[精选]第6章计算机安全技术.pptx

《[精选]第6章计算机安全技术.pptx》由会员分享，可在线阅读，更多相关《[精选]第6章计算机安全技术.pptx（93页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第6章章 数据库系统安全数据库系统安全6.1 数据库安全概述数据库安全概述 6.2 数据库的数据保护数据库的数据保护 6.3 死锁、活锁和可串行化死锁、活锁和可串行化 6.4 数据库的备份与恢复数据库的备份与恢复 6.5 SQL Server 数据库安全保护数据库安全保护 6.1 数据库安全概述数据库安全概述6.1.1 简介简介数据库系统是计算机技术的一个重要分支，从数据库系统是计算机技术的一个重要分支，从60年年代后期开始开展。虽然起步较晚，但近代后期开始开展。虽然起步较晚，但近30年来年来已经形成为一门，已经形成为一门，应用涉及应用涉及面很广，几乎所有面很广，几乎所有领域都要用到数据库。

2、领域都要用到数据库。数据库，形象上讲就是假设干数据的集合体。这些数据库，形象上讲就是假设干数据的集合体。这些数据存在于计算机的外存储器上，而且不是杂数据存在于计算机的外存储器上，而且不是杂乱无章地排列的。数据库数据量庞大、用户访乱无章地排列的。数据库数据量庞大、用户访问频繁，有些数据具有保密性，因此数据库要问频繁，有些数据具有保密性，因此数据库要由数据库管理系统由数据库管理系统DBMS进行科学地组织进行科学地组织和管理，以确保数据库的安全性和完整性。和管理，以确保数据库的安全性和完整性。很多数据库应用于客户机很多数据库应用于客户机/效劳器效劳器client/server平台，这已成为平台，这已

3、成为90年代主流的计算模式。在年代主流的计算模式。在server端，数据库由端，数据库由server上的上的DBMS进行管理。进行管理。由于由于client/server结构允许效劳器有多个客户端，结构允许效劳器有多个客户端，各个终端对于数据的共享要求非常强烈，这就涉各个终端对于数据的共享要求非常强烈，这就涉及到数据库的安全性与可靠性问题。及到数据库的安全性与可靠性问题。例如：在校园网中，各个部门要共用一个或几个效例如：在校园网中，各个部门要共用一个或几个效劳器，要分别对不同的或相同的数据库进行读取、劳器，要分别对不同的或相同的数据库进行读取、修改、增删，而且各个部门之间很有可能有进行修改、增

4、删，而且各个部门之间很有可能有进行交叉浏览的需求，但是对于人事部门的资料其他交叉浏览的需求，但是对于人事部门的资料其他部门就无权进行修改，其他部门的资料人事部门部门就无权进行修改，其他部门的资料人事部门也不能随意修改，另外还要防止一些别有用心的也不能随意修改，另外还要防止一些别有用心的人的蓄意破坏。这就是属于数据库的安全性问题，人的蓄意破坏。这就是属于数据库的安全性问题，DBMS必须具备这方面的功能。必须具备这方面的功能。6.1.2 数据库的特性数据库的特性面对数据库的安全威胁，必须采取有效的安全措施。面对数据库的安全威胁，必须采取有效的安全措施。这些措施可分为两个方面，即支持数据库的操作这些

5、措施可分为两个方面，即支持数据库的操作系统和同属于系统软件的系统和同属于系统软件的DBMS。后者的安全使后者的安全使用特性有以下几点要求：用特性有以下几点要求：1.多用户多用户尽管网络效劳器是用来资源共享的，但其上存储的尽管网络效劳器是用来资源共享的，但其上存储的大多数文件是用来给单用户访问的，而大多数文件是用来给单用户访问的，而LAN上的上的数据库却是供多个用户访问的。这就意味着任何数据库却是供多个用户访问的。这就意味着任何数据库管理操作，包括备份，会影响到用户的工数据库管理操作，包括备份，会影响到用户的工作效率，而且是许多用户的工作效率。作效率，而且是许多用户的工作效率。2.高可用性高可用

6、性与多用户的问题相关的是，数据库系统要求被访问与多用户的问题相关的是，数据库系统要求被访问和更新的时间长度。和更新的时间长度。虽然办公自动化文件效劳器在非工作时间很少进行虽然办公自动化文件效劳器在非工作时间很少进行什么操作，但数据库系统却经常需要运行长的、什么操作，但数据库系统却经常需要运行长的、多的时间以完成批处理任务或为其他时区的用户多的时间以完成批处理任务或为其他时区的用户提供访问。提供访问。3.频繁的更新频繁的更新 文件效劳器在文件效劳器在白天白天一般没有大量的磁盘写入操作。一般没有大量的磁盘写入操作。一个办公自动化文件被翻开之后，可能每隔一个办公自动化文件被翻开之后，可能每隔15分分

7、钟该文件的改动被保存一次。如果有钟该文件的改动被保存一次。如果有250个用户个用户在该效劳器上工作，这就意味着，平均每在该效劳器上工作，这就意味着，平均每4秒就秒就有一个文件需要被保存。这与每秒要支持有一个文件需要被保存。这与每秒要支持50次事次事务处理的数据库相比是相当少的。务处理的数据库相比是相当少的。4.大文件大文件数据库一般有很多的文件。像文字处理这样的办公数据库一般有很多的文件。像文字处理这样的办公自动化应用的文件，平均大小是在自动化应用的文件，平均大小是在510KB之间。之间。数据库文件经常有几百数据库文件经常有几百KB甚至几个甚至几个GB。6.1.3 数据库安全系统特性数据库安全

8、系统特性1.数据独立性数据独立性数据独立于应用程序之外。理论上数据库系统的数数据独立于应用程序之外。理论上数据库系统的数据独立性分为两种：据独立性分为两种：1 物理独立性：数据库的物理结构的变化不影物理独立性：数据库的物理结构的变化不影响数据库的应用结构，从而也就不能影响其相应响数据库的应用结构，从而也就不能影响其相应的应用程序。这里的物理结构是指数据库的物理的应用程序。这里的物理结构是指数据库的物理位置、物理设备等。位置、物理设备等。2 逻辑独立性：数据库逻辑结构的变化不会影逻辑独立性：数据库逻辑结构的变化不会影响用户的应用程序，数据类型的修改、增加、改响用户的应用程序，数据类型的修改、增加

9、、改变各表之间的联系都不会导致应用程序的修改。变各表之间的联系都不会导致应用程序的修改。这两种数据独立性都要靠这两种数据独立性都要靠DBMS来实现。到目前为来实现。到目前为止，物理独立性已经能基本实现，但逻辑独立性止，物理独立性已经能基本实现，但逻辑独立性实现起来非常困难，数据结构一旦发生变化，一实现起来非常困难，数据结构一旦发生变化，一般情况下，相应的应用程序都要作或多或少的修般情况下，相应的应用程序都要作或多或少的修改。追求这一目标也成为数据库系统结构复杂的改。追求这一目标也成为数据库系统结构复杂的一个重要原因。一个重要原因。2.数据安全性数据安全性一个数据库能否实现防止无关人员得到他不应

10、该知一个数据库能否实现防止无关人员得到他不应该知道的数据，是数据库是否实用的一个重要指标。道的数据，是数据库是否实用的一个重要指标。如果一个数据库对所有的人都公开数据，那么这如果一个数据库对所有的人都公开数据，那么这个数据库就不是一个可靠的数据库。个数据库就不是一个可靠的数据库。一般，比较完整的数据库对数据安全性采取以下措一般，比较完整的数据库对数据安全性采取以下措施：施：1 将数据库中需要保护的局部与其他局部相隔将数据库中需要保护的局部与其他局部相隔离；离；2 使用授权规则。这是数据库系统经常使用的使用授权规则。这是数据库系统经常使用的一个方法，数据库给用户一个方法，数据库给用户ID号和口令

11、、权限。当号和口令、权限。当用户用此用户用此ID号和口令登录后，就会获得相应的权号和口令登录后，就会获得相应的权限。不同的用户或操作会有不同的权限。比方，限。不同的用户或操作会有不同的权限。比方，对于一个表，某人有修改权，而其他人只有查询对于一个表，某人有修改权，而其他人只有查询权；权；3 将数据加密，以密码的形式存于数据库内。将数据加密，以密码的形式存于数据库内。3.数据的完整性数据的完整性数据完整性这一术语用来泛指与损坏和丧失相对的数据完整性这一术语用来泛指与损坏和丧失相对的数据状态。它通常说明数据在可靠性与准确性上数据状态。它通常说明数据在可靠性与准确性上是可信赖的，同时也意味着数据有可

12、能是无效的是可信赖的，同时也意味着数据有可能是无效的或不完整的。数据完整性包括数据的正确性、有或不完整的。数据完整性包括数据的正确性、有效性和一致性。效性和一致性。1 正确性：数据在输入时要保证其输入值与定正确性：数据在输入时要保证其输入值与定义这个表时相应的域的类型一致。如表中的某个义这个表时相应的域的类型一致。如表中的某个字段为数值型，那么它只能允许用户输入数值型字段为数值型，那么它只能允许用户输入数值型的数据，否则不能保证数据库的正确性。的数据，否则不能保证数据库的正确性。2 有效性：在保证数据正确的前提下，系统还有效性：在保证数据正确的前提下，系统还要约束数据的有效性。例如：对于月份字

13、段，假要约束数据的有效性。例如：对于月份字段，假设输入值为设输入值为16，那么这个数据就是无效数据，这，那么这个数据就是无效数据，这种无效输入也称为种无效输入也称为“垃圾输入。当然，假设数垃圾输入。当然，假设数据库输出的数据是无效的，相应称为据库输出的数据是无效的，相应称为“垃圾输出垃圾输出。3 一致性：当不同的用户使用数据库，应该保一致性：当不同的用户使用数据库，应该保证他们取出的数据必须一致。证他们取出的数据必须一致。因为数据库系统对数据的使用是集中控制的，因此因为数据库系统对数据的使用是集中控制的，因此数据的完整性控制还是比较容易实现的。数据的完整性控制还是比较容易实现的。4.并发控制并

14、发控制如果数据库应用要实现多用户共享数据，就可能在如果数据库应用要实现多用户共享数据，就可能在同一时刻多个用户要存取数据，这种事件叫做并同一时刻多个用户要存取数据，这种事件叫做并发事件。当一个用户取出数据进行修改，在修改发事件。当一个用户取出数据进行修改，在修改存入数据库之前如有其他用户再取此数据，那么存入数据库之前如有其他用户再取此数据，那么读出的数据就是不正确的。这时就需要对这种并读出的数据就是不正确的。这时就需要对这种并发操作施行控制，排除和防止这种错误的发生，发操作施行控制，排除和防止这种错误的发生，保证数据的正确性。保证数据的正确性。5.故障恢复故障恢复当数据库系统运行时出现物理或逻

15、辑上的错误时，当数据库系统运行时出现物理或逻辑上的错误时，如何尽快将它恢复正常，这就是数据库系统的故如何尽快将它恢复正常，这就是数据库系统的故障恢复功能。障恢复功能。6.1.4 数据库管理系统数据库管理系统DBMSdata base management system是一个专是一个专门负责数据库管理和维护的计算机软件系统。它门负责数据库管理和维护的计算机软件系统。它是数据库系统的核心，对数据库系统的功能和性是数据库系统的核心，对数据库系统的功能和性能有着决定性影响。能有着决定性影响。DBMS不但负责数据库的维不但负责数据库的维护工作，还要按数据库管理员的要求保证数据库护工作，还要按数据库管理员

16、的要求保证数据库的安全性和完整性。的安全性和完整性。DBMS的主要职能为：的主要职能为：有正确的编译功能，能正确执行规定的操作有正确的编译功能，能正确执行规定的操作能正确执行数据库命令能正确执行数据库命令保证数据的安全性、完整性，能抵御一定程度的物保证数据的安全性、完整性，能抵御一定程度的物理破坏，能维护和提交数据库内容理破坏，能维护和提交数据库内容能识别用户，分配授权和进行访问控制，包括身份能识别用户，分配授权和进行访问控制，包括身份识别和验证识别和验证顺利执行数据库访问，保证网络通信功能顺利执行数据库访问，保证网络通信功能另一方面，数据库的管理不但要靠另一方面，数据库的管理不但要靠DBMS

17、，还要靠还要靠人员。这些人员主要是指管理、开发和使用数据人员。这些人员主要是指管理、开发和使用数据库系统的数据管理员库系统的数据管理员DBA，database administrator、系统分析员、应用程序员和用系统分析员、应用程序员和用户。用户是对应用程序员设计的应用程序模块的户。用户是对应用程序员设计的应用程序模块的使用，系统分析员负责应用系统的需求分析和标使用，系统分析员负责应用系统的需求分析和标准说明，而且要和用户及准说明，而且要和用户及DBA相结合，确定系统相结合，确定系统的软硬件配置并参与数据库各级应用的概要设计。的软硬件配置并参与数据库各级应用的概要设计。这些人中最重要的是这些

18、人中最重要的是DBA，他们负责全面地管理他们负责全面地管理和和控制数据库系统，具体的职责包括：控制数据库系统，具体的职责包括：决定数据库的信息内容和结构决定数据库的信息内容和结构决定数据库的存储结构和存取策略决定数据库的存储结构和存取策略定义数据的安全性要求和完整性约束条件定义数据的安全性要求和完整性约束条件DBA的重要职责是确保数据库的安全性和完整性。的重要职责是确保数据库的安全性和完整性。不同用户对数据库的存取权限、数据的保不同用户对数据库的存取权限、数据的保 别和别和完整性约束条件也应由完整性约束条件也应由DBA负责决定负责决定监督和控制数据库的使用和运行监督和控制数据库的使用和运行DB

19、A负责监视数据库系统的运行，及时处理运行过负责监视数据库系统的运行，及时处理运行过程中出现的问题。尤其是遇到硬件、软件或人为程中出现的问题。尤其是遇到硬件、软件或人为故障时，数据库系统会因此而遭到破坏，故障时，数据库系统会因此而遭到破坏，DBA必必须能够在最短时间内把数据库恢复到某一正确状须能够在最短时间内把数据库恢复到某一正确状态，并且尽可能不影响或少影响计算机系统其他态，并且尽可能不影响或少影响计算机系统其他局部的正常运行。为此，局部的正常运行。为此，DBA要定义和实施适当要定义和实施适当的后援和恢复策略，例如周期性转储数据、维护的后援和恢复策略，例如周期性转储数据、维护日志文件等。日志文

20、件等。数据库系统的改进和重组数据库系统的改进和重组6.2 数据库的数据保护数据库的数据保护6.2.1 数据库的故障类型数据库的故障类型这里数据库的故障是指从保护安全的角度出发，数这里数据库的故障是指从保护安全的角度出发，数据库系统中会发生的各种故障。这些故障主要据库系统中会发生的各种故障。这些故障主要包括：事务内部的故障、系统范围内的故障、包括：事务内部的故障、系统范围内的故障、介质故障、计算机病毒与黑客等。介质故障、计算机病毒与黑客等。1.事务内部的故障事务内部的故障事务事务Transaction是指并发控制的单位，它是一是指并发控制的单位，它是一个操作序列。在这个序列中的所有操作只有两个操

21、作序列。在这个序列中的所有操作只有两种行为，要么全都执行，要么全都不执行。因种行为，要么全都执行，要么全都不执行。因此，事务是一个不可分割的单位。此，事务是一个不可分割的单位。事务以事务以 MIT语句提交给数据库，以语句提交给数据库，以ROLLBACK作为对已经完成的操作撤消。作为对已经完成的操作撤消。事务内部的故障多发生于数据的不一致性，主要表事务内部的故障多发生于数据的不一致性，主要表现为以下几种现为以下几种:1 丧失修改：两个事务丧失修改：两个事务T1和和T2读入同一数据，读入同一数据，T2的提交的结果破坏了的提交的结果破坏了T1提交的结果，提交的结果，T1对数对数据库的修改丧失，造成数

22、据库中数据错误。据库的修改丧失，造成数据库中数据错误。2 不能重复读：事务不能重复读：事务T1读取某一数据，事务读取某一数据，事务T2读取并修改了同一数据，读取并修改了同一数据，T1为了对读取值进行校为了对读取值进行校对再读取此数据，便得到了不同的结果。例如：对再读取此数据，便得到了不同的结果。例如：T1读取数据读取数据B=200，T2也读取也读取B并把它修改为并把它修改为300，那么，那么T1再读取数据再读取数据B得到得到300与第一次读取的与第一次读取的数值便不一致。数值便不一致。3“脏数据的读出，即不正确数据的读出。脏数据的读出，即不正确数据的读出。T1修改某一数据，修改某一数据，T2读

23、取同一数据，但读取同一数据，但T1由于某种原由于某种原因被撤消，则因被撤消，则T2读到的数据为读到的数据为“脏数据。例如：脏数据。例如：T1读取数据读取数据B值为值为100修改为修改为200，则，则T2读取读取B值为值为200，但由于事务，但由于事务T1被撤消，其所做的修改宣布无效，被撤消，其所做的修改宣布无效，B值恢复为值恢复为100，而，而T2读到的数据是读到的数据是200，与数据库内，与数据库内容不一致。容不一致。2.系统范围内的故障系统范围内的故障系统故障又称软故障，是指系统突然停止运行时造成系统故障又称软故障，是指系统突然停止运行时造成的数据库故障。如的数据库故障。如CPU故障、突然

24、断电、操作系统故障、突然断电、操作系统故障，这些故障不会破坏数据库，但会影响正在运故障，这些故障不会破坏数据库，但会影响正在运行的所有事务，因为数据库缓冲区中的内容会全部行的所有事务，因为数据库缓冲区中的内容会全部丧失，运行的事务非正常终止，从而造成数据库处丧失，运行的事务非正常终止，从而造成数据库处于一种不正确的状态。这种故障对于一个需要不停于一种不正确的状态。这种故障对于一个需要不停运行的数据库来讲损失是不可估量的。运行的数据库来讲损失是不可估量的。恢复子系统必须在系统重新启动时让所有非正常终恢复子系统必须在系统重新启动时让所有非正常终止事务止事务ROLLBACK，把数据库恢复到正确的状把

25、数据库恢复到正确的状态。态。3.介质故障介质故障介质故障又称硬故障，主要指外存故障，如：磁盘介质故障又称硬故障，主要指外存故障，如：磁盘磁头碰撞，瞬时的强磁场干扰。这类故障会破坏磁头碰撞，瞬时的强磁场干扰。这类故障会破坏数据库或局部数据库，并影响正在使用数据库的数据库或局部数据库，并影响正在使用数据库的所有事务。所以，这类故障的破坏性很大。所有事务。所以，这类故障的破坏性很大。4.计算机病毒与黑客计算机病毒与黑客病毒是一种计算机程序，然而这种程序与其它程序病毒是一种计算机程序，然而这种程序与其它程序不同的是它的功能在于破坏计算机中的数据，破不同的是它的功能在于破坏计算机中的数据，破坏计算机使计

26、算机处于一种不正确的状态，阻碍坏计算机使计算机处于一种不正确的状态，阻碍计算机用户的使用。计算机用户的使用。而且病毒具有自我繁殖的能力，传播速度很快。有而且病毒具有自我繁殖的能力，传播速度很快。有些病毒一旦发作就会马上摧毁系统。些病毒一旦发作就会马上摧毁系统。针对计算机病毒，现在已出现了许多种防毒和杀毒针对计算机病毒，现在已出现了许多种防毒和杀毒的软、硬件。但病毒发作后造成的数据库数据的的软、硬件。但病毒发作后造成的数据库数据的损坏还是需要操作者去恢复的。损坏还是需要操作者去恢复的。各种故障可能会造成数据库本身的破坏，也可能不各种故障可能会造成数据库本身的破坏，也可能不破坏数据库，但使得数据不

27、正确。对于数据库的破坏数据库，但使得数据不正确。对于数据库的恢复，其原理就是恢复，其原理就是“冗余，即数据库中的任何冗余，即数据库中的任何一局部数据都可以利用备份在其它介质上的冗余一局部数据都可以利用备份在其它介质上的冗余数据进行重建。这种恢复的原理非常简单，但要数据进行重建。这种恢复的原理非常简单，但要付出时、空代价。付出时、空代价。黑客与病毒不同，是近年来新出现的名词。从某种黑客与病毒不同，是近年来新出现的名词。从某种角度来讲，黑客的危害要比计算机病毒更大。角度来讲，黑客的危害要比计算机病毒更大。黑客往往是一些精通计算机网络和软、硬件的计算黑客往往是一些精通计算机网络和软、硬件的计算机操作

28、者。他们利用一些非法手段取得计算机的机操作者。他们利用一些非法手段取得计算机的授权，非法却又随心所欲地读取甚至修改其它计授权，非法却又随心所欲地读取甚至修改其它计算机数据，造成巨大的损失。算机数据，造成巨大的损失。对于黑客，更需要计算机数据库加强安全管理。这对于黑客，更需要计算机数据库加强安全管理。这种安全管理对于那些机密性的数据库显得尤为重种安全管理对于那些机密性的数据库显得尤为重要。要。6.2.2 数据库的数据保护数据库的数据保护前面我们较细致地讨论了数据库系统的故障问题。前面我们较细致地讨论了数据库系统的故障问题。随着计算机越来越深入地使用，一些大型数据库随着计算机越来越深入地使用，一些

29、大型数据库中存储着大量机密性的信息，如国防、金融、中存储着大量机密性的信息，如国防、金融、事等方面。假设这些数据库中的数据遭到破坏，事等方面。假设这些数据库中的数据遭到破坏，造成的损失难以估量。所以数据库的保护是数据造成的损失难以估量。所以数据库的保护是数据库运行过程中一个不可无视的方面。数据库系统库运行过程中一个不可无视的方面。数据库系统必须建立自己的保护机制，提供数据保护功能。必须建立自己的保护机制，提供数据保护功能。数据库保护主要是指数据库的安全性、完整性、并数据库保护主要是指数据库的安全性、完整性、并发控制和数据库恢复。发控制和数据库恢复。1.数据库的安全性数据库的安全性安全性问题是所

30、有计算机系统共有的问题，并不是安全性问题是所有计算机系统共有的问题，并不是数据库系统特有的，但由于数据库系统数据量庞数据库系统特有的，但由于数据库系统数据量庞大且多用户存取，安全性问题就显得尤其突出。大且多用户存取，安全性问题就显得尤其突出。由于安全性问题有系统问题与人为问题，所以一由于安全性问题有系统问题与人为问题，所以一方面我们可以从法律、政策、伦理、道德等方面方面我们可以从法律、政策、伦理、道德等方面控制约束人们对数据库的安全使用，另一方面还控制约束人们对数据库的安全使用，另一方面还可以从物理设备、操作系统等方面加强保护，保可以从物理设备、操作系统等方面加强保护，保证数据库的安全。另外，

31、也是我们要论述的，可证数据库的安全。另外，也是我们要论述的，可以从数据库本身实现数据库的安全性保护。以从数据库本身实现数据库的安全性保护。在一般的计算机系统中，安全措施是一级一级、层在一般的计算机系统中，安全措施是一级一级、层层设置的。其安全控制模型可以由以下图层设置的。其安全控制模型可以由以下图6.1表表示。示。1 用户标识和鉴定用户标识和鉴定通过核对用户的名字或身份通过核对用户的名字或身份ID，决定该用户对决定该用户对系统的使用权。数据库系统不允许一个未经授权系统的使用权。数据库系统不允许一个未经授权的用户对数据库进行操作。的用户对数据库进行操作。系统让用户用身份和口令登录时，系统用一张用

32、户系统让用户用身份和口令登录时，系统用一张用户口令表去鉴别用户身份。表中只有两个字段：用口令表去鉴别用户身份。表中只有两个字段：用户名和口令。并且用户输入的口令并不显示在屏户名和口令。并且用户输入的口令并不显示在屏幕上或以某种符号代替，如幕上或以某种符号代替，如“*号。系统根据号。系统根据用户的输入鉴别此用户是否为合法用户。这种方用户的输入鉴别此用户是否为合法用户。这种方法简便易行，但保密性不是很高。法简便易行，但保密性不是很高。图图6.1另外一种标识鉴定的方法是用户先标识自己，系统另外一种标识鉴定的方法是用户先标识自己，系统提供相应的口令表，这个口令表不是简单地与用提供相应的口令表，这个口令

33、表不是简单地与用户输入的口令比较，假设相等就合法。而是系统户输入的口令比较，假设相等就合法。而是系统给出一个随机数，用户按照某个特定的过程或函给出一个随机数，用户按照某个特定的过程或函数进行计算后给出结果值，系统同样按照这个过数进行计算后给出结果值，系统同样按照这个过程或函数对随机数进行计算，如果与用户输入的程或函数对随机数进行计算，如果与用户输入的相等则证明此用户为合法用户，可以再接着为用相等则证明此用户为合法用户，可以再接着为用户分配权限。否则，系统认为此用户根本不是合户分配权限。否则，系统认为此用户根本不是合法用户，拒绝进入数据库系统。法用户，拒绝进入数据库系统。2 存取控制存取控制对于

34、存取权限的定义称为授权。这些定义经过编译对于存取权限的定义称为授权。这些定义经过编译后存储在数据字典中。每当用户发出数据库的操后存储在数据字典中。每当用户发出数据库的操作请求后，作请求后，DBMS查找数据字典，根据用户权限查找数据字典，根据用户权限进行合法权检查。进行合法权检查。假设用户的操作请求超出了定义的权限，系假设用户的操作请求超出了定义的权限，系统拒绝此操作。授权编译程序和合法权检统拒绝此操作。授权编译程序和合法权检查机制一起组成安全性子系统。查机制一起组成安全性子系统。数据库系统中，不同的用户对象有不同的操数据库系统中，不同的用户对象有不同的操作权力。对数据库的操作权限一般包括查作权

35、力。对数据库的操作权限一般包括查询权、记录的修改权、索引的建立权、数询权、记录的修改权、索引的建立权、数据库的创立权。把这些权力按一定的规则据库的创立权。把这些权力按一定的规则授予用户，以保证用户的操作在自己的权授予用户，以保证用户的操作在自己的权限范围之内。授权规则可以用表限范围之内。授权规则可以用表6.1表示。表示。表表6.1数据库的授权由数据库的授权由SQL的的GRANT授权和授权和REVOKE回回收来完成。收来完成。例如：将表例如：将表TABLE1的查询权力授予所有用户的查询权力授予所有用户 GRANT SELECT ON TABLE TABLE1 TO PUBLIC；将表将表TABL

36、E1的所有权权力授予用户的所有权权力授予用户LIGRANT ALL PRIVILGES ON TABLE TABLE1 TO LI；把用户把用户LI对对TABLE1的查询权收回的查询权收回REVOKE SELECT ON TALBE TABLE1 FROM LI下面是三个安全性公理，第下面是三个安全性公理，第和第和第公理都假定允许用户公理都假定允许用户更新数据更新数据 如果用户如果用户I对属性集对属性集A的访问存取是有条件的选择访的访问存取是有条件的选择访问带谓词问带谓词P，那么用户那么用户I对对A的每个子集也是可以有条的每个子集也是可以有条件的选择访问但没有一个谓词比件的选择访问但没有一个谓

37、词比P强；强；如果用户如果用户I对对A的访问是有条件的更新访问带的访问是有条件的更新访问带谓词谓词P，那么用户那么用户I对对A也可以是有条件的选择也可以是有条件的选择访问但谓词不能比访问但谓词不能比P强；强；如果用户如果用户I对属性对属性A不能进行选择访问，那么用不能进行选择访问，那么用户户I也不能对也不能对A有更新访问。有更新访问。3 数据分级数据分级有些数据库系统对安全性的处理是把数据分级。这有些数据库系统对安全性的处理是把数据分级。这种方案为每一数据对象文件、记录或字段等种方案为每一数据对象文件、记录或字段等赋予一定的保赋予一定的保 。例如：绝。例如：绝 、机、机 、秘、秘 和公用和公用

38、级。对于用户，也分成类似的级别。系统便可规级。对于用户，也分成类似的级别。系统便可规定两条规则：定两条规则：用户用户i只能查看比他级别低的或同级的数据；只能查看比他级别低的或同级的数据；用户用户i只能修改和他同级的数据。只能修改和他同级的数据。在第在第条中，用户条中，用户i显然不能修改比他级别高的数显然不能修改比他级别高的数据，但同时他也不能修改比他级别低的数据，这据，但同时他也不能修改比他级别低的数据，这是为了管理上的方便。如果用户是为了管理上的方便。如果用户i要修改比他级要修改比他级别低的数据，那么首先要降低用户别低的数据，那么首先要降低用户i的级别或提的级别或提高数据的级别使得两者之间的

39、级别相等才能进行高数据的级别使得两者之间的级别相等才能进行修改操作。修改操作。数据分级法是一种独立于值的一种简单的控制方式。数据分级法是一种独立于值的一种简单的控制方式。它的优点是系统能执行它的优点是系统能执行“信息流控制。在授权信息流控制。在授权矩阵方法中，允许凡有权查看秘密数据的用户就矩阵方法中，允许凡有权查看秘密数据的用户就可以把这种数据拷贝到非保密的文件中，那么就可以把这种数据拷贝到非保密的文件中，那么就有可能使无权用户也可接触秘密数据了。在数据有可能使无权用户也可接触秘密数据了。在数据分级法中，就可以防止这种非法的信息流动。分级法中，就可以防止这种非法的信息流动。然而，这种方案在通用

40、数据系统中不十分有用，只然而，这种方案在通用数据系统中不十分有用，只在某些专用系统中才有用。在某些专用系统中才有用。4 数据加密数据加密为了更好地保证数据的安全性，用密码存储口令、为了更好地保证数据的安全性，用密码存储口令、数据，对远程终端信息用密码传输防止中途非法数据，对远程终端信息用密码传输防止中途非法截获等。我们把原始数据称为源文，用加密算法截获等。我们把原始数据称为源文，用加密算法对源文进行加密。加密算法的输入是源文和加密对源文进行加密。加密算法的输入是源文和加密键，输出是密码文。加密算法可以公开，但加密键，输出是密码文。加密算法可以公开，但加密一定是保密的。密码文对于不知道加密键的人

41、来一定是保密的。密码文对于不知道加密键的人来说是不易解密的。说是不易解密的。数据加密不是绝对安全的，有些人掌握计算机的加数据加密不是绝对安全的，有些人掌握计算机的加密技术，很有可能会将加密文解密。密技术，很有可能会将加密文解密。最近有人提出一种最近有人提出一种“明键加密法，可以随意使用明键加密法，可以随意使用加密算法和加密健，但相应的解密键是保密的。加密算法和加密健，但相应的解密键是保密的。因此明键法有两个键，一个用于加密，一个用于因此明键法有两个键，一个用于加密，一个用于解密。解密。而且解密键不能从加密键推出。即使有人能进行数而且解密键不能从加密键推出。即使有人能进行数据加密，如果不授权他做

42、解密工作，他几乎不可据加密，如果不授权他做解密工作，他几乎不可能解密。能解密。明键加密法具体步骤如下：明键加密法具体步骤如下：任意选择两个任意选择两个100位左右的质数位左右的质数p、q，计算计算r=p*q;任意选择一个整数任意选择一个整数e，而而e与与p-1*q-1是互质的，把是互质的，把e作为加密键一般，比作为加密键一般，比p、q大的大的质数就可选作为质数就可选作为e；求解密键求解密键d，使得使得d*emodp-1*q-1=1;r、e可以公开，但可以公开，但d是保密的；是保密的；对密码文件进行解密，得到密码文对密码文件进行解密，得到密码文c，计算公式计算公式是是c=pe mod r；由于只

43、公开由于只公开r、e，而求而求r的质因子几乎是不可能，的质因子几乎是不可能，因此从因此从r、e求求d也几乎不可能。这样也几乎不可能。这样d就可以保密。就可以保密。只有用户知道只有用户知道d后，才能对密码文进行解密。后，才能对密码文进行解密。这个方法是基于以下事实提出的：这个方法是基于以下事实提出的：已经存在一个快速算法，能测试一个大数是不已经存在一个快速算法，能测试一个大数是不是质数；是质数；还不存在一个快速算法，去求一个大数的质因还不存在一个快速算法，去求一个大数的质因子。例如有人曾计算过，测试一个子。例如有人曾计算过，测试一个130位的素数位的素数是否质数，计算机约需是否质数，计算机约需7

44、分钟时间，但在同样的分钟时间，但在同样的机器上，求两个机器上，求两个63位质数的乘积的质因子约要花位质数的乘积的质因子约要花4.01015的时间。的时间。2.数据的完整性数据的完整性数据的完整性主要是指防止数据库中存在不符合语数据的完整性主要是指防止数据库中存在不符合语义的数据，防止错误信息的输入和输出。数据完义的数据，防止错误信息的输入和输出。数据完整性包括数据的正确性、有效性和一致性。整性包括数据的正确性、有效性和一致性。实现对数据的完整性约束要求系统有定义完整性约实现对数据的完整性约束要求系统有定义完整性约束条件的功能和检查完整性约束条件的方法。束条件的功能和检查完整性约束条件的方法。数

45、据库中的所有数据都必须满足自己的完整性约束数据库中的所有数据都必须满足自己的完整性约束条件，这些约束包括以下几种：条件，这些约束包括以下几种：1 数据类型与值域的约束数据类型与值域的约束数据库中每个表的每个域都有自己的数据类型约束数据库中每个表的每个域都有自己的数据类型约束条件，如：字符型、整型、实型等等。在每个域条件，如：字符型、整型、实型等等。在每个域中输入数据时，必须按照其约束条件进行输入，中输入数据时，必须按照其约束条件进行输入，否则，系统不予受理。否则，系统不予受理。对于符合数据类型约束的数据，还要符合其值域的对于符合数据类型约束的数据，还要符合其值域的约束条件。例如对于一整型数据只

46、允许输入约束条件。例如对于一整型数据只允许输入0100之间的值，那么用户输入之间的值，那么用户输入200便不符合约束便不符合约束条件。条件。2 关键字约束关键字约束关键字是用来标识一个表中的唯一一条记录的域，关键字是用来标识一个表中的唯一一条记录的域，一个表中主关键字可以不止一个。一个表中主关键字可以不止一个。关键字约束又分为主关键字约束和外部关键字约束。关键字约束又分为主关键字约束和外部关键字约束。主关键字约束要求一个表中的主关键字必须唯一，主关键字约束要求一个表中的主关键字必须唯一，不能出现重复的主关键字值。外部关键字约束要不能出现重复的主关键字值。外部关键字约束要求一个表中的外部关键字的

47、值必须与另外一个表求一个表中的外部关键字的值必须与另外一个表中主关键字的值相匹配。中主关键字的值相匹配。3 数据联系的约束数据联系的约束一个表中的不同域之间也可以有一定的联系，从而一个表中的不同域之间也可以有一定的联系，从而应满足一定的约束条件。如表中三个域：单价、应满足一定的约束条件。如表中三个域：单价、数量、金额，它们之间符合金额数量、金额，它们之间符合金额=单价单价*数量，数量，那么，当某记录的单价与数量一旦确定之后，它那么，当某记录的单价与数量一旦确定之后，它的金额就必须被确定。的金额就必须被确定。以上所有约束都叫做静态约束，即它们都是在稳定以上所有约束都叫做静态约束，即它们都是在稳定

48、状态下必须满足的条件。还有一种约束叫做动态状态下必须满足的条件。还有一种约束叫做动态约束。动态约束是指数据库中数据从一种状态变约束。动态约束是指数据库中数据从一种状态变为另外一种状态时，新旧值之间的约束条件。例为另外一种状态时，新旧值之间的约束条件。例如，更新一个人的年龄时，新值不能小于旧值。如，更新一个人的年龄时，新值不能小于旧值。对于约束条件，按其执行状态分为立即执行约束和对于约束条件，按其执行状态分为立即执行约束和延迟执行约束。立即执行约束是指在执行用户事延迟执行约束。立即执行约束是指在执行用户事务时，对事务中某一更新语句执行完成后马上对务时，对事务中某一更新语句执行完成后马上对此数据所

49、对应的约束条件进行完整性检查。此数据所对应的约束条件进行完整性检查。延迟执行约束是指在整个事务执行结束后才对对应延迟执行约束是指在整个事务执行结束后才对对应的约束条件进行完整性检查。的约束条件进行完整性检查。数据库系统可以由数据库系统可以由DBMS定义管理数据的完整性，定义管理数据的完整性，完整性规则经过编译后，放在数据字典中，一旦完整性规则经过编译后，放在数据字典中，一旦进入系统，便开始执行这此规则。这种完整性管进入系统，便开始执行这此规则。这种完整性管理方法比让用户的应用程序进行管理效率要高，理方法比让用户的应用程序进行管理效率要高，而且规则集在数据字典中，易于从整体上进行管而且规则集在数

50、据字典中，易于从整体上进行管理。理。前面讲过的前面讲过的SQL语言只能提供安全性控制的功能，语言只能提供安全性控制的功能，没有定义完整性约束条件的能力。没有定义完整性约束条件的能力。当前普遍的当前普遍的DBMS都具有都具有“触发器功能。触发器触发器功能。触发器用来保证当记录被插入、修改和删除时能够执行用来保证当记录被插入、修改和删除时能够执行一个与基表有关的特定的事务规则，保证数据的一个与基表有关的特定的事务规则，保证数据的一致性与完整性。而且，触发器的使用免除了利一致性与完整性。而且，触发器的使用免除了利用前台应用程序进行控制数据完整性的繁琐工作。用前台应用程序进行控制数据完整性的繁琐工作。