第九章——数据库安全性

9.1,安全性概论

三类安全性问题

技术安全类、管理安全类、政策法律类。

可信计算机系统评测标准

四个指标:安全策略、责任、保证和文档。

安全等级的四组七级:D;C(C1,C2);B(B1,B2,B3);A(A1)

9.2,数据库安全性控制

分四级渐进加强控制:用户标识与鉴别、DBMS(存取控制、视图、审计、加密)、OS、DB。

用户标识与鉴别

说的高端的一批,其实就是用户名和密码(手动呵呵

DBMS存取控制

通过定义权限和权限检查来进行控制。分为两类,自主存取控制和强制存取控制。

自主存取控制方法

这种就是sql中常用的授权控制,通过给用户定义不同权限来实现不同层次的操作空间,很灵活但是存在安全隐患。

强制存取控制

通过对数据设置敏感度标记(绝密、机密、可信、公开)。主体的敏感度标记称为许可证级别,客体的敏感度标记称为密级。

规则是:主体许可证级别大于等于客体密级时方可读;主体许可证级别等于客体密级时方可写。

这种方式很严格。

视图

视图也是一种安全性控制手段呢。

审计

审计日志,找出搞坏的人和对象。

加密

你懂的。

9.3,统计数据库安全性

在统计数据库中,只能查聚集数据而不能查单个数据。但是有时候会有点小意外,比如说先查“本公司有多少女程序员”,返回1,证明本公司只有一个女程序员,然后再查“本公司女程序员的工资总额”,那此时就知道那个女程序员的工资了。至于证明解决,管他呢,应该不会考233333。

你可能感兴趣的:(第九章——数据库安全性)