Lesson11(2016)_第1頁(yè)
Lesson11(2016)_第2頁(yè)
Lesson11(2016)_第3頁(yè)
Lesson11(2016)_第4頁(yè)
Lesson11(2016)_第5頁(yè)
已閱讀5頁(yè),還剩55頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、電子與信息工程學(xué)院電子與信息工程學(xué)院電子與信息工程學(xué)院電子與信息工程學(xué)院4.2.1 用戶(hù)標(biāo)識(shí)與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫(kù)角色4.2.6 強(qiáng)制存取控制方法電子與信息工程學(xué)院電子與信息工程學(xué)院一、一、GRANTl GRANT語(yǔ)句的一般格式: GRANT ,. ON TO ,. WITH GRANT OPTION;l語(yǔ)義:將對(duì)指定操作對(duì)象的指定操作權(quán)限授予指定的用戶(hù) 電子與信息工程學(xué)院電子與信息工程學(xué)院l發(fā)出GRANT:DBA數(shù)據(jù)庫(kù)對(duì)象創(chuàng)建者(即屬主Owner)擁有該權(quán)限的用戶(hù)l按受權(quán)限的用戶(hù) 一個(gè)或多個(gè)具體用戶(hù)PUBLIC(全體用戶(hù)

2、) 電子與信息工程學(xué)院電子與信息工程學(xué)院lWITH GRANT OPTION子句:指定:可以再授予沒(méi)有指定:不能傳播l不允許循環(huán)授權(quán)電子與信息工程學(xué)院電子與信息工程學(xué)院 例1 把查詢(xún)Student表權(quán)限授給用戶(hù)U1 GRANT SELECT ON TABLE Student TO U1;例2 把對(duì)Student表和Course表的全部權(quán)限授予用 戶(hù)U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3;電子與信息工程學(xué)院電子與信息工程學(xué)院例3 把對(duì)表SC的查詢(xún)權(quán)限授予所有用戶(hù) GRANT SELECT ON TABLE SC

3、TO PUBLIC;例4 把查詢(xún)Student表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶(hù)U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;l對(duì)屬性列的授權(quán)時(shí)必須明確指出相應(yīng)屬性列名電子與信息工程學(xué)院電子與信息工程學(xué)院 例5 把對(duì)表SC的INSERT權(quán)限授予U5用戶(hù),并允 許他再將此權(quán)限授予其他用戶(hù) GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;執(zhí)行例5后,U5不僅擁有了對(duì)表SC的INSERT權(quán)限,還可以傳播此權(quán)限。電子與信息工程學(xué)院電子與信息工程學(xué)院 例6 GRANT INSERT ON TABLE

4、SC TO U6 WITH GRANT OPTION; 同樣,U6還可以將此權(quán)限授予U7: 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權(quán)限。 電子與信息工程學(xué)院電子與信息工程學(xué)院 下表是執(zhí)行了例例1 1到例例7 7的語(yǔ)句后,學(xué)生-課程數(shù)據(jù)庫(kù)中的用戶(hù)權(quán)限定義表 授權(quán)用戶(hù)名被授權(quán)用戶(hù)名數(shù)據(jù)庫(kù)對(duì)象名允許的操作類(lèi)型能否轉(zhuǎn)授權(quán)DBAU1關(guān)系StudentSELECT不能DBAU2關(guān)系StudentALL不能DBAU2關(guān)系CourseALL不能DBAU3關(guān)系StudentALL不能DBAU3關(guān)系CourseALL不能DBAPUBLIC關(guān)系SCSELECT不能D

5、BAU4關(guān)系StudentSELECT不能DBAU4屬性Student.SnoUPDATE不能DBAU5關(guān)系SCINSERT能U5U6關(guān)系SCINSERT能U6U7關(guān)系SCINSERT不能電子與信息工程學(xué)院電子與信息工程學(xué)院二、二、REVOKEREVOKEl授予的權(quán)限可以由DBA或其他授權(quán)者用REVOKE語(yǔ)句收回lREVOKE語(yǔ)句的一般格式為: REVOKE ,. ON FROM ,.;電子與信息工程學(xué)院電子與信息工程學(xué)院例8 把用戶(hù)U4修改學(xué)生學(xué)號(hào)的權(quán)限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4;例9 收回所有用戶(hù)對(duì)表SC的查詢(xún)權(quán)限 REVO

6、KE SELECT ON TABLE SC FROM PUBLIC;電子與信息工程學(xué)院電子與信息工程學(xué)院例10 把用戶(hù)U5對(duì)SC表的INSERT權(quán)限收回 REVOKE INSERT ON TABLE SC FROM U5 CASCADE ;將用戶(hù)U5的INSERT權(quán)限收回的時(shí)候必須級(jí)聯(lián)(CASCADE)收回 系統(tǒng)只收回直接或間接從U5處獲得的權(quán)限 電子與信息工程學(xué)院電子與信息工程學(xué)院 執(zhí)行例8到例10的語(yǔ)句后,學(xué)生-課程數(shù)據(jù)庫(kù)中的用戶(hù)權(quán)限定義表授權(quán)用戶(hù)名被授權(quán)用戶(hù)名數(shù)據(jù)庫(kù)對(duì)象名允許的操作類(lèi)型能否轉(zhuǎn)授權(quán)DBAU1關(guān)系StudentSELECT不能DBAU2關(guān)系StudentALL不能DBAU2關(guān)

7、系CourseALL不能DBAU3關(guān)系StudentALL不能DBAU3關(guān)系CourseALL不能DBAU4關(guān)系StudentSELECT不能電子與信息工程學(xué)院電子與信息工程學(xué)院lDBA:擁有所有對(duì)象的所有權(quán)限不同的權(quán)限授予不同的用戶(hù)l用戶(hù):擁有自己建立的對(duì)象的全部操作權(quán)限GRANT:授予其他用戶(hù)l被授權(quán)的用戶(hù)“繼續(xù)授權(quán)”許可:再授予l所有授予出去的權(quán)力在必要時(shí)又都可用REVOKE語(yǔ)句收回電子與信息工程學(xué)院電子與信息工程學(xué)院三、創(chuàng)建數(shù)據(jù)庫(kù)模式的權(quán)限 lDBA在創(chuàng)建用戶(hù)時(shí)實(shí)現(xiàn)lCREATE USER語(yǔ)句格式 CREATE USER WITHDBA | RESOURCE | CONNECT電子與信

8、息工程學(xué)院電子與信息工程學(xué)院擁有的擁有的權(quán)限權(quán)限可否執(zhí)行的操作可否執(zhí)行的操作CREATE USERCREATE SCHEMACREATE TABLE登錄數(shù)據(jù)庫(kù)登錄數(shù)據(jù)庫(kù) 執(zhí)行數(shù)執(zhí)行數(shù)據(jù)查詢(xún)和操縱據(jù)查詢(xún)和操縱DBA可以可以可以可以可以可以可以可以RESOURCE不可以不可以不可以不可以可以可以可以可以CONNECT不可以不可以不可以不可以不可以不可以可以,但必須擁有相可以,但必須擁有相應(yīng)權(quán)限應(yīng)權(quán)限權(quán)限與可執(zhí)行的操作對(duì)照表權(quán)限與可執(zhí)行的操作對(duì)照表 電子與信息工程學(xué)院電子與信息工程學(xué)院4.2.1 用戶(hù)標(biāo)識(shí)與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫(kù)角

9、色4.2.6 強(qiáng)制存取控制方法電子與信息工程學(xué)院電子與信息工程學(xué)院l數(shù)據(jù)庫(kù)角色:被命名的一組與數(shù)據(jù)庫(kù)操作相關(guān)的權(quán)限角色是權(quán)限的集合 可以為一組具有相同權(quán)限的用戶(hù)創(chuàng)建一個(gè)角色簡(jiǎn)化授權(quán)的過(guò)程電子與信息工程學(xué)院電子與信息工程學(xué)院l一、角色的創(chuàng)建 CREATE ROLE l二、給角色授權(quán) GRANT , ON 對(duì)象名 TO ,電子與信息工程學(xué)院電子與信息工程學(xué)院l三、將一個(gè)角色授予其他的角色或用戶(hù)GRANT ,TO , WITH ADMIN OPTION l四、角色權(quán)限的收回 REVOKE ,ON FROM ,電子與信息工程學(xué)院電子與信息工程學(xué)院例11通過(guò)角色來(lái)實(shí)現(xiàn)將一組權(quán)限授予一個(gè)用戶(hù)。步驟如下:

10、1. 首先創(chuàng)建一個(gè)角色 R1 CREATE ROLE R1; 2. 然后使用GRANT語(yǔ)句,使角色R1擁有Student表的 SELECT、UPDATE、INSERT權(quán)限 GRANT SELECT,UPDATE,INSERT ON TABLE Student TO R1;電子與信息工程學(xué)院電子與信息工程學(xué)院3. 將這個(gè)角色授予王平,張明,趙玲。使他們具有角色R1所包含的全部權(quán)限 GRANT R1 TO 王平,張明,趙玲;4. 可以一次性通過(guò)R1來(lái)回收王平的這3個(gè)權(quán)限 REVOKE R1 FROM 王平;電子與信息工程學(xué)院電子與信息工程學(xué)院例12角色的權(quán)限修改 GRANT DELETE ON T

11、ABLE Student TO R1電子與信息工程學(xué)院電子與信息工程學(xué)院例13 REVOKE SELECT ON TABLE Student FROM R1; 電子與信息工程學(xué)院電子與信息工程學(xué)院DBARole用戶(hù)用戶(hù)用戶(hù)用戶(hù)授權(quán)授權(quán)授權(quán)管理授權(quán)管理電子與信息工程學(xué)院電子與信息工程學(xué)院4.2.1 4.2.1 用戶(hù)標(biāo)識(shí)與鑒別用戶(hù)標(biāo)識(shí)與鑒別4.2.2 4.2.2 存取控制存取控制4.2.3 4.2.3 自主存取控制方法自主存取控制方法4.2.4 4.2.4 授權(quán)與回收授權(quán)與回收4.2.5 4.2.5 數(shù)據(jù)庫(kù)角色數(shù)據(jù)庫(kù)角色4.2.6 4.2.6 強(qiáng)制存取控制方法強(qiáng)制存取控制方法電子與信息工程學(xué)院電子

12、與信息工程學(xué)院l可能存在數(shù)據(jù)的“無(wú)意泄露”。l原因:這種機(jī)制僅僅通過(guò)對(duì)數(shù)據(jù)的存取權(quán)限來(lái)進(jìn)行安全控制,而數(shù)據(jù)本身并無(wú)安全性標(biāo)記。l解決:對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略 。電子與信息工程學(xué)院電子與信息工程學(xué)院l強(qiáng)制存取控制強(qiáng)制存取控制(MAC)指系統(tǒng)為保證更高程度的安全性,按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求,所采取的強(qiáng)制存取檢查手段MAC不是用戶(hù)能直接感知或進(jìn)行控制的MAC適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類(lèi)的部門(mén)軍事部門(mén), 政府部門(mén)電子與信息工程學(xué)院電子與信息工程學(xué)院l在MAC中,DBMS所管理的全部實(shí)體被分為主體和客體兩大類(lèi)l主體是系統(tǒng)中的活動(dòng)實(shí)體 DBMS所管理的實(shí)際用戶(hù)應(yīng)

13、用程序、進(jìn)程以及線程等客體是系統(tǒng)中的被動(dòng)實(shí)體,是受主體操縱的 文件、基表、索引、視圖電子與信息工程學(xué)院電子與信息工程學(xué)院l對(duì)于主體和客體,DBMS為它們每個(gè)實(shí)例(值)指派一個(gè)敏感度標(biāo)記l敏感度標(biāo)記(Label):絕密、機(jī)密、可信、公開(kāi)l主體的敏感度標(biāo)記稱(chēng)為許可證級(jí)別,客體的敏感度標(biāo)記稱(chēng)為密級(jí)。lMAC機(jī)制就是通過(guò)對(duì)比主體的Label和客體的Label,最終確定主體是否能夠存取客體電子與信息工程學(xué)院電子與信息工程學(xué)院l當(dāng)某一用戶(hù)(或某一主體)以標(biāo)記label注冊(cè)入系統(tǒng)時(shí),系統(tǒng)要求他對(duì)任何客體的存取必須遵循下面兩條規(guī)則: (1)僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí) 時(shí),該主體才能讀取相應(yīng)的客體

14、。(2)僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí),該 主體才能寫(xiě)相應(yīng)的客體。電子與信息工程學(xué)院電子與信息工程學(xué)院l修正規(guī)則主體的許可證級(jí)別 得到的利益電子與信息工程學(xué)院電子與信息工程學(xué)院4.1 計(jì)算機(jī)安全性概述4.2 數(shù)據(jù)庫(kù)安全性控制4.3 視圖機(jī)制4.4 審計(jì)(Audit) 4.5 數(shù)據(jù)加密4.6 統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性4.7 小結(jié)電子與信息工程學(xué)院電子與信息工程學(xué)院l隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,數(shù)據(jù)的共享日益加強(qiáng),數(shù)據(jù)的安全保密越來(lái)越重要。lDBMS是管理數(shù)據(jù)的核心,因而其自身必須具有一整套完整而有效的安全性機(jī)制。電子與信息工程學(xué)院電子與信息工程學(xué)院l可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)TCSEC/TDI是目前各國(guó)所引用或制定的一系列安全標(biāo)準(zhǔn)中最重要的一個(gè)。 lTCSEC/TDI從安全策略、責(zé)任、保證和文檔四個(gè)方面描述了安全性級(jí)別的指標(biāo)電子與信息工程學(xué)院電子與信息工程學(xué)院l實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論