【正文】 Database1 中的 UserX 添加到 Database1 的 db_owner 固定數(shù)據(jù)庫角色中，對 Database2 中的 UserX 是否是 Database2 的 db_owner 角色成員沒有任何影響。 79固定數(shù)據(jù)庫角色80固定數(shù)據(jù)庫角色說明n 可以創(chuàng)建的固定數(shù)據(jù)庫角色在數(shù)據(jù)庫級別上定義，并存在于每個數(shù)據(jù)庫中?？蓪⑷魏斡行У挠脩魩簦?Windows NT 或 Windows 2022 用戶或組，或 SQL Server 用戶或角色）添加為固定數(shù)據(jù)庫角色成員。每個成員都獲得應(yīng)用于固定數(shù)據(jù)庫角色的權(quán)限。固定數(shù)據(jù)庫角色的任何成員都可將其他用戶添加到角色中。n 可以從 sp_helpdbfixedrole 獲得固定數(shù)據(jù)庫角色的列表，可以從 sp_dbfixedrolepermission 獲得每個角色的特定權(quán)限。n 數(shù)據(jù)庫中的每個用戶都屬于 public 數(shù)據(jù)庫角色。如果想讓數(shù)據(jù)庫中的每個用戶都能有某個特定的權(quán)限，則將該權(quán)限指派給 public 角色。如果沒有給用戶專門授予對某個對象的權(quán)限，他們就使用指派給 public 角色的權(quán)限。81固定數(shù)據(jù)庫角色描述固定數(shù)據(jù)庫角色 描述db_owner 在數(shù)據(jù)庫中有全部權(quán)限。db_accessadmin 可以添加或刪除用戶 ID。db_securityadmin 可以管理全部權(quán)限、對象所有權(quán)、角色和角色成員資格。db_ddladmin 可以發(fā)出 ALL DDL， 但不能發(fā)出 GRANT、 REVOKE 或 DENY 語句。db_backupoperator 可以發(fā)出 DBCC、 CHECKPOINT 和 BACKUP 語句。db_datareader 可以選擇數(shù)據(jù)庫內(nèi)任何用戶表中的所有數(shù)據(jù)。db_datawriter 可以更改數(shù)據(jù)庫內(nèi)任何用戶表中的所有數(shù)據(jù)。db_denydatareader 不能選擇數(shù)據(jù)庫內(nèi)任何用戶表中的任何數(shù)據(jù)。db_denydatawriter 不能更改數(shù)據(jù)庫內(nèi)任何用戶表中的任何數(shù)據(jù)。82自定義數(shù)據(jù)庫角色的授權(quán)與回收n 無法對特殊角色授予、拒絕或廢除權(quán)限。n 對自定義角色的授權(quán)、回收與安全帳號的授權(quán)、回收相同。n 注意：在 SQL Server中，不支持 create role（創(chuàng)建角色）語句和把一個角色的權(quán)限授于另一個角色的語句形式。返回 83 強制存取控制方法n 自主存取控制安全？n“無意泄露 ”，如甲將自己權(quán)限范圍內(nèi)的某些數(shù)據(jù)存取權(quán)限授權(quán)給乙，甲的意圖是只允許乙本人操縱這些數(shù)據(jù)，但這種要求并不能得到保證，因為乙一旦獲得了對數(shù)據(jù)的權(quán)限，就可以將數(shù)據(jù)備份，獲得自身權(quán)限內(nèi)的副本，并在不征得甲同意的前提下傳播副本。n 根本原因？n 在于僅僅通過對數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并沒有安全性標(biāo)記。84強制存取控制方法（ 2）n 什么是強制存取控制？n 強制存取控制 (MAC)是指系統(tǒng)為保證更高程度的安全性，按照 TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強制存取檢查手段。nMAC不是用戶能直接感知或進(jìn)行控制的。nMAC適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門n 軍事部門n 政府部門85強制存取控制方法（ 3）n 主體與客體n 在 MAC中， DBMS所管理的全部實體被分為主體和客體兩大類n 主體 是系統(tǒng)中的活動實體n DBMS所管理的實際用戶n 代表用戶的各進(jìn)程n 客體 是系統(tǒng)中的被動實體，是受主體操縱的n 文件、 基表、 索引、 視圖86強制存取控制方法（ 4）n 敏感度標(biāo)記n 對于主體和客體， DBMS為它們每個實例（值）指派一個敏感度標(biāo)記（ Label）n 敏感度標(biāo)記分成若干級別n 絕密（ Top Secret）、 機密（ Secret）、 可信（ Confidential）、 公開（ Public）n 主體的敏感度標(biāo)記稱為許可證級別（ Clearance Level）n 客體的敏感度標(biāo)記稱為密級（ Classification Level）nMAC機制就是通過對比主體的 Label和客體的Label， 最終確定主體是否能夠存取客體87強制存取控制方法（ 5）n 強制存取控制規(guī)則n 當(dāng)某一用戶（或某一主體）以標(biāo)記 label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則：（ 1）僅當(dāng)主體的許可證級別 大于或等于 客體的密級時，該主體才能 讀 取相應(yīng)的客體；（ 2）僅當(dāng)主體的許可證級別 等于 客體的密級時，該主體才能 寫 相應(yīng)的客體。88強制存取控制方法（ 6）n 修正規(guī)則：n 主體的許可證級別 =客體的密級時，主體能寫客體。n 用戶可為寫入的數(shù)據(jù)對象賦予高于自己的許可證級別的密級n 一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對象了。n 規(guī)則的共同點n 禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象89強制存取控制方法（ 7）n 強制存取控制的特點nMAC是對數(shù)據(jù)本身進(jìn)行密級標(biāo)記n 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個不可分的整體n 只有符合密級標(biāo)記要求的用戶才可以操縱數(shù)據(jù)n 從而提供了更高級別的安全性90強制存取控制方法（ 8）n DAC與 MAC共同構(gòu)成 DBMS的安全機制n 原因：較高安全性級別提供的安全保護要包含較低級別的所有保護n 先進(jìn)行 DAC檢查，通過 DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進(jìn)行 MAC檢查，只有通過 MAC檢查的數(shù)據(jù)對象方可存取。91強制存取控制方法（ 9）DAC + MAC安全檢查示意圖 SQL語法分析 amp。 語義檢查 DAC 檢 查 安全檢查 MAC 檢 查 繼 續(xù)返回 92 視圖機制n 視圖機制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來。n 視圖機制更主要的功能在于提供數(shù)據(jù)獨立性，其安全保護功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。93視圖機制（ 2）n 視圖機制與授權(quán)機制配合使用 :n 首先用視圖機制屏蔽掉一部分保密數(shù)據(jù)n 視圖上面再進(jìn)一步定義存取權(quán)限n 間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義94視圖機制（ 3）例：王平只能檢索計算機系學(xué)生的信息n 先建立計算機系學(xué)生的視圖 CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=39。CS39。；n 在視圖上進(jìn)一步定義存取權(quán)限 GRANT SELECT ON CS_Student TO 王平 ；返回 95 審計n 什么是審計？n 啟用一個專用的審計日志（ Audit Log） 將用戶對數(shù)據(jù)庫的所有操作記錄在上面。n DBA可以利用審計日志中的追蹤信息 找出非法存取數(shù)據(jù)的人、時間和內(nèi)容等。n C2以上安全級別的 DBMS必須具有審計功能n 審計功能的可選性n 審計很費時間和空間nDBA可以根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉審計功能。96審計（ 2）n 審計的分類n 用戶級的審計，是任何用戶可以設(shè)置的審計，主要是用戶針對自己創(chuàng)建的數(shù)據(jù)庫表或視圖進(jìn)行審計，記錄所有對這些表或視圖的成功和（或）不成功的訪問要求以及各種類型的 SQL操作。n 系統(tǒng)級審計，只能由 DBA設(shè)置，用以監(jiān)測成功或失敗的登錄要求，監(jiān)測 GRANT和 REVOKE操作以及其他數(shù)據(jù)庫級權(quán)限下的操作。n 審計的設(shè)置n 在企業(yè)管理器，右擊服務(wù)器實例，在屬性對話框中的安全性卡上設(shè)置相應(yīng)的審核級別即可（無、失敗、成功、全部）。返回 97 數(shù)據(jù)加密n 數(shù)據(jù)加密n 防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段。n 加密的基本思想n 根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，Plain text） 變換為不可直接識別的格式（術(shù)語為密文， Cipher text）n 不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容98數(shù)據(jù)加密（ 2）n 加密方法n 替換方法n 使用密鑰（ Encryption Key） 將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符n 置換方法n 將明文的字符按不同的順序重新排列n 混合 方法 美國 1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard， 簡稱 DES）99數(shù)據(jù)加密（ 3）n DBMS中的數(shù)據(jù)加密n 有些數(shù)據(jù)庫產(chǎn)品提供了數(shù)據(jù)加密例行程序n 有些數(shù)據(jù)庫產(chǎn)品本身未提供加密程序，但提供了接口n 數(shù)據(jù)加密功能通常也作為可選特征，允許用戶自由選擇n 數(shù)據(jù)加密與解密是比較費時的操作n 數(shù)據(jù)加密與解密程序會占用大量系統(tǒng)資源n 應(yīng)該只對高度機密的數(shù)據(jù)加密n SQL Server中的加密功能是比較強的，有興趣的同學(xué)可以查有關(guān)書籍或聯(lián)機手冊。返回 100 統(tǒng)計數(shù)據(jù)庫安全性n 統(tǒng)計數(shù)據(jù)庫的特點n 允許用戶查詢 聚集 類型的信息（例如合計、平均值等）n 不允許查詢 單個 記錄信息例：允許查詢 “程序員的平均工資是多少？ ” 不允許查詢 “程序員張勇的工資？ ”n 統(tǒng)計數(shù)據(jù)庫中特殊的安全性問題n 隱蔽的信息通道n 從合法的查詢中推導(dǎo)出不合法的信息101統(tǒng)計數(shù)據(jù)庫安全性（ 2）例 1：下面兩個查詢都是合法的： 1．本公司共有多少女高級程序員？ 2．本公司女高級程序員的工資總額是多少？如果第一個查詢的結(jié)果是 “1”，那么第二個查詢的結(jié)果顯然就是這個程序員的工資數(shù)。規(guī)則 1：任何查詢至少要涉及 N(N足夠大 )個以上的記錄102統(tǒng)計數(shù)據(jù)庫安全性（ 3）例 2：用戶 A發(fā)出下面兩個合法查詢： 1．用戶 A和其他 N個程序員的工資總額是多少？ 2．用戶 B和其他 N個程序員的工資總額是多少？ 若第一個查詢的結(jié)果是 X， 第二個查詢的結(jié)果是 Y， 由于用戶 A知道自己的工資是 Z， 那么他可以計算出用戶 B的工資 =Y(XZ)。 原因：兩個查詢之間有很多重復(fù)的數(shù)據(jù)項 規(guī)則 2：任意兩個查詢的相交數(shù)據(jù)項不能超過 M個103統(tǒng)計數(shù)據(jù)庫安全性（ 4）n 可以證明，在上述兩條規(guī)定下，如果想獲知用戶 B的工資額， A至少需要進(jìn)行 1+(N2)/M次查詢。規(guī)則 3：任一用戶的查詢次數(shù)不能超過 1+(N2)/M n 如果兩個用戶合作查詢就可以使這一規(guī)定失效。n 數(shù)據(jù)庫安全機制的設(shè)計目標(biāo)： 試圖破壞安全的人所花費的代價 得到的利益返回 104 小結(jié)n 隨著計算機網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)的共享日益加強，數(shù)據(jù)的安全保密越來越重要n DBMS是管理數(shù)據(jù)的核心，因而其自身必須具有一整套完整而有效的安全性機制。n 《 可信計算機系統(tǒng)評測標(biāo)準(zhǔn) 》 TCSEC/TDI是目前各國所引用或制定的一系列安全標(biāo)準(zhǔn)中最重要的一個。 n TCSEC/TDI從 安全策略 、 責(zé)任 、 保證 和 文檔 四個方面描述了安全性級別的指標(biāo)n 目前 CC已經(jīng)基本取代了 TCSEC， 成為評估信息產(chǎn)品安全性的主要標(biāo)準(zhǔn)。105小結(jié)（ 2）n 實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性的技術(shù)和方法有多種，最重要的是 存取控制 技術(shù)、 視圖 技術(shù)和 審計 技術(shù)。n 目前許多大型 DBMS 達(dá)到了 C2級，其安全版本達(dá)到了 B1n C2級 的 DBMS必須具有 自主存取控制 功能和 初步的審計 功能n B1級 的 DBMS必須具有 強制存取控制 和 增強的審計 功能n 自主存取控制功能一般是通過 SQL 的 GRANT語句和REVOKE語句來實現(xiàn)的106 下課了。休息一會兒。返回 10