第5章数据库安全保护.ppt

《第5章数据库安全保护.ppt》由会员分享，可在线阅读，更多相关《第5章数据库安全保护.ppt（95页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、返回返回返回返回第5章数据库安全保护 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望返回返回返回返回本章概要本章概要 随着计算机的普及，数据库的使用也越来越广泛。随着计算机的普及，数据库的使用也越来越广泛。v例如，一个企业的全部信息，国家机构的事务管理信息，国例如，一个企业的全部信息，国家机构的事务管理信息，国防情报等机密信息，都集中地存放在数据库中。防情报等机密信息，都集中地存放在数据库中。在前面我们已经讲到，数据库系统中的数据是由在前面我们已经讲到，数据库系统

2、中的数据是由DBMSDBMS统一进行管理和控制的。统一进行管理和控制的。为了适应和满足数据共享的环境和要求，为了适应和满足数据共享的环境和要求，DBMSDBMS要保证要保证整个系统的正常运转，防止数据意外丢失和不一致数整个系统的正常运转，防止数据意外丢失和不一致数据的产生，以及当数据库遭受破坏后能迅速地恢复正据的产生，以及当数据库遭受破坏后能迅速地恢复正常，这就是常，这就是数据库的安全保护数据库的安全保护。DBMSDBMS对数据库的安全保护功能是通过四方面实现的，对数据库的安全保护功能是通过四方面实现的，即安全性控制、完整性控制、并发性控制和数据库恢即安全性控制、完整性控制、并发性控制和数据库

3、恢复。复。本章就是从这四方面来介绍数据库的安全保护功能：本章就是从这四方面来介绍数据库的安全保护功能：v要求掌握安全性、完整性、并发性和数据库恢复的含义，要求掌握安全性、完整性、并发性和数据库恢复的含义，v掌握这四方面分别实现安全保护功能的方法。掌握这四方面分别实现安全保护功能的方法。2返回返回返回返回5.1.1 5.1.1 数据库安全性的含义数据库安全性的含义数数据据库库的的安安全全性性是是指指保保护护数数据据库库，以以防防止止非非法法使使用用所所造成数据的泄露、更改或破坏。造成数据的泄露、更改或破坏。安全性问题有许多方面，其中包括：安全性问题有许多方面，其中包括：（1 1）法法律律、社社会

4、会和和伦伦理理方方面面，例例如如请请求求查查询询信信息息的的人人是是不不有合法的权力。有合法的权力。（2 2）物物理理控控制制方方面面，例例如如计计算算机机机机房房或或终终端端是是否否应应该该加加锁锁或用其他方法加以保护。或用其他方法加以保护。（3 3）政政策策方方面面，确确定定存存取取原原则则，允允许许哪哪些些用用户户存存取取哪哪些些数数据。据。（4 4）运行方面，使用口令时，如何使口令保持秘密。）运行方面，使用口令时，如何使口令保持秘密。（5 5）硬硬件件控控制制方方面面，CPUCPU是是否否提提供供任任何何安安全全性性方方面面的的功功能能，诸如存储保护键或特权工作方式。诸如存储保护键或特

5、权工作方式。5.1 5.1 数据库的安全性数据库的安全性3返回返回返回返回（6 6）操操作作系系统统安安全全性性方方面面，在在主主存存储储器器和和数数据据文文件件用用过过以以后后，操操作系统是否把它们的内容清除掉。作系统是否把它们的内容清除掉。（7 7）数数据据库库系系统统本本身身安安全全性性方方面面。这这里里讨讨论论的的是是数数据据库库本本身身的的安安全全性性问问题题，即即主主要要考考虑虑安安全全保保护护的的策策略略，尤尤其其是是控控制制访访问问的的策策略。略。5.1.2 5.1.2 安全性控制的一般方法安全性控制的一般方法安安全全性性控控制制是是指指要要尽尽可可能能地地杜杜绝绝所所有有可可

6、能能的的数数据据库库非非法法访问。访问。用用户户非非法法使使用用数数据据库库可可以以有有很很多多种种情情况况。例例如如，编编写写合合法法的的程程序序绕绕过过DBMSDBMS授授权权机机制制，通通过过操操作作系系统统直直接接存存取取、修改或备份有关数据。修改或备份有关数据。用用户户访访问问非非法法数数据据，无无论论它它们们是是有有意意的的还还是是无无意意的的,都都应应该该加加以以严严格格控控制制，因因此此，系系统统还还要要考考虑虑数数据据信信息息的的流流动问题并加以控制，否则有隐蔽的危险性。动问题并加以控制，否则有隐蔽的危险性。4返回返回返回返回因为数据的流动可能使无权访问的用户获得访因为数据的

7、流动可能使无权访问的用户获得访问权利。问权利。v例如，甲用户可以访问文件例如，甲用户可以访问文件F1F1，但无权访问文件，但无权访问文件F2F2，如果乙用户把文件，如果乙用户把文件F2F2移至文件移至文件F1F1中之后，则由于中之后，则由于乙用户的操作，使甲用户获得了对文件乙用户的操作，使甲用户获得了对文件F2F2的访问权。的访问权。此外，用户可以多次利用允许的访问结果，经过逻此外，用户可以多次利用允许的访问结果，经过逻辑推理得到他无权访问的数据。辑推理得到他无权访问的数据。为防止这一点，访问的许可权还要结合过去访为防止这一点，访问的许可权还要结合过去访问的情况而定。问的情况而定。可见安全性的

8、实施是要花费一定代价的，安全可见安全性的实施是要花费一定代价的，安全保护策略就是要以最小的代价来防止对数据的保护策略就是要以最小的代价来防止对数据的非法访问，层层设置安全措施。非法访问，层层设置安全措施。5返回返回返回返回实实际际上上，安安全全性性问问题题并并不不是是数数据据库库系系统统所所独独有有的，所有计算机系统中都存在这个问题。的，所有计算机系统中都存在这个问题。在在计计算算机机系系统统中中，安安全全措措施施是是一一级级一一级级层层层层设设置的，安全控制模型如图置的，安全控制模型如图5.15.1所示。所示。图5.1 安全控制模型用户标识和鉴定用户用户存取权限控制DBMSMMS操作系统安全

9、保护OS密码存储DB6返回返回返回返回根据图根据图5.15.1的安全模型，当用户进入计算机系的安全模型，当用户进入计算机系统时，系统首先根据输入的用户标识进行身份统时，系统首先根据输入的用户标识进行身份的鉴定，只有合法的用户才准许进入系统。的鉴定，只有合法的用户才准许进入系统。对已进入系统的用户，对已进入系统的用户，DBMSDBMS还要进行存取控制，还要进行存取控制，只允许用户进行合法的操作。只允许用户进行合法的操作。DBMSDBMS是建立在操作系统之上的，安全的操作系是建立在操作系统之上的，安全的操作系统是数据库安全的前提。统是数据库安全的前提。操作系统应能保证数据库中的数据必须由操作系统应

10、能保证数据库中的数据必须由DBMSDBMS访问，而不允许用户越过访问，而不允许用户越过DBMSDBMS，直接通过操作，直接通过操作系统访问。系统访问。数据最后可以通过密码的形式存储到数据库中。数据最后可以通过密码的形式存储到数据库中。7返回返回返回返回5.1.2.1 5.1.2.1 用户标识和鉴定用户标识和鉴定（Identification and AuthenticationIdentification and Authentication）数数据据库库系系统统是是不不允允许许一一个个未未经经授授权权的的用用户户对对数数据据库库进进行操作的。行操作的。用用户户标标识识和和鉴鉴定定是是系系统统

11、提提供供的的最最外外层层的的安安全全保保护护措措施施，其其方方法法是是由由系系统统提提供供一一定定的的方方式式让让用用户户标标识识自自己己的的名名字字或或身身份份，系系统统内内部部矛矛盾盾记记录录着着所所有有合合法法用用户户的的标标识识，每每次次用用户户要要求求进进入入系系统统时时，由由系系统统进进行行核核实实，通通过过鉴鉴定后才提供机器的使用权。定后才提供机器的使用权。用用户户标标识识和和鉴鉴定定的的方方法法有有多多种种，为为了了获获得得更更强强的的安安全全性，往往是多种方法并举，常用的方法有以下几种：性，往往是多种方法并举，常用的方法有以下几种：8返回返回返回返回1 1用用一一个个用用户户

12、名名或或用用户户标标识识符符来来标标明明用用户户的的身身份份，系系统统以以此此来来鉴鉴别别用用户户的的合合法法性性。如如果果正正确确，则则可可进进入入下下一一步的核实，否则，不能使用计算机。步的核实，否则，不能使用计算机。2 2用用户户标标识识符符是是用用户户公公开开的的标标识识，它它不不足足以以成成为为鉴鉴别别用用户户身身份份的的凭凭证证。为为了了进进一一步步核核实实用用户户身身份份，常常采采用用用用户户名名与与口口令令（PasswordPassword）相相结结合合的的方方法法,系系统统通通过过核核对对口令判别用户身份的真伪。口令判别用户身份的真伪。v系系统统有有一一张张用用户户口口令令表

13、表，为为每每个个用用户户保保持持一一个个记记录录，包包括括用用户名和口令两部分数据。户名和口令两部分数据。v用户先输入用户名，然后系统要求用户输入口令。用户先输入用户名，然后系统要求用户输入口令。v为了保密，用户在终端上输入的口令不显示在屏幕上。为了保密，用户在终端上输入的口令不显示在屏幕上。v系统核对口令以鉴别用户身份。系统核对口令以鉴别用户身份。3 3通过用户名和口令来鉴定用户的方法简单易行，但该通过用户名和口令来鉴定用户的方法简单易行，但该方法在使用时，由于用户名和口令的产生和使用比较方法在使用时，由于用户名和口令的产生和使用比较简单，也容易被窃取，因此还可采用更复杂的方法。简单，也容易

14、被窃取，因此还可采用更复杂的方法。9返回返回返回返回v例例如如，每每个个用用户户都都预预先先约约定定好好一一个个过过程程或或者者函函数数，鉴鉴别别用用户户身身份份时时，系系统统提提供供一一个个随随机机数数，用用户户根根据据自自己己预预先先约约定定的的计计算算过过程程或或者者函函数数进进行行计计算算，系系统统根据计算结果辨别用户身份的合法性。根据计算结果辨别用户身份的合法性。v例例如如，让让用用户户记记住住一一个个表表达达式式，如如T=X+2Y,T=X+2Y,系系统统告告诉诉用用户户X=1,Y=2,X=1,Y=2,如如果果用用户户回回答答T=5T=5，则则证证实实了了该该用用户的身份。户的身份。

15、v当当然然，这这是是一一个个简简单单的的例例子子，在在实实际际使使用用中中，还还可可以以设设计计复复杂杂的的表表达达式式，以以使使安安全全性性更更好好。系系统统每每次次提提供供不不同同的的X X，Y Y值值，其其他他人人可可能能看看到到的的是是X X、Y Y的的值值，但不能推算出确切的变换公式但不能推算出确切的变换公式T T。10返回返回返回返回5.1.2.2 5.1.2.2 用户存取权限控制用户存取权限控制用用户户存存取取权权限限指指的的是是不不同同的的用用户户对对于于不不同同的的数数据对象允许执行的操作权限。据对象允许执行的操作权限。在在数数据据库库系系统统中中，每每个个用用户户只只能能访

16、访问问他他有有权权存存取的数据并执行有权使用的操作。取的数据并执行有权使用的操作。因此，必须预先定义用户的存取权限。因此，必须预先定义用户的存取权限。对对于于合合法法的的用用户户，系系统统根根据据其其存存取取权权限限的的定定义义对其各种操作请求进行控制，确保合法操作。对其各种操作请求进行控制，确保合法操作。存存取取权权限限由由两两个个要要素素组组成成，数数据据对对象象和和操操作作类类型。型。定定义义一一个个用用户户的的存存取取权权限限就就是是要要定定义义这这个个用用户户可以在哪些数据对象上进行哪些类型的操作。可以在哪些数据对象上进行哪些类型的操作。11返回返回返回返回在在数数据据库库系系统统中

17、中，定定义义用用户户存存取取权权限限称称为为授授权权（AuthorizationAuthorization）。）。第第三三章章讨讨论论SQLSQL的的数数据据控控制制功功能能时时，我我们们已已知知道授权有两种：系统特权和对象特权。道授权有两种：系统特权和对象特权。v系系统统特特权权是是由由DBADBA授授予予某某些些数数据据库库用用户户，只只有有得得到到系统特权，才能成为数据库用户。系统特权，才能成为数据库用户。v对对象象特特权权可可以以由由DBADBA授授予予，也也可可以以由由数数据据对对象象的的创创建建者者授授予予，使使数数据据库库用用户户具具有有对对某某些些数数据据对对象象进进行行某些操

18、作的特权。某些操作的特权。在在系系统统初初始始化化时时，系系统统中中至至少少有有一一个个具具有有DBADBA特特权权的的用用户户，DBADBA可可以以通通过过GRANTGRANT语语句句将将系系统统特特权或对象特权授予其他用户。权或对象特权授予其他用户。对对于于已已授授权权的的用用户户可可以以通通过过REVOKEREVOKE语语句句收收回回所所授予的特权。授予的特权。12返回返回返回返回这这些些授授权权定定义义经经过过编编译译后后以以一一张张授授权权表表的的形形式式存存放放在在数据字典中。数据字典中。授授权权表表主主要要有有三三个个属属性性，用用户户标标识识、数数据据对对象象和和操操作作类型类

19、型。v用用户户标标识识不不但但可可以以是是用用户户个个人人，也也可可以以是是团团体体、程程序序和和终终端端。在非关系系统中，存取控制的数据对象仅限于数据本身。在非关系系统中，存取控制的数据对象仅限于数据本身。v而而关关系系系系统统中中，存存取取控控制制的的数数据据对对象象不不仅仅有有基基本本表表、属属性性列列等等数数据据本本身身，还还有有内内模模式式、外外模模式式、模模式式等等数数据据字字典典中中的的内内容。容。v下表列出了关系系统中的存取权限。下表列出了关系系统中的存取权限。数据对象操作类型模式模式建立、修改、检索外模式建立、修改、检索内模式建立、修改、检索数据表查找、插入、修改、删除属性列

20、查找、插入、修改、删除13返回返回返回返回对对于于授授权权表表，一一个个衡衡量量授授权权机机制制的的重重要要指指标标就就是是授权粒度授权粒度，即可以定义的数据对象的范围；，即可以定义的数据对象的范围；在在关关系系数数据据库库中中，授授权权粒粒度度包包括括关关系系、记记录录或或属性属性。一一般般来来说说，授授权权定定义义中中粒粒度度越越细细，授授权权子子系系统统就越灵活就越灵活例例如如，表表5.25.2是是一一个个授授权权粒粒度度很很粗粗的的表表，它它只只能能对整个关系授权。对整个关系授权。v如如USER1USER1拥有对关系拥有对关系S S的一切权限；的一切权限；vUSER2USER2拥拥有有

21、对对关关系系C C的的SELECTSELECT权权和和对对关关系系SCSC的的UPDATEUPDATE权；权；vUSER3USER3只可以向关系只可以向关系SCSC中插入新记录。中插入新记录。14返回返回返回返回表表5.2 5.2 授权表授权表1 1用户标识数据对象操作类型USER1关系SALLUSER2关系CSELECTUSER2关系SCUPDATEUSER3关系SCINSERT15返回返回返回返回表表5.35.3是一个授权粒度较为精细，它可以精确是一个授权粒度较为精细，它可以精确到关系的某一属性。到关系的某一属性。vUSER1USER1拥有对关系拥有对关系S S的一切权限；的一切权限；vU

22、SER2USER2只能查询关系只能查询关系C C的的CNOCNO属性和修改关系属性和修改关系SCSC的的SCORESCORE属性；属性；vUSER3USER3可以向关系可以向关系SCSC中插入新记录。中插入新记录。表表5.3 5.3 授权表授权表2 2 用户标识数据对象操作类型USER1关系SALLUSER2列C.CNOSELECTUSER2列SC.SCOREUPDATEUSER3关系SCINSERT16返回返回返回返回表表5.35.3的的授授权权表表中中的的授授权权只只涉涉及及到到数数据据名名（关关系系、记记录录或或属性的名字），而未提到具体的值。属性的名字），而未提到具体的值。系系统统不不

23、必必访访问问具具体体的的数数据据本本身身，就就可可以以执执行行这这种种控控制制。这这种控制称为种控制称为“值独立值独立”的控制。的控制。表表5.45.4中中的的授授权权表表则则不不但但可可以以对对属属性性列列授授权权，还还可可以以提提供供与数值有关的授权，即可以对关系中的一组记录授权。与数值有关的授权，即可以对关系中的一组记录授权。v比如，比如，USER1USER1只能对计算机系的学生进行操作。只能对计算机系的学生进行操作。对对于于提提供供与与数数据据值值有有关关的的授授权权，系系统统必必须须能能够够支支持持存存取取谓谓词的操作。词的操作。表表5.4 5.4 授权表授权表3 3用户标识数据对象

24、操作类型存取谓词USER1关系SALLDEPT=计算机USER2列C.CNOSELECTUSER2列SC.SCOREUPDATEUSER3关系SCINSERT17返回返回返回返回可可见见授授权权粒粒度度越越细细，授授权权子子系系统统就就越越灵灵活活，能能够够提供的安全性就越完善。提供的安全性就越完善。但但另另一一方方面面，如如果果用用户户比比较较多多，数数据据库库比比较较大大，授授权权表表将将很很大大，而而且且每每次次数数据据库库访访问问都都要要用用到到这这张表做授权检查，这将影响数据库的性能。张表做授权检查，这将影响数据库的性能。所所幸幸的的是是，在在大大部部分分数数据据库库中中，需需要要保

25、保密密的的数数据据是是少少数数，对对于于大大部部分分公公开开的的数数据据，可可以以一一次次性性地地授权给授权给PUBLICPUBLIC，而不必再对每个用户个别授权。，而不必再对每个用户个别授权。对对于于表表5.45.4中中与与数数据据值值有有关关的的授授权权，可可以以通通过过另另外一种数据库安全措施，即定义视图。外一种数据库安全措施，即定义视图。18返回返回返回返回5.1.2.3 5.1.2.3 定义视图定义视图为为不不同同的的用用户户定定义义不不同同的的视视图图，可可以以限限制制各各个个用用户户的的访访问范围。问范围。通通过过视视图图机机制制把把要要保保密密的的数数据据对对无无权权存存取取这

26、这些些数数据据的的用用户户隐隐藏藏起起来来，从从而而自自动动地地对对数数据据提提供供一一定定程程度度的的安安全全保保护。例如，护。例如，USER1USER1只能对计算机系的学生进行操作，只能对计算机系的学生进行操作，v一种方法是通过授权机制对一种方法是通过授权机制对USER1USER1授权，如表授权，如表5.55.5所示，所示，v另一种简单的方法就是定义一个计算机系的视图。另一种简单的方法就是定义一个计算机系的视图。但但视视图图机机制制的的安安全全保保护护功功能能太太不不精精细细，往往往往不不能能达达到到应应用用系系统统的的要要求求，其其主主要要功功能能在在于于提提供供了了数数据据库库的的逻逻

27、辑辑独独立性。立性。在在实实际际应应用用中中，通通常常将将视视图图机机制制与与授授权权机机制制结结合合起起来来使使用用，首首先先用用视视图图机机制制屏屏蔽蔽一一部部分分保保密密数数据据，然然后后在在视视图图上面再进一步定义存取权限。上面再进一步定义存取权限。19返回返回返回返回5.1.2.4 5.1.2.4 数据加密（数据加密（Data EncryptionData Encryption）前前面面介介绍绍的的几几种种数数据据库库安安全全措措施施，都都是是防防止止从从数数据据库库系系统统窃窃取取保保密密数数据据，不不能能防防止止通通过过不不正正常常渠渠道道非非法法访访问问数数据据，例例如如，偷偷

28、取取存存储储数数据据的的磁磁盘盘，或或在在通通信信线线路路上上窃窃取取数数据据，为为了了防防止止这这些些窃窃密密活活动，比较好的办法是对数据加密。动，比较好的办法是对数据加密。数数据据加加密密是是防防止止数数据据库库中中数数据据在在存存储储和和传传输输中中失失密的有效手段。密的有效手段。加加密密的的基基本本思思想想是是根根据据一一定定的的算算法法将将原原始始数数据据（术术语语为为明明文文，Plain Plain texttext）加加密密成成为为不不可可直直接接识识别别的的格格式式（术术语语为为密密文文，Clipher Clipher texttext），数数据以密码的形式存储和传输。据以密码

29、的形式存储和传输。20返回返回返回返回加密方法有两种，加密方法有两种，v一一种种是是替替换换方方法法，该该方方法法使使用用密密钥钥（Encryption Encryption KeyKey）将将明明文文中的每一个字符转换为密文中的一个字符。中的每一个字符转换为密文中的一个字符。v另另一一种种是是转转换换方方法法，该该方方法法将将明明文文中中的的字字符符按按不不同同的的顺顺序序重重新新排列。排列。通通常常将将这这两两种种方方法法结结合合起起来来使使用用，就就可可以以达达到到相相当当高高的的安全程度。安全程度。v例例如如美美国国19771977年年制制定定的的官官方方加加密密标标准准，数数据据加加

30、密密标标准准（Data Data Encryption StandardEncryption Standard，简称，简称DESDES）就是使用这种算法的例子。）就是使用这种算法的例子。数据加密后，对于不知道解密算法的人，即使利用系统数据加密后，对于不知道解密算法的人，即使利用系统安全措施的漏洞非法访问数据，也只能看到一些无法辨安全措施的漏洞非法访问数据，也只能看到一些无法辨认的二进制代码。认的二进制代码。合法的用户检索数据时，首先提供密码钥匙，由系统进合法的用户检索数据时，首先提供密码钥匙，由系统进行译码后，才能得到可识别的数据。行译码后，才能得到可识别的数据。21返回返回返回返回目目前前不

31、不少少数数据据库库产产品品提提供供了了数数据据加加密密例例行行程程序序，用用户户可可根根据据要要求求自自行行进进行行加加密密处处理理，还还有有一一些些未未提提供供加加密密程程序序的的产产品品也也提提供供了了相相应应的的接接口口，通话用户用其他厂商的加密程序对数据加密。通话用户用其他厂商的加密程序对数据加密。用用密密码码存存储储数数据据，在在存存入入时时需需加加密密，在在查查询询时时需需解解密密，这这个个过过程程会会占占用用大大量量系系统统资资源源，降降低低了数据库的性能。了数据库的性能。因因此此数数据据加加密密功功能能通通常常允允许许用用户户自自由由选选择择，只只对对那那些些保保密密要要求求特

32、特别别高高的的数数据据，才才值值得得采采用用此此方法。方法。22返回返回返回返回5.1.2.5 5.1.2.5 审计（审计（AuditAudit）前前面面介介绍绍的的各各种种数数据据库库安安全全性性措措施施，都都可可将将用用户户操操作作限限制在规定的安全范围内。制在规定的安全范围内。但但实实际际上上任任何何系系统统的的安安全全性性措措施施都都不不是是绝绝对对可可靠靠的的，窃窃密者总有办法打破这些控制。密者总有办法打破这些控制。对对于于某某些些高高度度敏敏感感的的保保密密数数据据，必必须须以以审审计计功功作作为为预预防防手段。手段。审审计计功功能能是是一一种种监监视视措措施施，跟跟踪踪记记录录有

33、有关关数数据据的的访访问问活活动。动。审审计计追追踪踪把把用用户户对对数数据据库库的的所所有有操操作作自自动动记记录录下下来来，存存放在一个特殊文件上中，即审计日志（放在一个特殊文件上中，即审计日志（Audit LogAudit Log）中。）中。记录的内容一般包括：记录的内容一般包括：v操作类型，如修改、查询等；操作类型，如修改、查询等；v操作终端标识与操作者标识；操作终端标识与操作者标识；v操作日期和时间；操作日期和时间；23返回返回返回返回操操作作所所涉涉及及到到的的相相关关数数据据，如如基基本本表表、视视图图、记记录录、属属性性等等；数数据据的的前前象象和和后后象象。利利用用这这些些信

34、信息息，可可以以重重现现导导致致数数据据库库现现有有状状况况的的一一系系列列事事件件，以以进进一一步步找找出出非非法法存存取数据的人、时间和内容等。取数据的人、时间和内容等。使使用用审审计计功功能能会会大大大大增增加加系系统统的的开开销销，所所以以DBMSDBMS通通常常将将其其作作为为可可选选特特征征，提提供供相相应应的的操操作作语语句句可可灵灵活活地地打打开开或或关闭审计功能。关闭审计功能。例例如如，可可使使用用如如下下SQLSQL语语句句打打开开对对表表S S的的审审计计功功能能，对对表表S S的的每每次次成成功功的的查查询询、增增加加、删删除除、修修改改操操作作都都作作审审计计追踪：追

35、踪：AUDIT SELECT,INSERT,DELETE,UPDATE,AUDIT SELECT,INSERT,DELETE,UPDATE,ON S WHENEVER SUCCESSFULON S WHENEVER SUCCESSFUL要关闭对表要关闭对表S S的审计功能可以使用如下语句：的审计功能可以使用如下语句：NO AUDIT ALL ON SNO AUDIT ALL ON S。24返回返回返回返回5.2.1 5.2.1 数据库完整性的含义数据库完整性的含义数数据据库库的的完完整整性性是是指指保保护护数数据据库库中中数数据据的的正正确确性性、有有效效性性和和相相容容性性，防防止止错错误误

36、的的数数据据进进入入数数据据库库造造成成无无效效操作。操作。有关完整性的含义在第一章中已作简要介绍。有关完整性的含义在第一章中已作简要介绍。v比比如如年年龄龄属属于于数数值值型型数数据据，只只能能含含0,1,90,1,9，不不能能含含字字母母或或特特殊符号；殊符号；v月份只能用月份只能用1 11212之间的正整数表示；之间的正整数表示；v表表示示同同一一事事实实的的两两个个数数据据应应相相同同，否否则则就就不不相相容容，如如一一个个人人不能有两个学号。不能有两个学号。显显然然，维维护护数数据据库库的的完完整整性性非非常常重重要要，数数据据库库中中的的数数据据是是否否具具备备完完整整性性关关系系

37、到到数数据据能能否否真真实实地地反反映映现现实实世世界。界。5.2 5.2 完整性控制完整性控制25返回返回返回返回数数据据库库的的完完整整性性和和安安全全性性是是数数据据库库保保护护的的两两个个不不同的方面。同的方面。安安全全性性是是保保护护数数据据库库，以以防防止止非非法法使使用用所所造造成成数数据据的的泄泄露露、更更改改或或破破坏坏，安安全全性性措措施施的的防防范范对对象象是非法用户和非法操作；是非法用户和非法操作；完完整整性性是是防防止止合合法法用用户户使使用用数数据据库库时时向向数数据据库库中中加加入入不不符符合合语语义义的的数数据据，完完整整性性措措施施的的防防范范对对象象是不合语

38、义的数据。是不合语义的数据。但但从从数数据据库库的的安安全全保保护护角角度度来来讲讲，安安全全性性和和完完整整性又是密切相关的。性又是密切相关的。26返回返回返回返回5.2.2 5.2.2 完整性规则的组成完整性规则的组成为为了了实实现现完完整整性性控控制制，数数据据库库管管理理员员应应向向DBMS提提出出一一组组完完整整性性规规则则，来来检检查查数数据据库库中中的的数数据据，看看其其是是否否满足语义约束。满足语义约束。这这些些语语义义约约束束构构成成了了数数据据库库的的完完整整性性规规则则，这这组组规规则则作为作为DBMS控制数据完整性的依据。控制数据完整性的依据。它它定定义义了了何何时时检

39、检查查、检检查查什什么么、查查出出错错误误又又怎怎样样处处理理等事项。等事项。具体地说，完整性规则主要由以下三部分构成：具体地说，完整性规则主要由以下三部分构成：1 触发条件：规定系统什么时候使用规则检查数据；触发条件：规定系统什么时候使用规则检查数据；2 约约束束条条件件：规规定定系系统统检检查查用用户户发发出出的的操操作作请请求求违违背背了了什么样的完整性约束条件；什么样的完整性约束条件；3 违违约约响响应应：规规定定系系统统如如果果发发现现用用户户的的操操作作请请求求违违背背了了完完整整性性约约束束条条件件，应应该该采采取取一一定定的的动动作作来来保保证证数数据据的的完完整性，即违约时要

40、做的事情。整性，即违约时要做的事情。27返回返回返回返回完完整整性性规规则则从从执执行行时时间间上上可可分分为为立立即即执执行行约约束束（Immediate Constraints）和和延延迟迟执执行行约约束束（Deferred Constrainsts）。）。v立立即即执执行行约约束束是是指指在在执执行行用用户户事事务务过过程程中中，某某一一条条语语句句执执行行完完成成后后，系系统统立立即即对对此此数数据据进进行行完完整整性性约约束束条条件检查。件检查。v延延迟迟执执行行约约束束是是指指在在整整个个事事务务执执行行结结束束后后，再再对对约约束束条件进行完整性检查，结果正确后才能提交。条件进行

41、完整性检查，结果正确后才能提交。某某一一条条语语句句执执行行完完成成后后，系系统统立立即即对对此此数数据据进进行行完整性约束条件检查。完整性约束条件检查。28返回返回返回返回v例例如如，银银行行数数据据库库中中“借借贷贷总总金金额额应应平平衡衡”的的约约束束就就应应该该属属于于延延迟迟执执行行约约束束，从从账账号号A转转一一笔笔钱钱到到账账号号B为为一一个个事事务务，从从账账号号A转转出出去去钱钱后后，账账就就不不平平了了，必必须须等等转转入入账账号号B后后，账账才才能能重重新新平衡，这时才能进行完整性检查。平衡，这时才能进行完整性检查。如如果果发发现现用用户户操操作作请请求求违违背背了了立立

42、即即执执行行约约束束，则则可可以以拒拒绝该操作，以保护数据的完整性。绝该操作，以保护数据的完整性。如如果果发发现现用用户户操操作作请请求求违违背背了了延延迟迟执执行行约约束束，而而又又不不知知道道是是哪哪个个事事务务的的操操作作破破坏坏了了完完整整性性，则则只只能能拒拒绝绝整整个个事事务，把数据库恢复到该事务执行前的状态。务，把数据库恢复到该事务执行前的状态。一一条条完完整整性性规规则则可可以以用用一一个个五五元元组组（D，O，A，C，P）来形式化地表示。其中：来形式化地表示。其中：vD（data）：代表约束作用的数据对象；）：代表约束作用的数据对象；vO（operation）：代表触发完整性

43、检查的数据库操作，即当用户）：代表触发完整性检查的数据库操作，即当用户发出什么操作请求时需要检查该完整性规则；发出什么操作请求时需要检查该完整性规则；29返回返回返回返回vA（assertion）：代代表表数数据据对对象象必必须须满满足足的的语语义义约约束束，这是规则的主体；这是规则的主体；vC（condition）：代代表表选选择择A作作用用的的数数据据对对象象值值的的谓谓词；词；vP（procdure）：代代表表违违反反完完整整性性规规则则时时触触发发执执行行的的操作过程。操作过程。例如，对于例如，对于“学号不能为空学号不能为空”的这条完整性约束，的这条完整性约束，vD：代表约束作用的数据

44、对象为：代表约束作用的数据对象为SNO属性；属性；vO（operation）：当当用用户户插插入入或或修修改改数数据据时时需需要要检检查查该完整性规则；该完整性规则；vA（assertion）：）：SNO不能为空；不能为空；vC（condition）：）：A可作用于所有记录的可作用于所有记录的SNO属性；属性；vP（procdure）：拒绝执行用户请求。）：拒绝执行用户请求。30返回返回返回返回关系模型的完整性包括关系模型的完整性包括实体完整性实体完整性，参照完整性参照完整性和和用户用户定义完整性定义完整性。对于违反实体完整性和用户定义完整性规则的操作一般对于违反实体完整性和用户定义完整性规则

45、的操作一般都是采用拒绝执行的方式进行处理。都是采用拒绝执行的方式进行处理。而对于违反参照完整性的操作，并不都是简单的拒绝执而对于违反参照完整性的操作，并不都是简单的拒绝执行，一般在接受这个操作的同时，执行一些附加的操作，行，一般在接受这个操作的同时，执行一些附加的操作，以保证数据库的状态仍然是正确的。以保证数据库的状态仍然是正确的。例如在删除被参照关系中的元组时，应该将参照关系中例如在删除被参照关系中的元组时，应该将参照关系中所有的外码值与被参照关系中要删除元组主码值相对应所有的外码值与被参照关系中要删除元组主码值相对应的元组一起删除。的元组一起删除。v比如，要删除比如，要删除S S关系中关系

46、中SNO=S1SNO=S1的元组，而的元组，而SCSC关系中又关系中又有两个有两个SNO=S1SNO=S1的元组。的元组。v这时根据应用环境的语义，因为当一个学生毕业或退学后，这时根据应用环境的语义，因为当一个学生毕业或退学后，他的个人记录从他的个人记录从S S关系中删除，选课记录也应随之从关系中删除，选课记录也应随之从SCSC表表中删除，所以应该将中删除，所以应该将SCSC关系中两个关系中两个SNO=S1SNO=S1的元组一起的元组一起删除。删除。31返回返回返回返回这这些些完完整整性性规规则则都都由由DBMSDBMS提提供供的的语语句句进进行行描描述述，经过编译后存放在数据字典中。经过编译

47、后存放在数据字典中。一旦进入系统，就开始执行该组规则。一旦进入系统，就开始执行该组规则。其其主主要要优优点点是是违违约约由由系系统统来来处处理理，而而不不是是由由用用户处理。户处理。另另外外，规规则则集集中中在在数数据据字字典典中中，而而不不是是散散布布在在各各应应用用程程序序之之中中，易易于于从从整整体体上上理理解解和和修修改改，效率较高。效率较高。数数据据库库系系统统的的整整个个完完整整性性控控制制都都是是围围绕绕着着完完整整性性约约束束条条件件进进行行的的，从从这这个个角角度度来来看看，完完整整性性约束条件是完整性控制机制的核心。约束条件是完整性控制机制的核心。32返回返回返回返回5.2

48、.3 5.2.3 完整性约束条件的分类完整性约束条件的分类5.2.3.1 5.2.3.1 从约束条件使用的对象分为值的约束和结构的约束从约束条件使用的对象分为值的约束和结构的约束1 1值值的的约约束束：即即对对数数据据类类型型、数数据据格格式式、取取值值范范围等进行规定。围等进行规定。v（1 1）对对数数据据类类型型的的约约束束，包包括括数数据据的的类类型型、长长度度、单位和精度等。单位和精度等。q例如，规定学生姓名的数据类型应为字符型，长度为8。v（2 2）对数据格式的约束。）对数据格式的约束。q例如，规定出生日期的数据格式为YY.MM.DD。v（3 3）对取值范围的约束。）对取值范围的约束

49、。q例如，月份的取值范围为112，日期131。v（4 4）对对空空值值的的约约束束。空空值值表表示示未未定定义义或或未未知知的的值值，它它与与零零值值和和空空格格不不同同。有有的的列列值值允允许许空空值值，有有的的则则不允许。不允许。q例如，学号和课程号不可以为空值，但成绩可以为空值。33返回返回返回返回2 2结构约束结构约束：即对数据之间联系的约束。：即对数据之间联系的约束。数数据据库库中中同同一一关关系系的的不不同同属属性性之之间间，应应满满足足一一定定的的约约束束条条件件，同同时时，不不同同关关系系的的属属性性之之间间也也有联系，也应满足一定的约束条件。有联系，也应满足一定的约束条件。常

50、见的结构约束有如下四种：常见的结构约束有如下四种：（1 1）函数依赖约束：说明了同一关系中不同属性之）函数依赖约束：说明了同一关系中不同属性之间应满足的约束条件。间应满足的约束条件。q如：2NF，3NF，BCNF这些不同的范式应满足不同的约束条件。v大部分函数依赖约束都是隐含在关系模式结构中的，大部分函数依赖约束都是隐含在关系模式结构中的，特别是对于规范化程度较高的关系模式，都是由模特别是对于规范化程度较高的关系模式，都是由模式来保持函数依赖的。式来保持函数依赖的。34返回返回返回返回（2 2）实实体体完完整整性性约约束束：说说明明了了关关系系键键的的属属性性列列必必须须唯唯一，其值不能为空或