第六章 数据库安全性和完整性.ppt

第六章数据库安全性和完整性,安全性、完整性protect数据库from非法使用非法用户（安全性）（黑客等）未授权的用户，进入了数据库系统。非法操作（安全性）已授权的用户，执行了超出其允许范围的操作。非法数据（完整性）合法用户的合法操作，也可能产生错误的数据，例如负的分数。,目录,6.1数据库安全性保护6.1.1安全性问题的提出6.1.2安全性保护范围6.1.3安全性保护技术6.2SQL授权机制6.3数据库完整性6.4SQL完整性约束机制,安全性问题的提出,数据库安全问题的必要性国家安全企业安全金融安全,多层次的安全性保护,外部环境操作系统网络数据库系统,安全性保护技术,基于视图技术为不同需求的用户，打造不同的视图=用户需要的数据基于访问控制技术控制每一个用户对数据库的访问，都在事先允许的范围内。实现：用户身份鉴别(口令、磁卡、指纹等)用户权限管理(SQL，本章6.2)用户权限验证(数据库运行时，安全性子系统完成)审计追踪技术记录用户访问数据库全过程（什么用户什么时间什么操作？），以便回溯like监控摄像,安全性保护技术,其它安全技术统计数据库数据加密,目录,6.1数据库安全性保护6.2SQL授权机制6.3数据库完整性6.4SQL完整性约束机制,授予权限,命令格式（ORACLE语法）grant权限,non对象类型对象名to用户,n|publicwithgrantoptionpublic：代表所有用户。withgrantoption：有此选项,用户可把获得的权限转授给其它用户。否则,用户只能使用不能转授该权限。注：SQLSERVER的语法，请去掉对象类型,授予权限,权限类型(1)CREATE:(2)SELECT:(3)INSERT:(4)UPDATE:(5)DELETE:以上都是执行同名SQL语句的权限(6)REFERENCE:针对表，表示可以引用该表的主键来定义（其它表的）外部键。(7)ALL:对象上的所有权限数据对象类型(1)SCHEMA:数据库模式(2)TABLE:基本表(3)VIEW:视图(4)ATTRIBUTE:属性,授予权限,DBA执行语句如下grantselect,updateonTABLE选修表to教务员王withgrantoption则教务员王（从谁那里？）获得选修表的select,update权限，并且还可以把这个权限转授给其它用户用户教务员王执行了如下语句grantselect(姓名,课程),update(分数)onTABLE选修表to辅导员李则教务员王把对选修表上某些列的权限赋给用户辅导员李，但后者不可以把这个权限再转授给其它用户。,回收权限,命令格式revoke权限,non对象类型对象名from用户,n|publicCASCADE|RESTRICTCASCADE:级联式收回权限（若该用户已将权限转授给其它用户，则一并收回）RESTRICT:不存在级联时收回权限成功，存在级联时（用户已把权限转授出去）则命令失败。,回收权限,DBA执行以下语句revokeupdateonTable选修表from教务员王cascade则DBA回收用户教务员王的对选修表的更新权限，此前教务员王转授给辅导员李的对选修表某些列的更新权限也要一并收回。思考：如果以上命令中的cascade改成restrict？,禁止权限,对比grantto用户授与正权限：使用户可以做相应的操作特殊情况：A，B授予同一个用户同一个权限X，即该用户的权限有两个来源。denyto用户禁用（授予负）权限：使用户以后绝对不可以做相应操作继续上个例子，C禁止该用户的X权限（X），那么用户无法再做此权限的操作，即使之前A,B授予了“正权限”。revokefrom用户收回，相当于取消以前授予的（正、负）权限。注意，禁止权限后，取消禁止也是revoke。思考：如果B收回授予用户的正权限X，有什么效果？接下来，C取消他的授予负权限（禁止权限）呢？,角色机制,Why角色?如果有一组用户，他们的权限相同或非常相近。那么设置一个角色代表这组用户，统一给角色授权，可以大大减少工作量。What角色?=用户集合另一个角度，=权限集合,角色机制,how角色?例子辅导员小王，小李，想访问数据库里的学生表。但只允许他们能查询，和更新某些字段比如年龄、宿舍？CreateRole角色名创建角色grant角色to用户withgrantoption把此用户拉入这个用户集合（他也可以继续拉人？）思考：如果要把用户拉出这个集合？grant权限to角色withgrantoption集合中的每个用户，以及以后的新用户，都具有该权限（他们可以转授权限？）,数据库级别的权限,grant数据库级权限to用户数据库级权限包括：connect：允许用户连接到此数据库resource：connect权限+建新表、删除表及索引等权利dba：resource权限+授予或撤消其他用户的connect、resource、dba权限=用户类型授权（教材6.2.1）,目录,6.1数据库安全性保护6.2SQL授权机制6.3数据库完整性6.4SQL完整性约束机制,完整性概念,完整性指数据的正确性、有效性和相容性完整性规则是为保证完整性，数据所必须满足的约束条件。又称完整性约束、完整性约束条件。可以分为两类静态约束：数据取值的条件。例如：年龄0动态约束：数据变化/修改数据的条件（新旧值比