自主存取控制方法(DAC)以及强制存取控制方法(MAC)

最新推荐文章于 2024-04-20 18:57:00 发布
最新推荐文章于 2024-04-20 18:57:00 发布
阅读量6.9k 收藏 13
点赞数 2
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shroud096/article/details/123668226
版权

1自主存取控制方法:

用户权限由两要素组成:数据库对象和操作类型

存取控制的对象不仅有对象本身(表中的数据和属性列上的数据),还有数据库模式(包括模式、基本表、视图和索引的创建等)

授权:授予与回收

1.GRANT语法

        grant <权限>

        on <对象类型> <对象名>

        to <用户>

        【with grant option/ with admin option】;

其中 with grant option的意思是把这种权限再授予其他用户 ,包括(select/detele/insert/update)

with admin option的意思一样,但是指的是对表操作的权限,包含(create /drop/alter)

例:

把查询关系表department的权限给用户user1

grant select

on department

to user1;

将关系表course和takes上所有操作权限给全体用户

grant all privileges(全部权限)

on course

to public ;

grant all privileges(全部权限)

on takes

to public ;

将查询student关系表和修改学生专业dept_name(属性列)的权限给user1

grant select,update(dept_name)  //属性列要代括号

on student

to user1;

把takes上插入数据权限个user1用户,并允许将权限转授给其他用户

grant insert

on takes

to user1

with grant option;

2.REVOKE(收回权限)语句

        revoke <权限>

        on <对象类型> <对象名>

        from <用户> [cascade|restrict];

其中cascade为级联收回,例如:

a授权给b ,通过with grant option语句b获得了可以授权给其他人的能力,并且通过这个能力将自己的权限授予了c和d。

当a收回b的权限时,使用cascade关键字可以把c、d的权限一起收回。

有些数据库系统默认为cascade 

restrict暂且不知道

例如:

收回user1修改student表的学生专业dept_name的权限:

revoke update(dept_name)

on student

from user1;

收回所有用户在takes表上的查询权:

revoke selelct

on takes

from public ;

3.创建数据库模式的权限

create user <username> [with] [dba|resource|connect];

注意:

只有系统的超级用户才能创建一个新的数据库用户

新创建的书记库用户有三种权限dba|resource|connect,默认为connect权限,不能创建新用户,不能创建模式,不能创建基本表,只能登录数据库。resource权限能创建基本表和视图成为创建对象的属主,但是不能创建模式和新用户,可以用grant语句把该对象的存取权限给其他人。dba是许霆的超级用户,拥有对所有数据库对象的存取和授予权限

create user不是sql标准,不同关系型数据库的语法和内容相差甚远。

4.数据库角色

数据库角色是权限的集合,用于处理给多人相同权限的情况。

角色的创建:

        create role <角色名>

角色的授权:

        grant <权限>

        on <对象类型>对象名

        to  <角色>或<用户>;

将一个角色授予其他的角色或用户:

        grant <角色>

        to <角色>或<用户>

        [with admin option];

角色权限的收回:

        revoke <角色>

        on <属性类型>属性名

        from <角色>;

或者不用on直接收回角色

revoke <角色>

 from <用户>

例:

将user1用户的instructor角色收回

revoke instructor

from user1;

强制存取控制方法:

主体是系统中的活动实体,包括数据库管理系统所管理的实际用户以及代表用户的各个进程,客体是系统中的被动实体,是受主体控制的,包括文件、基本表、索引、视图等。对于主体和客体,数据库管理系统为每一个实例指派一个敏感度标记,分为:绝密TS,机密S,可信C,公开P。次序为TS>S>C>P 主体的敏感度标记称为许可证级别,客体的标记为密级。

一个用户在注册入系统的时候,系统要求他对任何客体的存取必须遵顼如下规定:

1.仅当主体的许可证级别大于或等于客体的密级时,该主体才能读取相应客体

2.仅当主体的许可证级别小于或等于客体的密级时,该主体才能相应客体

注意:如果违反了规则(2),就有可能把数据的密级从高流向低,导致数据泄露

强制存取控制是对于数据本身进行密级标记,无论数据如何复制,标记与数据是一个不可分割的整体,只有符合密集标记要求的用户才可以操作数据,从而提供了更加高级的安全性。

视图机制:

视图可以隐藏数据对象,只显示希望被看到的数据,从而一定程度上包含数据安全

审计:

审计功能把用户对数据库的所有操作自动记录下来放进审计日志中,审计员可以利用日志监控数据库,重现导致数据库现有状况的一系列事件,找出非法存取数据的人、时间和内容。

审计事件:

1.服务器事件:审计数据库服务器发生的事件,包括数据库服务器的启动、停止、配置文件的重新加载。

2.系统权限:对系统拥有的结构或模式对象进行操作的审计,要求该操作的权限是通过系统权限获得的。

3.语句事件:对sql语句,如DDL、DML、DQL(数据查询语言)以及DCL语句的审计

4.模式对象事件:对特定模式对象上进行的select或dml操作的审计,模式对象包括表、视图、存储过程、函数等、模式对象不包括依附于表的索引、约束、触发器、分区表等。

AUDIT\NOAUDITY语句

audit用于设置审计功能

例:对修改sc表结构或修改sc表结构数据的操作进行审计

audit alter,update

on sc;

取消对sc表的一切审计

noaudit alter,update

on sc;

数据加密:

分为存储加密和传输加密

shroud096
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【数据库系统01】强制存取控制
yuyao_w的博客
01-04 4762
https://www.cnblogs.com/pqhuang/p/12878265.html
数据库中的存取控制——自主存取控制&强制存取控制
热门推荐
pinkCoderMonkey的博客
04-12 1万+
自主存取控制(Discretionary Access Control 简称DAC): C2级(见表1-1) 用户对不同的数据对象有不同的存取权限。 不同的用户对同一对象也有不同的权限。 用户还可以将其拥有的存取权限转授给其他用户。 强制存取控制(Mandatory Access Control 简称 MAC): B1级 每一个数据库对象被标以一定的密级。 每一个用户被授予某一个级别的许可证...
数据库——自主存取控制强制存取控制
Hhuangtu的博客
01-21 9652
数据库——自主存取控制强制存取控制 自主存取控制 Discretionary Access Control ,简称DAC C2级 用户对不同的数据对象有不同的存取权限 不同的用户对同一对象也有不同的权限 用户还可将其拥有的存取权限转授给其他用户 自主存取控制方法 通过 SQL 的GRANT 语句和REVOKE 语句实现 用户权限组成 数据对象 操作类型 定义用户存取权限:定义用户可以在哪些数据库对象上进行哪些类型的操作 定义存取权限称为授权 强制存取控制 Mandatory Acces
Android-SeLinux安全策略
最新发布
qq_46422460的博客
04-20 1027
DAC(Discretionary Access Control,翻译为自主访问控制)DAC的核心思想:进程理论上所拥有的权限与执行它的用户的权限相同,比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC(Mandatory Access Control,翻译为强制访问控制MAC的核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限。
数据库安全性-----自主存取控制强制存取控制、视图机制
weixin_42492218的博客
05-18 7783
数据库安全性 数据库的安全性是指保护数据库以防止不合法使用所造成的数据泄露、更改或破坏 。 数据库的不安全因素 1.非授权用户对数据库的恶意存取和破坏 2.数据库中重要或敏感的数据被泄露 3.安全环境的脆弱性 数据库安全性控制 存取控制 1.自主存取控制 同一用户对不同的数据对象有不同的存取权限 不同的用户对同一对象也有不同的权限 用户还可将其拥有的存取权限转授给其他用户 可能存在数据的“无意泄露” 原因:这种机制仅仅通过对数据的存取权限来进行安全控制,而数据本身并无安全性标..
MySQL篇(四)--DCL数据控制语言
domgao
11-25 124
mysql操作语句之数据控制语言DCL example:设置或更改数据库用户或角色权限,包含 GRANT,DENY,REVOKE等。 查看root用户可以在哪台机器登录 select user,host from mysql.user where user='root'; 修改root用户登录的机器 update mysql.user set host = 'localhost' where user = 'root'; 刷新权限 flush privileges; 修改用户密码 #
数据库安全性控制的一般方法.doc
10-03
- **强制存取控制 (MAC)**:数据对象和用户都有预设的访问级别,只有匹配时才能访问。MAC更适用于高度敏感的数据环境。 3. **SQL中的存取控制**: SQL提供了数据权限控制,例如使用GRANT和REVOKE语句来赋予和撤销...
mac 强制授权 mac强制授权.doc
10-17
访问控制模型主要有三种:自主访问控制DAC)、强制访问控制MAC)和基于角色的访问控制(RBAC)。DAC赋予用户对个人资源的控制权,MAC强制执行统一的安全策略,而RBAC则是根据用户的角色来定义访问权限,常用于...
第5章安全性控制技术.pptx
10-06
强制存取控制MAC)更为严格,通常用于B1级别的安全环境,它依据特定的安全策略强制执行权限,不允许用户随意更改。 在关系数据库系统中,存取权限通常关联到数据对象和操作类型。用户可能有读取(SELECT)、...
数据库系统原理第四章-安全性控制-PPT课件.ppt
11-24
* 强制存取控制MAC)则根据安全级别来控制用户的访问权限。 四、审计控制 * 审计控制是指对用户使用系统资源的记录和审查,以检测和预防安全事件。 * 审计控制包括设备安全审计、操作审计、应用审计和攻击审计等...
【数据库系统】第一部分 数据库基础(4) 数据库安全性(2) 数据库安全性控制(2) 存取控制
memcpy0的博客
12-08 1179
本文属于「数据库系统」系列文章之一,这一系列着重于「数据库系统知识的学习与实践」。由于文章内容随时可能发生更新变动,欢迎关注和收藏数据库系统系列文章汇总目录一文以作备忘。需要特别说明的是,为了透彻理解和全面掌握数据库系统,本系列文章中参考了诸多博客、教程、文档、书籍等资料,限于时间精力有限,这里无法一一列出。部分重要资料的不完全参考目录如下所示,在后续学习整理中还会逐渐补充: 数据库系统概念 第六版 Database System Concepts, Sixth Edition ,作者是 Abraham.
沈师 PTA 数据库题目及部分解析 第四章
Lavigne666的博客
12-01 4305
判断题 1.在数据库安全性控制中,所有授予出去的权力在必要时都可以用REVOKE语句收回。 T 2.用户可以“自主”地决定将数据的存取权限授予何人、决定是否也将“授权”的权限授予别人,因此称这样的存取控制自主存取控制。 T 3.数据库的安全性是指保护数据库以防止不合法使用所造成的数据泄露、更改或破坏。 T 4.审计功能把用户对数据库的特定操作自动记录下来放入审计日志。 F 5.自主存取控制方法中用户权限是由数据库对象和操作元素组成的。 F 6.数据库的数据保护主要包括数据的安全性和数据的完整性。 T 7.
数据库安全性控制
five-five
03-29 2976
自主存取控制方法 存取控制机制主要包括定义用户权限和合法检查两个部分 定义用户权限并将用户权限登记到数据字典中 合法权限检查 定义用户权限和合法权限检查机制一起组成了数据库管理系统的存取控制子系统 C2级的数据库管理系统支持自主存取控制,B1级的数据库管理系统支持强制存取控制 自主存取控制方法 这里主要通过SQl的GRANT语句和REVOKE语句来实现,在数据库系统中,定义存取权限称为授权 用户权限 数据库对象 操作类型 自主存取控制的对象 在关系数据库系统中,存取控制的对象不仅有数
数据库系统概论(期末高分笔记、万字笔记)
战士小小白的博客
03-12 4408
1.1 数据库的系统概述 1.1.1 数据库的4个基本概念 一、数据(data):数据是数据库中存储的基本对象 1)定义:描述事物的符号记录 2)种类:数字、文字、图形、图像、音频、视频等3)特点:数据与其语义是不可分的 二、数据库(DataBase,DB):存放数据的仓库 1)定义:数据库是长期储存在计算机内、有组织的、可共享的大量数据的集合2)基本特征: 按一定的数据模型组织、描述和储存 具有较小的冗余度 较高的数据独立性 易扩展性 可为各种用户共享 三、数据库管理系统: 1)定义:是位
PTA数据库判断题
weixin_56710260的博客
06-12 3156
一个数据库只有一个模式和一个内模式。T 外模式/模式映像可以保证数据与程序的逻辑独立性。T 由于数据库中的数据是不断更新的,因此关系模式是相对变化的。F 同一外模式可以被某一用户的多个应用系统使用,但一个应用程序只能使用一个外模式。T 数据冗余可能导致的问题有浪费存储空间及修改麻烦和潜在的数据不一致性。T 实体之间的联系可抽象为三类,它们是 1∶1 、1∶m和 m∶n T 数据库体系结构按照 模式 、 外模式 和 内模式 三级结构进行组织T 数据结构是对数据系统的动态特性的描述,数据操作是对数据库系统的静态
6.4 自主存取控制
Dyyzz
05-06 794
1.存取控制 存取控制是数据库系统的主要安全措施,通过授权使有资格的用户获得访问数据库的权限,而未被授权的用户不能访问 存取控制包括自主存取控制强制存取控制 2.存取控制的任务 ①授权:将授权登记在数据字典中 ②合法权限检查:查询数据字典检查用户权限 3.权限的赋予和回收 最开始所有的权限归属DBA DBA可以授权访问权限和传播权限 GRANT <权限1,权限2> ON <表1,表2> TO <用户1,用户2> [WITH GRANT OPTION] <权限列表&
【数据库系统概论(王珊)】第4章——数据库安全性
Chancy_Lu的博客
08-24 1102
1、安全性级别 TCSEC将系统划分为四组(ABCD)七个等级,依次是D、C1、C2、B1、B2、B3、A1。 D级:是最低级别。将一切不符合更高标准的系统均归于D组。如DOS实操作系统中安全标准为D级的典型例子。 C1级:非常初级的自主安全保护。能够实现对用户和数据的分离,进行自主存取控制DAC),保护或限制用户权限的传播。 C2级:安全产品的最低档次。提供受控的存取保护,将C1级的DAC进一步细化,以个人身份注册负责,并实施审计和资源隔离。达到C2级的产品在其名称中往往不突出“安全”(Security
4.数据库安全性
Moliay的博客
02-03 947
审计功能是指DBMS 的审计模块在用户对数据库执行操作的同时把所有操作自动记录到系统的审计日志中。因为任何系统的安全保护措施都不是完美无缺的,蓄意盗窃破坏数据的人总可能存在。利用数据库的审计功能,DBA 可以根据审计跟踪的信息,重现导致数据库现有状况的一系列事件,找出非法存取数据的人、时间和内容等。
什么是数据库中的自主存取控制方和强制存取控制方法
05-21
数据库中的自主存取控制DAC)和强制存取控制MAC)是两种不同的访问控制方法自主存取控制DAC)是指授权在数据拥有者或用户手中,即用户有权控制他们自己创建的对象的访问权限。这种控制方式是基于用户身份验证和授权的。通常,这种控制方式使用角色和权限来管理数据库中的资源。 强制存取控制MAC)则是一种更加严格的访问控制方式,它是基于系统管理员或安全策略制定者所定义的规则和政策来进行控制。在这种控制方式下,用户不能更改或控制他们拥有对象的访问权限。相反,系统管理员或安全策略制定者会对系统资源进行分类,并根据其机密性、完整性和可用性等级来分配访问权限。 总的来说,自主存取控制适用于需要更灵活的安全控制的场景,而强制存取控制适用于需要更严格控制和保护的场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值