第05章数据库安全性
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第05章数据库安全性
用户标识与鉴别
n 用户标识与鉴别 (Identification & Authentication)
n 系统提供的最外层安全保护措施
第05章数据库安全性
用户标识与鉴别 基本方法
n 系统提供一定的方式让用户标识自己的名字或身份; n 系统内部记录着所有合法用户的标识; n 每次用户要求进入系统时,由系统核对用户提供的身
用户名 数据对象名 允许的操作类型 存取谓词
王平 关系wk.baidu.comtudent SELECT
Sdept=CS
张明霞 关系Student UPDATE
Sname=张明霞
张明霞 关系 Course ALL
空
第05章数据库安全性
SQL Server的安全性管理
SQL Server的安全性管理包括以下几个方 面:
1.数据库登录管理 2.数据库用户管理 3.数据库角色管理 4.数据库权限的管理。
第05章数据库安全性
SQL Server的权限管理
暗示性权限: 指系统预定义的固定服务器角色成员、数
据库拥有者(dbo)和数据库对象拥有者 (dboo)所拥有的权限。
第05章数据库安全性
SQL Server的权限管理
2. 权限的设置 权限设置包括三个内容:授予权限(Grant)、
撤消权限(Revoke)、和拒绝访问(Deny)。 有两种方法可以设置权限,一是使用企 业管理器,二是使用Transact-SQL语句。
n 检查存取权限 n 对于通过鉴定获得上机权的用户(即合法 用户),系统根据他的存取权限定义对他 的各种操作请求进行控制,确保他只执行 合法操作。
第05章数据库安全性
存取控制(续)
n 常用存取控制方法
n 自主存取控制(Discretionary Access Control ,简称DAC) n 灵活
填好上述信息后,单击【确定】按钮
第05章数据库安全性
SQL Server的权限管理
1. 权限的种类 对象权限:
用户对数据库对象进行操作的权限,具体包括: a. 针对表和视图的操作:SELECT、INSERT、UPDATE 和
DELETE 语句。 b. 针对表和视图的行的操作:INSERT 和 DELETE语句。 c. 针对表和视图的列的操作:SELECT 和 UPDATE语句。 d. 针对存储过程和用户定义的函数的操作:EXECUTE语
n 强制存取控制(Mandatory Access Control, 简称 MAC) n 严格
第05章数据库安全性
自主存取控制方法
n 同一用户对于不同的数据对象有不同的 存取权限
n 不同的用户对同一对象也有不同的权限 n 用户还可将其拥有的存取权限转授给其
他用户
第05章数据库安全性
强制存取控制方法
SQL Server的安全体系结构和安全认证
认证模式的设置 (1) 选择【开始】|【程序】|Microsoft
SQL Server|【企业管理器】,打开企业 管理器窗口,右击要进行认证模式设置 的服务器,在弹出的快捷菜单中选择 【属性】命令,弹出【属性】|【安全性】 对话框
第05章数据库安全性
SQL Server的安全体系结构和安全认证
n 利用存取谓词 n 存取谓词可以很复杂 n 可以引用系统变量,如终端设备号,系统 时钟等,实现与时间地点有关的存取权限, 这样用户只能在某段时间内,某台终端上 存取有关数据
例:规定“教师只能在每年1月份和7月份星期一至 星期五上午8点到下午5点处理学生成绩数据”。
第05章数据库安全性
数据库存取控制方法(续) 例:扩充后的授权表
用户名 数据对象名 允许的操作类型
王 平 关系Student SELECT
张明霞 关系Student UPDATE
张明霞 关系Course ALL
张明霞 SC. Grade UPDATE
张明霞 SC. Sno
SELECT
张明霞 SC. Cno
SELECT
第05章数据库安全性
数据库存取控制方法(续) n 检查存取权限
第05章数据库安全性
SQL Server数据库安全性管理与控制
(3) 用户自定义角色 语法形式如下: sp_addrole role,owner (4) 标准角色 语法形式如下: sp_addrolemember role,security_account
第05章数据库安全性
SQL Server数据库安全性管理与控制
n 每一个数据对象被标以一定的密级 n 每一个用户也被授予某一个级别的许可证 n 对于任意一个对象,只有具有合法许可证
的用户才可以存取
第05章数据库安全性
数据库存取控制方法
n 关系系统中的存取权限 n 定义方法
n GRANT/REVOKE
第05章数据库安全性
数据库存取控制方法(续)
n 关系系统中的存取权限(续) n 例: 一张授权表
第05章数据库安全性
2020/11/24
第05章数据库安全性
数据库安全性
n 问题的提出
n 数据库的一大特点是数据可以共享 n 但数据共享必然带来数据库的安全性问题 n 数据库系统中的数据共享不能是无条件的共享
例:军事秘密、 国家机密、 新产品实验数据、 市场需求分析、市场营销策略、销售计划、 客户档案、 医疗档案、 银行储蓄数据
第05章数据库安全性
数据库安全性(续)
n 数据库中数据的共享是在DBMS统一的严格 的控制之下的共享,即只允许有合法使用权 限的用户访问允许他存取的数据
n 数据库系统的安全保护措施是否有效是数据 库系统主要的性能指标之一
第05章数据库安全性
数据库安全性(续)
n 什么是数据库的安全性
n 数据库的安全性是指保护数据库,以防止不合 法的使用所造成的数据泄露、更改或破坏。
第05章数据库安全性
SQL Server数据库安全性管理与控制
b.在快捷菜单中选择【新建登录】命令, 将会弹出【登录属性】对话框。
在【企业管理器】窗口,可以选择【操作】 |【新建登录】命令,也可以打开【新建 登录】对话框。
(2)查看修改登录帐号 (3)删除登录帐号
第05章数据库安全性
SQL Server数据库安全性管理与控制
n 犯罪学 n 计算机犯罪与侦察 n 安全监察
n 心理学
第05章数据库安全性
计算机系统的三类安全性问题(续)
n 三类计算机系统安全性问题
n 技术安全类 n 管理安全类 n 政策法律类
第05章数据库安全性
计算机系统的三类安全性问题(续)
n 技术安全
n 指计算机系统中采用具有一定安全性 的硬件、软件来实现对计算机系统及 其所存数据的安全保护,当计算机系 统受到无意或恶意的攻击时仍能保证 系统正常运行,保证系统内的数据不 增加、不丢失、不泄露。
(2) 使用系统存储过程 sp_revokedbaccess删除用户帐号
语法形式如下: sp_revokedbaccess’name’
第05章数据库安全性
SQL Server数据库安全性管理与控制
3. 角色的管理 (1) 固定服务器角色 (2) 语法形式如下: (3) sp_addsrvrolemember’login’,’role’ (2) 固定数据库角色 (3) 语法形式如下: sp_addrolemember role,security_account
(2) 在该对话框中打开【安全性】选项卡,它 分为两部分,【安全性】选项组和【启动服务 帐户】选项组。在【安全性】选项组中,对于 【身份验证】:选择要设置的认证模式;【审 核级别】:设置用户登录信息,用来决定追踪 记录用户登录时的信息,如登录成功或失败的 信息。在【启动服务帐户】选项组中设置启动 SQL Server时默认的帐户。
n 什么是数据的保密
n 数据保密是指用户合法地访问到机密数据后能 否对这些数据保密。
n 通过制订法律道德准则和政策法规来保证。
第05章数据库安全性
计算机系统的三类安全性问题
n 什么是计算机系统安全性
n 为计算机系统建立和采取的各种安全保护措 施,以保护计算机系统中的硬件、软件及数 据,防止其因偶然或恶意的原因使系统遭到 破坏,数据遭到更改或泄露等。
句。
第05章数据库安全性
SQL Server的权限管理
语句权限: 指用户是否具有权限来执行某一语句。这些语句包括: CREATE DATABASE CREATE DEFAULT CREATE FUNCTION CREATE PROCEDURE CREATE RULE CREATE TABLE CREATE VIEW BACKUP DATABASE BACKUP LOG
第05章数据库安全性
SQL Server数据库安全性管理与控制
1. 数据库登录管理 (1)创建服务器登录帐号
使用企业管理器创建登录帐号的步骤如下: a. 选择【开始】|【程序】|Microsoft SQL
Server|【企业管理器】,打开企业管理器窗口, 找到要登录的服务器,展开【安全性】文件夹, 右击【登录】,弹出快捷菜单
n 授权定义中数据对象的粒度越细,即可以 定义的数据对象的范围越小,授权子系统 就越灵活。
第05章数据库安全性
数据库存取控制方法(续)
n 关系数据库中授权的数据对象粒度 n 数据库 n表 n 属性列 n行
n 能否提供与数据值有关的授权反映了授权子 系统精巧程度
第05章数据库安全性
数据库存取控制方法(续) n 实现与数据值有关的授权
份标识; n 通过鉴定后才提供机器使用权。 n 用户标识和鉴定可以重复多次
第05章数据库安全性
用户标识自己的名字或身份
n 用户名/口令 n 简单易行,容易被人窃取
n 每个用户预先约定好一个计算过程或者函数 n 系统提供一个随机数 n 用户根据自己预先约定的计算过程或者函数 进行计算 n 系统根据用户计算结果是否正确鉴定用户身 份
第05章数据库安全性
存取控制 n 存取控制机制的功能
n 存取控制机制的组成 n 定义存取权限 n 检查存取权限 用户权限定义和合法权检查机制一起组成 了DBMS的安全子系统
第05章数据库安全性
存取控制(续)
n 定义存取权限 n 在数据库系统中,为了保证用户只能访问 他有权存取的数据,必须预先对每个用户 定义存取权限。
2. 用户的管理 (1)使用系统存储过程sp_grantdbaccess创
建用户帐号 语法形式如下: sp_grantdbaccess’login’,’name_in_db’ (2) 使用系统存储过程
sp_revokedbaccess删除用户帐号
第05章数据库安全性
SQL Server数据库安全性管理与控制
第05章数据库安全性
计算机系统的三类安全性问题(续)
n 管理安全
n 软硬件意外故障、场地的意外事故、 管理不善导致的计算机设备和数据介 质的物理破坏、丢失等安全问题
第05章数据库安全性
计算机系统的三类安全性问题(续)
n 政策法律类
n 政府部门建立的有关计算机犯罪、数 据安全保密的法律道德准则和政策法 规、法令
n 对于获得上机权后又进一步发出存取数据库 操作的用户
n DBMS查找数据字典,根据其存取权限对 操作的合法性进行检查
n 若用户的操作请求超出了定义的权限,系 统将拒绝执行此操作
第05章数据库安全性
数据库存取控制方法(续)
n 授权粒度
n 授权粒度是指可以定义的数据对象的范围
n 它是衡量授权机制是否灵活的一个重要指 标。
第05章数据库安全性
计算机系统中的安全模型
高
应用
安全性控制层次
DBMS
OS
低
DB
方法: 用户标识 和鉴别
存取控制 审计
视图
操作系统 安全保护
数据密码存储
第05章数据库安全性
数据库安全性控制概述(续) n 数据库安全性控制的常用方法
n 用户标识和鉴别 n 存取控制 n 视图 n 审计 n 密码存储
(5) 应用程序角色 它的语法形式如下: sp_addapprole role,password
第05章数据库安全性
SQL Server的安全体系结构和安全认证
1. SQL Server的安全体系结构 2. 安全认证 3. 安全认证的基本概念 (1) Windows认证模式 (2) 混合认证模式
第05章数据库安全性
第05章数据库安全性
计算机系统的三类安全性问题(续)
n 计算机安全涉及问题
n 计算机系统本身的技术问题 n 计算机安全理论与策略 n 计算机安全技术
n 管理问题 n 安全管理 n 安全评价 n 安全产品
第05章数据库安全性
计算机系统的三类安全性问题(续)
n 计算机安全涉及问题(续)
n 法学 n 计算机安全法律
用户标识与鉴别
n 用户标识与鉴别 (Identification & Authentication)
n 系统提供的最外层安全保护措施
第05章数据库安全性
用户标识与鉴别 基本方法
n 系统提供一定的方式让用户标识自己的名字或身份; n 系统内部记录着所有合法用户的标识; n 每次用户要求进入系统时,由系统核对用户提供的身
用户名 数据对象名 允许的操作类型 存取谓词
王平 关系wk.baidu.comtudent SELECT
Sdept=CS
张明霞 关系Student UPDATE
Sname=张明霞
张明霞 关系 Course ALL
空
第05章数据库安全性
SQL Server的安全性管理
SQL Server的安全性管理包括以下几个方 面:
1.数据库登录管理 2.数据库用户管理 3.数据库角色管理 4.数据库权限的管理。
第05章数据库安全性
SQL Server的权限管理
暗示性权限: 指系统预定义的固定服务器角色成员、数
据库拥有者(dbo)和数据库对象拥有者 (dboo)所拥有的权限。
第05章数据库安全性
SQL Server的权限管理
2. 权限的设置 权限设置包括三个内容:授予权限(Grant)、
撤消权限(Revoke)、和拒绝访问(Deny)。 有两种方法可以设置权限,一是使用企 业管理器,二是使用Transact-SQL语句。
n 检查存取权限 n 对于通过鉴定获得上机权的用户(即合法 用户),系统根据他的存取权限定义对他 的各种操作请求进行控制,确保他只执行 合法操作。
第05章数据库安全性
存取控制(续)
n 常用存取控制方法
n 自主存取控制(Discretionary Access Control ,简称DAC) n 灵活
填好上述信息后,单击【确定】按钮
第05章数据库安全性
SQL Server的权限管理
1. 权限的种类 对象权限:
用户对数据库对象进行操作的权限,具体包括: a. 针对表和视图的操作:SELECT、INSERT、UPDATE 和
DELETE 语句。 b. 针对表和视图的行的操作:INSERT 和 DELETE语句。 c. 针对表和视图的列的操作:SELECT 和 UPDATE语句。 d. 针对存储过程和用户定义的函数的操作:EXECUTE语
n 强制存取控制(Mandatory Access Control, 简称 MAC) n 严格
第05章数据库安全性
自主存取控制方法
n 同一用户对于不同的数据对象有不同的 存取权限
n 不同的用户对同一对象也有不同的权限 n 用户还可将其拥有的存取权限转授给其
他用户
第05章数据库安全性
强制存取控制方法
SQL Server的安全体系结构和安全认证
认证模式的设置 (1) 选择【开始】|【程序】|Microsoft
SQL Server|【企业管理器】,打开企业 管理器窗口,右击要进行认证模式设置 的服务器,在弹出的快捷菜单中选择 【属性】命令,弹出【属性】|【安全性】 对话框
第05章数据库安全性
SQL Server的安全体系结构和安全认证
n 利用存取谓词 n 存取谓词可以很复杂 n 可以引用系统变量,如终端设备号,系统 时钟等,实现与时间地点有关的存取权限, 这样用户只能在某段时间内,某台终端上 存取有关数据
例:规定“教师只能在每年1月份和7月份星期一至 星期五上午8点到下午5点处理学生成绩数据”。
第05章数据库安全性
数据库存取控制方法(续) 例:扩充后的授权表
用户名 数据对象名 允许的操作类型
王 平 关系Student SELECT
张明霞 关系Student UPDATE
张明霞 关系Course ALL
张明霞 SC. Grade UPDATE
张明霞 SC. Sno
SELECT
张明霞 SC. Cno
SELECT
第05章数据库安全性
数据库存取控制方法(续) n 检查存取权限
第05章数据库安全性
SQL Server数据库安全性管理与控制
(3) 用户自定义角色 语法形式如下: sp_addrole role,owner (4) 标准角色 语法形式如下: sp_addrolemember role,security_account
第05章数据库安全性
SQL Server数据库安全性管理与控制
n 每一个数据对象被标以一定的密级 n 每一个用户也被授予某一个级别的许可证 n 对于任意一个对象,只有具有合法许可证
的用户才可以存取
第05章数据库安全性
数据库存取控制方法
n 关系系统中的存取权限 n 定义方法
n GRANT/REVOKE
第05章数据库安全性
数据库存取控制方法(续)
n 关系系统中的存取权限(续) n 例: 一张授权表
第05章数据库安全性
2020/11/24
第05章数据库安全性
数据库安全性
n 问题的提出
n 数据库的一大特点是数据可以共享 n 但数据共享必然带来数据库的安全性问题 n 数据库系统中的数据共享不能是无条件的共享
例:军事秘密、 国家机密、 新产品实验数据、 市场需求分析、市场营销策略、销售计划、 客户档案、 医疗档案、 银行储蓄数据
第05章数据库安全性
数据库安全性(续)
n 数据库中数据的共享是在DBMS统一的严格 的控制之下的共享,即只允许有合法使用权 限的用户访问允许他存取的数据
n 数据库系统的安全保护措施是否有效是数据 库系统主要的性能指标之一
第05章数据库安全性
数据库安全性(续)
n 什么是数据库的安全性
n 数据库的安全性是指保护数据库,以防止不合 法的使用所造成的数据泄露、更改或破坏。
第05章数据库安全性
SQL Server数据库安全性管理与控制
b.在快捷菜单中选择【新建登录】命令, 将会弹出【登录属性】对话框。
在【企业管理器】窗口,可以选择【操作】 |【新建登录】命令,也可以打开【新建 登录】对话框。
(2)查看修改登录帐号 (3)删除登录帐号
第05章数据库安全性
SQL Server数据库安全性管理与控制
n 犯罪学 n 计算机犯罪与侦察 n 安全监察
n 心理学
第05章数据库安全性
计算机系统的三类安全性问题(续)
n 三类计算机系统安全性问题
n 技术安全类 n 管理安全类 n 政策法律类
第05章数据库安全性
计算机系统的三类安全性问题(续)
n 技术安全
n 指计算机系统中采用具有一定安全性 的硬件、软件来实现对计算机系统及 其所存数据的安全保护,当计算机系 统受到无意或恶意的攻击时仍能保证 系统正常运行,保证系统内的数据不 增加、不丢失、不泄露。
(2) 使用系统存储过程 sp_revokedbaccess删除用户帐号
语法形式如下: sp_revokedbaccess’name’
第05章数据库安全性
SQL Server数据库安全性管理与控制
3. 角色的管理 (1) 固定服务器角色 (2) 语法形式如下: (3) sp_addsrvrolemember’login’,’role’ (2) 固定数据库角色 (3) 语法形式如下: sp_addrolemember role,security_account
(2) 在该对话框中打开【安全性】选项卡,它 分为两部分,【安全性】选项组和【启动服务 帐户】选项组。在【安全性】选项组中,对于 【身份验证】:选择要设置的认证模式;【审 核级别】:设置用户登录信息,用来决定追踪 记录用户登录时的信息,如登录成功或失败的 信息。在【启动服务帐户】选项组中设置启动 SQL Server时默认的帐户。
n 什么是数据的保密
n 数据保密是指用户合法地访问到机密数据后能 否对这些数据保密。
n 通过制订法律道德准则和政策法规来保证。
第05章数据库安全性
计算机系统的三类安全性问题
n 什么是计算机系统安全性
n 为计算机系统建立和采取的各种安全保护措 施,以保护计算机系统中的硬件、软件及数 据,防止其因偶然或恶意的原因使系统遭到 破坏,数据遭到更改或泄露等。
句。
第05章数据库安全性
SQL Server的权限管理
语句权限: 指用户是否具有权限来执行某一语句。这些语句包括: CREATE DATABASE CREATE DEFAULT CREATE FUNCTION CREATE PROCEDURE CREATE RULE CREATE TABLE CREATE VIEW BACKUP DATABASE BACKUP LOG
第05章数据库安全性
SQL Server数据库安全性管理与控制
1. 数据库登录管理 (1)创建服务器登录帐号
使用企业管理器创建登录帐号的步骤如下: a. 选择【开始】|【程序】|Microsoft SQL
Server|【企业管理器】,打开企业管理器窗口, 找到要登录的服务器,展开【安全性】文件夹, 右击【登录】,弹出快捷菜单
n 授权定义中数据对象的粒度越细,即可以 定义的数据对象的范围越小,授权子系统 就越灵活。
第05章数据库安全性
数据库存取控制方法(续)
n 关系数据库中授权的数据对象粒度 n 数据库 n表 n 属性列 n行
n 能否提供与数据值有关的授权反映了授权子 系统精巧程度
第05章数据库安全性
数据库存取控制方法(续) n 实现与数据值有关的授权
份标识; n 通过鉴定后才提供机器使用权。 n 用户标识和鉴定可以重复多次
第05章数据库安全性
用户标识自己的名字或身份
n 用户名/口令 n 简单易行,容易被人窃取
n 每个用户预先约定好一个计算过程或者函数 n 系统提供一个随机数 n 用户根据自己预先约定的计算过程或者函数 进行计算 n 系统根据用户计算结果是否正确鉴定用户身 份
第05章数据库安全性
存取控制 n 存取控制机制的功能
n 存取控制机制的组成 n 定义存取权限 n 检查存取权限 用户权限定义和合法权检查机制一起组成 了DBMS的安全子系统
第05章数据库安全性
存取控制(续)
n 定义存取权限 n 在数据库系统中,为了保证用户只能访问 他有权存取的数据,必须预先对每个用户 定义存取权限。
2. 用户的管理 (1)使用系统存储过程sp_grantdbaccess创
建用户帐号 语法形式如下: sp_grantdbaccess’login’,’name_in_db’ (2) 使用系统存储过程
sp_revokedbaccess删除用户帐号
第05章数据库安全性
SQL Server数据库安全性管理与控制
第05章数据库安全性
计算机系统的三类安全性问题(续)
n 管理安全
n 软硬件意外故障、场地的意外事故、 管理不善导致的计算机设备和数据介 质的物理破坏、丢失等安全问题
第05章数据库安全性
计算机系统的三类安全性问题(续)
n 政策法律类
n 政府部门建立的有关计算机犯罪、数 据安全保密的法律道德准则和政策法 规、法令
n 对于获得上机权后又进一步发出存取数据库 操作的用户
n DBMS查找数据字典,根据其存取权限对 操作的合法性进行检查
n 若用户的操作请求超出了定义的权限,系 统将拒绝执行此操作
第05章数据库安全性
数据库存取控制方法(续)
n 授权粒度
n 授权粒度是指可以定义的数据对象的范围
n 它是衡量授权机制是否灵活的一个重要指 标。
第05章数据库安全性
计算机系统中的安全模型
高
应用
安全性控制层次
DBMS
OS
低
DB
方法: 用户标识 和鉴别
存取控制 审计
视图
操作系统 安全保护
数据密码存储
第05章数据库安全性
数据库安全性控制概述(续) n 数据库安全性控制的常用方法
n 用户标识和鉴别 n 存取控制 n 视图 n 审计 n 密码存储
(5) 应用程序角色 它的语法形式如下: sp_addapprole role,password
第05章数据库安全性
SQL Server的安全体系结构和安全认证
1. SQL Server的安全体系结构 2. 安全认证 3. 安全认证的基本概念 (1) Windows认证模式 (2) 混合认证模式
第05章数据库安全性
第05章数据库安全性
计算机系统的三类安全性问题(续)
n 计算机安全涉及问题
n 计算机系统本身的技术问题 n 计算机安全理论与策略 n 计算机安全技术
n 管理问题 n 安全管理 n 安全评价 n 安全产品
第05章数据库安全性
计算机系统的三类安全性问题(续)
n 计算机安全涉及问题(续)
n 法学 n 计算机安全法律