確保只授權給有資格的使用者訪問資料庫的許可權,同時令所有未被授權的人員無法接受資料,這主要通過資料庫系統的訪問控制機制實現。訪問控制主要包括定義使用者許可權和合法許可權檢查兩部分。
1)定義使用者許可權,並將使用者許可權登記到資料字典中;
2)合法許可權檢查。
c2級的資料庫管理系統支援自主訪問控制,b1級的資料庫管理系統支援強制訪問控制。
sql標準對自主訪問控制提供支援,通過grant和revoke語句來實現。
定義訪問許可權成為授權;
訪問控制的物件不僅由資料本身(基本表中的資料、屬性列上的資料),還有資料庫模式(包括資料庫、基本表、檢視和索引的建立等)。
1、grant
1)一般格式
grant 《許可權》 [,《許可權》]...
on 《物件型別》 《物件名》[,《物件型別》 《物件名》]...
to 《使用者》[,《使用者》]...
[with grant option];
如果指定了 with grant oprion子句,則獲得某種許可權的使用者還可以把這種許可權授予其他使用者。sql標準不允許迴圈授權。
例1:把查詢student表的許可權授給使用者u1
grant select
on table student
to u1;
grant all privileges
on table student,course
to u2,u3;
grant update(sno),select
on table student
to u4;
1)一般格式
revoke 《許可權》
on 《物件型別》 《物件名》
from 《使用者》 [cascade | restrict];
revoke update(sno)
on table student
from u4;
對建立資料庫模式一類的資料庫物件的授權則由資料庫管理員在建立使用者時實現。
create user [with] [dba | resource | connect];只有系統的超級使用者才有權建立乙個新的資料庫使用者;
新建立的資料庫使用者有三種許可權dba | resource | connect;
create user命令中如果沒有指定許可權,預設connect。
connect許可權的使用者不能建立新使用者,不能建立模式,不能建立基本表,只能登陸資料庫。
resource許可權的使用者能建立基本表和檢視,成為所建立物件的屬主,但不能建立模式, 不能建立新的使用者。
dba許可權的使用者時系統中的超級使用者,可以建立新的使用者、建立模式、建立表和檢視等,擁有對所有物件的訪問許可權。
角色是許可權的集合。
例:
create role r1;
grant select, update, insert
on table student
to r1;
grant r1
to u1, u2;
revoke r1
on table student
from u1;
通過檢視機制把要儲存的資料對物權訪問的使用者隱藏起來,從而自動對資料提供一定程度的安全保護。檢視機制間接地實現支援訪問為此的使用者許可權定義。
審計功能吧使用者對資料庫的所有操作自動儲存記錄下來放入審計日誌,審計員可以利用審計日誌監督資料庫中的各種行為。
1)儲存加密
2)傳輸加密
資料庫安全性
訪問控制 確保只授權給有資格的使用者訪問資料庫的許可權,令未授權的人員無法接近資料庫 訪問控制機制主要包括使用者許可權和合法許可權檢查 定義使用者許可權,並將使用者許可權登記到資料字典中 合法許可權檢查 每當使用者發出訪問資料庫的操作後,資料庫管理系統會查詢資料字典,對合法許可權檢查 定義使用者許可...
資料庫的安全性
非授權使用者對資料庫的惡意訪問和破壞 資料庫中重要或敏感的資料被洩露 n黑客和敵對分子千方百計盜竊資料庫中的重要資料,一些機密資訊被暴露。n資料庫管理系統提供的主要技術有強制訪問控制 資料加密儲存和加密傳輸等。n審計日誌分析 安全環境的脆弱性 n資料庫的安全性與計算機系統的安全性緊密聯絡 l計算機硬...
4 資料庫安全性
先建立乙個檢視 然後將檢視的許可權授予給使用者 create view cs student as select from student where sdep cs grant select on cs student to 王平 grant all privileges on cs studen...