對用戶和數據的分離，進行自主存取控制（DAC），保護或限制用戶權限的傳播。*AnIntroductiontoDatabaseSystem26可信計算機系統(tǒng)評測標準（續(xù)）C2級安全產品的最低檔次提供受控的存取保護，將C1級的DAC進一步細化，以個人身份注冊負責，并實施審計和資源隔離達到C2級的產品在其名稱中往往不突出“安全”(Security)這一特色*AnIntroductiontoDatabaseSystem27可信計算機系統(tǒng)評測標準（續(xù)）典型例子操作系統(tǒng)Microsoft的WindowsNT3.5，數字設備公司的OpenVMSVAX6.0和6.1

數據庫Oracle公司的Oracle7Sybase公司的SQLServer11.0.6*AnIntroductiontoDatabaseSystem28可信計算機系統(tǒng)評測標準（續(xù)）B1級標記安全保護?！鞍踩?Security)或“可信的”(Trusted)產品。對系統(tǒng)的數據加以標記，對標記的主體和客體實施強制存取控制（MAC）、審計等安全機制*AnIntroductiontoDatabaseSystem29可信計算機系統(tǒng)評測標準（續(xù)）典型例子操作系統(tǒng)數字設備公司的SEVMSVAXVersion6.0惠普公司的HP-UXBLSrelease4.0.9+

數據庫Oracle公司的TrustedOracle7Sybase公司的SecureSQLServerversion11.0.6Informix公司的IncorporatedINFORMIX-OnLine/Secure5.0*AnIntroductiontoDatabaseSystem30可信計算機系統(tǒng)評測標準（續(xù)）B2級結構化保護建立形式化的安全策略模型并對系統(tǒng)內的所有主體和客體實施DAC和MAC。經過認證的B2級以上的安全系統(tǒng)非常稀少*AnIntroductiontoDatabaseSystem31可信計算機系統(tǒng)評測標準（續(xù)）典型例子操作系統(tǒng)只有TrustedInformationSystems公司的TrustedXENIX一種產品標準的網絡產品只有CryptekSecureCommunications公司的LLCVSLAN一種產品數據庫沒有符合B2標準的產品*AnIntroductiontoDatabaseSystem32可信計算機系統(tǒng)評測標準（續(xù)）B3級安全域。該級的TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強，并提供系統(tǒng)恢復過程。*AnIntroductiontoDatabaseSystem33可信計算機系統(tǒng)評測標準（續(xù)）A1級驗證設計，即提供B3級保護的同時給出系統(tǒng)的形式化設計說明和驗證以確信各安全保護真正實現(xiàn)。*AnIntroductiontoDatabaseSystem34可信計算機系統(tǒng)評測標準（續(xù)）B2以上的系統(tǒng)還處于理論研究階段應用多限于一些特殊的部門如軍隊等美國正在大力發(fā)展安全產品，試圖將目前僅限于少數領域應用的B2安全級別下放到商業(yè)應用中來，并逐步成為新的商業(yè)標準。*AnIntroductiontoDatabaseSystem35可信計算機系統(tǒng)評測標準（續(xù)）*AnIntroductiontoDatabaseSystem36可信計算機系統(tǒng)評測標準（續(xù)）

表示該級不提供對該指標的支持；表示該級新增的對該指標的支持；表示該級對該指標的支持與相鄰低一級的等級一樣；表示該級對該指標的支持較下一級有所增加或改動。*AnIntroductiontoDatabaseSystem37第四章數據庫安全性4.1計算機安全性概論4.2數據庫安全性控制4.3視圖機制4.4審計4.5數據加密4.6統(tǒng)計數據庫安全性4.7小結*AnIntroductiontoDatabaseSystem384.2數據庫安全性控制4.2.0數據庫安全性控制概述4.2.1用戶標識與鑒別4.2.2存取控制4.2.3自主存取控制（DAC）方法4.2.4授權（Authorization）與回收（Revoke）4.2.5數據庫角色4.2.6強制存取控制（MAC）方法*AnIntroductiontoDatabaseSystem394.2.0數據庫安全性控制概述非法使用數據庫的情況用戶編寫一段合法的程序繞過DBMS及其授權機制，通過操作系統(tǒng)直接存取、修改或備份數據庫中的數據；直接或編寫應用程序執(zhí)行非授權操作；*AnIntroductiontoDatabaseSystem40數據庫安全性控制概述（續(xù)）通過多次合法查詢數據庫從中推導出一些保密數據例：某數據庫應用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內的一組人的平均工資 然后查用自己替換張三后這組人的平均工資從而推導出張三的工資破壞安全性的行為可能是無意的，故意的，惡意的。*AnIntroductiontoDatabaseSystem41計算機系統(tǒng)中的安全模型

應用DBMSOS

DB

低

高安全性控制層次

方法：

用戶標識和鑒定

存取控制審計視圖

操作系統(tǒng)安全保護

數據密碼存儲

*AnIntroductiontoDatabaseSystem42數據庫安全性控制概述（續(xù)）數據庫安全性控制的常用方法用戶標識和鑒定存取控制視圖審計密碼存儲*AnIntroductiontoDatabaseSystem434.2數據庫安全性控制4.2.1用戶標識與鑒別4.2.2存取控制4.2.3自主存取控制（DAC）方法4.2.4授權（Authorization）與回收（Revoke）4.2.5數據庫角色4.2.6強制存取控制（MAC）方法*AnIntroductiontoDatabaseSystem444.2.1用戶標識與鑒別用戶標識與鑒別（Identification&Authentication）系統(tǒng)提供的最外層安全保護措施*AnIntroductiontoDatabaseSystem454.2.1用戶標識與鑒別基本方法系統(tǒng)提供一定的方式讓用戶標識自己的名字或身份；系統(tǒng)內部記錄著所有合法用戶的標識；每次用戶要求進入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標識；通過鑒定后才提供機器使用權。用戶標識和鑒定可以重復多次*AnIntroductiontoDatabaseSystem46用戶標識自己的名字或身份用戶名/口令簡單易行，容易被人竊取解決辦法：每個用戶預先約定好一個計算過程或者函數系統(tǒng)提供一個隨機數用戶根據自己預先約定的計算過程或者函數進行計算系統(tǒng)根據用戶計算結果是否正確鑒定用戶身份*AnIntroductiontoDatabaseSystem474.2數據庫安全性控制4.2.1用戶標識與鑒別4.2.2存取控制4.2.3自主存取控制（DAC）方法4.2.4授權（Authorization）與回收（Revoke）4.2.5數據庫角色4.2.6強制存取控制（MAC）方法*AnIntroductiontoDatabaseSystem484.2.2存取控制存取控制機制的功能存取控制機制的組成定義存取權限檢查存取權限用戶權限定義和合法權檢查機制一起組成了DBMS的安全子系統(tǒng)*AnIntroductiontoDatabaseSystem49存取控制（續(xù)）定義存取權限在數據庫系統(tǒng)中，為了保證用戶只能訪問他有權存取的數據，必須預先對每個用戶定義存取權限。檢查存取權限對于通過鑒定獲得上機權的用戶（即合法用戶），系統(tǒng)根據他的存取權限定義對他的各種操作請求進行控制，確保他只執(zhí)行合法操作。*AnIntroductiontoDatabaseSystem50存取控制（續(xù)）常用存取控制方法自主存取控制（DiscretionaryAccessControl，簡稱DAC）

C2級

靈活強制存取控制（MandatoryAccessControl，簡稱MAC）

B1級嚴格*AnIntroductiontoDatabaseSystem514.2.3自主存取控制（DAC）方法4.2.1用戶標識與鑒別4.2.2存取控制4.2.3自主存取控制（DAC）方法4.2.4授權（Authorization）與回收（Revoke）4.2.5數據庫角色4.2.6強制存取控制（MAC）方法*AnIntroductiontoDatabaseSystem52自主存取控制（DAC）方法同一用戶對于不同的數據對象有不同的存取權限不同的用戶對同一對象也有不同的權限用戶還可將其擁有的存取權限轉授給其他用戶*AnIntroductiontoDatabaseSystem53自主存取控制（DAC）方法定義存取權限存取權限存取權限由兩個要素組成數據對象操作類型*AnIntroductiontoDatabaseSystem54自主存取控制（DAC）方法（續(xù)）關系系統(tǒng)中的存取權限類型

數據對象 操作類型模式 模式 建立、修改、刪除、檢索 外模式建立、修改、刪除、檢索 內模式 建立、刪除、檢索數據 表 查找、插入、修改、刪除 屬性列 查找、插入、修改、刪除*AnIntroductiontoDatabaseSystem55自主存取控制（DAC）方法（續(xù)）關系系統(tǒng)中的存取權限(續(xù))定義方法GRANT/REVOKE*AnIntroductiontoDatabaseSystem56自主存取控制（DAC）方法（續(xù)）關系系統(tǒng)中的存取權限(續(xù))例:一張授權表用戶名數據對象名允許的操作類型王平關系StudentSELECT

張明霞關系StudentUPDATE

張明霞關系CourseALL

張明霞SC.GradeUPDATE

張明霞SC.SnoSELECT

張明霞SC.CnoSELECT*AnIntroductiontoDatabaseSystem57自主存取控制（DAC）方法（續(xù)）檢查存取權限對于獲得上機權后又進一步發(fā)出存取數據庫操作的用戶DBMS查找數據字典，根據其存取權限對操作的合法性進行檢查若用戶的操作請求超出了定義的權限，系統(tǒng)將拒絕執(zhí)行此操作*AnIntroductiontoDatabaseSystem58自主存取控制（DAC）方法（續(xù)）

授權粒度授權粒度是指可以定義的數據對象的范圍它是衡量授權機制是否靈活的一個重要指標。授權定義中數據對象的粒度越細，即可以定義的數據對象的范圍越小，授權子系統(tǒng)就越靈活。*AnIntroductiontoDatabaseSystem59自主存取控制（DAC）方法（續(xù)）關系數據庫中授權的數據對象粒度數據庫表屬性列行能否提供與數據值有關的授權反映了授權子系統(tǒng)精巧程度*AnIntroductiontoDatabaseSystem60自主存取控制（DAC）方法（續(xù)）實現(xiàn)與數據值有關的授權利用存取謂詞存取謂詞可以很復雜可以引用系統(tǒng)變量，如終端設備號，系統(tǒng)時鐘等，實現(xiàn)與時間地點有關的存取權限，這樣用戶只能在某段時間內，某臺終端上存取有關數據

例：規(guī)定“教師只能在每年1月份和7月份星期一至星期五上午8點到下午5點處理學生成績數據”。*AnIntroductiontoDatabaseSystem61自主存取控制（DAC）方法（續(xù)）例：擴充后的授權表用戶名數據對象名允許的操作類型存取謂詞 王平關系StudentSELECTSdept=

CS

張明霞關系StudentUPDATESname=

張明霞張明霞關系CourseALL空*AnIntroductiontoDatabaseSystem62自主存取控制（DAC）方法（續(xù)）自主存取控制小結定義存取權限用戶檢查存取權限DBMS*AnIntroductiontoDatabaseSystem63自主存取控制（DAC）方法（續(xù)）自主存取控制小結(續(xù))授權粒度數據對象粒度：數據庫、表、屬性列、行數據值粒度：存取謂詞授權粒度越細，授權子系統(tǒng)就越靈活，能夠提供的安全性就越完善。但另一方面，因數據字典變大變復雜，系統(tǒng)定義與檢查權限的開銷也會相應地增大。*AnIntroductiontoDatabaseSystem64自主存取控制（DAC）方法（續(xù)）自主存取控制小結(續(xù))優(yōu)點能夠通過授權機制有效地控制其他用戶對敏感數據的存取*AnIntroductiontoDatabaseSystem65自主存取控制（DAC）方法（續(xù)）自主存取控制小結(續(xù))缺點可能存在數據的“無意泄露”原因：這種機制僅僅通過對數據的存取權限來進行安全控制，而數據本身并無安全性標記。解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略*AnIntroductiontoDatabaseSystem664.2.4授權與回收4.2.1用戶標識與鑒別4.2.2存取控制4.2.3自主存取控制（DAC）方法4.2.4授權（Authorization）與回收（Revoke）4.2.5數據庫角色4.2.6強制存取控制（MAC）方法*AnIntroductiontoDatabaseSystem674.2.4授權與回收某個用戶對某類數據庫對象具有何種操作權力是個政策問題而不是技術問題。DBMS的功能是保證這些決定的執(zhí)行。*AnIntroductiontoDatabaseSystem684.2.4授權與回收GRANT語句的一般格式：

GRANT<權限>[,<權限>]...[ON<對象類型><對象名>]TO<用戶>[,<用戶>]...[WITHGRANTOPTION];誰定義？DBA和表的建立者（即表的屬主）REVOKE功能：將對指定操作對象的指定操作權限授予指定的用戶。*AnIntroductiontoDatabaseSystem69(1)操作權限

對象對象類型操

作

權

限

屬性列TABLESELECT,INSERT,UPDATEDELETE,ALLPRIVILEGES

視圖TABLESELECT,INSERT,UPDATEDELETE,ALLPRIVILEGES

基本表TABLESELECT,INSERT,UPDATEDELETEALTER,INDEX,ALLPRIVILEGES

數據庫DATABASECREATETAB*AnIntroductiontoDatabaseSystem70(2)用戶的權限建表（CREATETAB）的權限:屬于DBADBA授予-->普通用戶基本表或視圖的屬主擁有對該表或視圖的一切操作權限接受權限的用戶:

一個或多個具體用戶

PUBLIC（全體用戶）*AnIntroductiontoDatabaseSystem71(4)WITHGRANTOPTION子句指定了WITHGRANTOPTION子句:

獲得某種權限的用戶還可以把這種權限再授予別的用戶。沒有指定WITHGRANTOPTION子句:

獲得某種權限的用戶只能使用該權限，不能傳播該權限*AnIntroductiontoDatabaseSystem72例題

例1把查詢Student表權限授給用戶U1GRANTSELECTONTABLEStudentTOU1;*AnIntroductiontoDatabaseSystem73例題（續(xù)）例2把對Student表和Course表的全部權限授予用戶U2和U3GRANTALLPRIVILEGES

ONTABLEStudent,CourseTOU2,U3;*AnIntroductiontoDatabaseSystem74例題（續(xù)）例3把對表SC的查詢權限授予所有用戶

GRANTSELECTONTABLESC TOPUBLIC;*AnIntroductiontoDatabaseSystem75例題（續(xù)）例4把查詢Student表和修改學生學號的權限授給用戶U4

GRANTUPDATE(Sno),SELECT ONTABLEStudent TOU4;*AnIntroductiontoDatabaseSystem76例題（續(xù)）

例5把對表SC的INSERT權限授予U5用戶，并允許他再將此權限授予其他用戶

GRANTINSERTONTABLESCTOU5

WITHGRANTOPTION;*AnIntroductiontoDatabaseSystem77傳播權限

執(zhí)行例5后，U5不僅擁有了對表SC的INSERT權限，還可以傳播此權限：

GRANTINSERTONTABLESCTOU6WITHGRANTOPTION;

同樣，U6還可以將此權限授予U7：

GRANTINSERTONTABLESCTOU7;

但U7不能再傳播此權限。

U5-->U6-->U7*AnIntroductiontoDatabaseSystem78例題（續(xù)）例6DBA把在數據庫S_C中建立表的權限授予用戶U8 GRANTCREATETAB ONDATABASES_C TOU8;*AnIntroductiontoDatabaseSystem79收回權限（Revoke）REVOKE語句的一般格式為：

REVOKE<權限>[,<權限>]...[ON<對象類型><對象名>]FROM<用戶>[,<用戶>]...;功能：從指定用戶那里收回對指定對象的指定權限*AnIntroductiontoDatabaseSystem80例題例7把用戶U4修改學生學號的權限收回

REVOKEUPDATE(Sno) ONTABLEStudent FROMU4;*AnIntroductiontoDatabaseSystem81例題（續(xù)）例8收回所有用戶對表SC的查詢權限

REVOKESELECT ONTABLESC FROMPUBLIC;

*AnIntroductiontoDatabaseSystem82例題（續(xù)）例9把用戶U5對SC表的INSERT權限收回

REVOKEINSERT ONTABLESC FROMU5;*AnIntroductiontoDatabaseSystem834.2.5數據庫角色4.2.1用戶標識與鑒別4.2.2存取控制4.2.3自主存取控制（DAC）方法4.2.4授權（Authorization）與回收（Revoke）4.2.5數據庫角色4.2.6強制存取控制（MAC）方法*AnIntroductiontoDatabaseSystem844.2.5數據庫角色數據庫角色是被命名的一組與數據庫操作相關的權限。角色是權限的集合。為一組具有相同權限的用戶創(chuàng)建一個角色，并使用角色來管理權限可以簡化授權的過程。*AnIntroductiontoDatabaseSystem854.2.5數據庫角色角色的創(chuàng)建*AnIntroductiontoDatabaseSystem864.2.5數據庫角色角色授權Grant<權限>[，<權限>]…on<對象類型>對象名TO<角色>[，<角色>]…*AnIntroductiontoDatabaseSystem874.2.5數據庫角色例題使用角色R1擁有Student表的Select,Update,Insert權限。Grantselect,update,insertOntablestudentToR1*AnIntroductiontoDatabaseSystem884.2.5數據庫角色將一個角色授予其他的角色或用戶Grant<角色1>[，<角色2>]…To<角色3>>[，<用戶1>]…[withcheckoption]*AnIntroductiontoDatabaseSystem894.2.5數據庫角色例題將R1角色授予U1,U2,U3。使他們具有角色R1的全部權限。GrantR1ToU1,U2,U3*AnIntroductiontoDatabaseSystem904.2.5數據庫角色角色權限的收回Revoke<權限>[，<權限>]…On,<對象類型>，<對象名>From<角色>[，<角色>]…*AnIntroductiontoDatabaseSystem914.2.5數據庫角色例題一次性通過R1來收回U1的3個權限。RevokeR1FromU1*AnIntroductiontoDatabaseSystem924.2數據庫安全性控制4.2.1用戶標識與鑒別4.2.2存取控制4.2.3自主存取控制（DAC）方法4.2.4授權（Authorization）與回收（Revoke）4.2.5數據庫角色4.2.6強制存取控制（MAC）方法*AnIntroductiontoDatabaseSystem934.2.6強制存取控制方法什么是強制存取控制強制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標準中安全策略的要求，所采取的強制存取檢查手段。MAC不是用戶能直接感知或進行控制的。MAC適用于對數據有嚴格而固定密級分類的部門軍事部門政府部門*AnIntroductiontoDatabaseSystem94強制存取控制方法（續(xù)）主體與客體在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類主體是系統(tǒng)中的活動實體

DBMS所管理的實際用戶代表用戶的各進程客體是系統(tǒng)中的被動實體，是受主體操縱的文件基表索引視圖*AnIntroductiontoDatabaseSystem95強制存取控制方法（續(xù)）敏感度標記對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標記（Label）敏感度標記分成若干級別絕密（TopSecret）機密（Secret）可信（Confidential）公開（Public）*AnIntroductiontoDatabaseSystem96強制存取控制方法（續(xù)）主體的敏感度標記稱為許可證級別（ClearanceLevel）客體的敏感度標記稱為密級（ClassificationLevel）MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體*AnIntroductiontoDatabaseSystem97強制存取控制方法（續(xù)）

強制存取控制規(guī)則當某一用戶（或某一主體）以標記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則：（1）僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體；（2）僅當主體的許可證級別等于客體的密級時，該主體才能寫相應的客體。*AnIntroductiontoDatabaseSystem98強制存取控制方法（續(xù)）修正規(guī)則：主體的許可證級別<=客體的密級主體能寫客體用戶可為寫入的數據對象賦予高于自己的許可證級別的密級一旦數據被寫入，該用戶自己也不能再讀該數據對象了。*AnIntroductiontoDatabaseSystem99強制存取控制方法（續(xù)）規(guī)則的共同點禁止了擁有高許可證級別的主體更新低密級的數據對象*AnIntroductiontoDatabaseSystem100強制存取控制方法（續(xù)）強制存取控制的特點MAC是對數據本身進行密級標記無論數據如何復制，標記與數據是一個不可分的整體只有符合密級標記要求的用戶才可以操縱數據從而提供了更高級別的安全性*AnIntroductiontoDatabaseSystem101MAC與DACDAC與MAC共同構成DBMS的安全機制原因：較高安全性級別提供的安全保護要包含較低級別的所有保護先進行DAC檢查，通過DAC檢查的數據對象再由系統(tǒng)進行MAC檢查，只有通過MAC檢查的數據對象方可存取。*AnIntroductiontoDatabaseSystem102強制存取控制方法（續(xù)）DAC+MAC安全檢查示意圖

SQL語法分析&語義檢查

DAC檢查安全檢查

MAC檢查

繼續(xù)*AnIntroductiontoDatabaseSystem1034.3視圖機制4.1計算機安全性概論4.2數據庫安全性控制4.3視圖機制4.4審計4.5數據加密4.6統(tǒng)計數據庫安全性4.7小結*AnIntroductiontoDatabaseSystem1044.3視圖機制視圖機制把要保密的數據對無權存取這些數據的用戶隱藏起來，視圖機制更主要的功能在于提供數據獨立性，其安全保護功能太不精細，往往遠不能達到應用系統(tǒng)的要求。*AnIntroductiontoDatabaseSystem105視圖機制（續(xù)）視圖機制與授權機制配合使用:首先用視圖機制屏蔽掉一部分保密數據視圖上面再進一步定義存取權限間接實現(xiàn)了支持存取謂詞的用戶權限定義*AnIntroductiontoDatabaseSystem106視圖機制（續(xù)）例：建立計算機系學生的視圖，把該視圖的檢索權限（Select）授予王平，把該視圖上的所有操作權限授予張明。

1、先建立計算機系學生的視圖CS_Student

CREATEVIEWCS_StudentASSELECTFROMStudentWHERESdept='CS'；*AnIntroductiontoDatabaseSystem107視圖機制（續(xù)）2、在視圖上進一步定義存取權限

GRANTSELECTONCS_StudentTO王平；3、把該視圖上的所有操作權限授予張明GRANTallpriviligesONCS_StudentTO張明*AnIntroductiontoDatabaseSystem1084.4審計4.1計算機安全性概論4.2數據庫安全性控制4.3視圖機制4.4審計4.5數據加密4.6統(tǒng)計數據庫安全性4.7小結*AnIntroductiontoDatabaseSystem1094.4審計什么是審計啟用一個專用的審計日志（AuditLog）將用戶對數據庫的所有操作記錄在上面DBA可以利用審計日志中的追蹤信息找出非法存取數據的人C2以上安全級別的DBMS必須具有審計功能*AnIntroductiontoDatabaseSystem110審計（續(xù)）審計功能的可選性審計很費時間和空間DBA可以根據應用對安全性的要求，靈活地打開或關閉審計功能。*AnIntroductiontoDatabaseSystem111審計（續(xù)）強制性機制:用戶識別和鑒定、存取控制、視圖預防監(jiān)測手段:

審計技術*AnIntroductiontoDatabaseSystem112審計（續(xù)）例題15對修改SC表結構或修改SC表數據的操作進行審計。Auditalter,updateOnSC*AnIntroductiontoDatabaseSystem113審計（續(xù)）例題16取消對SC表的一切審計。Noauditalter,updateOnsc*AnIntroductiontoDatabaseSystem1144.5數據加密4.1計算機安全性概論4.2數據庫安全性控制4.3視圖機制4.4審計4.5數據加密4.6統(tǒng)計數據庫安全性4.7小結*AnIntroductiontoDatabaseSystem1154.5數據加密數據加密防止數據庫中數據在存儲和傳輸中失密的有效手段加密的基本思想根據一定的算法將原始數據（術語為明文，Plaintext）變換為不可直接識別的格式（術語為密文，Ciphertext）不知道解密算法的人無法獲知數據的內容*AnIntroductiontoDatabaseSystem116數據加密（續(xù)）加密方法

替換方法使用密鑰（EncryptionKey）將明文中的每一個字符轉換為密文中的一個字符置換方法將明文的字符按不同的順序重新排列混合方法美國1977年制定的官方加密標準：數據加密標準（DataEncryptionStandard，簡稱DES）*AnIntroductiontoDatabaseSystem117數據加密（續(xù)）DBMS