导图社区数据库安全性

数据库安全性

是王珊和萨师煊老师编著的《数据库系统概论（第五版）》的第四章的总结，可供提前预习或者考前复习的框架来使用，亦可用作学习指导使用。总结中也纳入了中国人民大学的数据库系统概论网课的内容。

编辑于2022-01-16 18:25:08

数据库系统
数据安全

馗顺先生

他的近期作品查看更多>>

数据库安全性
是王珊和萨师煊老师编著的《数据库系统概论（第五版）》的第四章的总结，可供提前预习或者考前复习的框架来使用，亦可用作学习指导使用。总结中也纳入了中国人民大学的数据库系统概论网课的内容。
关系数据库标准语言SQL
本思维导图基于《数据库系统概论》第五版第三章关系数据库标准语言SQL的内容总结，可便于大家复习学习使用。
关系数据库
《数据库系统概论》第二章的思维导图总结，包括：关系数据结构及形式化定义、关系操作、关系的完整性、关系代数、关系演算。在学习时可以作为大致框架来参考。

数据库安全性

社区模板帮助中心，点此进入>>

馗顺先生

他的近期作品查看更多>>

相似推荐
大纲

互联网9大思维
- 30.8k
- 2.2k
- 361
MindMaster
组织架构-单商户商城webAPP 思维导图。
- 13.8k
- 176
- 15
Kacyun
域控上线
- 1.5k
- 10
- 5
jackrao
python思维导图
- 5.1k
- 230
- 8
(*^▽^*)
css
- 1.2k
- 41
- 5
A张舫
CSS
- 3.1k
- 187
- 33
journey
计算机操作系统思维导图
- 3.9k
- 196
- 21
journey
计算机组成原理
- 1.4k
- 70
- 10
journey
IMX6UL(A7)
- 475
- 5
- 1
Handler XU
考试学情分析系统
- 611
- 10
- 1
蒋龙

数据库安全性

数据库安全性概述

计算机系统安全性概论

为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等

三个计算机系统安全性问题

技术安全类

管理安全类

政策法律类

数据库的安全性是指保护数据库以防止不合法使用所造成的数据泄露、更改或破坏

数据库的不安全因素

非授权用户对数据库的恶意存取和破坏

数据库中重要或敏感的数据被泄露

安全环境的脆弱性

安全标准简介

信息安全标准的发展简史

TCSEC/TDI安全级别划分

数据库安全性控制

计算机的安全模型

数据库安全性控制的常用方法

用户身份鉴别

静态口令鉴别

动态口令鉴别

生物特征鉴别

智能卡鉴别

存取控制

定义用户权限

是某个用户对某一数据对象的操作权力

是个管理问题和政策问题

合法权限检查

自主存取控制(DAC)

C2级

定义各个用户对不同数据对象的存取对象。当用户对数据库访问时首先检查用户的存取权限。防止不合法用户对数据库的存取。

强制存取控制(MAC)

B1级

每一个数据对象被（强制地）标以一定的密级，每一个用户也被（强制地）授予某一个级别的许可，系统规定只有具有谋一许可证级别的用户才能存取某一个密级的数据对象。

DBMS的安全子系统

自主存取控制方法

通过GRANT语句和REVOKE语句来实现

用户权限组成

数据库对象和操作类型

定义用户存取权限（授权）

定义用户可以在哪些数据库对象上进行哪些类型的操作

关系数据库系统中的存取权限

授权：授予与收回

授权GRANT

一般格式

GRANT < 权限 >[,< 权限 >]... [ON < 对象类型 > < 对象名 >] TO < 用户 >[,< 用户 >]... [WITH GRANT OPTION];

将指定操作对象的指定操作权限授予某指定的用户

不允许循环授权，即被授权者不能把权限再授回给授权者或其祖先

收回REVOKE

一般格式

REVOKE < 权限 >[,< 权限 >]... [ON < 对象类型 > < 对象名 >] FROM < 用户 >[,< 用户 >]...;

所有授出的权限都可以在必要时通过REVOKE收回

SQL灵活的授权机制

DBA

拥有所有对象的所有权限

不同权限授予不同的用户

用户

拥有自己建立的对象的全部权限

被授权的用户

“ 继续授权”许可：再授予

创建数据库模式的权限

DBA在创建用户时实现

数据库角色

是被命名的一组与数据库操作相关的权限，角色是权限的集合

角色的创建

CREATE ROLE < 角色名 >

给角色授权

GRANT < 权限 > ［， < 权限 > ］… ON < 对象类型 > 对象名 TO < 角色 > ［， < 角色 > ］…

将一个角色授予其它的用户或角色

GRANT < 角色 1> ［， < 角色 2> ］… TO < 角色 3> ［， < 用户 1> ］… ［ WITH ADMIN OPTION ］

角色权限的收回

REVOKE < 权限 > ［， < 权限 > ］… ON < 对象类型 > < 对象名 > FROM < 角色 > ［， < 角色 > ］…

强制存取控制方法

自主存取控制缺点

可能存在数据的“无意泄露”

主体与客体

主体是系统中的活动实体

客体是系统中的被动实体，是受主体操纵的

强制存取控制方法

敏感度标记

主体的敏感度标记称为许可证级别

客体的敏感度标记称为密级

控制规则

仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体

仅当主体的许可证级别小于或等于客体的密级时，该主体才能写相应的客体

禁止了拥有高许可证级别的主体更新低密级的数据对象

DAC-MAC安全检查示意图

视图机制

把要保密的数据对无权存取这些数据的用户隐藏起来，对数据提供一定程度的安全保护

主要功能是提供数据独立性，无法完全满足要求

间接实现了支持存取谓词的用户权限定义

审计

审计功能把用户对数据库的所有操作自动记录下来放入审计日志中。审计员可以利用审计日志监控数据库中的各种行为，重现导致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等。

审计事件

服务器事件

系统权限

语句事件

模式对象事件

用户级审计

针对自己创建的数据库表或视图进行审计

记录所有用户对这些表或视图的一切成功和（或）不成功的访问要求以及各种类型的 SQL 操作

系统级审计

DBA 设置

监测成功或失败的登录要求

监测 GRANT 和 REVOKE 操作以及其他数据库级权限下的操作

AUDIT语句和NOAUDIT语句

设置审计功能和取消审计功能

数据加密

加密的思想是根据一定的算法将原始数据——明文变换为不可直接识别的格式——密文，从而使得不知道解密算法的人无法获知数据的内容

数据加密主要包括存储加密和传输加密

加密方法

替换方法

置换方法

混合方法

其他安全性防护

推理控制

避免用户利用其可以访问到的数据推知更高密级的数据

隐蔽信道

数据隐私保护技术

数据库安全机制的设计目标

试图破坏安全的人所花费的代价 >> 得到的利益