第9章 数据库安全性12964973

软件学院自评报告软件学院自评报告1第九章数据库安全性软件学院自评报告软件学院自评报告29.1安全性概述9.2数据库安全控制9.3DB2数据库的安全性措施第九章数据库安全性软件学院自评报告软件学院自评报告39.1安全性概述数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。安全性问题不是数据库系统所独有的，所有计算机系统都有安全性问题。从广义上讲，数据库系统的安全框架可以划分为三个层次：⑴网络系统层次；⑵宿主操作系统层次；⑶数据库管理系统层次。软件学院自评报告软件学院自评报告4网络系统层次面临的威胁：a)欺骗（Masquerade）；b)重发(Replay)；c)报文修改(Modificationofmessage)；d)拒绝服务(Denyofservice)；e)陷阱门(Trapdoor)；f)特洛伊木马(Trojanhorse)；g)攻击：如透纳攻击（TunnelingAttack）、应用软件攻击等。相关安全防范技术防火墙入侵检测协作式入侵检测9.1安全性概述软件学院自评报告软件学院自评报告5宿主操作系统层次9.1安全性概述主要安全技术操作系统安全策略安全管理策略数据安全密码策略账户锁定策略审核策略IP安全策略用户权利指派加密数据的恢复代理其它安全选项其核心是保证服务器的安全和分配好各类用户的权限。数据加密技术数据备份数据存储的安全性数据传输的安全性等软件学院自评报告软件学院自评报告6数据库管理系统层次安全性数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大，则数据库系统的安全性能就较好。9.1安全性概述软件学院自评报告软件学院自评报告7计算机系统的安全模型计算机系统的安全模型用户DBMSOSDB用户标识和鉴别存取控制操作系统安全保护数据密码存储9.2数据库安全控制软件学院自评报告软件学院自评报告8二、安全性控制的一般方法用户标识与鉴别用户标识和鉴别是系统提供的最外层安全保护措施存取控制定义获得上机权的用户可在哪些数据对象上进行哪些类型的操作数据对象操作类型模式模式、外模式、内模式建立、修改、检索数据表、属性列查找、插入、修改、删除关系系统中的存取权限9.2数据库安全控制软件学院自评报告软件学院自评报告9视图机制通过视图机制把要保密的数据对无权存取的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。通常是视图机制与授权机制配合使用。审计追踪把用户对数据库的所有操作自动记录下来放入审计日志（AuditLog）中。DBA可以利用审计跟踪的信息，重现导致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等。数据加密根据一定的算法将原始数据变换为不可直接识别的格式，从而使得不知道解密算法的人无法获知数据内容。9.2数据库安全控制软件学院自评报告软件学院自评报告10DB2安全性简介DB2中的身份验证DB2中的权限与特权DB2审计9.3DB2数据库的安全性措施软件学院自评报告软件学院自评报告11一、DB2安全性简介可从三个级别来对DB2系统的安全性进行控制：第一个级别是控制对实例的存取所有对实例的存取都由DB2之外的安全设施来管理；第二个级别是控制对数据库的存取；第三个级别是控制对数据库内数据和相关对象的存取对数据库及其内部数据对象的存取受到DB2数据库管理器的控制，对数据库及其内部数据对象的存取受到DB2数据库管理器的控制。9.3DB2数据库的安全性措施软件学院自评报告软件学院自评报告12二、DB2中的身份验证(1of2)安全性管理的第一步就是核实用户身份，该过程称为验证。DB2提供了ATTACH和CONNECT两条命令来实现对实例和数据库的连接。如果连接时没有提供用户名和口令，DB2会使用用户在客户端操作系统登录时使用的用户名和口令进行验证；如果使用CONNECT或者ATTACH命令时提供了用户名和口令，DB2会使用提供的用户名和口令进行验证。用户还可以通过提供用户名、现有口令、新口令和确认口令（为保证新口令输入的正确性，通常需要重新输入一次口令进行比较）来请求更改现有口令。9.3DB2数据库的安全性措施软件学院自评报告软件学院自评报告13二、DB2中的身份验证(2of2)验证位置的确定验证类型定义了如何进行验证，以及在哪里进行验证客户端直接连接到DB2UDB服务器的情况下：服务器端的验证类型客户端的验证类型SERVERSERVER_ENCRYPTCLIENTKERBEROSKRB_SERVER_ENCRYPTSERVERSERVER_ENCRYPTCLIENTKERBEROSDCE9.3DB2数据库的安全性措施软件学院自评报告软件学院自评报告14三、DB2中的权限与特权(1of3)权限是一组高层次的用户权力，通常授予那些需要对数据库和实例进行管理和维护的用户。DB2有五种权限SYSADM–系统管理权限SYSCTRL–系统控制权限SYSMAINT–系统维护权限LOAD–对表进行LOAD操作的权限DBADM–数据库管理权限9.3DB2数据库的安全性措施软件学院自评报告软件学院自评报告15三、DB2中的权限与特权(2of3)特权是针对某个数据库对象（如表、视图等）的用户权力，通常授予那些只需要对数据库对象进行存取的用户。三种类型的特权拥有者特权：对于大多数数据库对象，创建对象的用户通常对于该对象具有全面的控制。个体特权：个体特权允许用户对数据库对象执行特定操作，有时针对特定对象。隐式特权：隐式特权是当用户被显式赋予某些高层次特权时，自动赋予用户的特权。9.3DB2数据库的安全性措施软件学院自评报告软件学院自评报告16三、DB2中的权限与特权(3of3)DB2数据库特权9.3DB2数据库的安全性措施软件学院自评报告软件学院自评报告17四、DB2审计在DB2中，审计设施与特定实例有关。只有具有SYSADM权限的用户可以使用审计设施使用审计设施，对DB2系统上执行的每一个操作，比如都会有一个或多个审计记录生成。审计记录可以分成以下几类：AUDIT■CHECKINGOBJMAINT■SECMAINTSYSADMIN■VALIDATECONTEXT9.3DB2数据库的安全性措施