数据库第四章数据库安全性.ppt
- 格式:ppt
- 大小:922.51 KB
- 文档页数:68
下载文档原格式
合集下载
网络数据库与数据安全培训课件PPT(共 90张)
用户是用来连接数据库对象。而模式是用 来创建管理对象的。模式跟用户在oracle 是一对一的关系。
2.特权和角色
(1)特权
特权是执行一种特殊类型的SQL语句或 存取另一用户的对象的权力。有系统特 权和对象特权两类特权。
系统特权
系统特权是执行一种特殊动作或者在对象类型上执行一种特殊 动作的权力。
篡改:篡改是指对数据库中的数据未经授权地进行修
改,使其失去原来的真实性。篡改是一种人为的主动攻 击。进行这种人为攻击的原因可能是个人利益驱动、隐 藏证据、恶作剧或无知。
损坏:损坏的表现为数据库中表和整个数据库部分或
全部被删除、移走或破坏。产生损坏的原因主要有破坏、 恶作剧和病毒。
窃取:窃取一般是对敏感数据进行的。窃取的手法可能 是将数据复制到可移动的介质上带走或把数据打印后取 走。一般,被窃取的数据可能具有很高的价值。窃取数 据的对象一般是内部员工和军事及工商业间谍等。
1、数据库管理系统简介 2、数据库管理系统的安全功能
数据库管理系统(DBMS):专门负责数据库 管理和维护的计算机软件系统。它是数据库系 统的核心,不仅负责数据库的维护工作,还能 保证数据库的安全性和完整性。
(1)数据安全性
保证数据库数据安全,通常采取以下措施: 将数据库中需要保护和不需要保护的数据 分开; 采取ID号、口令和权限等访问控制; 数据加密后存于数据库。
1、数据库的存取控制 (1)数据库的安全机制
多用户数据库系统(如Oracle)提供的安全机制可做到: 防止非授权的数据库存取; 防止非授权的对模式对象的存取; 控制磁盘使用; 控制系统资源使用; 审计用户动作。
(2)模式和用户机制
模式机制
schema :A schema is a collection of database objects (used by a user.). Schema objects are the logical structures that directly refer to the database’s data.
数据库第四章——数据库安全性
输入用户名 cheng
输入密码
SQL Server 2005密码复杂性策略: 1. 不得包含全部或部分(>=3)用户帐号名; 2. 长度至少6个字符; 3. 密码包含4类字符:英文大写字母、小写 字母、10个基本数字,非字母字符(!@等)
19
An Introduction to Database System
5
An Introduction to Database System
数据的安全性是指保护数据以防止因不合法的使用而 数据的安全性是指保护数据以防止因不合法的使用而 造成数据的泄露、更改和破坏。 造成数据的泄露、更改和破坏。这就要采取一定的安 全措施。 全措施。 数据库的安全性和计算机系统的安全性,包括计算机 数据库的安全性和计算机系统的安全性, 硬件、操作系统、网络系统等的安全性,是紧密联系、 硬件、操作系统、网络系统等的安全性,是紧密联系、 相互支持的。 相互支持的。
输入用户名 kk
输入密码
SQL Server 2000密码复杂性策略: 2000密码复杂性策略 密码复杂性策略: 1. 不得包含全部或部分(>=3)用户帐号名; 不得包含全部或部分(>=3)用户帐号名; 2. 长度至少6个字符; 长度至少6个字符; 3. 密码包含4类字符:英文大写字母、小写 密码包含4类字符:英文大写字母、 字母、10个基本数字 非字母字符(! 个基本数字, (!@ 字母、10个基本数字,非字母字符(!@等)
14
An Introduction to Database System
删除Windows NT认证模式登录账号
步骤如下: 步骤如下: 以系统管理员身份进入企业管理器,并展开目录树; (1) 以系统管理员身份进入企业管理器,并展开目录树; 在目录树的“登录名” 节点下, (2) 在目录树的“登录名” 节点下,选中待删除的名称 wfy\wfytest” “wfy\wfytest”
输入密码
SQL Server 2005密码复杂性策略: 1. 不得包含全部或部分(>=3)用户帐号名; 2. 长度至少6个字符; 3. 密码包含4类字符:英文大写字母、小写 字母、10个基本数字,非字母字符(!@等)
19
An Introduction to Database System
5
An Introduction to Database System
数据的安全性是指保护数据以防止因不合法的使用而 数据的安全性是指保护数据以防止因不合法的使用而 造成数据的泄露、更改和破坏。 造成数据的泄露、更改和破坏。这就要采取一定的安 全措施。 全措施。 数据库的安全性和计算机系统的安全性,包括计算机 数据库的安全性和计算机系统的安全性, 硬件、操作系统、网络系统等的安全性,是紧密联系、 硬件、操作系统、网络系统等的安全性,是紧密联系、 相互支持的。 相互支持的。
输入用户名 kk
输入密码
SQL Server 2000密码复杂性策略: 2000密码复杂性策略 密码复杂性策略: 1. 不得包含全部或部分(>=3)用户帐号名; 不得包含全部或部分(>=3)用户帐号名; 2. 长度至少6个字符; 长度至少6个字符; 3. 密码包含4类字符:英文大写字母、小写 密码包含4类字符:英文大写字母、 字母、10个基本数字 非字母字符(! 个基本数字, (!@ 字母、10个基本数字,非字母字符(!@等)
14
An Introduction to Database System
删除Windows NT认证模式登录账号
步骤如下: 步骤如下: 以系统管理员身份进入企业管理器,并展开目录树; (1) 以系统管理员身份进入企业管理器,并展开目录树; 在目录树的“登录名” 节点下, (2) 在目录树的“登录名” 节点下,选中待删除的名称 wfy\wfytest” “wfy\wfytest”
第四章第4.7节-数据库安全
Access提供两个默认组:管理员组和用 户组。 管理员组是系统管理员的组帐户,对工 作组使用的所有数据库都拥有完全的权限。 安装程序自动将默认的管理员用户帐户添加 到管理员组。 用户组帐户中包含所有用户帐户,在创建 用户帐户时,Access会将其自动添加到用户 组中。
单击【工具】菜单的【安全】中的【用户 与组帐户】命令,在“用户与组帐户”对 话框中,显示了可用的组和用户以及用户 隶属于哪个组。
图4-51 选择要设置安全机制的数据库对象
图4-52 设置组权限
图4-53 添加新用户
图4-54
设置用户组
图455设 置安 全机 制向 导报 表
2. 使用设置了“用户级安全”的数据 库
3. 如何删除“用户级安全”?——自 学
Access的权限设置比较复杂,用户必 须操作多次,才能明白用户级安全机制 的各个操作步骤的含义。 虽然在Access中实现安全性已变得比 较简单,但是,即使有了向导的帮助, 也必须清楚自己的安全选项,否则,轻 者会带来数据安全隐患,重者会将您锁 在自己的数据库之外。
(2)谁可更改权限?
更改数据库对象的权限:
创建数据库时所使用的工作组信息文件的 “管理员组”成员。 对象的所有者。
对对象具有“管理员”权限的用户。
(3)权限的含义
权限
打开/运行 以独占方式打开 读取设计 修改设计 管理员
允许用户
打开数据库、窗体或报表或者运行数据库中的宏 以独占访问权限打开数据库 在“设计”视图中查看表、查询、窗体、报表或宏 查看和更改表、查询、窗体、报表或宏的设计,或进行删除 对于数据库,设置数据库密码、复制数据库并更改启动属性。 对于表、查询、窗体、报表和宏,具有对这些对象和数据的完全访 问权限,包括指定权限的能力。 查看表和查询中的数据 查看和修改表和查询中的数据,但并不向其中插入数据或删除其中 的数据 查看表和查询中的数据,并向其中插入数据,但不修改或删除其中 的数据 查看和删除表和查询中的数据,但不修改其中的数据或向其中插入 数据
单击【工具】菜单的【安全】中的【用户 与组帐户】命令,在“用户与组帐户”对 话框中,显示了可用的组和用户以及用户 隶属于哪个组。
图4-51 选择要设置安全机制的数据库对象
图4-52 设置组权限
图4-53 添加新用户
图4-54
设置用户组
图455设 置安 全机 制向 导报 表
2. 使用设置了“用户级安全”的数据 库
3. 如何删除“用户级安全”?——自 学
Access的权限设置比较复杂,用户必 须操作多次,才能明白用户级安全机制 的各个操作步骤的含义。 虽然在Access中实现安全性已变得比 较简单,但是,即使有了向导的帮助, 也必须清楚自己的安全选项,否则,轻 者会带来数据安全隐患,重者会将您锁 在自己的数据库之外。
(2)谁可更改权限?
更改数据库对象的权限:
创建数据库时所使用的工作组信息文件的 “管理员组”成员。 对象的所有者。
对对象具有“管理员”权限的用户。
(3)权限的含义
权限
打开/运行 以独占方式打开 读取设计 修改设计 管理员
允许用户
打开数据库、窗体或报表或者运行数据库中的宏 以独占访问权限打开数据库 在“设计”视图中查看表、查询、窗体、报表或宏 查看和更改表、查询、窗体、报表或宏的设计,或进行删除 对于数据库,设置数据库密码、复制数据库并更改启动属性。 对于表、查询、窗体、报表和宏,具有对这些对象和数据的完全访 问权限,包括指定权限的能力。 查看表和查询中的数据 查看和修改表和查询中的数据,但并不向其中插入数据或删除其中 的数据 查看表和查询中的数据,并向其中插入数据,但不修改或删除其中 的数据 查看和删除表和查询中的数据,但不修改其中的数据或向其中插入 数据
数据库安全
13
TCSEC/TDI安全级别划分(续)
– 按系统可靠或可信程度逐渐增高 – 各安全级别之间:偏序向下兼容
Prin. and App. of Database
14
TCSEC/TDI安全级别划分(续)
• B2以上的系统
– 还处于理论研究阶段 – 应用多限于一些特殊的部门,如军队等 – 美国正在大力发展安全产品,试图将目前仅限于少数领域应 用的B2安全级别下放到商业应用中来,并逐步成为新的商 业标准
7
计算机系统的三类安全性问题(续)
• 三类计算机系统安全性问题
– 技术安全类 – 管理安全类 – 政策法律类
Prin. and App. of Database
8
4.1 计算机安全性概论
4.1.1 计算机系统的三类安全性问题 4.1.2 安全标准简介
Prin. and App. of Database
9
4.1.2 安全标准简介
• TCSEC标准
• CC标准
Prin. and App. of Database
10
安全标准简介(续)
信息安全标准的发展历史 Prin. and App. of Database
11
安全标准简介(续)
• TCSEC/TDI标准的基本内容
– TCSEC/TDI,从四个方面来描述安全性级别划分的指标
4
第四章 数据库安全性
4.1 计算机安全性概述
4.2 数据库安全性控制
4.3 视图机制 4.4 审计(Audit) 4.5 数据加密 4.6 统计数据库安全性
4.7 小结
Prin. and App. of Database
5
4.1 计算机安全性概述
TCSEC/TDI安全级别划分(续)
– 按系统可靠或可信程度逐渐增高 – 各安全级别之间:偏序向下兼容
Prin. and App. of Database
14
TCSEC/TDI安全级别划分(续)
• B2以上的系统
– 还处于理论研究阶段 – 应用多限于一些特殊的部门,如军队等 – 美国正在大力发展安全产品,试图将目前仅限于少数领域应 用的B2安全级别下放到商业应用中来,并逐步成为新的商 业标准
7
计算机系统的三类安全性问题(续)
• 三类计算机系统安全性问题
– 技术安全类 – 管理安全类 – 政策法律类
Prin. and App. of Database
8
4.1 计算机安全性概论
4.1.1 计算机系统的三类安全性问题 4.1.2 安全标准简介
Prin. and App. of Database
9
4.1.2 安全标准简介
• TCSEC标准
• CC标准
Prin. and App. of Database
10
安全标准简介(续)
信息安全标准的发展历史 Prin. and App. of Database
11
安全标准简介(续)
• TCSEC/TDI标准的基本内容
– TCSEC/TDI,从四个方面来描述安全性级别划分的指标
4
第四章 数据库安全性
4.1 计算机安全性概述
4.2 数据库安全性控制
4.3 视图机制 4.4 审计(Audit) 4.5 数据加密 4.6 统计数据库安全性
4.7 小结
Prin. and App. of Database
5
4.1 计算机安全性概述
db4
第四章数据库的保护4.1 数据库的安全性4.2 数据库的完整性4.3 数据库的并发控制4.4 数据库的恢复4.5 数据库的复制与镜像4.1 数据库的安全性●数据库的安全性是指保护数据库以防止不合法的使用造成泄漏、更改或破坏等。
●采用的方法有:–用户标识和鉴别–使用视图–数据加密●数据库系统的安全模型–存取权限控制–审计应用DBMS OS DB 用户标识存取控制操作系统保护密码存储4.1.1用户标识和鉴别●一般由系统管理员(DBA)为每个用户建立一个用户名(用户标识/帐号)和用户口令。
用户必须使用此标识方可进入系统●语法:CREATE USER <username> IDENTIFIED BY<password>●二次登录问题4.1.2存取控制●存取权限两要素:–数据对象–操作类型●授权–定义某用户对哪些数据对象具有哪些类型的操作●数据对象的粒度–表、列、行(一般由视图实现)–粒度越细,授权子系统越灵活,安全性越完善。
但系统开销越大,数据字典庞大权限限制的种类–对用户进行控制。
用户只可以访问自己的子模式–对操作类型进行控制操作一般包括:查询、修改、插入、删除等用户可以被授予不同的操作权限–对数据对象的控制用户可以被限制访问某些表或表的列权限组(角色)概念–角色是数据库预先设置的一系列具有某种常用权限的组合。
某用户属于一个角色就拥有该角色的所有权限了SYBASE的一些角色–sa_role–sso_role–sybase_ts_role–navigator_roleORACLE中的三类角色–Connect(用于数据库录入人员)●可以访问ORACLE●对于允许的表可以做查询和更新操作。
●建立视图和同义词–Resource(用于开发人员)●具有Connect的所有权限●建表、索引、聚簇等权限●对于自己创建的对象可以操作并可以给他人赋权●使用审计命令–DBA(用于管理人员)●具有Resource的所有权限●可以访问任何用户的数据●授予或收回用户权限●建立公共同义词●建立和修改分区●执行数据库的卸出●审计●Oracle中存取控制的语法–授权语句/新建用户GRANT[CONNECT | RESOURCE | DBA] TO<username> [IDENTIFIED BY <password> ]–收回权限/删除用户:REVOKE[CONNECT | RESOURCE | DBA] FROM<username>–操作权限控制GRANT <操作权> ON <表名> TO <username|public>[WITH GRANT OPTION]●其中“操作权”包括:SELECT、INSERT、DELETE、UPDATE、ALTER、INDEX、ALL●对象拥有者自然用于对对象的操作权,只有拥有者和DBA可以将对象的操作权赋予别人4.1.3定义视图●可以通过建立视图屏蔽用户不该看到的数据内容,但视图的主要功能是实现数据独立性,其安全保护功能不够精细4.1.4数据加密●ORACLE和SYBASE数据库都提供对存储过程的加密,在SYBASE中使用SP_HIDETEXT4.1.5审计●非强制性安全保护措施,自动记录对数据库的访问存取痕迹●分为用户级和系统级–用户级主要用户设置,针对用户自己创建的对象的审计,包括对这些对象的各种访问–系统级审计是DBA进行的,针对用户登录的成功与否以及对数据库级权限的操作●审计常常消耗大量时间和空间资源,所以一般作为可选项可灵活打开和关闭,视系统的安全性要求而定例:对SC表的ALTER和UPDATE进行审计AUDIT ALTER,UPDATE ON SC取消对SC表的任何审计NOAUDIT ALL ON SC4.2 数据库的完整性●数据库安全性是防止非法用户的非法操作,而完整性是是防止不合语义的数据●数据库完整性的实现机制–DBMS检查数据库中的数据是否满足语义规定的条件,这些加在数据库数据之上的语义约束条件称为数据库完整性约束条件–而DBMS中检查数据是否满足完整性条件的机制称完整性检查4.2.1完整性约束条件●完整性约束条件作用的对象可以分为:列级、元组级和关系级三个粒度–列级约束主要约束列的取值类型、范围、精度排序等–元组级约束主要约束记录中各个字段之间的联系–关系级约束主要是约束多个记录或关系之间的联系●完整性约束就其状态可以分为静态和动态的–静态主要是反映数据库的状态是合理的–动态主要是反映数据库的状态变迁是否合理1)静态列级约束–对数据类型的约束,包括数据的类型、长度、单位、精度等,如char(10)。
数据的安全性
GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3;
例4
例题(续)
例3 把对表SC旳查询权限授予全部顾客
GRANT SELECT ON TABLE SC TO PUBLIC;
例题(续)
例4 把查询Student表和修改学生学号旳权限授 给顾客U4
GRANT CREATETAB ON DATABASE S_C TO U8;
SQL收回权限旳功能
REVOKE语句旳一般格式为: REVOKE <权限>[,<权限>]... [ON <对象类型> <对象名>] FROM <顾客>[,<顾客>]...;
功能:从指定顾客那里收回对指定对象旳指定权 限
例题
系统安全保护措施是否有效是数据库系统旳主 要技术指标。
1 计算机系统旳安全性
计算机系统安全性是指为计算机系统建立和采 用旳多种安全保护措施,以保护计算机系统旳硬件、 软件及数据,预防其因偶尔或恶意旳原因是系统遭到 破坏、数据遭到更改或泄漏等。
涉及三类: 技术安全 管理安全 政策法律
2 安全原则简介
4.4审计
审计功能是把顾客对数据库旳全部操作自动统 计下来放入审计统计(Audit Log)中。DBA能够利用跟 踪旳信息,重现造成数据库既有情况旳一系列事件, 找出非法存取数据旳人、事件和内容。
审计两种: 顾客级审计 系统级审计
AUDIT 语句用来设计审计功能,NOAUDIT语句 取消审计功能。
第四章 数据库旳安全性
4.1 计算机安全性概述 4.2 数据库安全性控制 4.3 视图机制 4.4 审计 4.5 数据加密 4.6 统计数据库安全性
例4
例题(续)
例3 把对表SC旳查询权限授予全部顾客
GRANT SELECT ON TABLE SC TO PUBLIC;
例题(续)
例4 把查询Student表和修改学生学号旳权限授 给顾客U4
GRANT CREATETAB ON DATABASE S_C TO U8;
SQL收回权限旳功能
REVOKE语句旳一般格式为: REVOKE <权限>[,<权限>]... [ON <对象类型> <对象名>] FROM <顾客>[,<顾客>]...;
功能:从指定顾客那里收回对指定对象旳指定权 限
例题
系统安全保护措施是否有效是数据库系统旳主 要技术指标。
1 计算机系统旳安全性
计算机系统安全性是指为计算机系统建立和采 用旳多种安全保护措施,以保护计算机系统旳硬件、 软件及数据,预防其因偶尔或恶意旳原因是系统遭到 破坏、数据遭到更改或泄漏等。
涉及三类: 技术安全 管理安全 政策法律
2 安全原则简介
4.4审计
审计功能是把顾客对数据库旳全部操作自动统 计下来放入审计统计(Audit Log)中。DBA能够利用跟 踪旳信息,重现造成数据库既有情况旳一系列事件, 找出非法存取数据旳人、事件和内容。
审计两种: 顾客级审计 系统级审计
AUDIT 语句用来设计审计功能,NOAUDIT语句 取消审计功能。
第四章 数据库旳安全性
4.1 计算机安全性概述 4.2 数据库安全性控制 4.3 视图机制 4.4 审计 4.5 数据加密 4.6 统计数据库安全性
《数据库基础》PPT课件
第四章 数据库设计基础
9
2007-8-21
4、数据库系统的内部结构体系
数据库系统的三级模式: (1)概念模式:数据库系统中全局数据逻辑结构 的描述,是全体用户(应用)公共数据视图。 (2)外模式:也称子模式或用户模式,它是用户 的数据视图,也就是用户所见到的数据模式,它 由概念模式推导而出。 (3)内模式:又称物理模式,它给出了数据库物 理存储结构与物理存取方法。内模式的物理性主 要体现在操作系统及文件级上,它还未深入到设 备级上(如磁盘及磁盘操作)。内模式对一般用 户是透明的,但它的设计直接影响数据库的性能。
表示。
实体集与属性间的联接关系:用无向线段表示。
实体集与联系间的联接关系:用无向线段表示。
学生
M
选月
性别
成绩
第四章 数据库设计基础
第四章 数据库设计基础
10
2007-8-21
4、数据库系统的内部结构体系
数据库系统的两级映射: (1)概念模式到内模式的映射; (2)外模式到概念模式的映射。
概念模式到内模式的映射保证数据的物理独立性,
外模式到概念模式的映射保证数据的逻辑独立性。
第四章 数据库设计基础
11
2007-8-21
4.2 数据模型
1、数据模型
数据模型的概念:是数据特征的抽象,它从抽象层次上描述 了系统的静态特征、动态行为和约束条件,为数据库系统 的信息表示与操作提供一个抽象的框架。数据模型所描述 的内容有三个部分,它们是数据结构、数据操作与数据约 束。
数据模型分为概念模型、逻辑数据模型和物理模型三类。
2、实体联系模型及E-R图 E-R模型的基本概念:
物理独立性:物理独立性即是数据的物理结构(包括存储结 构,存取方式等)的改变,如存储设备的更换、物理存储 的更换、存取方式改变等都不影响数据库的逻辑结构,从 而不致引起应用程序的变化。
管理系统中计算机应用第四章课件
管理系统中计算机应用第四章 数据库系统第一节 数据库系统概述第二节 数据库管理系统中的SQL语言第三节 SQL语言的查询功能第一节 数据库系统概述一、数据模型1.模型的概念(1)模型:对现实世界事物特征的模拟和抽象,就是这个事物的模型。
P115(2)作为模型应该满足:P116(简答)一是真实反映事物本身;二是容易被人理解;三是便于在计算机上实现。
(3)数据模型分为两类:P116①以人的观点模拟物质本身的模型称为概念模型(或信息模型);②以计算机系统的观点模拟物质本身的模型称为数据模型。
2.概念模型概念模型也称为信息模型。
概念模型按用户的观点对现实世界建模,它是缺乏计算机知识的基本用户最容易理解的,便于和数据库设计人员进行交流的语言。
P116(单选)(1)常用术语;(信息世界):P116①实体:客观存在,并且可以相互区别的事物称为实体;②属性:实体具有的每一个特性都称为一个属性;(与“值”区别)③码:在众多属性中能够唯一标识(确定)实体或属性或属性组的名称(说明);④域:属性的取值范围;⑤实体型:用实体名及描述它的各属性名,可以刻画出全部同质实体的共同特征和性质;⑥实体集:实体型下的全部实体;⑦联系:包括内部联系和外部联系。
一个实体集内部各实体间的相互联系称为内部联系;实体集间的联系称为外部联系。
(2)实体型之间的联系:P117(单选)①一对一(1:1);如一个学校只有一个校长;②一对多(1:n);如一个老师能教多门课程;③ 多对多(m:n);如顾客购物。
(3)实体内部各属性之间的联系:P118一个实体型内部也存在着一对一、一对多和多对多的联系。
(4)概念模型的表示方法:描述概念数据模型的主要工具是E-R(实体—联系)模型,或者叫做E-R图。
利用E-R图实现概念结构设计的方法就叫做E-R方法。
E-R图主要是由实体□、属性○和联系◇三个要素构成的。
3.数据模型:P118数据库模型支持的数据模型,分为逻辑数据模型和物理数据模型。
数据库技术培训教程(ppt 31页)
1.E-R图中每个实体,都相应转换为一个关系,并确定主关键 字;
2.对于E-R图中联系,联系方式不同,处理方法不同。
1:1联系:联系本身无属性,在任意方关系 中加入对方主键均可。
厂长(厂长号,厂号,姓名,年龄) 工厂(厂号,厂名,地点) 或:厂长(厂长号,姓名,年龄) 工厂(厂号,厂长号,厂名,地点)
据处理后将结果输出,最后数据和程序占据的内存空间被 一起释放。 只有程序文件的概念,数据的组织方式由程序自行设计和 安排。 问题:数据不保存、应用程序管理数据、数据不共享、数 据没有独立性。
应用程序 A 应用程序 B 应用程序 C
文件A 文件B 文件C
1.数据库发展史——发展阶段——文件系统阶段
2.数据——文件
文件:为了某一特定目的形成的同类记录的集合。 是数据库的基础:数据库太大,主存有限——某一特定时
间,只需要数据库的一小部分数据,为了某个特定应用目 的才会被程序存取。
1 数据库发展史
2 数据
3
数据库设计
数据库技术
3.数据库设计——设计步骤
需求分析 概念结构设计 逻辑结构设计 物理结构设计
• 数据完整性:实体完整性、参照完整性、 用户自定义完整性。
• 三范式:1971 codd 提出的。
3.数据库设计——物理结构设计
物理结构设计是为数据模型在设备上选定合适的存储结构 和存取方法,以获得数据库的最佳存取效率。
库文件的组织形式 存储介质的分配 存取路径的选择
文件管理阶段 50s中期到60s中期 当时条件:出现了磁盘、磁鼓等。操作系统提供了文件系
统管理数据,数据以文件方式存储,对数据操作就是对相 应文件操作。 优点:数据可以保存,以文件系统管理数据:数据不属于 某个特定程序,可以重复使用,即具有共享性:具有一定 的独立性,对程序的依赖减弱。 缺点:数据冗余大:独立性不好,编程不方便:不支持并发 访问。
2.对于E-R图中联系,联系方式不同,处理方法不同。
1:1联系:联系本身无属性,在任意方关系 中加入对方主键均可。
厂长(厂长号,厂号,姓名,年龄) 工厂(厂号,厂名,地点) 或:厂长(厂长号,姓名,年龄) 工厂(厂号,厂长号,厂名,地点)
据处理后将结果输出,最后数据和程序占据的内存空间被 一起释放。 只有程序文件的概念,数据的组织方式由程序自行设计和 安排。 问题:数据不保存、应用程序管理数据、数据不共享、数 据没有独立性。
应用程序 A 应用程序 B 应用程序 C
文件A 文件B 文件C
1.数据库发展史——发展阶段——文件系统阶段
2.数据——文件
文件:为了某一特定目的形成的同类记录的集合。 是数据库的基础:数据库太大,主存有限——某一特定时
间,只需要数据库的一小部分数据,为了某个特定应用目 的才会被程序存取。
1 数据库发展史
2 数据
3
数据库设计
数据库技术
3.数据库设计——设计步骤
需求分析 概念结构设计 逻辑结构设计 物理结构设计
• 数据完整性:实体完整性、参照完整性、 用户自定义完整性。
• 三范式:1971 codd 提出的。
3.数据库设计——物理结构设计
物理结构设计是为数据模型在设备上选定合适的存储结构 和存取方法,以获得数据库的最佳存取效率。
库文件的组织形式 存储介质的分配 存取路径的选择
文件管理阶段 50s中期到60s中期 当时条件:出现了磁盘、磁鼓等。操作系统提供了文件系
统管理数据,数据以文件方式存储,对数据操作就是对相 应文件操作。 优点:数据可以保存,以文件系统管理数据:数据不属于 某个特定程序,可以重复使用,即具有共享性:具有一定 的独立性,对程序的依赖减弱。 缺点:数据冗余大:独立性不好,编程不方便:不支持并发 访问。
完整性和安全性
班级
班号 名称 … …… … ……
删除主码值
班级
班号 名称 … …… C2 2班 … ……
更新主码值
班级
班号 名称 … …… C3 2班 … ……
学生
班号 学号 姓名 …… … Null S21 小王 Null S22 小李 …… …
外码值 设为空
学生
班号 学号 姓名 …… … C2 S21 小王 C2 S22 小李 …… …
03 小张 20
13 小张 20
… …… …
…… …
选修
选修
学号 课程号 成绩 连带更新 学号 课程号 成绩 … … … 外码值 … … …
03 A 60
13 A 60
03 B 75
13 B 75
………
………
颜启华 华南师范大学
非空约束
非空约束
规则:属性值不允许取空值 定义:在定义关系的语句中,声明某个属性不能取空值
学生
班号 学号 姓名 年龄 ? S1 小王 22 ? S2 小张 20 ? S3 小李 24 ? S4 小孙 23
颜启华 华南师范大学
复习:外部码
班级
班号 班名 C1 1班 C2 2班 C3 3班
学生
班号 学号 姓名 年龄 C1 S1 小王 22 C2 S2 小张 20 C2 S3 小李 24 Null S4 小孙 23
班级
班号 名称 … …… … ……
删除主码值
×
班级
班号 名称 … …… C2 2班 … ……
× 更新主码值
学生
班号 学号 姓名
…… … C2 S21 小王 C2 S22 小李 …… …
班级
班号 名称 … …… C3 2班 … ……
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
常用的用户身份鉴别方法有: 1.静态口令鉴别
当前常用的鉴别方法。静态口令一般由用户自己设定,鉴别时只 要按要求输入正确的口令,系统将允许用户使用数据库管理系统。 2.动态口令鉴别 目前较为安全的鉴别方式。这种方式的口令是动态变化的,每次 鉴别时均需使用动态产生的新口令登录数据库管理系统,即采用 一次一密的方法。
1.用户管理
• 修改用户:修改用户信息使用alter user语句,
其语句格式与create user 语句格式相同。
alter user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 命令格式:
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 用户管理包括创建用户、修改用户和删除用户 • 创建用户:在oracle中要创建一个新的用户,一般当
前用户是具有dba(数据库管理员)的权限才能使用。
1.用户管理
• 命令格式:
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
第四章 Oracle安全性控制
1.用户管理 2.模式 3.权限管理 4.角色管理
2. 模式
是指一系列逻辑数据结构或对象的集合。
• 模式与用户相对应,一个模式只能被一个数据库用户所拥有,并 且模式的名称与这个用户的名称相同
• 通常情况下,用户所创建数据库对象都保存在与自己同名的模式 中。
• 同一模式中数据库对象的名称必须唯一,而在不同模式中的数据
修改用户 [例2] 将用户u1的口令修改为过期状态。
alter user u1 password expire
1.用户管理
• 删除用户:一般以dba的身份去删除某个用户,如果用 其它用户去删除用户则需要具有 drop user的权限。 命令格式: drop user 用户名 [cascade]
• 如果指定cascade,将会删除这个用户所拥有的所有对 象。
4.2 数据库安全性控制
4.2.1 用户身份鉴别 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授权与回收 4.2.5 数据库角色 4.2.6 强制存取控制方法
第四章 Oracle安全性控制
1.用户管理 2.模式 3.权限管理 4.角色管理
1.用户管理
• 用户管理是Oracle实现安全性的一个重要方法,只有 通过用户验证,用户才能访问数据库。
4.2.1 用户身份鉴别
• 用户身份鉴别是数据库管理系统提供的最外层安全保护 措施。
• 基本方法
– 系统提供一定的方式让用户标识自己的名字或身份; – 系统内部记录着所有合法用户的标识; – 每次用户要求进入系统时,由系统核对用户提供的身份标识; – 通过鉴定后才提供使用数据库管理系统的权限。
4.2.1 用户身份鉴别
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 创建的新用户是没有任何权限的,甚至连登录数据库的权 限都没有,需要为其指定相应的权限。
[例1] 创建用户u1,并为其分配口令。 create user u1 identified by 123456 default tablespace users temporary tablespace temp quota unlimited on users
对数据库安全性产生威胁的因素主要有以下几个方面: 1.非授权用对数据库的恶意存取和破坏
一些黑客和犯罪分子在用户存取数据库时猎取用户名和用户口令, 然后假冒合法用户偷取、修改甚至破坏用户数据。 2.数据库中重要或敏感的数据被泄露 黑客和敌对分子千方百计盗窃数据库中的重要数据,一些机密信 息被泄露。 3.安全环境的脆弱性 数据库的安全性与计算机系统的安全性,包括计算机硬件、操作 系统、网络系统等的安全性是紧密联系的。
• 命令格式:
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
4.2 数据库安全性控制
在一般计算机系统中,安全措施是一级一级层层设置的
用户
DBMS
OS
DB
Байду номын сангаас
用户标识 和鉴定
数据库 安全保护
操作系统 安全保护
计算机系统的安全模型
密码存储
4.2 数据库安全性控制
4.2.1 用户身份鉴别 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授权与回收 4.2.5 数据库角色 4.2.6 强制存取控制方法
• 默认情况下,用户引用的对象是与自己同名模式中的对象,如果 要引用其他模式中的对象,需要在该对象名之前指明对象所属模 式。
2. 模式
• 如果用户以NORMAL身份登录,则进入同名模式。 • 若以SYSDBA身份登录,则进入SYS模式。 • 如果以SYSOPER身份登录,则进入PUBLIC模式。
• 存取控制机制包括两部分 – 定义用户权限,并将用户权限登记到数据字典中 – 合法权限检查
• 用户权限定义和合法权检查机制一起组成了DBMS的安 全子系统
4.2.2 存取控制
• 定义用户权限,并将用户权限登记到数据字典中 – 用户对某一数据对象的操作权力称为权限。DBMS系统提供适当的 语言来定义用户权限,这些定义经过编译后存放在数据字典中, 被称做安全规则或授权规则。
– 同一用户对于不同的数据对象有不同的存取权限 – 不同的用户对同一对象也有不同的权限 – 用户还可将其拥有的存取权限转授给其他用户 • 在强制存取控制中(Mandatory Access Control,简称 MAC) – 每一个数据对象被标以一定的密级 – 每一个用户也被授予某一个级别的许可证 – 对于任意一个对象,只有具有合法许可证的用户才可以存取
第4章 数据库安全性
主讲教师:杨丽丽 E-mail:yll@ Tel: 17709213676,87091337(O)
第四章 数据库安全性
4.1 数据库安全性概述 4.2 数据库安全性控制 4.3 视图机制 4.4 审计 4.5 数据加密 4.6 其他安全性保护 4.7 小结
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 命令格式:
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
4.2.1 用户身份鉴别
常用的用户身份鉴别方法有: 3.生物特征鉴别
是一种通过生物特征进行认证的技术,其中,生物特征是指生物 体唯一具有的,可测量、识别和验证的稳定生物特征,如指纹、 虹膜和掌纹等。 4.智能卡鉴别 智能卡是一种不可复制的硬件,内置集成电路的芯片,具有硬件 加密功能。智能卡由用户随身携带,登录数据库管理系统时用户 将智能卡插入专用的读卡器进行身份验证。
• 合法权限检查 – 每当用户发出存取数据库的操作请求后,DBMS查找数据字典,根 据安全规则进行合法权限检查,若用户的操作请求超出了定义的 权限,系统将拒绝执行此操作。
4.2.2 存取控制
常用存取控制方法 • 在自主存取控制中(Discretionary Access Control ,简称DAC)
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
当前常用的鉴别方法。静态口令一般由用户自己设定,鉴别时只 要按要求输入正确的口令,系统将允许用户使用数据库管理系统。 2.动态口令鉴别 目前较为安全的鉴别方式。这种方式的口令是动态变化的,每次 鉴别时均需使用动态产生的新口令登录数据库管理系统,即采用 一次一密的方法。
1.用户管理
• 修改用户:修改用户信息使用alter user语句,
其语句格式与create user 语句格式相同。
alter user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 命令格式:
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 用户管理包括创建用户、修改用户和删除用户 • 创建用户:在oracle中要创建一个新的用户,一般当
前用户是具有dba(数据库管理员)的权限才能使用。
1.用户管理
• 命令格式:
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
第四章 Oracle安全性控制
1.用户管理 2.模式 3.权限管理 4.角色管理
2. 模式
是指一系列逻辑数据结构或对象的集合。
• 模式与用户相对应,一个模式只能被一个数据库用户所拥有,并 且模式的名称与这个用户的名称相同
• 通常情况下,用户所创建数据库对象都保存在与自己同名的模式 中。
• 同一模式中数据库对象的名称必须唯一,而在不同模式中的数据
修改用户 [例2] 将用户u1的口令修改为过期状态。
alter user u1 password expire
1.用户管理
• 删除用户:一般以dba的身份去删除某个用户,如果用 其它用户去删除用户则需要具有 drop user的权限。 命令格式: drop user 用户名 [cascade]
• 如果指定cascade,将会删除这个用户所拥有的所有对 象。
4.2 数据库安全性控制
4.2.1 用户身份鉴别 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授权与回收 4.2.5 数据库角色 4.2.6 强制存取控制方法
第四章 Oracle安全性控制
1.用户管理 2.模式 3.权限管理 4.角色管理
1.用户管理
• 用户管理是Oracle实现安全性的一个重要方法,只有 通过用户验证,用户才能访问数据库。
4.2.1 用户身份鉴别
• 用户身份鉴别是数据库管理系统提供的最外层安全保护 措施。
• 基本方法
– 系统提供一定的方式让用户标识自己的名字或身份; – 系统内部记录着所有合法用户的标识; – 每次用户要求进入系统时,由系统核对用户提供的身份标识; – 通过鉴定后才提供使用数据库管理系统的权限。
4.2.1 用户身份鉴别
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 创建的新用户是没有任何权限的,甚至连登录数据库的权 限都没有,需要为其指定相应的权限。
[例1] 创建用户u1,并为其分配口令。 create user u1 identified by 123456 default tablespace users temporary tablespace temp quota unlimited on users
对数据库安全性产生威胁的因素主要有以下几个方面: 1.非授权用对数据库的恶意存取和破坏
一些黑客和犯罪分子在用户存取数据库时猎取用户名和用户口令, 然后假冒合法用户偷取、修改甚至破坏用户数据。 2.数据库中重要或敏感的数据被泄露 黑客和敌对分子千方百计盗窃数据库中的重要数据,一些机密信 息被泄露。 3.安全环境的脆弱性 数据库的安全性与计算机系统的安全性,包括计算机硬件、操作 系统、网络系统等的安全性是紧密联系的。
• 命令格式:
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
4.2 数据库安全性控制
在一般计算机系统中,安全措施是一级一级层层设置的
用户
DBMS
OS
DB
Байду номын сангаас
用户标识 和鉴定
数据库 安全保护
操作系统 安全保护
计算机系统的安全模型
密码存储
4.2 数据库安全性控制
4.2.1 用户身份鉴别 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授权与回收 4.2.5 数据库角色 4.2.6 强制存取控制方法
• 默认情况下,用户引用的对象是与自己同名模式中的对象,如果 要引用其他模式中的对象,需要在该对象名之前指明对象所属模 式。
2. 模式
• 如果用户以NORMAL身份登录,则进入同名模式。 • 若以SYSDBA身份登录,则进入SYS模式。 • 如果以SYSOPER身份登录,则进入PUBLIC模式。
• 存取控制机制包括两部分 – 定义用户权限,并将用户权限登记到数据字典中 – 合法权限检查
• 用户权限定义和合法权检查机制一起组成了DBMS的安 全子系统
4.2.2 存取控制
• 定义用户权限,并将用户权限登记到数据字典中 – 用户对某一数据对象的操作权力称为权限。DBMS系统提供适当的 语言来定义用户权限,这些定义经过编译后存放在数据字典中, 被称做安全规则或授权规则。
– 同一用户对于不同的数据对象有不同的存取权限 – 不同的用户对同一对象也有不同的权限 – 用户还可将其拥有的存取权限转授给其他用户 • 在强制存取控制中(Mandatory Access Control,简称 MAC) – 每一个数据对象被标以一定的密级 – 每一个用户也被授予某一个级别的许可证 – 对于任意一个对象,只有具有合法许可证的用户才可以存取
第4章 数据库安全性
主讲教师:杨丽丽 E-mail:yll@ Tel: 17709213676,87091337(O)
第四章 数据库安全性
4.1 数据库安全性概述 4.2 数据库安全性控制 4.3 视图机制 4.4 审计 4.5 数据加密 4.6 其他安全性保护 4.7 小结
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 命令格式:
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
4.2.1 用户身份鉴别
常用的用户身份鉴别方法有: 3.生物特征鉴别
是一种通过生物特征进行认证的技术,其中,生物特征是指生物 体唯一具有的,可测量、识别和验证的稳定生物特征,如指纹、 虹膜和掌纹等。 4.智能卡鉴别 智能卡是一种不可复制的硬件,内置集成电路的芯片,具有硬件 加密功能。智能卡由用户随身携带,登录数据库管理系统时用户 将智能卡插入专用的读卡器进行身份验证。
• 合法权限检查 – 每当用户发出存取数据库的操作请求后,DBMS查找数据字典,根 据安全规则进行合法权限检查,若用户的操作请求超出了定义的 权限,系统将拒绝执行此操作。
4.2.2 存取控制
常用存取控制方法 • 在自主存取控制中(Discretionary Access Control ,简称DAC)
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]