第9章數(shù)據(jù)庫安全性12964973

1第九章

數(shù)據(jù)庫安全性

2

9.1安全性概述

9.2數(shù)據(jù)庫安全控制

9.3DB2數(shù)據(jù)庫的安全性措施

第九章數(shù)據(jù)庫安全性3

9.1安全性概述數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。安全性問題不是數(shù)據(jù)庫系統(tǒng)所獨(dú)有的，所有計算機(jī)系統(tǒng)都有安全性問題。從廣義上講，數(shù)據(jù)庫系統(tǒng)的安全框架可以劃分為三個層次：⑴網(wǎng)絡(luò)系統(tǒng)層次；⑵宿主操作系統(tǒng)層次；⑶數(shù)據(jù)庫管理系統(tǒng)層次。4網(wǎng)絡(luò)系統(tǒng)層次面臨的威脅：a)欺騙（Masquerade）；b)重發(fā)(Replay)；c)報文修改(Modificationofmessage)；d)拒絕服務(wù)(Denyofservice)；e)陷阱門(Trapdoor)；f)特洛伊木馬(Trojanhorse)；g)攻擊：如透納攻擊（TunnelingAttack）、應(yīng)用軟件攻擊等。相關(guān)安全防范技術(shù)

防火墻入侵檢測協(xié)作式入侵檢測

9.1安全性概述5宿主操作系統(tǒng)層次9.1安全性概述主要安全技術(shù)操作系統(tǒng)安全策略安全管理策略數(shù)據(jù)安全密碼策略賬戶鎖定策略審核策略IP安全策略用戶權(quán)利指派加密數(shù)據(jù)的恢復(fù)代理其它安全選項其核心是保證服務(wù)器的安全和分配好各類用戶的權(quán)限。數(shù)據(jù)加密技術(shù)數(shù)據(jù)備份數(shù)據(jù)存儲的安全性數(shù)據(jù)傳輸?shù)陌踩缘?/p>

6數(shù)據(jù)庫管理系統(tǒng)層次安全性數(shù)據(jù)庫系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫管理系統(tǒng)。如果數(shù)據(jù)庫管理系統(tǒng)安全機(jī)制非常強(qiáng)大，則數(shù)據(jù)庫系統(tǒng)的安全性能就較好。

9.1安全性概述7計算機(jī)系統(tǒng)的安全模型計算機(jī)系統(tǒng)的安全模型用戶DBMS

OSDB

用戶標(biāo)識

和鑒別存取控制操作系統(tǒng)

安全保護(hù)數(shù)據(jù)密碼

存儲9.2數(shù)據(jù)庫安全控制8二、安全性控制的一般方法用戶標(biāo)識與鑒別用戶標(biāo)識和鑒別是系統(tǒng)提供的最外層安全保護(hù)措施存取控制定義獲得上機(jī)權(quán)的用戶可在哪些數(shù)據(jù)對象上進(jìn)行哪些類型的操作數(shù)據(jù)對象操作類型模式模式、外模式、內(nèi)模式建立、修改、檢索數(shù)據(jù)表、屬性列查找、插入、修改、刪除關(guān)系系統(tǒng)中的存取權(quán)限9.2數(shù)據(jù)庫安全控制9視圖機(jī)制通過視圖機(jī)制把要保密的數(shù)據(jù)對無權(quán)存取的用戶隱藏起來，從而自動地對數(shù)據(jù)提供一定程度的安全保護(hù)。通常是視圖機(jī)制與授權(quán)機(jī)制配合使用。審計追蹤把用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計日志（AuditLog）中。DBA可以利用審計跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時間和內(nèi)容等。數(shù)據(jù)加密根據(jù)一定的算法將原始數(shù)據(jù)變換為不可直接識別的格式，從而使得不知道解密算法的人無法獲知數(shù)據(jù)內(nèi)容。9.2數(shù)據(jù)庫安全控制10DB2安全性簡介DB2中的身份驗證DB2中的權(quán)限與特權(quán)DB2審計9.3DB2數(shù)據(jù)庫的安全性措施

11一、DB2安全性簡介可從三個級別來對DB2系統(tǒng)的安全性進(jìn)行控制：第一個級別是控制對實例的存取所有對實例的存取都由DB2之外的安全設(shè)施來管理；第二個級別是控制對數(shù)據(jù)庫的存?。坏谌齻€級別是控制對數(shù)據(jù)庫內(nèi)數(shù)據(jù)和相關(guān)對象的存取對數(shù)據(jù)庫及其內(nèi)部數(shù)據(jù)對象的存取受到DB2數(shù)據(jù)庫管理器的控制，對數(shù)據(jù)庫及其內(nèi)部數(shù)據(jù)對象的存取受到DB2數(shù)據(jù)庫管理器的控制。9.3DB2數(shù)據(jù)庫的安全性措施12二、DB2中的身份驗證(1of2)安全性管理的第一步就是核實用戶身份，該過程稱為驗證。DB2提供了ATTACH和CONNECT兩條命令來實現(xiàn)對實例和數(shù)據(jù)庫的連接。如果連接時沒有提供用戶名和口令，DB2會使用用戶在客戶端操作系統(tǒng)登錄時使用的用戶名和口令進(jìn)行驗證；如果使用CONNECT或者ATTACH命令時提供了用戶名和口令，DB2會使用提供的用戶名和口令進(jìn)行驗證。用戶還可以通過提供用戶名、現(xiàn)有口令、新口令和確認(rèn)口令（為保證新口令輸入的正確性，通常需要重新輸入一次口令進(jìn)行比較）來請求更改現(xiàn)有口令。9.3DB2數(shù)據(jù)庫的安全性措施13二、DB2中的身份驗證(2of2)驗證位置的確定驗證類型定義了如何進(jìn)行驗證，以及在哪里進(jìn)行驗證客戶端直接連接到DB2UDB服務(wù)器的情況下：服務(wù)器端的驗證類型客戶端的驗證類型SERVERSERVER_ENCRYPTCLIENTKERBEROSKRB_SERVER_ENCRYPTSERVERSERVER_ENCRYPTCLIENTKERBEROSDCE9.3DB2數(shù)據(jù)庫的安全性措施14三、DB2中的權(quán)限與特權(quán)(1of3)權(quán)限是一組高層次的用戶權(quán)力，通常授予那些需要對數(shù)據(jù)庫和實例進(jìn)行管理和維護(hù)的用戶。DB2有五種權(quán)限SYSADM–系統(tǒng)管理權(quán)限SYSCTRL–系統(tǒng)控制權(quán)限SYSMAINT–系統(tǒng)維護(hù)權(quán)限LOAD–對表進(jìn)行LOAD操作的權(quán)限D(zhuǎn)BADM–數(shù)據(jù)庫管理權(quán)限9.3DB2數(shù)據(jù)庫的安全性措施15三、DB2中的權(quán)限與特權(quán)(2of3)特權(quán)是針對某個數(shù)據(jù)庫對象（如表、視圖等）的用戶權(quán)力，通常授予那些只需要對數(shù)據(jù)庫對象進(jìn)行存取的用戶。三種類型的特權(quán)擁有者特權(quán)：對于大多數(shù)數(shù)據(jù)庫對象，創(chuàng)建對象的用戶通常對于該對象具有全面的控制。個體特權(quán)：個體特權(quán)允許用戶對數(shù)據(jù)庫對象執(zhí)行特定操作，有時針對特定對象。隱式特權(quán)：隱式特權(quán)是當(dāng)用戶被顯式賦予某些高層次特權(quán)時，自動賦予用戶的特權(quán)。9.3DB2數(shù)據(jù)庫的安全性措施16三、DB2中的權(quán)限與特權(quán)(3of3)DB2數(shù)據(jù)庫特權(quán)9.3DB2數(shù)據(jù)庫的安全性措施17四、DB2審計在DB2中，審計設(shè)施與特定實例有關(guān)。只有具有SYSADM權(quán)限的用戶可以使用審計設(shè)施使用審計設(shè)施，對DB2系統(tǒng)上執(zhí)行的每一個操作，比如都會有一個或多個審計記錄生成。審計記錄可以分成以下幾類：AUDIT

■CHECKINGOBJMAINT

■SECMAINTSYSADMIN

■VALIDATECONTEXT9.3DB2數(shù)據(jù)庫的安全性措施9、青少年是一個美好而又是一去不可再得的時期，是將來一切光明和幸福的開端。。3月-253月-25Tuesday,March18,202510、人的志向通常和他們的能力成正比例。13:21:4313:21:4313:213/18/20251:21:43PM11、夫?qū)W須志也，才須學(xué)也，非學(xué)無以廣才，非志無以成學(xué)。3月-2513:21:4313:21Mar-2518-Mar-2512、越是無能的人，越喜歡挑剔別人的錯兒。13:21:4313:21:4313:21Tuesday,March18,202513、志不立，天下無可成之事。3月-253月-2513:21:4313:21:43March18,202514、古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。18三月20251:21:43下午13:21:433月-2515、會當(dāng)凌絕頂，一覽眾山小。三月251:21下午3月-2513:21March18,