데이터베이스 시스템 소개 - 보안

I. 보안 개요

불안의 1.1

무단 액세스 및 데이터베이스의 악의적 인 파괴
데이터베이스 중요하거나 민감한 데이터가 유출되는
보안 환경의 취약점을

안전 기준 1.2 소개

1.2.1 TCSEC / TDI 표준

제공하면서, 보안 성 보호 요구의 높은 레벨로 제공되는 보안 모든 하위 레벨을 포함하는 보안의 수준 사이의 부분 순서 관계를 가지고 역 호환 더 이상 보호

1.2.2 CC 표준

1.3 보안 제어

컴퓨터 시스템은 보안 계층이 배치되는

데이터베이스 관리 시스템 보안 제어 모델

사용자 식별 및 인증, 액세스 제어,보기, 감사, 데이터 암호화 : 이루어지는 공통 데이터베이스 보안 시스템 제어 방법

둘째, 액세스 제어

구성

• 사용자 권한 및 사전 데이터에 등록 된 사용자 권한을 정의

1. 권위라는 사용자 권한은 데이터 객체를 조작 할 수
2. DBMS는 데이터 사전에 저장된 사용자 권한을 정의 할 수있는 적절한 언어라는 안전 규칙 또는 권한 부여 규칙을 제공

• 합법적 인 권한을 확인

1. 사용자 조작에 의해 발행 된 데이터베이스 액세스 요청
2. DBMS 데이터 사전 조회, 정당한 권한 체크

2.1 접근 제어를 정의

부여의 SQL 문을 통해 달성하고 문을 취소
사용자 권한이

• 데이터 개체
• 액션 유형

사용자 액세스 권한을 정의 : 사용자가 어떤 데이터베이스 개체에 대한 작업의 유형을 정의 할 수 있습니다
언급 액세스 권한을 정의하는
관계형 데이터베이스 시스템에 액세스

권한을 부여하고 2.1.1 재활용

1, 수여 부여

grant <权限列表> on <对象名> to <用户/角色列表>
/*
权限列表可以是 all privileges，或者如下
    select：查询
    delete：删除元组
    insert [(<属性列>,...,<属性列>)]：插入
    update [(<属性列>,...,<属性列>)]：修改
    references [(<属性列>,...,<属性列>)]：赋予用户创建关系时定义外码的能力
*/

2 복구 REVOKE

grant <权限列表> on <对象名> to <用户/角色列表>
{cascade | retrict}

2.1.2 데이터베이스 스키마 권한 만들기

--数据库管理员在创建用户时实现
create user <username>
[with][dba | resource | connect];

사용자 문 형식 설명을 만들

1. 만 시스템의 수퍼 사용자는 새로운 데이터베이스 사용자를 만들 수있는 권리가 있습니다
2. 자원 및 DBA ​​연결 : 새로 생성 된 데이터베이스 사용자는이 세 가지 권리입니다
3. 부재는 사용자가 연결할 수있는 권한이 기본적으로 새로운 사용자 권한을 만들

2.1.3 데이터베이스 역할

정의 : 그룹 이름은 데이터베이스 권한의 운영과 관련된

• 역할은 권한의 모음입니다
• 동일한 권한이있는 사용자 그룹에 대한 역할을 만들 수 있습니다
• 인증 과정을 단순화

--创建角色
create role <角色名>

--角色授权
grant <权限列表> on <对象名> to <角色名>

--使用角色授权
grant <角色列表> to <用户/角色列表>

--收回授予角色的权限
revoke <权限列表> on <对象名> from <角色名>

--收回角色
revoke <角色列表> from <用户/角色列表> {cascade | restrict}

--通过角色来实现将一组权限授予一个用户。步骤如下：
--首先创建一个角色 R1
    create role R1;

--然后使用grant语句，使角色R1拥有Student表的  select、update、insert权限
    grant select,update,insert
    on table Student
    to R1;

--将这个角色授予王平，张明，赵玲。使他们具有角色R1所包含的全部权限
    grant R1
    to 王平,张明，赵玲;

--可以一次性通过R1来回收王平的这3个权限
    revoke R1
    from 王平;

2.2 필수 액세스 제어 방식

강제적 접근 통제에서, 데이터베이스 관리 시스템에 의해 관리되는 모든 엔티티는 주체와 객체의 두 가지 주요 범주로 나누어 져
몸은 모바일 신체 시스템입니다

• 실제 사용자가 관리하는 데이터베이스 관리 시스템
• 사용자 프로세스를 대신하여

목적은 조작 체에 의해, 시스템의 수동형 실체

• 문서, 기본 테이블, 인덱스, 뷰

태그 감도
주체와 객체에 대한 마커 감도 할당 그들에게 각 인스턴스 (값) DBMS
여러 단계로 감도 표시를

• 최고 비밀
• 기밀
• 비밀
• 공공의

바디 태그는 라이센스 감도 수준이라고
감도 조밀 한 개체가 마커라는
강제적 접근 통제 규칙을

1. 본체 라이센스 고밀도 물체의 레벨 이상일 때만, 피사체가 해당 객체를 판독 할
2. 라이센스 제목 수준이 같거나 조밀 한 개체 이하, 피사체가 해당 개체를 쓸 수있는 경우에만

첫째, 액세스 강제적 접근 통제를 달성하기 위해 자기 통제를 달성하기 위해

• 그 이유는 제공되는 보안의 보안 높은 수준의 모든 하위 수준의 보호를 포함하는

독립적 인 액세스 제어 및 필수 액세스 제어 보안 메커니즘은 함께 데이터베이스 관리 시스템을 구성

셋째, 다른 보안 조치

3.1도기구

다음 액세스 권한의 정의의 관점에서, 그것은 이러한 사용자의 사도에 대한 액세스 권한을 부여하지만,보기 정의의 관계에 직접 액세스를 허용하지 않습니다 먼저 뷰를 정의, 기밀 일부 사용자에 필요한 데이터의 일부를 차폐

3.2 감사 기법

감사 기술은이 가능한 불법 행위의 감지 데이터베이스 액세스 활동을 추적, 감시 조치입니다
전용 감사 로그가 자동으로 (삽입, 삭제, 수정) 데이터베이스를 업데이트하는 모든 사용자를 기록 수 있도록 감사를
감사 로깅 부분을

1. 작업 유형 (삽입, 결실, 변형)
2. 조작 단말 식별자와 오퍼레이터 식별자
3. 운영 날짜와 시간
4. 동작에 관련된 데이터 (관계 튜플 특성 등)
5. 전에 데이터의 이미지 후

3.3 데이터 암호화

어떤 암호화 알고리즘에 따라, 포맷 직접적으로 인식 할 수있는 (암호문)으로 원래의 데이터 (평문)의
형태에 의존하지 않아야 비밀 알고리즘을 암호화하지만, 즉 키 알고리즘 파라미터에 의존