背景：数据库的一大特性就是数据共享，这样我们就不能不考虑数据库的安全性问题。

1.数据库的不安全因素

1.1非授权用户对数据库的恶意存取和破坏

• 一些黑客（Hacker）和犯罪分子在用户存取数据库时猎取用户名和用户 口令，然后假冒合法用户偷取、修改甚至破坏用户数据。
• 数据库管理系统提供的安全措施主要包括
  • 用户身份鉴别
  • 存取控制
  • 视图等技术

1.2数据库中重要或敏感的数据被泄露

• 黑客和敌对分子千方百计盗窃数据库中的重要数据
• 一些机密信息被暴露
• 数据库管理系统提供的主要技术有
  • 强制存取控制
  • 数据加密存储
  • 加密传输 
  • 审计日志分析

1.3安全环境的脆弱性

• 数据库的安全性与计算机系统的安全性紧密联系
  •  计算机硬件、操作系统、网络系统等的安全性
• 建立一套可信（Trusted）计算机系统的概念和标准

2.安全标准简介

2.1信息安全标准的发展历史

2.2TCSEC/TDI安全级别划分

3.数据库安全性控制概述

3.1非法使用数据库的情况

• 用户编写一段合法的程序绕过DBMS及其授权机制，通过操作系统直接 存取、修改或备份数据库中的数据；
• 直接或编写应用程序执行非授权操作；
• 通过多次合法查询数据库从中推导出一些保密数据;
• 破坏安全性的行为可能是无意的，故意的，恶意的。

3.2计算机系统中，安全措施是一级一级层层设置

• 系统根据用户标识鉴定用户身份，合法用户才准许进入计算机系统
• 数据库管理系统还要进行存取控制，审计，视图，只允许用户执行合法 操作
• 操作系统有自己的保护措施
• 数据以密码形式存储到数据库中

3.3用户标识与鉴别

• 1.静态口令鉴别
  • 静态口令一般由用户自己设定，这些口令是静态不变的（自己设置的密码）
•  2.动态口令鉴别
  • 口令是动态变化的，每次鉴别时均需使用动态产生的新口令登录数据库管理 系统，即采用一次一密的方法（手机验证码）
• 3.智能卡鉴别
  • 智能卡是一种不可复制的硬件，内置集成电路的芯片，具有硬件加密功能
• 4.生物特征鉴别
  • 通过生物特征进行认证的技术，生物特征如指纹、虹膜和掌纹等

3.4存取控制

3.4.1存取控制机制的功能

确保只授权给有资格的用户访问数据库的权限

3.4.2存取控制机制的组成

3.4.3权限的种类

• 维护数据库管理系统的权限
• 操作数据库对象和数据的权限

3.4.4用户（即合法用户）按操作权限分

• 数据库系统管理员
• 数据库对象拥有者
• 普通用户

4.常用存取控制方法

自主存取控制（Discretionary Access Control ，简称DAC）

• C2级、 灵活
• 用户对不同的数据对象有不同的存取权限
• 不同的用户对同一对象也有不同的权限
• 用户还可将其拥有的存取权限转授给其他用户

强制存取控制（Mandatory Access Control，简称 MAC）

• B1级、严格
• 每一个数据对象被标以一定的密级
•  每一个用户也被授予某一个级别的许可证
• 对于任意一个对象，只有具有合法许可证的用户才可以存取

4.1自主存取控制方法

可以通过通过 SQL 的GRANT 语句和REVOKE 语句实现。

用户权限组成

• 数据对象
• 操作类型

定义用户存取权限

• 定义用户可以在哪些数据库对象上进行哪些类型的操作

定义存取权限称为授权

4.1.1grant语句

授权 GRANT语句的一般格式：

（例一）把查询Student表权限授给用户U1

GRANT SELECT
ON TABLE Student
TO U1;

（例二）把对Student表和Course表的全部权限授予用户U2和U3

GRANT ALL PRIVILIGES
ON TABLE Student, Course
TO U2, U3;

（例三）把对表SC的查询权限授予所有用户

GRANT SELECT
ON TABLE SC
TO PUBLIC;

（例四）把查询Student表和修改学生学号的权限授给用户U4

GRANT UPDATE(Sno), SELECT
ON TABLE Student
TO U4;

对属性列的授权时必须明确指出相应属性列名

（例五）把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予 其他用户

GRANT INSERT
ON TABLE SC
TO U5 WITH GRANT OPTION;

U5可以传播此权限：

GRANT INSERT ON TABLE SC TO U6
WITH GRANT OPTION;

U6可以传播此权限：

GRANT INSERT ON TABLE SC TO U7;

U5--> U6--> U7，但U7不能再传播此权限

例：在数据库的安全性控制中，授权的数据对象的____C_____，授权子系统 就越灵活。

（A）范围越大

（B）约束范围大

（C）范围越小

（D）约束越细致

4.1.2SQL收回权限的功能

例：把用户U4修改学生学号的权限收回

REVOKE UPDATE(Sno)
ON TABLE Student
FROM U4;

例：收回所有用户对表SC的查询权限

REVOKE SELECT 
ON TABLE SC 
FROM PUBLIC;

例：把用户U5对SC表的INSERT权限收回

REVOKE INSERT 
ON TABLE SC 
FROM U5 CASCADE;

系统将收回直接或间接从U5处获得的对SC表的INSERT权限

收回U6、U7获得的对SC表的INSERT权限:

<--U5<-- U6<-- U7

4.1.3数据库角色

• 数据库角色是被命名的一组与数据库操作相关的权限
• 角色是权限的集合
• 创建角色
  • CREATE ROLE <角色名>
• 给角色授权
  • GRANT <权限组> <对象> ON TO <角色组>
• 将一个角色授予其他的角色或用户
  • 
• 角色权限的回收
  • 

例：安全性控制的防范对象是？防止他们对数据库数据的存取。

答：非法非授权用户

4.2强制存取控制方法（MAC）

MAC适用于对数据有严格而固定密级分类的部门 ，如军 事部门、 政府部门

主体与客体：

• 主体 是系统中的活动实体
  • 数据库管理系统所管理的实际用户
  • 代表用户的各进程
• 客体 是系统中的被动实体，是受主体操纵的
  • 文件、 基表、 索引、 视图

4.2.1敏感度标记

敏感度标记分成若干级别

• 绝密（Top Secret，TS）
• 机密（Secret，S）
•  可信（Confidential，C）
• 公开（Public，P）

主体——许可证级别

客体——密级

对于任意一个对象，只有具有合法许可证的用户才可以存取

4.2.2强制存取控制规则

• 仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取 相应的客体；
• 主体的许可证级别 <=客体的密级，主体能写客体,用户可为写入的 数据对象赋予高于自己的许可证级别的密级，一旦数据被写入，该用户 自己也不能再读该数据对象了。

5.视图机制

• 视图机制通过为不同用户定义不同视图，把数据对象限制在一定 的范围内
• 视图机制把要保密的数据对无权存取这些数据的用户隐藏起来， 从而自动对数据提供一定程度的安全保护
• 视图机制更主要的功能在于提供数据独立性，其安全保护功能太 不精细，往往远不能达到应用系统的要求。

6.审计

启用一个专用的审计日志（Audit Log），将用户对数据库的所有操作记录在上面。DBA可以利用审计日志中的追踪信息，找出非法存取数据的人。C2以上安全级别的DBMS必须具有审计功能