第9章数据库的安全性与完整性重点

1、中国计量学院信息学院中国计量学院信息学院SHUJUKU XITONG YUANLIChina JiLiang University2009(第二版)9.1 数据库的安全性数据库的安全性9.2 完整性控制完整性控制An Introduction to Database Systems第九章9.1.1 数据库安全性数据库安全性9.1.2 数据库安全控制的一般方法数据库安全控制的一般方法9.1.3 SQL Server 的用户与安全的用户与安全性管理性管理An Introduction to Database Systems第九章数据库的安全性是指保护数据库，防止因用数据库的安全性是指保护数据库，防

2、止因用户非法使用数据库造成数据泄露、更改或破户非法使用数据库造成数据泄露、更改或破坏。坏。 安全性问题有许多方面，其中包括：安全性问题有许多方面，其中包括： (1)法律、社会和伦理方面的问题，例如请求法律、社会和伦理方面的问题，例如请求查询信息的人是不是有合法的权力。查询信息的人是不是有合法的权力。 (2)物理控制方面的问题，例如计算机机房是物理控制方面的问题，例如计算机机房是否应该加锁或用其他方法加以保护。否应该加锁或用其他方法加以保护。 SHUJUKU XITONG YUANLI第九章 (3)政策方面的问题，如确定存取原则，允政策方面的问题，如确定存取原则，允许指定许指定 用户存取指定数据

3、。用户存取指定数据。 (4)运行方面的问题，如使用口令时，如何运行方面的问题，如使用口令时，如何使口令保密。使口令保密。 (5)硬件控制方面的问题，如硬件控制方面的问题，如CPU是否提供是否提供任何安全性方面的功能。任何安全性方面的功能。SHUJUKU XITONG YUANLI第九章 (6)操作系统安全性方面的问题，如在主存储操作系统安全性方面的问题，如在主存储器和数据文件用过以后，操作系统是否把它器和数据文件用过以后，操作系统是否把它们的内容清除掉。们的内容清除掉。 (7)数据库系统本身的安全性方面的问题。本数据库系统本身的安全性方面的问题。本章主要讨论的就是数据库系统本身的安全性章主要讨

4、论的就是数据库系统本身的安全性问题，主要考虑安全保护的策略，尤其是控问题，主要考虑安全保护的策略，尤其是控制访问的策略。制访问的策略。SHUJUKU XITONG YUANLI第九章9.1.1 9.1.1 数据库安全性数据库安全性9.1.2 9.1.2 数据库安全控制的一般方法数据库安全控制的一般方法9.1.3 SQL Server 9.1.3 SQL Server 的用户与安全的用户与安全性管理性管理An Introduction to Database Systems第九章 安全性控制就是要尽可能地杜绝所有可安全性控制就是要尽可能地杜绝所有可能的数据库非法访问，不管它们是有意的还能的数据库

5、非法访问，不管它们是有意的还是无意的。是无意的。SHUJUKU XITONG YUANLI用户用户DBMSOSDB用户标识和鉴别用户标识和鉴别 存取控制存取控制 操作系统安全保护操作系统安全保护 密码存储密码存储计算机系统的安全模型计算机系统的安全模型第九章用户标识和鉴定（用户标识和鉴定（Identification & Authentication）是系统提供的最外层安全）是系统提供的最外层安全保护措施。标识和鉴定一个用户最常用的方保护措施。标识和鉴定一个用户最常用的方法是用一个用户名或用户标识号来标明用户法是用一个用户名或用户标识号来标明用户身份，通过用户名和口令来鉴定用户的方法身

6、份，通过用户名和口令来鉴定用户的方法简单易行，但用户名与口令容易被人窃取，简单易行，但用户名与口令容易被人窃取，因此还可以用更复杂的方法。例如，利用用因此还可以用更复杂的方法。例如，利用用户的个人特征。户的个人特征。SHUJUKU XITONG YUANLI（）用户标识和鉴定（）用户标识和鉴定第九章数据库系统中，为了保证用户只能访问他有数据库系统中，为了保证用户只能访问他有权存取的数据，必须预先对每个用户定义存取权权存取的数据，必须预先对每个用户定义存取权限。存取权限是由两个要素组成的：数据对象和限。存取权限是由两个要素组成的：数据对象和操作类型。在数据库系统中，定义存取权限称为操作类型。在数

7、据库系统中，定义存取权限称为授权（授权（Authorization）。衡量授权机制是否灵）。衡量授权机制是否灵活的一个重要指标是授权粒度，即可以定义的数活的一个重要指标是授权粒度，即可以定义的数据对象的范围。授权粒度越细，授权子系统就越据对象的范围。授权粒度越细，授权子系统就越灵活，能够提供的安全性就越完善。灵活，能够提供的安全性就越完善。SHUJUKU XITONG YUANLI（）存取控制（）存取控制第九章 关系数据库系统中，就是为不同的用户定义关系数据库系统中，就是为不同的用户定义不同的视图，通过视图机制把要保密的数据对无不同的视图，通过视图机制把要保密的数据对无权存取这些数据的用户隐藏

8、起来，从而自动地对权存取这些数据的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。数据提供一定程度的安全保护。SHUJUKU XITONG YUANLI（）视图机制（）视图机制第九章（4）审计）审计 审计功能是一种监视措施，它跟踪记录审计功能是一种监视措施，它跟踪记录有关数据的访问活动。审计功能一般主要有关数据的访问活动。审计功能一般主要用于安全性要求较高的部门。用于安全性要求较高的部门。（）操作系统安全保护（）操作系统安全保护通过操作系统提供的安全措施来保证通过操作系统提供的安全措施来保证数据库的安全性。数据库的安全性。SHUJUKU XITONG YUANLI第九章数据加密是防止数据

9、库中的数据在存数据加密是防止数据库中的数据在存储和传输中失密的有效手段。加密方法储和传输中失密的有效手段。加密方法主要有两种：替换方法和置换方法主要有两种：替换方法和置换方法加密方法主要有两种：加密方法主要有两种：1）替换方法，该方法使用密钥将明文中）替换方法，该方法使用密钥将明文中的每一个字符转换为密文中的字符。的每一个字符转换为密文中的字符。2）置换方法，该方法仅将明文的字符按）置换方法，该方法仅将明文的字符按不同的顺序重新排列。不同的顺序重新排列。An Introduction to Database Systems第九章9.1.1 数据库安全性数据库安全性9.1.2 数据库安全控制的一

10、般方法数据库安全控制的一般方法9.1.3 SQL Server 的用户与安全的用户与安全性管理性管理An Introduction to Database Systems第九章 SQL Server SQL Server的用户与安全性的用户与安全性管理管理 Microsoft SQL Server 的安全性是非常牢的安全性是非常牢靠的靠的,任何用户企图访问数据库中的数据之前任何用户企图访问数据库中的数据之前,必必须要通过四道关卡须要通过四道关卡,下下图图 表示出了这四个环节。表示出了这四个环节。 SHUJUKU XITONG YUANLI第九章SQL Server的四个环节的四个环节 用户登用

11、户登录请求录请求操作系操作系统统SQL Server数 据 库数 据 库服务器服务器数据数据库对库对象象SQL Server数据库数据库SHUJUKU XITONG YUANLI第九章1.进入进入Microsoft SQL Server服务器服务器 Microsoft SQL Server有两种鉴别模式有两种鉴别模式: : Windows鉴别鉴别和和Microsoft SQL Server鉴鉴别。别。2. 访问访问Microsoft SQL Server数据库数据库 一般来说一般来说, ,访问访问Microsoft SQL Server数数据库需经过以下三个步骤据库需经过以下三个步骤: : S

12、HUJUKU XITONG YUANLI第九章在在Microsoft SQL Server服务器上建立服务器登服务器上建立服务器登录标识。录标识。在数据库中建立用户帐号、角色并设置用在数据库中建立用户帐号、角色并设置用户访问权限户访问权限。角角色色是数据库访问权限的管理单位是数据库访问权限的管理单位, ,其成其成员继承员继承角角色的访问权限。色的访问权限。角角色共分两种色共分两种: :服务器服务器角色角色和和数据库角色数据库角色。 SHUJUKU XITONG YUANLI第九章 服务器角色负责整个服务器角色负责整个Microsoft SQL Microsoft SQL ServerServe

13、r服务器的访问权限，而数据库角色只服务器的访问权限，而数据库角色只负责某个数据库的访问权限。数据库角色负责某个数据库的访问权限。数据库角色可可再往下分为三类再往下分为三类: :固定数据库角色、公共角固定数据库角色、公共角色和自定义数据库角色色和自定义数据库角色, ,而服务器角色只包而服务器角色只包含固定服务器角色。含固定服务器角色。SHUJUKU XITONG YUANLI第九章 固定服务器角色固定服务器角色 SYSTEM ADMINISTRATORS(sysadmin) ): :该角该角色权限最大色权限最大, ,能执行任何操作能执行任何操作, ,包括否决其他固包括否决其他固定服务器角色。定服

14、务器角色。DATABASE CREATORS (dbcreator)：该角色该角色能创建和修改数据库。能创建和修改数据库。DISK ADMINISTRATORS (diskadmin)：该角该角色负责管理磁盘文件。色负责管理磁盘文件。SHUJUKU XITONG YUANLI第九章PROCESS ADMINISTRATORS(processadmin)PROCESS ADMINISTRATORS(processadmin)：该该角色管理运行在角色管理运行在Microsoft SQL SeMicrosoft SQL Servrverer上的不上的不同进程。同进程。SECURITY ADMINIS

15、TRATORS(securityadminSECURITY ADMINISTRATORS(securityadmin) )：该角色管理服务器注册。该角色管理服务器注册。Server ADMINISTRATORS(Server ADMINISTRATORS(Serveradmin)Serveradmin)：该角：该角色设置服务器配置。色设置服务器配置。SETUP ADMINISTRATORSSETUP ADMINISTRATORS（setupadminsetupadmin）：该角该角色安装色安装Microsoft SQL SeMicrosoft SQL Servrverer同步复制和管理同步复制

16、和管理扩展过程。扩展过程。 SHUJUKU XITONG YUANLI第九章 固定数据库角色固定数据库角色 DATABASE OWNER (db_owner)：该角色该角色拥有某个数据库的所有权限拥有某个数据库的所有权限, ,能执行其他数能执行其他数据库角色的操作。据库角色的操作。D A T A B A S E A C C E S S ADMINISTRATOR(db_accessadmin)：该该角色管理某个数据库的用户帐号。角色管理某个数据库的用户帐号。SHUJUKU XITONG YUANLI第九章DATABASE SECURITY ADMINISTRATOR (db_securitya

17、dmin)：该角色管理数据库的用户该角色管理数据库的用户帐号和角色以及语句和对象权限。帐号和角色以及语句和对象权限。DATABASE BACKUP OPERATOR(db_dumpoperator)：该角色负责备该角色负责备份数据库的工作。份数据库的工作。SHUJUKU XITONG YUANLI第九章 公共角色公共角色 每一个数据库都有一个公共角色每一个数据库都有一个公共角色, ,每每创建一个新的用户帐号时创建一个新的用户帐号时, ,此帐号自动拥此帐号自动拥有该角色。不能对该角色添加或修改用有该角色。不能对该角色添加或修改用户帐号户帐号, ,对其对其唯唯一的操作是为它分配权限。一的操作是为它

18、分配权限。 自定义数据库角色自定义数据库角色 自定义数据库角色同固定数据库角色自定义数据库角色同固定数据库角色一样一样, ,管理多个用户的相同权限。管理多个用户的相同权限。 SHUJUKU XITONG YUANLI第九章 应用程序角色应用程序角色 该角色不分配给任何用户该角色不分配给任何用户, ,而是分配给某一而是分配给某一个运行在个运行在Microsoft SQL SeMicrosoft SQL Servrverer上的应用程序。上的应用程序。 设置应用程序角色的原因有两点设置应用程序角色的原因有两点: : 一是限制访问数据库所使用的应用程序一是限制访问数据库所使用的应用程序； 二是提高二

19、是提高Microsoft SQL SeMicrosoft SQL Servrverer服务器的运服务器的运行性能行性能, ,避免在此服务器上运行其他程序。避免在此服务器上运行其他程序。 SHUJUKU XITONG YUANLI第九章 (3) (3) 设置语句和对象权限设置语句和对象权限 用户可获得的权限主要有用户可获得的权限主要有: : 对象权限对象权限 字段字段:SELECT、UPDATE、REFERENCES视图视图:SELECT、UPDATE、DELETE、INSERT存储过程存储过程:EXECUTE SHUJUKU XITONG YUANLI第九章创建数据库创建数据库: :CREAT

20、E DATABASECREATE DATABASE创建关系属性的默认值创建关系属性的默认值:CREATE DEFAULT:CREATE DEFAULT创建存储过程创建存储过程:CREATE PROCEDURE:CREATE PROCEDURE创建关系中属取值性规则创建关系中属取值性规则:CREATE RULE:CREATE RULE创建视图创建视图:CREATE VIEW:CREATE VIEW 备份数据库备份数据库:BACKUP DATABASE:BACKUP DATABASE备份事务日志备份事务日志:BACKUP TRANSACTION :BACKUP TRANSACTION SHUJUK

21、U XITONG YUANLI句权限句权限 第九章 (1)(1)增加增加SQL SeSQL Servrverer用户用户 可以执行系统存储过程可以执行系统存储过程sp_add1ogin,它的格式它的格式 如如下：下：SpSp_ _addloginloginaddloginlogin_ _id,passwd,defdb,deid,passwd,defdb,deflangflanguageuageSHUJUKU XITONG YUANLI3. 3. 安全性控制命令安全性控制命令第九章(2) 增加数据库用户增加数据库用户 sp_adduser login_id,username,grpname(3)

22、 创建用户组创建用户组 sp_addgroup grpname(4) 用户口令用户口令 sp_password old_passwd ,new_passwd,login_idSHUJUKU XITONG YUANLI第九章9.1 9.1 数据库的安全性数据库的安全性9.2 9.2 完整性控制完整性控制An Introduction to Database Systems第九章9.2.1 9.2.1 数据库完整性的含义数据库完整性的含义9.2.2 9.2.2 完整性规则的组成完整性规则的组成9.2.3 9.2.3 完整性约束条件的分类完整性约束条件的分类9.2.4 9.2.4 触发器（触发器（T

23、riggerTrigger）An Introduction to Database Systems第九章 数据库的完整性是指数据的数据库的完整性是指数据的正确正确性、有效性和相容性性、有效性和相容性，防止错误的数，防止错误的数据进入数据库造成无效操作。据进入数据库造成无效操作。 SHUJUKU XITONG YUANLI第九章 数据的完整性与安全性是数据库保护的两个数据的完整性与安全性是数据库保护的两个不同方面。安全性是防止用户非法使用数据库，不同方面。安全性是防止用户非法使用数据库，包括恶意破坏数据和越权存取数据。完整性则是包括恶意破坏数据和越权存取数据。完整性则是防止合法用户使用数据库时向

24、数据库中加入不合防止合法用户使用数据库时向数据库中加入不合语义的数据。也就是说，安全性措施的防范对象语义的数据。也就是说，安全性措施的防范对象是非法用户和非法操作，完整性措施的防范对象是非法用户和非法操作，完整性措施的防范对象是不合语义的数据。是不合语义的数据。SHUJUKU XITONG YUANLI第九章9.2.1 9.2.1 数据库完整性的含义数据库完整性的含义9.2.2 9.2.2 完整性规则的组成完整性规则的组成9.2.3 9.2.3 完整性约束条件的分类完整性约束条件的分类9.2.4 9.2.4 触发器（触发器（TriggerTrigger）An Introduction to D

25、atabase Systems第九章完整性规则主要由以下三部分构成：完整性规则主要由以下三部分构成：（1）触发条件）触发条件：规定系统什么时候使用规则：规定系统什么时候使用规则来检查数据。来检查数据。（2）约束条件：）约束条件：规定系统检查用户发出的操规定系统检查用户发出的操作请求违背了什么样的完整性约束条件。作请求违背了什么样的完整性约束条件。（3）违约响应：）违约响应：规定系统如果发现用户的操规定系统如果发现用户的操作请求违背了完整性约束条件作请求违背了完整性约束条件,应该采取一定应该采取一定的动作来保证数据的完整性，即违约时要做的动作来保证数据的完整性，即违约时要做的事情。的事情。 SH

26、UJUKU XITONG YUANLI9.2.2 9.2.2 完整性规则的组成完整性规则的组成第九章根据完整性检查的时间不同，可把完整性约根据完整性检查的时间不同，可把完整性约束 分 为束 分 为 立 即 执 行 约 束立 即 执 行 约 束 ( I m m e d i a t e Constraints)和延迟执行约束和延迟执行约束(Deferred Constraints)。一条完整性规则可以用一个五元组一条完整性规则可以用一个五元组(D，O，A，C，P)来形式化地表示。其中：来形式化地表示。其中： SHUJUKU XITONG YUANLI第九章D(data) 代表约束作用的数据对象；代

27、表约束作用的数据对象；O(operation) 代表触发完整性检查的数据库操作，代表触发完整性检查的数据库操作，即当用户发出什么操作请求时需要检查该完整性规即当用户发出什么操作请求时需要检查该完整性规则，是立即检查还是延迟检查；则，是立即检查还是延迟检查；A(assertion) 代表数据对象必须满足的断言或语义代表数据对象必须满足的断言或语义约束，这是规则的主体；约束，这是规则的主体；C(condition) 代表选择代表选择A作用的数据对象值的谓词；作用的数据对象值的谓词；P(procedure) 代表违反完整性规则时触发执行的代表违反完整性规则时触发执行的操作过程。操作过程。 SHUJU

28、KU XITONG YUANLI第九章9.2.1 9.2.1 数据库完整性的含义数据库完整性的含义9.2.2 9.2.2 完整性规则的组成完整性规则的组成9.2.3 9.2.3 完整性约束条件的分类完整性约束条件的分类9.2.4 9.2.4 触发器（触发器（TriggerTrigger）An Introduction to Database Systems第九章完整性约束从约束条件使用的对象分为完整性约束从约束条件使用的对象分为值的值的约束和结构的约束。约束和结构的约束。值的约束即对值的约束即对数据类型、数据类型、数据格式、取值范围和空值数据格式、取值范围和空值等进行规定。等进行规定。完整性约

29、束从约束对象的状态分为完整性约束从约束对象的状态分为静态约束静态约束和动态约束和动态约束。 SHUJUKU XITONG YUANLI9.2.3 9.2.3 完整性约束条件的分类完整性约束条件的分类第九章9.2.1 9.2.1 数据库完整性的含义数据库完整性的含义9.2.2 9.2.2 完整性规则的组成完整性规则的组成9.2.3 9.2.3 完整性约束条件的分类完整性约束条件的分类9.2.4 9.2.4 触发器（触发器（TriggerTrigger）An Introduction to Database Systems第九章 1. 1. 触发器组成触发器组成 (1)(1)事件事件: :指对数据

30、库进行的插入、删除、修指对数据库进行的插入、删除、修改等操作。触发器可以响应这些事件改等操作。触发器可以响应这些事件, ,在适在适合的条件及恰当的时间内执行指定的动作。合的条件及恰当的时间内执行指定的动作。 (2)(2)条件条件: :触发器测试给定的条件触发器测试给定的条件, ,若条件成若条件成立立, ,则执行相应的动作则执行相应的动作, ,否则什么也不执行。否则什么也不执行。 (3)(3)动作动作: :动作是一系列的操作动作是一系列的操作, ,这些操作可这些操作可以撤消触发器发生的事件以撤消触发器发生的事件, ,可以是与事件相可以是与事件相关的操作关的操作, ,也可以是与事件无关的其他操作。

31、也可以是与事件无关的其他操作。SHUJUKU XITONG YUANLI9.2.4 9.2.4 触发器（触发器（TriggerTrigger）第九章触发器的主要作用触发器的主要作用是实现由主是实现由主码码和外和外码码所不能所不能保证的、复杂的参照完整性和数据的一致性保证的、复杂的参照完整性和数据的一致性触发器还有其他许多不同的功能触发器还有其他许多不同的功能: : (1) (1) 强化约束强化约束(Enforce Restriction)(Enforce Restriction)。(2) (2) 级联级联操作操作 (Cascaded Operation)(Cascaded Operation)

32、。(3) (3) 存储过程的调用存储过程的调用(Stored Procedure (Stored Procedure Invocation)Invocation)。 SHUJUKU XITONG YUANLI2. 2. 触发器的作用触发器的作用第九章 从触发的元组来分有从触发的元组来分有语句级触发器和元组级触语句级触发器和元组级触发器发器。前者可以在语句执行前或执行后被触发。前者可以在语句执行前或执行后被触发, ,后者在每个触发语句影响的元组触发一次。后者在每个触发语句影响的元组触发一次。 从触发的时间来分还有从触发的时间来分还有BeforeBefore和和AfterAfter的的两种形式两种

33、形式, ,分别在分别在InsertInsert、updateupdate及及deletedelete之之前或之后执行。前或之后执行。 Microsoft SQL ServerMicrosoft SQL Server支持两种触发支持两种触发器器:After:After触发器与触发器与Instead ofInstead of触发器。触发器。 SHUJUKU XITONG YUANLI第九章An Introduction to Database Systems 约束和触发器在特殊情况下各有优势。触发器的约束和触发器在特殊情况下各有优势。触发器的主要好处在于它们可以包含适用主要好处在于它们可以包含适用

34、Transact-SQLTransact-SQL代码的代码的复杂处理逻辑。因此，触发器可以支持约束的所有功复杂处理逻辑。因此，触发器可以支持约束的所有功能；但它在所给出的功能上并不总是最好的方法。实能；但它在所给出的功能上并不总是最好的方法。实体完整性总应在最低级别上通过索引进行强制，这些体完整性总应在最低级别上通过索引进行强制，这些索引或是索引或是RRIMARY KEYRRIMARY KEY和和UNIQUEUNIQUE约束的一部分，或是约束的一部分，或是在约束之外独立创建的。假设功能可以满足应用程序在约束之外独立创建的。假设功能可以满足应用程序的功能需求，域完整性应通过的功能需求，域完整性应

35、通过CHECKCHECK约束进行强制，约束进行强制，而引用完整性则应通过而引用完整性则应通过FOREIGNFOREIGNKEYKEY约束进行强制。约束进行强制。在约束所支持的功能无法满足应用程序的功能要求时，在约束所支持的功能无法满足应用程序的功能要求时，触发器就极为有用。触发器就极为有用。第九章 下面以下面以SQL Server 2005为例，介绍为例，介绍用用 Transact-SQL 定定义触发器的方法。义触发器的方法。定义触发器的基本语法定义触发器的基本语法: CREATE TRIGGER触发器名触发器名ON 表名表名 | 视图名视图名FOR|AFTER|INSTEAD OF INSE

36、RT,UPDATE,DELETE,WITH APPENDNOT FOR REPLICATIONAS SQL 语句语句 SHUJUKU XITONG YUANLI第九章 例例 9.1 创建一个名为创建一个名为Ins_set的触发器的触发器,要求在向要求在向“学生学生”表插入元组后引发该触发器表插入元组后引发该触发器,检查所插入的元检查所插入的元组中组中性别，如果在性别取值不为性别，如果在性别取值不为“男男”或或“女女”。则提示用户则提示用户“性别性别输入有误输入有误,并且回滚事务。并且回滚事务。解：解：CREATE TRIGGER Ins_setON SAFTER INSERT /*触发器在插入

37、元触发器在插入元 组后被引发组后被引发*/SHUJUKU XITONG YUANLI第九章ASIF (SELECT *FROM InsertedWHERE sex NOT IN (男男，女女)）BEGINPRINT 性别性别输入有误输入有误!ROLLBACK TRANSACTIONENDSHUJUKU XITONG YUANLI第九章 为了验证我们创建的触发器是否发挥作用，我们可以为了验证我们创建的触发器是否发挥作用，我们可以再写一条再写一条SQL语句来插入一条新的学生信息，并故意将该语句来插入一条新的学生信息，并故意将该学生的性别设置为学生的性别设置为“阳阳”。 插入数据的插入数据的SQL语

38、句如下：语句如下：INSERT INTO SVALUES(S011,王朝王朝,阳阳,20,87609876)执行结果：执行结果： 性别输入有误性别输入有误!可见我们创建的触发器可见我们创建的触发器Ins_set正常地发挥了作用。正常地发挥了作用。SHUJUKU XITONG YUANLI第九章An Introduction to Database Systems例例9.2建立一个名为建立一个名为Upd_S1的触发器，在向的触发器，在向“学生学生”表更改学生的学号时引发该触发器，希望该学生的表更改学生的学号时引发该触发器，希望该学生的课程记录同时也得到相应的修改。课程记录同时也得到相应的修改。解：解：CREATE TRIGGER Upds1_sOn SFORUPDATEASIF