数据库课件第四章
合集下载
数据库第四章——数据库安全性
输入用户名 cheng
输入密码
SQL Server 2005密码复杂性策略: 1. 不得包含全部或部分(>=3)用户帐号名; 2. 长度至少6个字符; 3. 密码包含4类字符:英文大写字母、小写 字母、10个基本数字,非字母字符(!@等)
19
An Introduction to Database System
5
An Introduction to Database System
数据的安全性是指保护数据以防止因不合法的使用而 数据的安全性是指保护数据以防止因不合法的使用而 造成数据的泄露、更改和破坏。 造成数据的泄露、更改和破坏。这就要采取一定的安 全措施。 全措施。 数据库的安全性和计算机系统的安全性,包括计算机 数据库的安全性和计算机系统的安全性, 硬件、操作系统、网络系统等的安全性,是紧密联系、 硬件、操作系统、网络系统等的安全性,是紧密联系、 相互支持的。 相互支持的。
输入用户名 kk
输入密码
SQL Server 2000密码复杂性策略: 2000密码复杂性策略 密码复杂性策略: 1. 不得包含全部或部分(>=3)用户帐号名; 不得包含全部或部分(>=3)用户帐号名; 2. 长度至少6个字符; 长度至少6个字符; 3. 密码包含4类字符:英文大写字母、小写 密码包含4类字符:英文大写字母、 字母、10个基本数字 非字母字符(! 个基本数字, (!@ 字母、10个基本数字,非字母字符(!@等)
14
An Introduction to Database System
删除Windows NT认证模式登录账号
步骤如下: 步骤如下: 以系统管理员身份进入企业管理器,并展开目录树; (1) 以系统管理员身份进入企业管理器,并展开目录树; 在目录树的“登录名” 节点下, (2) 在目录树的“登录名” 节点下,选中待删除的名称 wfy\wfytest” “wfy\wfytest”
输入密码
SQL Server 2005密码复杂性策略: 1. 不得包含全部或部分(>=3)用户帐号名; 2. 长度至少6个字符; 3. 密码包含4类字符:英文大写字母、小写 字母、10个基本数字,非字母字符(!@等)
19
An Introduction to Database System
5
An Introduction to Database System
数据的安全性是指保护数据以防止因不合法的使用而 数据的安全性是指保护数据以防止因不合法的使用而 造成数据的泄露、更改和破坏。 造成数据的泄露、更改和破坏。这就要采取一定的安 全措施。 全措施。 数据库的安全性和计算机系统的安全性,包括计算机 数据库的安全性和计算机系统的安全性, 硬件、操作系统、网络系统等的安全性,是紧密联系、 硬件、操作系统、网络系统等的安全性,是紧密联系、 相互支持的。 相互支持的。
输入用户名 kk
输入密码
SQL Server 2000密码复杂性策略: 2000密码复杂性策略 密码复杂性策略: 1. 不得包含全部或部分(>=3)用户帐号名; 不得包含全部或部分(>=3)用户帐号名; 2. 长度至少6个字符; 长度至少6个字符; 3. 密码包含4类字符:英文大写字母、小写 密码包含4类字符:英文大写字母、 字母、10个基本数字 非字母字符(! 个基本数字, (!@ 字母、10个基本数字,非字母字符(!@等)
14
An Introduction to Database System
删除Windows NT认证模式登录账号
步骤如下: 步骤如下: 以系统管理员身份进入企业管理器,并展开目录树; (1) 以系统管理员身份进入企业管理器,并展开目录树; 在目录树的“登录名” 节点下, (2) 在目录树的“登录名” 节点下,选中待删除的名称 wfy\wfytest” “wfy\wfytest”
《数据库第4章》课件
03
SQL语言基础
SQL语言概述
总结词
简洁、高效、标准化的特点
详细描述
SQL(Structured Query Language)是一种用于管理关系数据库的标准编程语言。它以简洁的语法 和高效的性能而著称,被广泛应用于数据查询、更新、管理以及数据库设计和维护。
SQL语言的数据定义功能
总结词
定义、修改、删除数据结构
关系数据库系统的特点
要点一
总结词
关系数据库系统具有数据完整性、标准化、安全性和并发 控制等特点。
要点二
详细描述
数据完整性是指关系数据库中的数据保持准确性和一致性 ,防止错误和无效数据的输入。标准化是指通过规范化的 表格结构和关系,减少数据冗余和保证数据一致性。安全 性是指对数据库的访问进行控制,确保数据的保密性和完 整性。并发控制则是在多用户同时访问数据库时,确保数 据的一致性和避免冲突。
安全对于保护企业资产、个人隐私以及国家安全等方面都具有重要意义
。
数据库的安全性控制
用户身份认证
通过用户名和密码等身份认证方式,确保只 有经过授权的用户才能访问数据库。
访问控制
根据用户的角色和权限,限制用户对数据库 的访问范围和操作权限。
数据加密
对敏感数据进行加密存储,以防止未经授权 的用户获取和利用。
05
数据库安全与保护
数据库安全概述
01
数据库安全定义
数据库安全是指通过采取各种安全措施和技术手段,确保数据库中的数
据不被未经授权的访问、使用、泄露、破坏、修改或销毁。
02
数据库安全威胁
数据库面临的安全威胁包括数据泄露、数据篡改、数据损坏、非授权访
问等。
03
《Access数据库应用技术》课件第4章
弹出如图4-7所示的“窗体向导”对话框(一)。在“表/查询”
项中选择“学生”表,然后将所有字段选定,单击“下一步”
按钮。
(3) 在“窗体向导”对话框(二)中设置窗体的布局,这
里选择“纵栏表”,如图4-8所示,单击“下一步”按钮。
图4-7 “窗体向导”对话框(一)
图4-8 “窗体向导”对话框(二)
所创建的窗体如图4-16所示。
图4-15 “图表向导”对话框(四)
图4-16 “班级人数图表”窗体
4.2.4 在设计视图中创建窗体 实例4.4 创建“课程信息”窗体。 操作步骤如下: (1) 打开教学管理数据库。 (2) 在“数据库”窗口中,单击“对象”下的“窗体”。
用鼠标左键双击右侧列表中的“在设计视图中创建窗体”项, 打开窗体设计视图,如图4-17所示。
4.1.4 窗体的组成 窗体对象的组成包括窗体页眉节、页面页眉节、主体节、
页面页脚节及窗体页脚节等五部分,如图4-1所示。一般情 况下,只使用部分窗体节,以使得用户能更有效地使用窗体。 大部分窗体只使用主体节、页面页眉节和页面页脚节即可满 足一般性应用需求。
图4-1 窗体的组成
4.2 创建窗体操作实例
(11) 关闭属性窗口,依次为各个文本框设置控件来源, 结果如图4-25所示。
说明:控件的添加也可从字段列表框中拖拽所需字段到 窗体中,系统将自动选择相应的控件与所拖拽的字段对应。
图4-25 设置其他各控件的来源
(12) 按图4-26所示,调整各控件的大小与位置。 说明:用鼠标拖拽出一矩形区域,可选中该区域中的所 有控件。单击鼠标右键,在弹出的快捷菜单中可选择“对齐” 或“大小”菜单中的各子菜单项对控件进行快速调整。
3. 数据透视表视图和数据透视图视图 数据透视表视图或数据透视图视图中的数据与相应的窗 体绑定。在这些视图中,可以动态地更改窗体的版面,从而 以各种不同方法分析数据;可以重新排列行标题、列标题和 筛选字段,直到形成所需的版面布置为止。每次改变版面布 置时,窗体会立即按照新的布置重新计算数据。 在数据透视表视图中,通过排列筛选行、列和明细等区 域中的字段,可以查看明细数据或汇总数据。 在数据透视图视图中,通过选择一种图表类型并排列筛 选序列、类别和数据区域中的字段,可以直观地显示数据。
第4章+关系规范化理论 (数据库原理及应用) PPT
100101
姜珊
女
信电学院 C150101 数据结构
100101
姜珊
女
信电学院 C150103 数据库
120102
陈默
女
管理学院 C150102 操作系统
120102
陈默
女
管理学院 C150103 数据库
130103
孙浩
男
外语学院 C150100 计算机基础
Score 78
70 85 68 82 72
模式分解后,消除了原关系S中的部分函数依赖,即S1、 S2、S3 3个关系模式都不存在部分函数依赖,S1、S2、S3 都属于2NF。
PNO,PN,COLOR,PRICE,SNO商店号, SN商店名称,CITY所在城市, QTY销售 商品数量
❖(SNO,SN,CITY,PNO,PN,COLOR, PRICE,QTY)
(1)如果X→Y,且YX,则称X→Y是平凡的函数依赖。
YX
(2)如果X→Y,但
,则称X→Y是非平凡的函数依赖。
(3)如果X→Y,则称X为决定因素(Determinant),称Y
为依赖因素(Dependent)。
(4)如果X→Y且Y→X,则记作X←→→Y。
(5)如果Y不函数依赖于X,则记作X Y 。
4.3.2 第二范式(2NF)
定义4.5:如果关系模式R∈1NF,且每个非主属性 都完全函数依赖于主键,则称R属于第二范式,记为 R∈2NF。
由定义可知,如果某个1NF的关系的主键只由一个属 性组成或关系的全体属性均为主属性,那么这个关系就是 2NF。如果主键是由多个属性列共同构成的复合主键,并 且存在非主属性对主属性的部分函数依赖,则这个关系就 不是2NF。
数据库系统原理课件第四章演示文稿2024新版
封锁技术
通过设置锁来防止对数据的并发访问冲突。
恢复与并发控制实施方法
时间戳技术
为每个事务分配一个唯一的时间戳,根据时 间戳来决定事务的执行顺序。
乐观并发控制
假设多个事务在并发执行时不会互相干扰, 只在提交时检查是否有冲突。
悲观并发控制
在事务执行过程中就采取措施防止其他事务 的干扰,如加锁等。
THANKS
安全性与完整性实施方法
实体完整性
确保表中的每一行数据都有一个唯一的标识符,防止数据重复和混乱。
参照完整性
在相关联的表之间建立外键约束,确保表之间的数据一致性和有效性。
安全性与完整性实施方法
用户定义的完整性
根据具体的应用需求和数据语义,定义特定的完整性约束条件,如数据范围、格式等。
并发控制
通过锁定机制、时间戳等方法控制多个用户对同一数据的并发操作,防止数据不一致和 冲突。
言)是用于管理关系数据库的标准编程语言。
02
SQL语言的主要功能包括数据查询、数据定义、数据
操纵和数据控制。
03
SQL语言具有简单易学、功能强大、可移植性好等优
点,被广泛应用于各种关系数据库管理系统中。
数据定义语言(DDL)
DDL(Data Definition Language,数据定义语言)用于定义和管理数据 库中的对象,如表、视图、索引等。
02
数据库是长期存储在计算机内 、有组织的、可共享的大量数 据的集合。
03
数据库管理系统(DBMS)是 数据库系统的核心软件,它提 供数据定义、数据操作、数据 控制和数据维护等基本功能。
数据库系统特点
数据结构化
数据库中的数据是按照一定 的数据模型组织、描述和存 储的,具有较高的结构化程 度。
数据库原理与应用第四章课件
数据依赖研究数据之间的联系;范式是关系模式的标准; 模式分解是自动化设计的基础。其中的重点是关系模式的规范 化式。
4.1 数 据 依 赖
2. 三种函数依赖 在R(U)中,如果X→Y,并且对于X的任意一个真子集X‘,
都有X’不能确定Y,则称Y对X完全函数依赖。 若X →Y,但Y不完全函数依赖于X,则称Y对X部分函数依
赖。
在R(U)中,如果X→Y,(X不属于Y),Y→Z,(Z不属于
Y),则称Z对X传递函数依赖。
关 系 模 式 R<U , F>∈1NF , 如 果 对 于 R 的 每 个 函 数 依 赖 X→Y,若Y不属于X,则X必含有候选码,那么R∈BCNF。
4.3 模 式 分 解
把泛关系模式R用一组关系模式的集合ρ={R1,R2,…, Rk}来表示(R1,R2,...,Rk)都是R的子集,ρ就是数据库模式。以ρ 代替R的过程称为关系模式的分解。实际上,关系模式的分解不 仅仅是属性集合的分解,它是对关系模式上的函数依赖集、以 及关系模式的当前值分解的具体表现。
4.1 数 据 依 赖
3. 最小函数依赖集 每一个函数依赖集F均等价于一个极小函数依赖集Fm。此
Fm称为F的最小依赖集。
4.2 关系的规范化
4.2.1 第一范式
如果一个关系模式R的所有属性都是不可分的基本数据项, 则R∈1NF。
第一范式是对关系模式的最起码的要求。不满足第一范式 的数据库模式不能称为关系数据库。但是满足第一范式的关系 模式并不一定是一个好的关系模式。
4.3 模 式 分 解
2.模式分解的具体算法 算法1 (合成法)转换为3NF的保持函数依赖的分解。 算法2 转换为3NF既有无损连接性又保持函数依赖的分解。
本章小结
4.1 数 据 依 赖
2. 三种函数依赖 在R(U)中,如果X→Y,并且对于X的任意一个真子集X‘,
都有X’不能确定Y,则称Y对X完全函数依赖。 若X →Y,但Y不完全函数依赖于X,则称Y对X部分函数依
赖。
在R(U)中,如果X→Y,(X不属于Y),Y→Z,(Z不属于
Y),则称Z对X传递函数依赖。
关 系 模 式 R<U , F>∈1NF , 如 果 对 于 R 的 每 个 函 数 依 赖 X→Y,若Y不属于X,则X必含有候选码,那么R∈BCNF。
4.3 模 式 分 解
把泛关系模式R用一组关系模式的集合ρ={R1,R2,…, Rk}来表示(R1,R2,...,Rk)都是R的子集,ρ就是数据库模式。以ρ 代替R的过程称为关系模式的分解。实际上,关系模式的分解不 仅仅是属性集合的分解,它是对关系模式上的函数依赖集、以 及关系模式的当前值分解的具体表现。
4.1 数 据 依 赖
3. 最小函数依赖集 每一个函数依赖集F均等价于一个极小函数依赖集Fm。此
Fm称为F的最小依赖集。
4.2 关系的规范化
4.2.1 第一范式
如果一个关系模式R的所有属性都是不可分的基本数据项, 则R∈1NF。
第一范式是对关系模式的最起码的要求。不满足第一范式 的数据库模式不能称为关系数据库。但是满足第一范式的关系 模式并不一定是一个好的关系模式。
4.3 模 式 分 解
2.模式分解的具体算法 算法1 (合成法)转换为3NF的保持函数依赖的分解。 算法2 转换为3NF既有无损连接性又保持函数依赖的分解。
本章小结
《数据库原理及应用》教学课件 第四章数据操纵与查询
SELECT * FROM SC WHERE Grade>80
本例需要查询学生选课信息,即查询数据表 SC 中的所有属性,在 SELECT 后用“*”表示;在 WHERE 子句中使用比较运算符构造查询 条件,输出满足条件的元组。所得查询结果如图所示。
18
4.2 单表查询
4.2.2 无条件查询与条件查询
20
4.2 单表查询
4.2.2 无条件查询与条件查询
(4)确定集合查询
【例4-12】 从数据表 SC 中查询选修了课程“C0204”或“D0101”的学生的选课信息。
SELECT * FROM SC WHERE CNo IN('C0204','D0101')
IN 表示查询属性值属于指定集合的元组。本例查询结果如图 所示。
23
4.2 单表查询
4.2.2 无条件查询与条件查询
(6)空值查询
不同于零和空格,空值不占用任何存储空间。例如,某学生选修了某门课程,但没有参加考试, 这时就会出现数据表中有选课记录但考试成绩为空的情况,空值查询就可以对这类数据进行查询。 同样,也可以对不为空的数据进行查询。
【例4-14】 从数据表 SC中查询考试成绩有效的学生选课信息。 SELECT * FROM SC WHERE Grade IS NOT NULL
查询数据的 SQL 命令为 SELECT,具体语法格式如下:
SELECT [ALL|DISTINCT] <列名> [[AS] <列别名>] [ , N ] FROM <表名> [[AS] <表别名>] [WHERE <条件1>] [GROUP BY <列名1> [HAVING <条件2>] ] [ORDER BY <列名2> [ASC|DESC]]
本例需要查询学生选课信息,即查询数据表 SC 中的所有属性,在 SELECT 后用“*”表示;在 WHERE 子句中使用比较运算符构造查询 条件,输出满足条件的元组。所得查询结果如图所示。
18
4.2 单表查询
4.2.2 无条件查询与条件查询
20
4.2 单表查询
4.2.2 无条件查询与条件查询
(4)确定集合查询
【例4-12】 从数据表 SC 中查询选修了课程“C0204”或“D0101”的学生的选课信息。
SELECT * FROM SC WHERE CNo IN('C0204','D0101')
IN 表示查询属性值属于指定集合的元组。本例查询结果如图 所示。
23
4.2 单表查询
4.2.2 无条件查询与条件查询
(6)空值查询
不同于零和空格,空值不占用任何存储空间。例如,某学生选修了某门课程,但没有参加考试, 这时就会出现数据表中有选课记录但考试成绩为空的情况,空值查询就可以对这类数据进行查询。 同样,也可以对不为空的数据进行查询。
【例4-14】 从数据表 SC中查询考试成绩有效的学生选课信息。 SELECT * FROM SC WHERE Grade IS NOT NULL
查询数据的 SQL 命令为 SELECT,具体语法格式如下:
SELECT [ALL|DISTINCT] <列名> [[AS] <列别名>] [ , N ] FROM <表名> [[AS] <表别名>] [WHERE <条件1>] [GROUP BY <列名1> [HAVING <条件2>] ] [ORDER BY <列名2> [ASC|DESC]]
数据库课件 第四章 结构化查询语言
其中: ADD-增加新列和新的完整性约束条件; DROP-删除指定列或者完整性约束条件; ALTER-修改原有的列定义,包括修改列名和数据类型。
4.2.2 基本表的修改
【例4.4】向抢修工程计划表salvaging增加‚工程项目负 责人‛列,数据类型为字符型。
注意:不论基本表中原来是否已有数据,新增加的列一律为空值。
4.3 数据查询
执行过程:
(1)读取FROM子句中基本表、视图的数据,执行笛卡 儿积操作;
(2)选取满足WHERE子句中给出的条件表达式的元组; (3)按GROUP子句中指定列的值分组,同时提取满足 HAVING子句中组条件表达式的那些组;
(4)按SELECT子句中给出的列名或列表达式求值输出;
(5)ORDER子句对输出的目标表进行排序,可选择升序 或降序.
• 结果集
– 查询操作的对象是关系,结果还是一个关系, 是一个结果集,而且是一个动态数据集。
4.3 数据查询
我们以电力抢修工程数据库 为例说明SELECT语 句的各种用法.
(a) stock表
4.3 数据查询
(b) salvaging表
4.3 数据Βιβλιοθήκη 询(c) out_stock表
4.3.1 单表查询
4.2.1 基本表的定义
(3)配电物资领料出库表: out_stock(prj_num, mat_num, amount, get_date, department) 主码为(prj_num, mat_num) 各属性含义如下: 工程项目编号(prj_num) 物资编号(mat_num) 领取数量(amount) 领料日期(get_date) 领料部门(department)
4.2.1 基本表的定义
4.2.2 基本表的修改
【例4.4】向抢修工程计划表salvaging增加‚工程项目负 责人‛列,数据类型为字符型。
注意:不论基本表中原来是否已有数据,新增加的列一律为空值。
4.3 数据查询
执行过程:
(1)读取FROM子句中基本表、视图的数据,执行笛卡 儿积操作;
(2)选取满足WHERE子句中给出的条件表达式的元组; (3)按GROUP子句中指定列的值分组,同时提取满足 HAVING子句中组条件表达式的那些组;
(4)按SELECT子句中给出的列名或列表达式求值输出;
(5)ORDER子句对输出的目标表进行排序,可选择升序 或降序.
• 结果集
– 查询操作的对象是关系,结果还是一个关系, 是一个结果集,而且是一个动态数据集。
4.3 数据查询
我们以电力抢修工程数据库 为例说明SELECT语 句的各种用法.
(a) stock表
4.3 数据查询
(b) salvaging表
4.3 数据Βιβλιοθήκη 询(c) out_stock表
4.3.1 单表查询
4.2.1 基本表的定义
(3)配电物资领料出库表: out_stock(prj_num, mat_num, amount, get_date, department) 主码为(prj_num, mat_num) 各属性含义如下: 工程项目编号(prj_num) 物资编号(mat_num) 领取数量(amount) 领料日期(get_date) 领料部门(department)
4.2.1 基本表的定义
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2012-12-26 长春理工大学计算机科学技术学院
例题(续)
例4 把查询S表和修改学生学号的权限授给用户U4
GRANT UPDATE(Sno), SELECT ON S TO U4;
2012-12-26 长春理工大学计算机科学技术学院
例题(续)
例5 把对表SC的INSERT权限授予U5用户, 并 允许他再将此权限授予其他用户 GRANT INSERT ON SC TO U5 WITH GRANT OPTION;
• 强制性机制:
用户识别和鉴定、存取控制、视图
• 预防监测手段: 审计技术
2012-12-26 长春理工大学计算机科学技术学院
4.5 数据加密
• 数据加密
– 防止数据库中数据在存储和传输中失密的有效 手段
• 加密的基本思想
– 根据一定的算法将原始数据(术语为明文, Plain text)变换为不可直接识别的格式(术语 为密文,Cipher text) – 不知道解AC与MAC共同构成DBMS的安全机制 – 原因:较高安全性级别提供的安全保护要 包含较低级别的所有保护 • 先进行DAC检查,通过DAC检查的数据对 象再由系统进行MAC检查,只有通过MAC 检查的数据对象方可存取。
2012-12-26 长春理工大学计算机科学技术学院
强制存取控制方法(续)
2012-12-26 长春理工大学计算机科学技术学院
例题(续)
例6 DBA把在数据库S_C中建立表的权限授予用 户U8 GRANT CREATETAB ON DATABASE S_C TO U8; GRANT CREATE TABLE TO U8
2012-12-26 长春理工大学计算机科学技术学院
视图机制(续)
在视图上进一步定义存取权限 GRANT SELECT ON CS_Student TO 王平 ;
2012-12-26 长春理工大学计算机科学技术学院
4.4 审计
• 什么是审计
– 启用一个专用的审计日志(Audit Log)
将用户对数据库的所有操作记录在上面
– DBA可以利用审计日志中的追踪信息
DAC + MAC安全检查示意图
SQL语法分析 & 语义检查
DAC 检 查 安全检查
MAC 检 查
继续
2012-12-26 长春理工大学计算机科学技术学院
4.3 视图机制
• 视图机制把要保密的数据对无权存取这些数据的 用户隐藏起来,
• 视图机制更主要的功能在于提供数据独立性,其
安全保护功能太不精细,往往远不能达到应用系
统的要求。
2012-12-26 长春理工大学计算机科学技术学院
视图机制(续)
例:王平只能检索计算机系学生的信息
先建立计算机系学生的视图CS_Student
CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept='CS';
2012-12-26 长春理工大学计算机科学技术学院
2012-12-26 长春理工大学计算机科学技术学院
例题
例1 把查询Student表权限授给用户U1
GRANT SELECT ON S TO U1;
2012-12-26 长春理工大学计算机科学技术学院
例题(续)
例2 把对Student表和Course表的全部权限授 予用户U2和U3 GRANT ALL PRIVILEGES ON S, C TO U2, U3; 只能单表授权。
4.2.5数据库角色
• 数据库角色是被命名的一组与数据库操作相 关的权限,是权限的集合 1) 角色的创建 • EXEC SP_ADDROLE <角色名> 2) 给角色授权 • GRANT ….. ON ….. TO <角色名> 3) 将一个角色授予其他的角色或用户 4) 角色权限的回收 REVOKE…..ON……FROM <角色名>
2012-12-26 长春理工大学计算机科学技术学院
数据库安全性(续)
• 什么是数据库的安全性
– 数据库的安全性是指保护数据库,防止因用户 非法使用数据库造成数据泄露、更改或破坏。
• 各系统安全性之间是相互紧密联系、相互 支持的
2012-12-26 长春理工大学计算机科学技术学院
第四章 数据库安全性
1.自主存取控制方法
• 同一用户对于不同的数据对象有不同的存取 权限
• 不同的用户对同一对象也有不同的权限
• 用户还可将其拥有的存取权限转授给其他用 户
2012-12-26 长春理工大学计算机科学技术学院
2.强制存取控制方法
• 每一个数据对象被标以一定的密级 • 每一个用户也被授予某一个级别的许可证 • 对于任意一个对象,只有具有合法许可证
固定角色介绍
2012-12-26 长春理工大学计算机科学技术学院
4.2.6 强制存取控制方法
• 强制存取控制的特点 P143
– MAC是对数据本身进行密级标记
– 无论数据如何复制,标记与数据是一个不可分 的整体 – 只有符合密级标记要求的用户才可以操纵数据 – 从而提供了更高级别的安全性
2012-12-26 长春理工大学计算机科学技术学院
4.1 计算机安全性概论 4.2 数据库安全性控制 4.3 视图机制 4.4 审计 4.5 数据加密 4.6 统计数据库安全性 4.7 小结
2012-12-26 长春理工大学计算机科学技术学院
4.2 数据库安全性控制
4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 用户标识与鉴别 存取控制 自主存取控制方法 授权与回收 数据库角色 强制存取控制方法
REVOKE UPDATE(Sno) ON S FROM U4;
2012-12-26 长春理工大学计算机科学技术学院
例题(续)
例9 收回所有用户对表SC的查询权限
REVOKE SELECT ON SC FROM PUBLIC;
2012-12-26 长春理工大学计算机科学技术学院
例题(续)
例10 把用户U5对SC表的INSERT权限收回 REVOKE INSERT ON SC FROM U5;
[ON <对象名>] TO <用户>[,<用户>]...
[WITH GRANT OPTION]; • 谁定义?DBA和表的建立者(即表的属主) • GRANT功能:将对指定操作对象的指定操作权 限授予指定的用户。
2012-12-26 长春理工大学计算机科学技术学院
(1) 用户的权限
• 建表(CREATE TABLE)的权限:属于DBA • DBA授予-->普通用户 • 基本表或视图的属主拥有对该表或视图的 一切操作权限 • 接受权限的用户:
– 系统提供的最外层安全保护措施
2012-12-26 长春理工大学计算机科学技术学院
用户标识与鉴别
基本方法
• 系统提供一定的方式让用户标识自己的名字或身份; • 系统内部记录着所有合法用户的标识; • 每次用户要求进入系统时,由系统核对用户提供的 身份标识; • 通过鉴定后才提供机器使用权。 • 用户标识和鉴定可以重复多次
数据库系统概论
An Introduction to Database System
第四章 数据库安全性
2012-12-26
1
第四章
• 问题的提出
数据库安全性
– 数据库的一大特点是数据可以共享
– 但数据共享必然带来数据库的安全性问题
– 数据库系统中的数据共享不能是无条件的共享
例:军事秘密、国家机密、新产品实验数据、 市场需求分析、市场营销策略、销售计 划、客户档案、医疗档案、银行储蓄数据
一个或多个具体用户 PUBLIC(全体用户)
2012-12-26 长春理工大学计算机科学技术学院
(2) WITH GRANT OPTION子句
• 指定了WITH GRANT OPTION子句: 获得某种权限的用户还可以把这种权 限再授予别的用户。
• 没有指定WITH GRANT OPTION子句: 获得某种权限的用户只能使用该权限, 不能传播该权限
2012-12-26 长春理工大学计算机科学技术学院
存取控制(续)
• 常用存取控制方法
1. 自主存取控制(Discretionary Access Control ,简称DAC) 2. 强制存取控制(Mandatory Access Control, 简称 MAC)
2012-12-26 长春理工大学计算机科学技术学院
2012-12-26 长春理工大学计算机科学技术学院
权限的级联回收 系统将收回直接或间接从U5处获得的对SC
表的INSERT权限: -->U5--> U6--> U7 收回U5、U6、U7获得的对SC表的INSERT
权限:
<--U5<-- U6<-- U7
2012-12-26 长春理工大学计算机科学技术学院
2012-12-26 长春理工大学计算机科学技术学院
计算机系统中的安全模型
安全性控制层次
高 低
应用
DBMS
OS
DB
方法: 用户标识 和鉴定
存取控制 审计 视图
操作系统 安全保护
密码存储
2012-12-26 长春理工大学计算机科学技术学院
4.2.1 用户标识与鉴别
• 用户标识与鉴别(Identification & Authentication)
4.2.2 存取控制
• 存取控制机制的功能
– 存取控制机制的组成
• 定义存取权限 • 检查存取权限 用户权限定义和合法权检查机制一起组成了 DBMS的安全子系统