数据库安全机制
数据库安全管理制度机制
一、引言随着信息技术的飞速发展,数据库已经成为企事业单位、政府机关等组织存储和管理数据的重要工具。
然而,数据库的安全问题日益凸显,黑客攻击、内部泄露、误操作等因素都可能对数据库造成严重损害。
为了确保数据库的安全,维护组织的数据资产,特制定以下数据库安全管理制度机制。
二、组织架构与职责1. 成立数据库安全管理小组,负责制定、实施和监督数据库安全管理制度。
2. 各部门负责人为数据库安全管理第一责任人,负责本部门数据库的安全管理工作。
3. 数据库管理员(DBA)负责数据库的日常维护、安全配置、权限管理等工作。
4. 系统管理员负责数据库服务器的安全管理,包括硬件、软件、网络等方面的安全。
三、安全策略与措施1. 访问控制(1)实行严格的用户认证机制,确保只有授权用户才能访问数据库。
(2)根据用户角色和权限,合理分配数据库访问权限,实现最小权限原则。
(3)定期审核用户权限,及时调整和撤销不必要的权限。
2. 数据加密(1)对敏感数据进行加密存储,防止数据泄露。
(2)采用强加密算法,确保数据加密强度。
3. 安全审计(1)对数据库操作进行审计,记录用户登录、查询、修改、删除等操作。
(2)定期分析审计日志,及时发现异常行为,采取措施防范风险。
4. 安全漏洞管理(1)定期对数据库系统进行安全漏洞扫描,及时修复已知漏洞。
(2)关注数据库安全动态,及时更新安全补丁。
5. 数据备份与恢复(1)制定数据备份策略,确保数据库数据的完整性。
(2)定期进行数据备份,并存放在安全的地方。
(3)建立数据恢复机制,确保在数据丢失或损坏时能够及时恢复。
6. 应急预案(1)制定数据库安全事件应急预案,明确事件处理流程。
(2)定期组织应急演练,提高应对数据库安全事件的能力。
四、培训与宣传1. 定期对数据库管理员、系统管理员等进行安全培训,提高安全意识。
2. 通过内部刊物、网络平台等方式,宣传数据库安全知识,提高全员安全意识。
五、监督与考核1. 定期对数据库安全管理制度执行情况进行检查,确保各项措施落实到位。
计算机网络数据库安全机制问题论文
浅谈计算机网络数据库的安全机制问题摘要:随着因特网和数据库技术的成熟和发展,网络数据库安全性问题是一直是围绕着数据库管理的重要问题,数据库数据的丢失以及数据库被非法用户的侵入使得网络数据库安全性的研究尤为重要。
网络数据库的安全性问题已成为大型网络信息系统建设的一个十分重要的问题。
本文论述了网络环境下数据库所面临的安全威胁,分析了提高网络数据库安全性的解决办法。
关键词:网络数据库;数据库安全;安全机制中图分类号:tp393.08 文献标识码:a 文章编号:1007-9599 (2011) 22-0000-01computer network database security mechanisms studyfang peng(qianjiang college hangzhou normal university,hangzhou 310012,china)abstract:with the internet and the maturity and development of database technology,network database security is database management has been around important issues,loss of database data and database intrusion of illegal users make the network database security is particularlywork security of the database has become a large-scale network information system of a very important issue.this paper discusses the network environment securitythreats faced by the database,the database analysis to improve network security solutions.keywords:network database;database security;security 随着internet的发展普及,越来越多的企业参与电子空间,将其核心业务向互联网转移,地理上分散的部门、公司、厂商对于数据库的应用需求过旺,数据库管理系统的运行环境也从单机扩展到网络,对数据的收集、存储、处理和传播从由集中式走向分布式,从封闭式走向开放式。
数据库第四章——数据库安全性
输入密码
SQL Server 2005密码复杂性策略: 1. 不得包含全部或部分(>=3)用户帐号名; 2. 长度至少6个字符; 3. 密码包含4类字符:英文大写字母、小写 字母、10个基本数字,非字母字符(!@等)
19
An Introduction to Database System
5
An Introduction to Database System
数据的安全性是指保护数据以防止因不合法的使用而 数据的安全性是指保护数据以防止因不合法的使用而 造成数据的泄露、更改和破坏。 造成数据的泄露、更改和破坏。这就要采取一定的安 全措施。 全措施。 数据库的安全性和计算机系统的安全性,包括计算机 数据库的安全性和计算机系统的安全性, 硬件、操作系统、网络系统等的安全性,是紧密联系、 硬件、操作系统、网络系统等的安全性,是紧密联系、 相互支持的。 相互支持的。
输入用户名 kk
输入密码
SQL Server 2000密码复杂性策略: 2000密码复杂性策略 密码复杂性策略: 1. 不得包含全部或部分(>=3)用户帐号名; 不得包含全部或部分(>=3)用户帐号名; 2. 长度至少6个字符; 长度至少6个字符; 3. 密码包含4类字符:英文大写字母、小写 密码包含4类字符:英文大写字母、 字母、10个基本数字 非字母字符(! 个基本数字, (!@ 字母、10个基本数字,非字母字符(!@等)
14
An Introduction to Database System
删除Windows NT认证模式登录账号
步骤如下: 步骤如下: 以系统管理员身份进入企业管理器,并展开目录树; (1) 以系统管理员身份进入企业管理器,并展开目录树; 在目录树的“登录名” 节点下, (2) 在目录树的“登录名” 节点下,选中待删除的名称 wfy\wfytest” “wfy\wfytest”
浅谈SQLServer数据库的安全机制问题
浅谈SQLServer数据库的安全机制问题随着互联网技术的不断发展,数据库作为现代化企业体系中的重要组成部分之一,开始被更多的企业和个人所使用。
然而在使用过程中,数据库安全问题也愈发突出。
而且在普遍使用的MYSQL、ORACLE、SQLSERVER等主流数据库中,由于同类产品的诸多技术差异,因此每一种数据库的安全机制也都各有不同。
其中,作为微软公司为Windows操作系统所开发的一种关系型数据库管理系统,SQLSERVER已成为了大多数企业所选择的数据库之一。
SQLSERVER以其高可靠性、易于安装、强大的性能以及更加高效便捷地管理大量数据等优点成为了各大企事业单位和个人所选择的数据库。
然而,在数据安全性方面的问题也同时面临着诸多挑战。
为了保证SQLSERVER的数据库安全,本文阐述其中的相关机制和方法。
一、SQLSERVER常用的安全措施在了解SQLSERVER的安全问题之前,先来介绍一下SQLSERVER常用的安全措施。
1. 访问控制措施访问控制措施是指SQLSERVER对用户进行授权并对客户端软件和网络客户端进行授权以限制访问某些对象的方法。
SQLSERVER提供两种类型的安全登陆:Windows集成登陆和SQLSERVER登陆。
Windows集成安全登陆可以依据当前正在使用Windows的用户的系统安全性去访问SQLSERVER,SQLSERVER登陆则需要使用SQLSERVER登陆账户名和密码登陆SQLSERVER。
2. 数据和应用程序的加密机制SQLSERVER提供两种加密机制:传输加密和数据加密。
传输加密是指通过使用安全套接字层(SSL)等方式来确保数据在通过网络从SQLSERVER服务器传输到客户端电脑过程中的安全性。
数据加密是指将某些比较敏感的数据加密存储在SQLSERVER数据库中的机制。
SQLSERVER提供多种数据加密方案,包括列级加密、行级加密、TDE加密等。
3. 安全日志和审计机制SQLSERVER通过日志来记录数据库的所有变更,包括登陆信息、对象创建和删除、安全设置等。
计算机数据库安全机制研究
一
、
三大系统使用者。对一般用户而言,数据库安全主要是保证用户
信 息不被 泄露 和破 坏 ;对系 统 管理者 而 言 ,数 据 库安全 指 的是 防 止系 统 中数据 的 丢失 ,并且 在 系统 故障 后能够 快速 的恢复 系统 中 的数据;对于非法用户而言,数据库安全指的是防止系统中的数 据被 非法 窃取 和修 改 。 为 了保证 数据 库 中数据 的安全 性 、可用 性和 保密 性 ,需要 对 数 据库 进行 安全 保护 数 据库 安全 保护 主要 包 括如 下几个 方面 的
要 :本文主要针对计算机数据库 中数据的安全防护机制进行研究,并以S e e 数据库管理系统为例 ,对具体的数据库管 QL r r Sv
理 系统安 全机 制进 行研 究。 关键 词 :数 据库 ;安 全机 制 ;S LSre Q e r v
中图分类号 :T 3 3 P 9
文献标识码 :A 文章壕号:10 - 5 9 21) 2 05- 2 0 7 9 9 (02 1 - 04 0
ቤተ መጻሕፍቲ ባይዱ
不同的用户组分配相应的数据库操作权限,从而限制用户只能够
对 数据 库进 行符 合 其身份 等级 的操 作 。 ( )服 务器 安全 控制 二 服务 器安 全控 制主 要是 指安 装 了数据 库 系统 服务器 的安全 控 制 ,例如 ,加 强对 系统 缺省 用户 的管理 ,或 者通 过伪 装 、存 取 控 制等 方式 避免 用户 直接 从服 务器 磁盘 上获 取数 据库 中 的数据 。 ( )代码 级安全 控制 三 避 免核 心代 码 的泄露 给数 据库 中数 据带 来 的安全 隐 患 ,同时 通过 日志来 分析 用户 的操 作 ,及 时对非 法操 作进 行拦 截 , 以及 后
如何确保MySQL数据库的数据安全性
如何确保MySQL数据库的数据安全性引言:在当今数字化时代,数据已经成为各个领域发展的核心。
而数据库作为数据存储和管理的关键基础设施,其数据的安全性具有重要的意义。
针对MySQL数据库,本文将从多个角度探讨如何确保其数据的安全性。
一、访问控制和权限管理为了保护MySQL数据库的数据安全,首要之务是建立严格的访问控制和权限管理系统。
合理的权限分配可以限制用户对数据库的操作,避免非授权人员的数据篡改、删除或泄漏。
以下是一些有效的访问控制和权限管理措施:1. 用户认证和强密码策略在MySQL中,用户认证是一种常见的防护机制。
管理员可以为每个用户设置用户名和密码,并且要求用户使用强密码,以增加密码被破解的难度。
此外,定期更改密码也是提高安全性的有效方式。
2. 权限的最小化原则根据最小权限原则,每个用户只能被授予其工作所需的最低权限。
通过为不同用户分配适当的权限,可以减少潜在的安全风险。
3. 授权的审计和监控对数据库的授权进行审计和监控是评估数据库安全性的重要方法之一。
管理员可以记录和监测用户的数据库活动,及时发现异常行为,并采取相应的措施。
二、加密技术的应用数据加密是数据安全的关键手段之一。
通过使用加密技术,可以对MySQL数据库中的数据进行加密,提高其机密性和完整性。
以下是几种常见的加密技术:1. 数据库连接的加密通过使用安全套接字层(SSL)或传输层安全(TLS)等加密协议,可以实现数据库连接的加密。
这样可以防止数据在传输过程中被拦截或窃取。
2. 数据库文件的加密可以使用数据库加密工具对数据库文件进行加密,保护数据在存储设备上的安全。
这种加密方式可以有效防止物理攻击或数据泄漏。
3. 数据字段的加密对敏感数据字段进行加密,如个人身份证号、密码等,可以减少数据泄漏的风险。
这样即使数据库被攻击者获取,也无法对加密数据进行直接的解读。
三、定期备份和容灾机制定期备份是确保MySQL数据库数据安全的基础。
数据损坏、误操作、病毒攻击或自然灾害等原因都可能导致数据丢失,因此建立有效的备份策略非常重要。
关于网络环境下数据库安全机制问题的若干思考
3 -— 4 - - —
计 算 机光 盘软 件 与应 用
2 1 第 1 期 02年 1
C m u e D S fw r n p l c t o s o p t r C o t a e a d A p ia in 工 程 技 术
4未授 权访 问数 据库 , 盗取数 据库 中数 据信 息 ; . 5未授 权修 改数据 库 中数据 ,使数 据真 实性 丢 失 ; . 6 过 非正 常路劲 对数 据库 进 行攻击 ; . 通 7 为 的破坏 ,管理 员操作 不 当使 数据 丢失 。 . 人 四 、 网络 数 据库 的安 全隐 患 本文 以 I + P A cs 网站程序 为例 来解 析 网络 数据 库 的 I AS + ces S 安全 隐 患 。 在这个 网站程序 中 Aces cs 数据 库 的安 全隐 患是 最主 要 的 ,再者 是 AS 网页设 计 中的安 全意 识 。这里 重 点讲 A cs 数 P ces
台程序 , 然后通过浏览器将数据储存、 查询等一系列操作的系统。
这 样 的语言 表达 比较 专业 ,我 们可 以简 单 点来 说 ,在 上 网的 时候 我们 一般 都是通 过 浏览 器来 获取 自己想要 的资 源信 息 ,但是 这些 信息 从何 处而 来 ,那就 是从 一个 很大 的数 据仓 库传 来 的,我 们所
( )数据 备份 与恢 复 五 软硬 件 的故 障我 们不 能 百分 百 的保证 , 因此 数据库 备 份是 很 有 必要 的 。 果数 据库 被 入侵 、被病 毒破 坏 、以及 发 生 自燃灾 害 、 如 盗 窃等情 况 数据 就会 丢 失造成 损 失 ,但是 如 果我们 做 好 了数据 备 份 并且 在短 时 间 内恢 复好 数据 库 ,那 么造 成 的影 响应 该会 很 小 。 因此定 期做 好数 据备 份 、对数 据 库进 行安 全 管理 是保 护数 据库 的 手段 之 一 。备份 数据库 的方法 有 :静态 、动态 、逻 辑备 份三 种 。 还可 以采 用磁 盘镜 像 、数 据备 份文 件 、数据 库 在线 日志来恢 复 数
数据库的安全机制
数据库的安全机制随着互联网的迅猛发展,数据库的重要性日益凸显。
数据库作为存储、管理和提供数据的重要系统,承载着大量的敏感信息。
为了保护这些数据免受恶意攻击和非法访问,数据库需要具备强大的安全机制。
本文将介绍数据库的安全机制,包括访问控制、加密技术、审计日志和备份与恢复。
一、访问控制访问控制是数据库安全的基础。
通过合理的访问控制策略,可以限制用户对数据库的访问权限,防止未经授权的用户获取敏感数据。
数据库管理系统通常提供了用户管理功能,管理员可以创建、修改和删除用户账号,并为每个用户分配相应的权限。
例如,可以将用户分为只读用户和读写用户,只读用户只能查询数据库中的数据,而读写用户可以修改和删除数据。
此外,还可以通过访问控制列表(ACL)和角色权限模型来进一步细化权限控制,确保只有授权用户才能访问特定的数据和操作。
二、加密技术加密技术是保护数据库中敏感数据安全的重要手段。
数据库管理系统可以提供各种加密算法,对敏感数据进行加密存储。
常见的加密技术包括对称加密和非对称加密。
对称加密使用同一个密钥进行加密和解密,速度较快,但密钥的管理较为复杂;非对称加密使用公钥进行加密,私钥进行解密,安全性更高,但速度较慢。
另外,还可以对数据库传输的数据进行加密,防止数据在传输过程中被窃取或篡改。
三、审计日志审计日志是数据库安全的重要组成部分。
通过记录用户的操作行为,可以及时发现并追踪异常操作,保护数据库免受恶意攻击。
审计日志可以记录用户的登录信息、查询、修改和删除操作等。
管理员可以定期审查审计日志,发现异常操作并采取相应的措施。
同时,审计日志还可以作为法律诉讼的重要证据,保护数据库的合法权益。
四、备份与恢复备份与恢复是数据库安全的重要保障。
数据库管理系统提供了备份和恢复功能,可以定期对数据库进行备份,并在发生故障或数据丢失时进行恢复。
备份可以通过全量备份和增量备份来实现,全量备份将数据库的所有数据备份下来,而增量备份只备份自上次备份以来发生变化的数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.1数据库安全机制数据库安全机制是用于实现数据库的各种安全策略的功能集合,正是由这些安全机制来实现安全模型,进而实现保护数据库系统安全的目标。
数据库系统的安全机制如图所示:1.1.1用户标识与鉴别用户标识是指用户向系统出示自己的身份证明,最简单的方法是输入用户ID和密码。
标识机制用于惟一标志进入系统的每个用户的身份,因此必须保证标识的惟一性。
鉴别是指系统检查验证用户的身份证明,用于检验用户身份的合法性。
标识和鉴别功能保证了只有合法的用户才能存取系统中的资源。
由于数据库用户的安全等级是不同的,因此分配给他们的权限也是不一样的,数据库系统必须建立严格的用户认证机制。
身份的标识和鉴别是DBMS对访问者授权的前提,并且通过审计机制使DBMS保留追究用户行为责任的能力。
功能完善的标识与鉴别机制也是访问控制机制有效实施的基础,特别是在一个开放的多用户系统的网络环境中,识别与鉴别用户是构筑DBMS安全防线的第1个重要环节。
近年来一些实体认证的新技术在数据库系统集成中得到应用。
目前,常用的方法有通行字认证、数字证书认证、智能卡认证和个人特征识别等。
通行字也称为“口令”或“密码”,它是一种根据已知事物验证身份的方法,也是一种最广泛研究和使用的身份验证法。
在数据库系统中往往对通行字采取一些控制措施,常见的有最小长度限制、次数限定、选择字符、有效期、双通行字和封锁用户系统等。
一般还需考虑通行字的分配和管理,以及在计算机中的安全存储。
通行字多以加密形式存储,攻击者要得到通行字,必须知道加密算法和密钥。
算法可能是公开的,但密钥应该是秘密的。
也有的系统存储通行字的单向Hash值,攻击者即使得到密文也难以推出通行字的明文。
数字证书是认证中心颁发并进行数字签名的数字凭证,它实现实体身份的鉴别与认证、信息完整性验证、机密性和不可否认性等安全服务。
数字证书可用来证明实体所宣称的身份与其持有的公钥的匹配关系,使得实体的身份与证书中的公钥相互绑定。
智能卡(有源卡、IC卡或Smart卡)作为个人所有物,可以用来验证个人身份,典型智能卡主要由微处理器、存储器、输入输出接口、安全逻辑及运算处理器等组成。
在智能卡中引入了认证的概念,认证是智能卡和应用终端之间通过相应的认证过程来相互确认合法性。
在卡和接口设备之间只有相互认证之后才能进行数据的读写操作,目的在于防止伪造应用终端及相应的智能卡。
根据被授权用户的个人特征来进行确证是一种可信度更高的验证方法,目前已得到应用的个人生理特征包括指纹、语音声纹(voice- print)、DNA、视网膜、虹膜、脸型和手型等。
1.1.2访问控制1.1.2.1 概述访问控制的目的是确保用户对数据库只能进行经过授权的有关操作。
在存取控制机制中,一般把被访问的资源称为“客体”,把以用户名义进行资源访问的进程、事务等实体称为“主体”。
传统的存取控制机制有两种,即DAC(Discretionary Access Control,自主存取控制)和MAC (Mandatory Access Control,强制存取控制)。
近年来,RBAC(Role-based Access Control,基于角色的存取控制)得到了广泛的关注。
1.1.2.2 数据访问级别和类型DBMS中的安全系统必须具有伸缩性以便为各种数据级别授权。
数据级别有以下几种:整个数据库、单个关系表(所有行和所有列)、关系表中特定列(所有行)、关系表中的特定行(所有列)以及关系表的特定行和特定列。
数据的所有访问模式和类型如下:●插入或建立。
在文件中添加数据,不销毁任何数据。
●读取。
用户可通过应用程序或数据库查询,将数据从数据库复制到用户环境。
●更新。
编写更新值。
●删除。
删除和销毁特定数据库对象。
●移动。
移动数据对象,但没有读取内容的权限。
●执行。
使用执行需要的权限,运行程序或过程。
●确认存在性。
确认数据库是否存在特定数据库对象。
1.1.2.3 任意控制(DAC)采用该方法以若干种指派模式授予各个用户访问特定数据项的权限或权力。
基于权限说明,用户能以读取、更新、插入或删除模式随意访问数据项。
建立数据库对象的用户自动得到此对象的所有访问权限,包括将此对象的权限再授予他人。
在授予或撤消访问权限时,有两种主要级别:数据库对象:数据项或数据元素,一般是基本表或视图用户:可以用一些授权标识符识别的单个用户或用户组授权通常都是在这两种级别上进行。
1. 授权DBMS 提供了功能强大的授权机制,它可以给用户授予各种不同对象(表、视图、存储过程等)的不同使用权限(如Select 、update 、insert 、delete 等)。
在用户级别,可以授予数据库模式和数据操纵方面的以下几种授权,包括:创建和删除索引、创建新关系、添加或删除关系中的属性、删除关系、查询数据、插入新数据、修改数据、删除数据等。
在数据库对象级别,可将上述访问权限应用于数据库、基本表、视图和列等。
2. 数据库角色如果要给成千上万个雇员分配许可,将面临很大的管理难题,每次有雇员到来或者离开时,就得有人分配或去除可能与数百张表或视图有关的权限。
这项任务很耗时间而且非常容易出错。
即使建立SQL 过程来帮忙,也几乎需要时时去维护。
一个相对特别简单有效的解决方案就是定义数据库角色。
数据库角色是被命名的一组与数据库操作相关的权限,角色是一组相关权限的集合。
因此,可以为一组具有相同权限的用户创建一个角色,使用角色来管理数据库权限可以简化授权的过程。
先创建一个角色,并且把需要的许可分配给角色,而不是分配给个人用户,然后再把角色分配给特定用户。
当有新的雇员到来时,把角色添加给用户就提供了所有必要的权限。
授权管理机制如图4-3所示。
1.1.2.4 强制控制(MAC )强制访问控制模型基于与每个数据项和每个用户关联的安全性标识(Security Label)。
安全性标识被分为若干级别:绝密 (Top Secret)、机密 (Secret)、秘密 (Confidential)、一般 (Public)。
数据的标识称为密级(Security Classification),用户的标识称为许可级别证(Security Clearance)。
在计算机系统中,每个运行的程序继承用户的许可证级别,也可以说,用户的许可证级别不仅仅应用于作为人的用户,而且应用于该用户运行的所有程序。
当某一用户以某一密级进入系统时,在确定该用户能否访问系统上的数据时应遵守如下规则:当且仅当用户许可证级别大于等于数据的密级时,该用户才能对该数据进行读操作。
DBA 角色用户 用户 用户 用户授权 授权当且仅当用户的许可证级别小于或等于数据的密级时,该用户才能对该数据进行写操作。
第二条规则表明用户可以为其写入的数据对象赋予高于自己许可证级别的密级,这样的数据被写入后用户自己就不能再读该数据对象了。
这两种规则的共同点在于它们禁止了拥有高级许可证级别的主体更新低密级的数据对象,从而防止了敏感数据的泄露。
1.1.2.5 基于角色的存取控制(RBAC)RBAC在主体和权限之间增加了一个中间桥梁——角色。
权限被授予角色,而管理员通过指定用户为特定角色来为用户授权。
从而大大简化了授权管理,具有强大的可操作性和可管理性。
角色可以根据组织中的不同工作创建,然后根据用户的责任和资格分配角色,用户可以轻松地进行角色转换。
而随着新应用和新系统的增加,角色可以分配更多的权限,也可以根据需要撤销相应的权限。
RBAC核心模型包含了5个基本的静态集合,即用户集(users)、角色集(roles)、特权集(perms)(包括对象集(objects)和操作集(operators)),以及一个运行过程中动态维护的集合,即会话集(sessions),如图1-1所示。
用户集包括系统中可以执行操作的用户,是主动的实体;对象集是系统中被动的实体,包含系统需要保护的信息;操作集是定义在对象上的一组操作,对象上的一组操作构成了一个特权;角色则是RBAC模型的核心,通过用户分配(UA)和特权分配(PA)使用户与特权关联起来。
RBAC属于策略中立型的存取控制模型,既可以实现自主存取控制策略,又可以实现强制存取控制策略。
它可以有效缓解传统安全管理处理瓶颈问题,被认为是一种普遍适用的访问控制模型,尤其适用于大型组织的有效的访问控制机制。
1.1.2.6 视图机制几乎所有的DBMS都提供视图机制。
视图不同于基本表,它们不存储实际数据,数据库表存储数据,视图好象数据库表的窗口,是虚拟表。
当用户通过视图访问数据时,是从基本表获得数据,但只是由视图中定义的列构成。
视图提供了一种灵活而简单的方法,以个人化方式授予访问权限,是强大的安全工具。
在授予用户对特定视图的访问权限时,该权限只用于在该视图中定义的数据项,而未用于完整基本表本身。
因此,在使用视图的时候不用担心用户会无意地删除数据或者给真实表中添加有害的数据,并且可以限制用户只能使用指定部分的数据,增加了数据的保密性和安全性。
1.1.3数据库加密1.1.3.1 概述由于数据库在操作系统中以文件形式管理,所以入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者篡改数据库文件内容。
另一方面,数据库管理员(DBA)可以任意访问所有数据,往往超出了其职责范围,同样造成安全隐患。
因此,数据库的保密问题不仅包括在传输过程中采用加密保护和控制非法访问,还包括对存储的敏感数据进行加密保护,使得即使数据不幸泄露或者丢失,也难以造成泄密。
同时,数据库加密可以由用户用自己的密钥加密自己的敏感信息,而不需要了解数据内容的数据库管理员无法进行正常解密,从而可以实现个性化的用户隐私保护。
对数据库加密必然会带来数据存储与索引、密钥分配和管理等一系列问题,同时加密也会显著地降低数据库的访问与运行效率。
保密性与可用性之间不可避免地存在冲突,需要妥善解决二者之间的矛盾。
数据库中存储密文数据后,如何进行高效查询成为一个重要的问题。
查询语句一般不可以直接运用到密文数据库的查询过程中,一般的方法是首先解密加密数据,然后查询解密数据。
但由于要对整个数据库或数据表进行解密操作,因此开销巨大。
在实际操作中需要通过有效的查询策略来直接执行密文查询或较小粒度的快速解密。
一般来说,一个好的数据库加密系统应该满足以下几个方面的要求。
①足够的加密强度,保证长时间且大量数据不被破译。
②加密后的数据库存储量没有明显的增加。
③加解密速度足够快,影响数据操作响应时间尽量短。
④加解密对数据库的合法用户操作(如数据的增、删、改等)是透明的。
⑤灵活的密钥管理机制,加解密密钥存储安全,使用方便可靠。
1.1.3.2 数据库加密的实现机制数据库加密的实现机制主要研究执行加密部件在数据库系统中所处的层次和位置,通过对比各种体系结构的运行效率、可扩展性和安全性,以求得最佳的系统结构。