数据库第四章数据库安全性.ppt
网络数据库与数据安全培训课件PPT(共 90张)
用户是用来连接数据库对象。而模式是用 来创建管理对象的。模式跟用户在oracle 是一对一的关系。
2.特权和角色
(1)特权
特权是执行一种特殊类型的SQL语句或 存取另一用户的对象的权力。有系统特 权和对象特权两类特权。
系统特权
系统特权是执行一种特殊动作或者在对象类型上执行一种特殊 动作的权力。
篡改:篡改是指对数据库中的数据未经授权地进行修
改,使其失去原来的真实性。篡改是一种人为的主动攻 击。进行这种人为攻击的原因可能是个人利益驱动、隐 藏证据、恶作剧或无知。
损坏:损坏的表现为数据库中表和整个数据库部分或
全部被删除、移走或破坏。产生损坏的原因主要有破坏、 恶作剧和病毒。
窃取:窃取一般是对敏感数据进行的。窃取的手法可能 是将数据复制到可移动的介质上带走或把数据打印后取 走。一般,被窃取的数据可能具有很高的价值。窃取数 据的对象一般是内部员工和军事及工商业间谍等。
1、数据库管理系统简介 2、数据库管理系统的安全功能
数据库管理系统(DBMS):专门负责数据库 管理和维护的计算机软件系统。它是数据库系 统的核心,不仅负责数据库的维护工作,还能 保证数据库的安全性和完整性。
(1)数据安全性
保证数据库数据安全,通常采取以下措施: 将数据库中需要保护和不需要保护的数据 分开; 采取ID号、口令和权限等访问控制; 数据加密后存于数据库。
1、数据库的存取控制 (1)数据库的安全机制
多用户数据库系统(如Oracle)提供的安全机制可做到: 防止非授权的数据库存取; 防止非授权的对模式对象的存取; 控制磁盘使用; 控制系统资源使用; 审计用户动作。
(2)模式和用户机制
模式机制
schema :A schema is a collection of database objects (used by a user.). Schema objects are the logical structures that directly refer to the database’s data.
数据库第四章——数据库安全性
输入密码
SQL Server 2005密码复杂性策略: 1. 不得包含全部或部分(>=3)用户帐号名; 2. 长度至少6个字符; 3. 密码包含4类字符:英文大写字母、小写 字母、10个基本数字,非字母字符(!@等)
19
An Introduction to Database System
5
An Introduction to Database System
数据的安全性是指保护数据以防止因不合法的使用而 数据的安全性是指保护数据以防止因不合法的使用而 造成数据的泄露、更改和破坏。 造成数据的泄露、更改和破坏。这就要采取一定的安 全措施。 全措施。 数据库的安全性和计算机系统的安全性,包括计算机 数据库的安全性和计算机系统的安全性, 硬件、操作系统、网络系统等的安全性,是紧密联系、 硬件、操作系统、网络系统等的安全性,是紧密联系、 相互支持的。 相互支持的。
输入用户名 kk
输入密码
SQL Server 2000密码复杂性策略: 2000密码复杂性策略 密码复杂性策略: 1. 不得包含全部或部分(>=3)用户帐号名; 不得包含全部或部分(>=3)用户帐号名; 2. 长度至少6个字符; 长度至少6个字符; 3. 密码包含4类字符:英文大写字母、小写 密码包含4类字符:英文大写字母、 字母、10个基本数字 非字母字符(! 个基本数字, (!@ 字母、10个基本数字,非字母字符(!@等)
14
An Introduction to Database System
删除Windows NT认证模式登录账号
步骤如下: 步骤如下: 以系统管理员身份进入企业管理器,并展开目录树; (1) 以系统管理员身份进入企业管理器,并展开目录树; 在目录树的“登录名” 节点下, (2) 在目录树的“登录名” 节点下,选中待删除的名称 wfy\wfytest” “wfy\wfytest”
第四章第4.7节-数据库安全
单击【工具】菜单的【安全】中的【用户 与组帐户】命令,在“用户与组帐户”对 话框中,显示了可用的组和用户以及用户 隶属于哪个组。
图4-51 选择要设置安全机制的数据库对象
图4-52 设置组权限
图4-53 添加新用户
图4-54
设置用户组
图455设 置安 全机 制向 导报 表
2. 使用设置了“用户级安全”的数据 库
3. 如何删除“用户级安全”?——自 学
Access的权限设置比较复杂,用户必 须操作多次,才能明白用户级安全机制 的各个操作步骤的含义。 虽然在Access中实现安全性已变得比 较简单,但是,即使有了向导的帮助, 也必须清楚自己的安全选项,否则,轻 者会带来数据安全隐患,重者会将您锁 在自己的数据库之外。
(2)谁可更改权限?
更改数据库对象的权限:
创建数据库时所使用的工作组信息文件的 “管理员组”成员。 对象的所有者。
对对象具有“管理员”权限的用户。
(3)权限的含义
权限
打开/运行 以独占方式打开 读取设计 修改设计 管理员
允许用户
打开数据库、窗体或报表或者运行数据库中的宏 以独占访问权限打开数据库 在“设计”视图中查看表、查询、窗体、报表或宏 查看和更改表、查询、窗体、报表或宏的设计,或进行删除 对于数据库,设置数据库密码、复制数据库并更改启动属性。 对于表、查询、窗体、报表和宏,具有对这些对象和数据的完全访 问权限,包括指定权限的能力。 查看表和查询中的数据 查看和修改表和查询中的数据,但并不向其中插入数据或删除其中 的数据 查看表和查询中的数据,并向其中插入数据,但不修改或删除其中 的数据 查看和删除表和查询中的数据,但不修改其中的数据或向其中插入 数据
数据库安全
TCSEC/TDI安全级别划分(续)
– 按系统可靠或可信程度逐渐增高 – 各安全级别之间:偏序向下兼容
Prin. and App. of Database
14
TCSEC/TDI安全级别划分(续)
• B2以上的系统
– 还处于理论研究阶段 – 应用多限于一些特殊的部门,如军队等 – 美国正在大力发展安全产品,试图将目前仅限于少数领域应 用的B2安全级别下放到商业应用中来,并逐步成为新的商 业标准
7
计算机系统的三类安全性问题(续)
• 三类计算机系统安全性问题
– 技术安全类 – 管理安全类 – 政策法律类
Prin. and App. of Database
8
4.1 计算机安全性概论
4.1.1 计算机系统的三类安全性问题 4.1.2 安全标准简介
Prin. and App. of Database
9
4.1.2 安全标准简介
• TCSEC标准
• CC标准
Prin. and App. of Database
10
安全标准简介(续)
信息安全标准的发展历史 Prin. and App. of Database
11
安全标准简介(续)
• TCSEC/TDI标准的基本内容
– TCSEC/TDI,从四个方面来描述安全性级别划分的指标
4
第四章 数据库安全性
4.1 计算机安全性概述
4.2 数据库安全性控制
4.3 视图机制 4.4 审计(Audit) 4.5 数据加密 4.6 统计数据库安全性
4.7 小结
Prin. and App. of Database
5
4.1 计算机安全性概述
db4
第四章数据库的保护4.1 数据库的安全性4.2 数据库的完整性4.3 数据库的并发控制4.4 数据库的恢复4.5 数据库的复制与镜像4.1 数据库的安全性●数据库的安全性是指保护数据库以防止不合法的使用造成泄漏、更改或破坏等。
●采用的方法有:–用户标识和鉴别–使用视图–数据加密●数据库系统的安全模型–存取权限控制–审计应用DBMS OS DB 用户标识存取控制操作系统保护密码存储4.1.1用户标识和鉴别●一般由系统管理员(DBA)为每个用户建立一个用户名(用户标识/帐号)和用户口令。
用户必须使用此标识方可进入系统●语法:CREATE USER <username> IDENTIFIED BY<password>●二次登录问题4.1.2存取控制●存取权限两要素:–数据对象–操作类型●授权–定义某用户对哪些数据对象具有哪些类型的操作●数据对象的粒度–表、列、行(一般由视图实现)–粒度越细,授权子系统越灵活,安全性越完善。
但系统开销越大,数据字典庞大权限限制的种类–对用户进行控制。
用户只可以访问自己的子模式–对操作类型进行控制操作一般包括:查询、修改、插入、删除等用户可以被授予不同的操作权限–对数据对象的控制用户可以被限制访问某些表或表的列权限组(角色)概念–角色是数据库预先设置的一系列具有某种常用权限的组合。
某用户属于一个角色就拥有该角色的所有权限了SYBASE的一些角色–sa_role–sso_role–sybase_ts_role–navigator_roleORACLE中的三类角色–Connect(用于数据库录入人员)●可以访问ORACLE●对于允许的表可以做查询和更新操作。
●建立视图和同义词–Resource(用于开发人员)●具有Connect的所有权限●建表、索引、聚簇等权限●对于自己创建的对象可以操作并可以给他人赋权●使用审计命令–DBA(用于管理人员)●具有Resource的所有权限●可以访问任何用户的数据●授予或收回用户权限●建立公共同义词●建立和修改分区●执行数据库的卸出●审计●Oracle中存取控制的语法–授权语句/新建用户GRANT[CONNECT | RESOURCE | DBA] TO<username> [IDENTIFIED BY <password> ]–收回权限/删除用户:REVOKE[CONNECT | RESOURCE | DBA] FROM<username>–操作权限控制GRANT <操作权> ON <表名> TO <username|public>[WITH GRANT OPTION]●其中“操作权”包括:SELECT、INSERT、DELETE、UPDATE、ALTER、INDEX、ALL●对象拥有者自然用于对对象的操作权,只有拥有者和DBA可以将对象的操作权赋予别人4.1.3定义视图●可以通过建立视图屏蔽用户不该看到的数据内容,但视图的主要功能是实现数据独立性,其安全保护功能不够精细4.1.4数据加密●ORACLE和SYBASE数据库都提供对存储过程的加密,在SYBASE中使用SP_HIDETEXT4.1.5审计●非强制性安全保护措施,自动记录对数据库的访问存取痕迹●分为用户级和系统级–用户级主要用户设置,针对用户自己创建的对象的审计,包括对这些对象的各种访问–系统级审计是DBA进行的,针对用户登录的成功与否以及对数据库级权限的操作●审计常常消耗大量时间和空间资源,所以一般作为可选项可灵活打开和关闭,视系统的安全性要求而定例:对SC表的ALTER和UPDATE进行审计AUDIT ALTER,UPDATE ON SC取消对SC表的任何审计NOAUDIT ALL ON SC4.2 数据库的完整性●数据库安全性是防止非法用户的非法操作,而完整性是是防止不合语义的数据●数据库完整性的实现机制–DBMS检查数据库中的数据是否满足语义规定的条件,这些加在数据库数据之上的语义约束条件称为数据库完整性约束条件–而DBMS中检查数据是否满足完整性条件的机制称完整性检查4.2.1完整性约束条件●完整性约束条件作用的对象可以分为:列级、元组级和关系级三个粒度–列级约束主要约束列的取值类型、范围、精度排序等–元组级约束主要约束记录中各个字段之间的联系–关系级约束主要是约束多个记录或关系之间的联系●完整性约束就其状态可以分为静态和动态的–静态主要是反映数据库的状态是合理的–动态主要是反映数据库的状态变迁是否合理1)静态列级约束–对数据类型的约束,包括数据的类型、长度、单位、精度等,如char(10)。
数据的安全性
例4
例题(续)
例3 把对表SC旳查询权限授予全部顾客
GRANT SELECT ON TABLE SC TO PUBLIC;
例题(续)
例4 把查询Student表和修改学生学号旳权限授 给顾客U4
GRANT CREATETAB ON DATABASE S_C TO U8;
SQL收回权限旳功能
REVOKE语句旳一般格式为: REVOKE <权限>[,<权限>]... [ON <对象类型> <对象名>] FROM <顾客>[,<顾客>]...;
功能:从指定顾客那里收回对指定对象旳指定权 限
例题
系统安全保护措施是否有效是数据库系统旳主 要技术指标。
1 计算机系统旳安全性
计算机系统安全性是指为计算机系统建立和采 用旳多种安全保护措施,以保护计算机系统旳硬件、 软件及数据,预防其因偶尔或恶意旳原因是系统遭到 破坏、数据遭到更改或泄漏等。
涉及三类: 技术安全 管理安全 政策法律
2 安全原则简介
4.4审计
审计功能是把顾客对数据库旳全部操作自动统 计下来放入审计统计(Audit Log)中。DBA能够利用跟 踪旳信息,重现造成数据库既有情况旳一系列事件, 找出非法存取数据旳人、事件和内容。
审计两种: 顾客级审计 系统级审计
AUDIT 语句用来设计审计功能,NOAUDIT语句 取消审计功能。
第四章 数据库旳安全性
4.1 计算机安全性概述 4.2 数据库安全性控制 4.3 视图机制 4.4 审计 4.5 数据加密 4.6 统计数据库安全性
《数据库基础》PPT课件
第四章 数据库设计基础
9
2007-8-21
4、数据库系统的内部结构体系
数据库系统的三级模式: (1)概念模式:数据库系统中全局数据逻辑结构 的描述,是全体用户(应用)公共数据视图。 (2)外模式:也称子模式或用户模式,它是用户 的数据视图,也就是用户所见到的数据模式,它 由概念模式推导而出。 (3)内模式:又称物理模式,它给出了数据库物 理存储结构与物理存取方法。内模式的物理性主 要体现在操作系统及文件级上,它还未深入到设 备级上(如磁盘及磁盘操作)。内模式对一般用 户是透明的,但它的设计直接影响数据库的性能。
表示。
实体集与属性间的联接关系:用无向线段表示。
实体集与联系间的联接关系:用无向线段表示。
学生
M
选月
性别
成绩
第四章 数据库设计基础
第四章 数据库设计基础
10
2007-8-21
4、数据库系统的内部结构体系
数据库系统的两级映射: (1)概念模式到内模式的映射; (2)外模式到概念模式的映射。
概念模式到内模式的映射保证数据的物理独立性,
外模式到概念模式的映射保证数据的逻辑独立性。
第四章 数据库设计基础
11
2007-8-21
4.2 数据模型
1、数据模型
数据模型的概念:是数据特征的抽象,它从抽象层次上描述 了系统的静态特征、动态行为和约束条件,为数据库系统 的信息表示与操作提供一个抽象的框架。数据模型所描述 的内容有三个部分,它们是数据结构、数据操作与数据约 束。
数据模型分为概念模型、逻辑数据模型和物理模型三类。
2、实体联系模型及E-R图 E-R模型的基本概念:
物理独立性:物理独立性即是数据的物理结构(包括存储结 构,存取方式等)的改变,如存储设备的更换、物理存储 的更换、存取方式改变等都不影响数据库的逻辑结构,从 而不致引起应用程序的变化。
管理系统中计算机应用第四章课件
管理系统中计算机应用第四章 数据库系统第一节 数据库系统概述第二节 数据库管理系统中的SQL语言第三节 SQL语言的查询功能第一节 数据库系统概述一、数据模型1.模型的概念(1)模型:对现实世界事物特征的模拟和抽象,就是这个事物的模型。
P115(2)作为模型应该满足:P116(简答)一是真实反映事物本身;二是容易被人理解;三是便于在计算机上实现。
(3)数据模型分为两类:P116①以人的观点模拟物质本身的模型称为概念模型(或信息模型);②以计算机系统的观点模拟物质本身的模型称为数据模型。
2.概念模型概念模型也称为信息模型。
概念模型按用户的观点对现实世界建模,它是缺乏计算机知识的基本用户最容易理解的,便于和数据库设计人员进行交流的语言。
P116(单选)(1)常用术语;(信息世界):P116①实体:客观存在,并且可以相互区别的事物称为实体;②属性:实体具有的每一个特性都称为一个属性;(与“值”区别)③码:在众多属性中能够唯一标识(确定)实体或属性或属性组的名称(说明);④域:属性的取值范围;⑤实体型:用实体名及描述它的各属性名,可以刻画出全部同质实体的共同特征和性质;⑥实体集:实体型下的全部实体;⑦联系:包括内部联系和外部联系。
一个实体集内部各实体间的相互联系称为内部联系;实体集间的联系称为外部联系。
(2)实体型之间的联系:P117(单选)①一对一(1:1);如一个学校只有一个校长;②一对多(1:n);如一个老师能教多门课程;③ 多对多(m:n);如顾客购物。
(3)实体内部各属性之间的联系:P118一个实体型内部也存在着一对一、一对多和多对多的联系。
(4)概念模型的表示方法:描述概念数据模型的主要工具是E-R(实体—联系)模型,或者叫做E-R图。
利用E-R图实现概念结构设计的方法就叫做E-R方法。
E-R图主要是由实体□、属性○和联系◇三个要素构成的。
3.数据模型:P118数据库模型支持的数据模型,分为逻辑数据模型和物理数据模型。
数据库技术培训教程(ppt 31页)
2.对于E-R图中联系,联系方式不同,处理方法不同。
1:1联系:联系本身无属性,在任意方关系 中加入对方主键均可。
厂长(厂长号,厂号,姓名,年龄) 工厂(厂号,厂名,地点) 或:厂长(厂长号,姓名,年龄) 工厂(厂号,厂长号,厂名,地点)
据处理后将结果输出,最后数据和程序占据的内存空间被 一起释放。 只有程序文件的概念,数据的组织方式由程序自行设计和 安排。 问题:数据不保存、应用程序管理数据、数据不共享、数 据没有独立性。
应用程序 A 应用程序 B 应用程序 C
文件A 文件B 文件C
1.数据库发展史——发展阶段——文件系统阶段
2.数据——文件
文件:为了某一特定目的形成的同类记录的集合。 是数据库的基础:数据库太大,主存有限——某一特定时
间,只需要数据库的一小部分数据,为了某个特定应用目 的才会被程序存取。
1 数据库发展史
2 数据
3
数据库设计
数据库技术
3.数据库设计——设计步骤
需求分析 概念结构设计 逻辑结构设计 物理结构设计
• 数据完整性:实体完整性、参照完整性、 用户自定义完整性。
• 三范式:1971 codd 提出的。
3.数据库设计——物理结构设计
物理结构设计是为数据模型在设备上选定合适的存储结构 和存取方法,以获得数据库的最佳存取效率。
库文件的组织形式 存储介质的分配 存取路径的选择
文件管理阶段 50s中期到60s中期 当时条件:出现了磁盘、磁鼓等。操作系统提供了文件系
统管理数据,数据以文件方式存储,对数据操作就是对相 应文件操作。 优点:数据可以保存,以文件系统管理数据:数据不属于 某个特定程序,可以重复使用,即具有共享性:具有一定 的独立性,对程序的依赖减弱。 缺点:数据冗余大:独立性不好,编程不方便:不支持并发 访问。
完整性和安全性
班级
班号 名称 … …… … ……
删除主码值
班级
班号 名称 … …… C2 2班 … ……
更新主码值
班级
班号 名称 … …… C3 2班 … ……
学生
班号 学号 姓名 …… … Null S21 小王 Null S22 小李 …… …
外码值 设为空
学生
班号 学号 姓名 …… … C2 S21 小王 C2 S22 小李 …… …
03 小张 20
13 小张 20
… …… …
…… …
选修
选修
学号 课程号 成绩 连带更新 学号 课程号 成绩 … … … 外码值 … … …
03 A 60
13 A 60
03 B 75
13 B 75
………
………
颜启华 华南师范大学
非空约束
非空约束
规则:属性值不允许取空值 定义:在定义关系的语句中,声明某个属性不能取空值
学生
班号 学号 姓名 年龄 ? S1 小王 22 ? S2 小张 20 ? S3 小李 24 ? S4 小孙 23
颜启华 华南师范大学
复习:外部码
班级
班号 班名 C1 1班 C2 2班 C3 3班
学生
班号 学号 姓名 年龄 C1 S1 小王 22 C2 S2 小张 20 C2 S3 小李 24 Null S4 小孙 23
班级
班号 名称 … …… … ……
删除主码值
×
班级
班号 名称 … …… C2 2班 … ……
× 更新主码值
学生
班号 学号 姓名
…… … C2 S21 小王 C2 S22 小李 …… …
班级
班号 名称 … …… C3 2班 … ……
第4章数据库安全性数据库知识点整理
第4章数据库安全性数据库知识点整理第4章数据库安全性了解计算机系统安全性问题数据库安全性问题威胁数据库安全性因素掌握TCSEC和CC标准的主要内容C2级DBMS、B1级DBMS的主要特征DBMS提供的安全措施⽤户⾝份鉴别、⾃主存取控制、强制存取控制技术视图技术和审计技术数据加密存储和加密传输使⽤SQL语⾔中的GRANT语句和REVOKE语句来实现⾃主存取控制知识点什么是数据库的安全性数据库的安全性是指保护数据库以防⽌不合法的使⽤所造成的数据泄露、更改或破坏举例说明对数据库安全性产⽣威胁的因素⾮授权⽤户对数据库的恶意存取和破坏数据库中重要或敏感的数据被泄露安全环境的脆弱性信息安全标准的发展历史,CC评估保证级划分的基本内容TCSEC/TDI 安全级别划分安全级别定义A1 验证设计(verified design)B3 安全域(security domains)B2 结构化保护(structural protection)B1 标记安全保护(labeled security protection)C2 受控的存取保护(controlled access protection)C1 ⾃主安全保护(discretionary security protection)D 最⼩保护(minimal protection)CC评估保证级(EAL)的划分评估保证级定义 TCSEC安全级别(近似相当)EAL1 功能测试(functionally tested)EAL2 结构测试(structurally tested) C1EAL3 系统地测试和检查(methodically tested and checked) C2EAL4 系统地设计、测试和复查(methodically designed,tested and reviewed) B1EAL5 半形式化设计和测试(semiformally designed and tested) B2EAL6 半形式化验证的设计和测试(semiformally verified design and tested) B3EAL7 形式化验证的设计和测试(formally verified design and tested) A1实现数据库安全性控制的常⽤⽅法和技术⽤户⾝份鉴别该⽅法由系统提供⼀定的⽅式让⽤户标识⾃⼰的名字或⾝份。
全国计算机等级考试二级公共基础知识第四章.ppt
…
… …
4.1.2 数据库系统的发展
文件系统阶段
用户 1 用户 2 用户 3
应用程序 1
应用程序 2
应用程序 3 OS
应用程序 4
用户 m
应用程序 n
数据文件 1 数据文件 2 数据文件 3 数据文件 4
数据文件 n
12
4.1.2 数据库系统的发展
数据库系统阶段
用户 1 用户 2 用户 3
组成:数据库系统+应用软件+应用界面
应用软件 应用开发工具软件 数据库管理系统
操作系统 硬件
10
… … …
4.1.2 数据库系统的发展
人工管理阶段
用户 1
应用程序 1
用户 2 用户 3
应用程序 2 应用程序 3 应用程序 4
用户 m
应用程序 n
数据组 1 数据组 2 数据组 3 数据组 4 数据组 n
数据库系统的核心 DBMS的功能
数据模式定义 数据存取的物理构建 数据操纵。 数据的完整性、安全性定义与检查 数据库的并发控制与故障恢复 数据的服务
6
4.1.1 数据、数据库、数据库管理系统(续)
3.数据库管理系统
数据库语言
数据定义语言DDL 数据操纵语言DML 数据控制语言DCL
较小的冗余度 较高的数据独立性 易扩展性 为多个用户所共享
5
4.1.1 数据、数据库、数据库管理系统(续)
3.数据库管理系统
数据库管理系统——Database Management System, 简称DBMS
数据库的管理机构,职能是有效地组织、存储、获取和 管理数据,接受及完成用户提出的访问数据的各种请求
数据语言的使用
网络数据库与数据安全培训演示课件(ppt90张)
改,使其失去原来的真实性。篡改是一种人为的主动攻 击。进行这种人为攻击的原因可能是个人利益驱动、隐 藏证据、恶作剧或无知。
n 损坏:损坏的表现为数据库中表和整个数据库部分或
全部被删除、移走或破坏。产生损坏的原因主要有破坏、 恶作剧和病毒。
n 窃取:窃取一般是对敏感数据进行的。窃取的手法可能 是将数据复制到可移动的介质上带走或把数据打印后取 走。一般,被窃取的数据可能具有很高的价值。窃取数 据的对象一般是内部员工和军事及工商业间谍等。
第四章 网络数据库与数据安全
本章要点
网络数据库系统特性及安全 网络数据库的安全特性 网络数据库的安全保护 网络数据备份和恢复
第一节 网络数据库安全概念
(一)数据库安全的概念 1、数据库安全
(1) 第一层含义是数据库系统的安全性。
n 硬件运行安全 n 物理控制安全 n 操作系统安全 n 用户有可连接数据库的授权 n 灾害、故障恢复
用户是用来连接数据库对象。而模式是用 来创建管理对象的。模式跟用户在oracle 是一对
特权是执行一种特殊类型的SQL语句或 存取另一用户的对象的权力。有系统特 权和对象特权两类特权。
系统特权
n 系统特权是执行一种特殊动作或者在对象类型上执行一种特殊 动作的权力。
3、数据库事务
n “事务”是数据库中的一个重要概念,是一系列操作过程的集 合,也是数据库数据操作的并发控制单位。
n DBMS在数据库操作时进行“事务”定义,要么一个“事务” 应用的全部操作结果都反映在数据库中(全部完成),要么就 一点都没有反映在数据库中(全部撤除),数据库回到该次事 务操作的初始状态。这就是说,一个数据库“事务”序列中的 所有操作只有两种结果之一,即全部执行或全部撤除。
第4章SQLSERVER数据库管理ppt课件全
4.1.3 SQL Server 2008 R2数据库类型
(2)model数据库:model数据库是一个模板数据库。每当创建新的
数据库时(包括系统数据库tempdb),就会创建model数据库的一个副
本,并以新创建数据库的名称重命名该副本。
(3)msdb数据库
可以把msdb数据库看作是SQL Server代理的数据库,这是因为SQL Server 2008 R2代理广泛地使用msdb数据库存储自动化作业定义、 作业计划、操作员定义以及警报定义。
❖ 步骤:
(1)从“开始”-“程序”-“Microsoft SQL Server 2008 R2”-“SQL Server 2008 R2 Management Studio”点击后,打开该工具,首先点击“连接”到 SQL Server 2008 R2数据库引擎实例,详见图4-3连接 Management Studio工具。
本章的学习目标:
• 了解数据库的存储结构 • 理解数据库文件和文件组的基本特征 • 了解SQL Server 2008 R2系统的数据库 • 了解数据库的物理存储方式和大小估算方法 • 熟练掌握用Management Studio工具和T-SQL语句创建数据库 • 熟练掌握用Management Studio工具和T-SQL语句修改数据库 • 熟练掌握扩大数据库的原因和方法 • 掌握数据库的分离和附加 • 掌握收缩数据库的原因和方法 • 掌握数据库的删除 • 掌握数据库的备份和还原
逻辑存储结构和物理存储结构。
数据库物理存储结构表现为存储数据的各类操作系统 文件,SQL Server 2008 R2数据库在磁盘上是以文件 为单位存储的,由数据文件和事物日志文件组成,每 个数据库至少要具有两种操作系统文件:一个数据文 件和一个事务日志文件。
数据库第4,5章
属性列
Table
视图
Table
基本表
Table
基本表
DataBase
例题
例1 把查询Student表权限授给用户U1。 SQL server 2000: GRANT SELECT GRANT SELECT ON TABLE Student ON Student TO U1; TO U1; 例 2 把对 Student 表和 Course 表的全部权限 授予用户U2和U3
第四章 数据控制
4 数据库安全性 4.1 计算机安全性概述 4.2 数据库安全性控制 4.3 视图机制
4.4 数据加密
4.5 统计数据库安全性
第四章 数据库安全性
数据库的一大特点是数据可以共享
但数据共享必然带来数据库的安全性问题
只能在DBMS的严格控制下共享,即只允许合
法用户访问允许他存取的数据
功能:从指定用户那里收回对指定对象的 指定权限
例题
例7 把用户U4在Student表上修改学生学号的权 限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4; 例8 收回所有用户对表SC的查询权限 REVOKE SELECT ON TABLE SC FROM PUBLIC;
பைடு நூலகம்
例题(续)
例9 把用户U5对SC表的INSERT权限收回 REVOKE INSERT ON TABLE SC FROM U5; PS:系统不但收回 用户U5 对 SC表 的 INSERT 权限收回,而且收回由 U5 授权给 U6 以及由 U6 授权给 U7的Insert权限。
4.2.5 强制存取控制方法
必须预先对每个用户定义存取权限。
数据库系统概论第5版课后答案第4章 数据库安全性
第4章数据库安全性1.什么是数据库的安全性答:数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。
2.数据库安全性和计算机系统的安全性有什么关系答:安全性问题不是数据库系统所独有的,所有计算机系统都有这个问题。
只是在数据库系统中大量数据集中存放,而且为许多最终用户直接共享,从而使安全性问题更为突出。
系统安全保护措施是否有效是数据库系统的主要指标之一。
数据库的安全性和计算机系统的安全性,包括操作系统、网络系统的安全性是紧密联系、相互支持的。
CC评估保证级(EAL)的划分4.试述实现数据库安全性控制的常用方法和技术。
答:实现数据库安全性控制的常用方法和技术有:1)用户标识和鉴别:该方法由系统提供一定的方式让用户标识自己的名字或身份。
每次用户要求进入系统时,由系统进行核对,通过鉴定后才提供系统的使用权。
2)存取控制:通过用户权限定义和合法权检查确保只有合法权限的用户访问数据库,所有未被授权的人员无法存取数据。
例如CZ 级中的自主存取控制( DAC ) , Bl 级中的强制存取控制(MAC )。
3)视图机制:为不同的用户定义视图,通过视图机制把要保密的数据对无权存取的用户隐藏起来,从而自动地对数据提供一定程度的安全保护。
4)审计:建立审计日志,把用户对数据库的所有操作自动记录下来放入审计日志中,DBA 可以利用审计跟踪的信息,重现导致数据库现有状况的一系列事件,找出非法存取数据的人、时间和内容等。
5)数据加密:对存储和传输的数据进行加密处理,从而使得不知道解密算法的人无法获知数据的内容。
5.什么是数据库中的自主存取控制方法和强制存取控制方法答:自主存取控制方法:定义各个用户对不同数据对象的存取权限。
当用户对数据库访问时首先检查用户的存取权限。
防止不合法用户对数据库的存取。
强制存取控制方法:每一个数据对象被(强制地)标以一定的密级,每一个用户也被(强制地)授予某一个级别的许可证。
系统规定只有具有某一许可证级别的用户才能存取某一个密级的数据对象。
《数据库原理及应用》教学课件 第四章数据操纵与查询
本例需要查询学生选课信息,即查询数据表 SC 中的所有属性,在 SELECT 后用“*”表示;在 WHERE 子句中使用比较运算符构造查询 条件,输出满足条件的元组。所得查询结果如图所示。
18
4.2 单表查询
4.2.2 无条件查询与条件查询
20
4.2 单表查询
4.2.2 无条件查询与条件查询
(4)确定集合查询
【例4-12】 从数据表 SC 中查询选修了课程“C0204”或“D0101”的学生的选课信息。
SELECT * FROM SC WHERE CNo IN('C0204','D0101')
IN 表示查询属性值属于指定集合的元组。本例查询结果如图 所示。
23
4.2 单表查询
4.2.2 无条件查询与条件查询
(6)空值查询
不同于零和空格,空值不占用任何存储空间。例如,某学生选修了某门课程,但没有参加考试, 这时就会出现数据表中有选课记录但考试成绩为空的情况,空值查询就可以对这类数据进行查询。 同样,也可以对不为空的数据进行查询。
【例4-14】 从数据表 SC中查询考试成绩有效的学生选课信息。 SELECT * FROM SC WHERE Grade IS NOT NULL
查询数据的 SQL 命令为 SELECT,具体语法格式如下:
SELECT [ALL|DISTINCT] <列名> [[AS] <列别名>] [ , N ] FROM <表名> [[AS] <表别名>] [WHERE <条件1>] [GROUP BY <列名1> [HAVING <条件2>] ] [ORDER BY <列名2> [ASC|DESC]]
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
当前常用的鉴别方法。静态口令一般由用户自己设定,鉴别时只 要按要求输入正确的口令,系统将允许用户使用数据库管理系统。 2.动态口令鉴别 目前较为安全的鉴别方式。这种方式的口令是动态变化的,每次 鉴别时均需使用动态产生的新口令登录数据库管理系统,即采用 一次一密的方法。
1.用户管理
• 修改用户:修改用户信息使用alter user语句,
其语句格式与create user 语句格式相同。
alter user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 命令格式:
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 用户管理包括创建用户、修改用户和删除用户 • 创建用户:在oracle中要创建一个新的用户,一般当
前用户是具有dba(数据库管理员)的权限才能使用。
1.用户管理
• 命令格式:
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
第四章 Oracle安全性控制
1.用户管理 2.模式 3.权限管理 4.角色管理
2. 模式
是指一系列逻辑数据结构或对象的集合。
• 模式与用户相对应,一个模式只能被一个数据库用户所拥有,并 且模式的名称与这个用户的名称相同
• 通常情况下,用户所创建数据库对象都保存在与自己同名的模式 中。
• 同一模式中数据库对象的名称必须唯一,而在不同模式中的数据
修改用户 [例2] 将用户u1的口令修改为过期状态。
alter user u1 password expire
1.用户管理
• 删除用户:一般以dba的身份去删除某个用户,如果用 其它用户去删除用户则需要具有 drop user的权限。 命令格式: drop user 用户名 [cascade]
• 如果指定cascade,将会删除这个用户所拥有的所有对 象。
4.2 数据库安全性控制
4.2.1 用户身份鉴别 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授权与回收 4.2.5 数据库角色 4.2.6 强制存取控制方法
第四章 Oracle安全性控制
1.用户管理 2.模式 3.权限管理 4.角色管理
1.用户管理
• 用户管理是Oracle实现安全性的一个重要方法,只有 通过用户验证,用户才能访问数据库。
4.2.1 用户身份鉴别
• 用户身份鉴别是数据库管理系统提供的最外层安全保护 措施。
• 基本方法
– 系统提供一定的方式让用户标识自己的名字或身份; – 系统内部记录着所有合法用户的标识; – 每次用户要求进入系统时,由系统核对用户提供的身份标识; – 通过鉴定后才提供使用数据库管理系统的权限。
4.2.1 用户身份鉴别
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 创建的新用户是没有任何权限的,甚至连登录数据库的权 限都没有,需要为其指定相应的权限。
[例1] 创建用户u1,并为其分配口令。 create user u1 identified by 123456 default tablespace users temporary tablespace temp quota unlimited on users
对数据库安全性产生威胁的因素主要有以下几个方面: 1.非授权用对数据库的恶意存取和破坏
一些黑客和犯罪分子在用户存取数据库时猎取用户名和用户口令, 然后假冒合法用户偷取、修改甚至破坏用户数据。 2.数据库中重要或敏感的数据被泄露 黑客和敌对分子千方百计盗窃数据库中的重要数据,一些机密信 息被泄露。 3.安全环境的脆弱性 数据库的安全性与计算机系统的安全性,包括计算机硬件、操作 系统、网络系统等的安全性是紧密联系的。
• 命令格式:
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
4.2 数据库安全性控制
在一般计算机系统中,安全措施是一级一级层层设置的
用户
DBMS
OS
DB
Байду номын сангаас
用户标识 和鉴定
数据库 安全保护
操作系统 安全保护
计算机系统的安全模型
密码存储
4.2 数据库安全性控制
4.2.1 用户身份鉴别 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授权与回收 4.2.5 数据库角色 4.2.6 强制存取控制方法
• 默认情况下,用户引用的对象是与自己同名模式中的对象,如果 要引用其他模式中的对象,需要在该对象名之前指明对象所属模 式。
2. 模式
• 如果用户以NORMAL身份登录,则进入同名模式。 • 若以SYSDBA身份登录,则进入SYS模式。 • 如果以SYSOPER身份登录,则进入PUBLIC模式。
• 存取控制机制包括两部分 – 定义用户权限,并将用户权限登记到数据字典中 – 合法权限检查
• 用户权限定义和合法权检查机制一起组成了DBMS的安 全子系统
4.2.2 存取控制
• 定义用户权限,并将用户权限登记到数据字典中 – 用户对某一数据对象的操作权力称为权限。DBMS系统提供适当的 语言来定义用户权限,这些定义经过编译后存放在数据字典中, 被称做安全规则或授权规则。
– 同一用户对于不同的数据对象有不同的存取权限 – 不同的用户对同一对象也有不同的权限 – 用户还可将其拥有的存取权限转授给其他用户 • 在强制存取控制中(Mandatory Access Control,简称 MAC) – 每一个数据对象被标以一定的密级 – 每一个用户也被授予某一个级别的许可证 – 对于任意一个对象,只有具有合法许可证的用户才可以存取
第4章 数据库安全性
主讲教师:杨丽丽 E-mail:yll@ Tel: 17709213676,87091337(O)
第四章 数据库安全性
4.1 数据库安全性概述 4.2 数据库安全性控制 4.3 视图机制 4.4 审计 4.5 数据加密 4.6 其他安全性保护 4.7 小结
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 命令格式:
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
4.2.1 用户身份鉴别
常用的用户身份鉴别方法有: 3.生物特征鉴别
是一种通过生物特征进行认证的技术,其中,生物特征是指生物 体唯一具有的,可测量、识别和验证的稳定生物特征,如指纹、 虹膜和掌纹等。 4.智能卡鉴别 智能卡是一种不可复制的硬件,内置集成电路的芯片,具有硬件 加密功能。智能卡由用户随身携带,登录数据库管理系统时用户 将智能卡插入专用的读卡器进行身份验证。
• 合法权限检查 – 每当用户发出存取数据库的操作请求后,DBMS查找数据字典,根 据安全规则进行合法权限检查,若用户的操作请求超出了定义的 权限,系统将拒绝执行此操作。
4.2.2 存取控制
常用存取控制方法 • 在自主存取控制中(Discretionary Access Control ,简称DAC)
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]