第九章——数据库安全性

9.1，安全性概论

三类安全性问题

技术安全类、管理安全类、政策法律类。

可信计算机系统评测标准

四个指标：安全策略、责任、保证和文档。

安全等级的四组七级：D；C（C1，C2）；B（B1，B2，B3）；A（A1）

9.2，数据库安全性控制

分四级渐进加强控制：用户标识与鉴别、DBMS（存取控制、视图、审计、加密）、OS、DB。

用户标识与鉴别

说的高端的一批，其实就是用户名和密码（手动呵呵

DBMS存取控制

通过定义权限和权限检查来进行控制。分为两类，自主存取控制和强制存取控制。

自主存取控制方法

这种就是sql中常用的授权控制，通过给用户定义不同权限来实现不同层次的操作空间，很灵活但是存在安全隐患。

强制存取控制

通过对数据设置敏感度标记（绝密、机密、可信、公开）。主体的敏感度标记称为许可证级别，客体的敏感度标记称为密级。

规则是：主体许可证级别大于等于客体密级时方可读；主体许可证级别等于客体密级时方可写。

这种方式很严格。

视图

视图也是一种安全性控制手段呢。

审计

审计日志，找出搞坏的人和对象。

加密

你懂的。

9.3，统计数据库安全性

在统计数据库中，只能查聚集数据而不能查单个数据。但是有时候会有点小意外，比如说先查“本公司有多少女程序员”，返回1，证明本公司只有一个女程序员，然后再查“本公司女程序员的工资总额”，那此时就知道那个女程序员的工资了。至于证明解决，管他呢，应该不会考233333。