1第九章

數據庫安全性

2

9.1安全性概述

9.2數據庫安全控制

9.3DB2數據庫的安全性措施

第九章數據庫安全性3

9.1安全性概述數據庫的安全性是指保護數據庫以防止不合法的使用所造成的數據泄露、更改或破壞。安全性問題不是數據庫系統所獨有的，所有計算機系統都有安全性問題。從廣義上講，數據庫系統的安全框架可以劃分為三個層次：⑴網絡系統層次；⑵宿主操作系統層次；⑶數據庫管理系統層次。4網絡系統層次面臨的威脅：a)欺騙（Masquerade）；b)重發(Replay)；c)報文修改(Modificationofmessage)；d)拒絕服務(Denyofservice)；e)陷阱門(Trapdoor)；f)特洛伊木馬(Trojanhorse)；g)攻擊：如透納攻擊（TunnelingAttack）、應用軟件攻擊等。相關安全防范技術

防火墻入侵檢測協作式入侵檢測

9.1安全性概述5宿主操作系統層次9.1安全性概述主要安全技術操作系統安全策略安全管理策略數據安全密碼策略賬戶鎖定策略審核策略IP安全策略用戶權利指派加密數據的恢復代理其它安全選項其核心是保證服務器的安全和分配好各類用戶的權限。數據加密技術數據備份數據存儲的安全性數據傳輸的安全性等

6數據庫管理系統層次安全性數據庫系統的安全性很大程度上依賴于數據庫管理系統。如果數據庫管理系統安全機制非常強大，則數據庫系統的安全性能就較好。

9.1安全性概述7計算機系統的安全模型計算機系統的安全模型用戶DBMS

OSDB

用戶標識

和鑒別存取控制操作系統

安全保護數據密碼

存儲9.2數據庫安全控制8二、安全性控制的一般方法用戶標識與鑒別用戶標識和鑒別是系統提供的最外層安全保護措施存取控制定義獲得上機權的用戶可在哪些數據對象上進行哪些類型的操作數據對象操作類型模式模式、外模式、內模式建立、修改、檢索數據表、屬性列查找、插入、修改、刪除關系系統中的存取權限9.2數據庫安全控制9視圖機制通過視圖機制把要保密的數據對無權存取的用戶隱藏起來，從而自動地對數據提供一定程度的安全保護。通常是視圖機制與授權機制配合使用。審計追蹤把用戶對數據庫的所有操作自動記錄下來放入審計日志（AuditLog）中。DBA可以利用審計跟蹤的信息，重現導致數據庫現有狀況的一系列事件，找出非法存取數據的人、時間和內容等。數據加密根據一定的算法將原始數據變換為不可直接識別的格式，從而使得不知道解密算法的人無法獲知數據內容。9.2數據庫安全控制10DB2安全性簡介DB2中的身份驗證DB2中的權限與特權DB2審計9.3DB2數據庫的安全性措施

11一、DB2安全性簡介可從三個級別來對DB2系統的安全性進行控制：第一個級別是控制對實例的存取所有對實例的存取都由DB2之外的安全設施來管理；第二個級別是控制對數據庫的存取；第三個級別是控制對數據庫內數據和相關對象的存取對數據庫及其內部數據對象的存取受到DB2數據庫管理器的控制，對數據庫及其內部數據對象的存取受到DB2數據庫管理器的控制。9.3DB2數據庫的安全性措施12二、DB2中的身份驗證(1of2)安全性管理的第一步就是核實用戶身份，該過程稱為驗證。DB2提供了ATTACH和CONNECT兩條命令來實現對實例和數據庫的連接。如果連接時沒有提供用戶名和口令，DB2會使用用戶在客戶端操作系統登錄時使用的用戶名和口令進行驗證；如果使用CONNECT或者ATTACH命令時提供了用戶名和口令，DB2會使用提供的用戶名和口令進行驗證。用戶還可以通過提供用戶名、現有口令、新口令和確認口令（為保證新口令輸入的正確性，通常需要重新輸入一次口令進行比較）來請求更改現有口令。9.3DB2數據庫的安全性措施13二、DB2中的身份驗證(2of2)驗證位置的確定驗證類型定義了如何進行驗證，以及在哪里進行驗證客戶端直接連接到DB2UDB服務器的情況下：服務器端的驗證類型客戶端的驗證類型SERVERSERVER_ENCRYPTCLIENTKERBEROSKRB_SERVER_ENCRYPTSERVERSERVER_ENCRYPTCLIENTKERBEROSDCE9.3DB2數據庫的安全性措施14三、DB2中的權限與特權(1of3)權限是一組高層次的用戶權力，通常授予那些需要對數據庫和實例進行管理和維護的用戶。DB2有五種權限SYSADM–系統管理權限SYSCTRL–系統控制權限SYSMAINT–系統維護權限LOAD–對表進行LOAD操作的權限DBADM–數據庫管理權限9.3DB2數據庫的安全性措施15三、DB2中的權限與特權(2of3)特權是針對某個數據庫對象（如表、視圖等）的用戶權力，通常授予那些只需要對數據庫對象進行存取的用戶。三種類型的特權擁有者特權：對于大多數數據庫對象，創建對象的用戶通常對于該對象具有全面的控制。個體特權：個體特權允許用戶對數據庫對象執行特定操作，有時針對特定對象。隱式特權：隱式特權是當用戶被顯式賦予某些高層次特權時，自動賦予用戶的特權。9.3DB2數據庫的安全性措施16三、DB2中的權限與特權(3of3)DB2數據庫特權9.3DB2數據庫的安全性措施17四、DB2審計在DB2中，審計設施與特定實例有關。只有具有SYSADM權限的用戶可以使用審計設施使用審計設施，對DB2系統上執行的每一個操作，比如都會有一個或多個審計記錄生成。審計記錄可以分成以下幾類：AUDIT

■CHECKINGOBJMAINT

■SECMAINTSYSADMIN

■VALIDATECONTEXT9.3DB2數據庫的安全性措施9、青少年是一個美好而又是一去不可再得的時期，是將來一切光明和幸福的開端。。3月-253月-25Tuesday,March18,202510、人的志向通常和他們的能力成正比例。13:21:4313:21:4313:213/18/20251:21:43PM11、夫學須志也，才須學也，非學無以廣才，非志無以成學。3月-2513:21:4313:21Mar-2518-Mar-2512、越是無能的人，越喜歡挑剔別人的錯兒。13:21:4313:21:4313:21Tuesday,March18,202513、志不立，天下無可成之事。3月-253月-2513:21:4313:21:43March18,202514、古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。18三月20251:21:43下午13:21:433月-2515、會當凌絕頂，一覽眾山小。三月251:21下午3月-2513:21March18,