限,并将用户权限登记到数据字典中、合法权限检查。用户权限定义与合法权检查机制一起组成了DBMS的安全子系统。
137、自主存取控制(Discretionary Access Control ,简称DAC)C2级,用户对于不同的数据库对象有不同的存取权限;不同的用户对同一对象也有不同的权限;用户可将其拥有的存取权限转授给其他用户;探制非常灵活
138、强制存取控制(Mandatory Access Control,简称 MAC)B1级,每一个数据库对象被标以一定的密级,每一个用户也被授予某一个级别的许可证;对于任意一个对象,只有具有合法许可证的用户才可以存取;相对比较严格。
139、用户权限是由两个要素组成:数据库对象、操作类型 GRANT <权限>[, 权限]?
ON <对象类型> <对象名>[, <对象类型> <对象名>] ? TO <用户>[, <用户>]? [WITH GRANT OPTION];
WITH GRANT OPTION决定是否有传播权限的权利; 把对Student表和Course表的全部权限授予用户U2和U3
GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3 把对表SC的查询权限授予所有用户
GRANT SELECT ON TABLE SC TO PUBLIC
把查询Student表和修改学生学号的权限授给用户U4
GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4
把对表SC的INSERT权限授予U5用户,并允许他再将此权限授予其他用户 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION DBA把在数据库S_C中建立表的权限授予用户U8
GRANT CREATE TAB ON DATABASE S_C TO U8 140、收回权限:
REVOKE <权限>[,<权限>]... [ON <对象类型> <对象名>]
FROM <用户>[,<用户>]...[CASCADE/RESTRICT] 收回所有用户对表SC的查询权限
REVOKE SELECT ON TABLE SC FROM PUBLIC 把用户U5对SC表的INSERT权限收回
REVOKE INSERT ON TABLE SC FROM U5 CASCADE 141、创建数据库模式的权限 CREATE USER
[WITH] [DBA| RESOURCE|CONNECT]
CONNECT:只能登录数据库,默认值。拥有该权限的用户不能创建新用户、模式、基本表,只能登录数据库。
RESOURCE:能创建基本表和视图。创建基本表和视图,成为所创建对象的属主,不能创建模式和新用户。 DBA:超级用户。
142、角色的创建:CREATE ROLE <角色名>
角色授权:GRANT <权限>[,<权限>...] ON <对象类型> 对象名 TO <角色>[,<角色>...]
角色授权:GRANT <角色1>[,<角色2>...] TO <角色3>[,<用户1>...] [WITH ADMIN OPTION] 角色权限收回:REVOKE <权限>[,<权限>...] ON <对象类型> 对象名 FROM<角色>[,<角色>...] CREATE ROLE R1
GRANT SELECT,UPDATE,INSERT ON TABLE STUDENT TO R1
11
GRANT R1 TO 王平,张明,赵小 REVOKE R1 FROM王平
修改权限:GRANT DELETE ON TABLE STUDENT TO R1 REVOKE SELECT ON TABLE STUDENT FROM R1
143、强制存取控制(MAC)不是用户能直接感知或进行控制的。在MAC中,DBMS所管理的全部实体被分为主体和客体两大类。主体是系统中的活动实体,代表用户的各进程;客体是系统中的被动实体,是受主体操纵的,包括文件、基表、索引、视图等。敏感度标记对于主体和客体,DBMS为它们每个实例(值)指派一个敏感度标记(Label)。敏感度标记分成若干级别绝密(Top Secret)、机密(Secret)、可信(Confidential)、公开(Public)。 144、强制存取控制规则:(1)仅当主体的许可证级别大于或等于客体的密级时,该主体才能读取相应的客体;(2)仅当主体的许可证级别等于客体的密级时,该主体才能写相应的客体。规则的共同点在于它禁止了拥有高许可证级别的主体更新低密级的数据对象。 145、DAC与MAC共同构成DBMS的安全机制。
146、视图机制把要保密的数据对无权存取这些数据的用户隐藏起来,从而自动地对数据提供一定程度的安全保护。
147、审计一般可以分为用户级审计和系统级审计。
148、数据加密是防止数据库中数据在存储和传输中失密的有效手段。加密方法主要有两种:1)替换方法,使用密钥(Encryption Key)将明文中的每一个字符转换为密文中的一个字符;2)置换方法,将明文的字符按不同的顺序重新排列
149、统计数据库允许用户查询聚集类型的信息,但是不允许查询单个记录信息。
12