




版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、電子與信息工程學(xué)院電子與信息工程學(xué)院電子與信息工程學(xué)院電子與信息工程學(xué)院4.2.1 用戶標(biāo)識(shí)與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫(kù)角色4.2.6 強(qiáng)制存取控制方法電子與信息工程學(xué)院電子與信息工程學(xué)院一、一、GRANTl GRANT語(yǔ)句的一般格式: GRANT ,. ON TO ,. WITH GRANT OPTION;l語(yǔ)義:將對(duì)指定操作對(duì)象的指定操作權(quán)限授予指定的用戶 電子與信息工程學(xué)院電子與信息工程學(xué)院l發(fā)出GRANT:DBA數(shù)據(jù)庫(kù)對(duì)象創(chuàng)建者(即屬主Owner)擁有該權(quán)限的用戶l按受權(quán)限的用戶 一個(gè)或多個(gè)具體用戶PUBLIC(全體用戶
2、) 電子與信息工程學(xué)院電子與信息工程學(xué)院lWITH GRANT OPTION子句:指定:可以再授予沒有指定:不能傳播l不允許循環(huán)授權(quán)電子與信息工程學(xué)院電子與信息工程學(xué)院 例1 把查詢Student表權(quán)限授給用戶U1 GRANT SELECT ON TABLE Student TO U1;例2 把對(duì)Student表和Course表的全部權(quán)限授予用 戶U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3;電子與信息工程學(xué)院電子與信息工程學(xué)院例3 把對(duì)表SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC
3、TO PUBLIC;例4 把查詢Student表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;l對(duì)屬性列的授權(quán)時(shí)必須明確指出相應(yīng)屬性列名電子與信息工程學(xué)院電子與信息工程學(xué)院 例5 把對(duì)表SC的INSERT權(quán)限授予U5用戶,并允 許他再將此權(quán)限授予其他用戶 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;執(zhí)行例5后,U5不僅擁有了對(duì)表SC的INSERT權(quán)限,還可以傳播此權(quán)限。電子與信息工程學(xué)院電子與信息工程學(xué)院 例6 GRANT INSERT ON TABLE
4、SC TO U6 WITH GRANT OPTION; 同樣,U6還可以將此權(quán)限授予U7: 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權(quán)限。 電子與信息工程學(xué)院電子與信息工程學(xué)院 下表是執(zhí)行了例例1 1到例例7 7的語(yǔ)句后,學(xué)生-課程數(shù)據(jù)庫(kù)中的用戶權(quán)限定義表 授權(quán)用戶名被授權(quán)用戶名數(shù)據(jù)庫(kù)對(duì)象名允許的操作類型能否轉(zhuǎn)授權(quán)DBAU1關(guān)系StudentSELECT不能DBAU2關(guān)系StudentALL不能DBAU2關(guān)系CourseALL不能DBAU3關(guān)系StudentALL不能DBAU3關(guān)系CourseALL不能DBAPUBLIC關(guān)系SCSELECT不能D
5、BAU4關(guān)系StudentSELECT不能DBAU4屬性Student.SnoUPDATE不能DBAU5關(guān)系SCINSERT能U5U6關(guān)系SCINSERT能U6U7關(guān)系SCINSERT不能電子與信息工程學(xué)院電子與信息工程學(xué)院二、二、REVOKEREVOKEl授予的權(quán)限可以由DBA或其他授權(quán)者用REVOKE語(yǔ)句收回lREVOKE語(yǔ)句的一般格式為: REVOKE ,. ON FROM ,.;電子與信息工程學(xué)院電子與信息工程學(xué)院例8 把用戶U4修改學(xué)生學(xué)號(hào)的權(quán)限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4;例9 收回所有用戶對(duì)表SC的查詢權(quán)限 REVO
6、KE SELECT ON TABLE SC FROM PUBLIC;電子與信息工程學(xué)院電子與信息工程學(xué)院例10 把用戶U5對(duì)SC表的INSERT權(quán)限收回 REVOKE INSERT ON TABLE SC FROM U5 CASCADE ;將用戶U5的INSERT權(quán)限收回的時(shí)候必須級(jí)聯(lián)(CASCADE)收回 系統(tǒng)只收回直接或間接從U5處獲得的權(quán)限 電子與信息工程學(xué)院電子與信息工程學(xué)院 執(zhí)行例8到例10的語(yǔ)句后,學(xué)生-課程數(shù)據(jù)庫(kù)中的用戶權(quán)限定義表授權(quán)用戶名被授權(quán)用戶名數(shù)據(jù)庫(kù)對(duì)象名允許的操作類型能否轉(zhuǎn)授權(quán)DBAU1關(guān)系StudentSELECT不能DBAU2關(guān)系StudentALL不能DBAU2關(guān)
7、系CourseALL不能DBAU3關(guān)系StudentALL不能DBAU3關(guān)系CourseALL不能DBAU4關(guān)系StudentSELECT不能電子與信息工程學(xué)院電子與信息工程學(xué)院lDBA:擁有所有對(duì)象的所有權(quán)限不同的權(quán)限授予不同的用戶l用戶:擁有自己建立的對(duì)象的全部操作權(quán)限GRANT:授予其他用戶l被授權(quán)的用戶“繼續(xù)授權(quán)”許可:再授予l所有授予出去的權(quán)力在必要時(shí)又都可用REVOKE語(yǔ)句收回電子與信息工程學(xué)院電子與信息工程學(xué)院三、創(chuàng)建數(shù)據(jù)庫(kù)模式的權(quán)限 lDBA在創(chuàng)建用戶時(shí)實(shí)現(xiàn)lCREATE USER語(yǔ)句格式 CREATE USER WITHDBA | RESOURCE | CONNECT電子與信
8、息工程學(xué)院電子與信息工程學(xué)院擁有的擁有的權(quán)限權(quán)限可否執(zhí)行的操作可否執(zhí)行的操作CREATE USERCREATE SCHEMACREATE TABLE登錄數(shù)據(jù)庫(kù)登錄數(shù)據(jù)庫(kù) 執(zhí)行數(shù)執(zhí)行數(shù)據(jù)查詢和操縱據(jù)查詢和操縱DBA可以可以可以可以可以可以可以可以RESOURCE不可以不可以不可以不可以可以可以可以可以CONNECT不可以不可以不可以不可以不可以不可以可以,但必須擁有相可以,但必須擁有相應(yīng)權(quán)限應(yīng)權(quán)限權(quán)限與可執(zhí)行的操作對(duì)照表權(quán)限與可執(zhí)行的操作對(duì)照表 電子與信息工程學(xué)院電子與信息工程學(xué)院4.2.1 用戶標(biāo)識(shí)與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫(kù)角
9、色4.2.6 強(qiáng)制存取控制方法電子與信息工程學(xué)院電子與信息工程學(xué)院l數(shù)據(jù)庫(kù)角色:被命名的一組與數(shù)據(jù)庫(kù)操作相關(guān)的權(quán)限角色是權(quán)限的集合 可以為一組具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色簡(jiǎn)化授權(quán)的過(guò)程電子與信息工程學(xué)院電子與信息工程學(xué)院l一、角色的創(chuàng)建 CREATE ROLE l二、給角色授權(quán) GRANT , ON 對(duì)象名 TO ,電子與信息工程學(xué)院電子與信息工程學(xué)院l三、將一個(gè)角色授予其他的角色或用戶GRANT ,TO , WITH ADMIN OPTION l四、角色權(quán)限的收回 REVOKE ,ON FROM ,電子與信息工程學(xué)院電子與信息工程學(xué)院例11通過(guò)角色來(lái)實(shí)現(xiàn)將一組權(quán)限授予一個(gè)用戶。步驟如下:
10、1. 首先創(chuàng)建一個(gè)角色 R1 CREATE ROLE R1; 2. 然后使用GRANT語(yǔ)句,使角色R1擁有Student表的 SELECT、UPDATE、INSERT權(quán)限 GRANT SELECT,UPDATE,INSERT ON TABLE Student TO R1;電子與信息工程學(xué)院電子與信息工程學(xué)院3. 將這個(gè)角色授予王平,張明,趙玲。使他們具有角色R1所包含的全部權(quán)限 GRANT R1 TO 王平,張明,趙玲;4. 可以一次性通過(guò)R1來(lái)回收王平的這3個(gè)權(quán)限 REVOKE R1 FROM 王平;電子與信息工程學(xué)院電子與信息工程學(xué)院例12角色的權(quán)限修改 GRANT DELETE ON T
11、ABLE Student TO R1電子與信息工程學(xué)院電子與信息工程學(xué)院例13 REVOKE SELECT ON TABLE Student FROM R1; 電子與信息工程學(xué)院電子與信息工程學(xué)院DBARole用戶用戶用戶用戶授權(quán)授權(quán)授權(quán)管理授權(quán)管理電子與信息工程學(xué)院電子與信息工程學(xué)院4.2.1 4.2.1 用戶標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)與鑒別4.2.2 4.2.2 存取控制存取控制4.2.3 4.2.3 自主存取控制方法自主存取控制方法4.2.4 4.2.4 授權(quán)與回收授權(quán)與回收4.2.5 4.2.5 數(shù)據(jù)庫(kù)角色數(shù)據(jù)庫(kù)角色4.2.6 4.2.6 強(qiáng)制存取控制方法強(qiáng)制存取控制方法電子與信息工程學(xué)院電子
12、與信息工程學(xué)院l可能存在數(shù)據(jù)的“無(wú)意泄露”。l原因:這種機(jī)制僅僅通過(guò)對(duì)數(shù)據(jù)的存取權(quán)限來(lái)進(jìn)行安全控制,而數(shù)據(jù)本身并無(wú)安全性標(biāo)記。l解決:對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略 。電子與信息工程學(xué)院電子與信息工程學(xué)院l強(qiáng)制存取控制強(qiáng)制存取控制(MAC)指系統(tǒng)為保證更高程度的安全性,按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求,所采取的強(qiáng)制存取檢查手段MAC不是用戶能直接感知或進(jìn)行控制的MAC適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門軍事部門, 政府部門電子與信息工程學(xué)院電子與信息工程學(xué)院l在MAC中,DBMS所管理的全部實(shí)體被分為主體和客體兩大類l主體是系統(tǒng)中的活動(dòng)實(shí)體 DBMS所管理的實(shí)際用戶應(yīng)
13、用程序、進(jìn)程以及線程等客體是系統(tǒng)中的被動(dòng)實(shí)體,是受主體操縱的 文件、基表、索引、視圖電子與信息工程學(xué)院電子與信息工程學(xué)院l對(duì)于主體和客體,DBMS為它們每個(gè)實(shí)例(值)指派一個(gè)敏感度標(biāo)記l敏感度標(biāo)記(Label):絕密、機(jī)密、可信、公開l主體的敏感度標(biāo)記稱為許可證級(jí)別,客體的敏感度標(biāo)記稱為密級(jí)。lMAC機(jī)制就是通過(guò)對(duì)比主體的Label和客體的Label,最終確定主體是否能夠存取客體電子與信息工程學(xué)院電子與信息工程學(xué)院l當(dāng)某一用戶(或某一主體)以標(biāo)記label注冊(cè)入系統(tǒng)時(shí),系統(tǒng)要求他對(duì)任何客體的存取必須遵循下面兩條規(guī)則: (1)僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí) 時(shí),該主體才能讀取相應(yīng)的客體
14、。(2)僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí),該 主體才能寫相應(yīng)的客體。電子與信息工程學(xué)院電子與信息工程學(xué)院l修正規(guī)則主體的許可證級(jí)別 得到的利益電子與信息工程學(xué)院電子與信息工程學(xué)院4.1 計(jì)算機(jī)安全性概述4.2 數(shù)據(jù)庫(kù)安全性控制4.3 視圖機(jī)制4.4 審計(jì)(Audit) 4.5 數(shù)據(jù)加密4.6 統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性4.7 小結(jié)電子與信息工程學(xué)院電子與信息工程學(xué)院l隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,數(shù)據(jù)的共享日益加強(qiáng),數(shù)據(jù)的安全保密越來(lái)越重要。lDBMS是管理數(shù)據(jù)的核心,因而其自身必須具有一整套完整而有效的安全性機(jī)制。電子與信息工程學(xué)院電子與信息工程學(xué)院l可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)TCSEC/TDI是目前各國(guó)所引用或制定的一系列安全標(biāo)準(zhǔn)中最重要的一個(gè)。 lTCSEC/TDI從安全策略、責(zé)任、保證和文檔四個(gè)方面描述了安全性級(jí)別的指標(biāo)電子與信息工程學(xué)院電子與信息工程學(xué)院l實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 試訓(xùn)隊(duì)員合同協(xié)議書
- 2025年藥物檢測(cè)設(shè)備項(xiàng)目發(fā)展計(jì)劃
- 網(wǎng)紅美食區(qū)域代理加盟合同及特色配料研發(fā)供應(yīng)協(xié)議
- 網(wǎng)上商店經(jīng)營(yíng)風(fēng)險(xiǎn)管理與責(zé)任協(xié)議
- 土地承包經(jīng)營(yíng)權(quán)流轉(zhuǎn)與農(nóng)業(yè)循環(huán)經(jīng)濟(jì)項(xiàng)目合作協(xié)議
- 醫(yī)用麻醉設(shè)備全面檢修與保養(yǎng)合同
- 快遞末端網(wǎng)點(diǎn)承包經(jīng)營(yíng)與快遞成本控制協(xié)議
- 跨境網(wǎng)絡(luò)游戲版號(hào)申請(qǐng)代理服務(wù)合同
- 農(nóng)村留守兒童勞動(dòng)教育扶持協(xié)議
- 抖音平臺(tái)短視頻內(nèi)容創(chuàng)作者收益分配與權(quán)益保障協(xié)議
- 微生物實(shí)驗(yàn)室病原微生物評(píng)估報(bào)告
- 陜旅版五年級(jí)英語(yǔ)上冊(cè)句型詞匯知識(shí)點(diǎn)總結(jié)
- 漢字構(gòu)字的基本原理和識(shí)字教學(xué)模式分析
- RouterOS介紹
- 綜采工作面液壓支架壓死救活技術(shù)研究
- 十字軸鍛造成型工藝及模具設(shè)計(jì)畢業(yè)論文
- 主體結(jié)構(gòu)監(jiān)理實(shí)施細(xì)則范本
- 控制性詳細(xì)規(guī)劃 - 寧波市規(guī)劃局
- 保潔員工考勤表
- JGJ8-2016建筑變形測(cè)量規(guī)范
- 《MSDS培訓(xùn)資料》PPT課件.ppt
評(píng)論
0/150
提交評(píng)論