1. 简述数据库中的自主存取控制方法和强制存取控制的方法主要含义。
(1)自主存取控制(Discretionary Access Control ,简称DAC):用户对不同的数据对象有不同的存取权限,不同用户对同一对象有不同的权限,可转授用户存取权限。自助存取控制机制仅仅通过对数据的存取权限进行安全控制,为数据本身并无安全标记;
(2)强制存取控制(Mandatory Access Control,简称MAC):每一数据对象标以一定密级,每一用户对应某一级别的许可证,只有具有合法许可证的用户才可以存取某一对象。强制存取控制机制则对数据本身进行密级标记,无论数据如何复制,标记与数据是一个不可分的整体,只有符合密级标记要求的用户才可以操纵数据,从而提供了更高级别的安全性。强制存取控制的安全性级别更高。
2. 什么是数据库的审计功能,数据库为什么需要提供审计功能
答:(1)数据库审计能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。
(2)数据库是任何商业中最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。因此需要从如下三个方面提供审计功能:
A:管理风险:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,离职员工的后门,致使安全事件发生时,无法追溯并定位真实的操作者。
B:技术风险:数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计。
C:安全风险:能够对数据库安全的各类攻击风险和管理风险的有效控制;灵活的、可自定义的审计规则满足了各类内控和外审的需求(有效控制误操作、越权操作、恶意操作等违规行为)。提供多层次的物理保护、掉电保护、自我监测及冗余部署,提升设备整体可靠性。