2安全数据模型与多级安全数据库 21数据库安全术语和基本概念 敏感度标记 表示客体和主体的安全级的一条信息。可信计算基使用它确 实是否进行强制访问控制 数据库的安全策略 根据用户需求、安装环境、建立规则和法律等方面的限制来 制定的,用来描述访问规则和访问特征的关系 有四类策略:安全管理策略、最小特权策略、访问控制分类 策略、访问控制策略 形式化安全保护策略模型 安全保护策略的完整精确描述 安全保护策略模型 安全保护策略的非形式化描述
• 敏感度标记 – 表示客体和主体的安全级的一条信息。可信计算基使用它确 实是否进行强制访问控制 • 数据库的安全策略 – 根据用户需求、安装环境、建立规则和法律等方面的限制来 制定的,用来描述访问规则和访问特征的关系 – 有四类策略:安全管理策略、最小特权策略、访问控制分类 策略、访问控制策略 • 形式化安全保护策略模型 – 安全保护策略的完整精确描述 • 安全保护策略模型 – 安全保护策略的非形式化描述 2.1 数据库安全术语和基本概念 2 安全数据模型与多级安全数据库
2安全数据模型与多级安全数据库 22基于授予/收回权限的自主访问控制 权限控制 当主体访问客体时,要进行访问的合法性检查 “知必所需”原则:限制用户只能知道授权他知 道的那些数据对象(最小特权原则) 数据库部分的权的形式 读权-允许读,但是不能修改数据 插入权-允许插入新数据,但不能修改已存在的数据 修改权-允许修改,但不能删除数据 删除权-允许删除数据
权限控制 • 当主体访问客体时, 要进行访问的合法性检查. • “知必所需” 原则: 限制用户只能知道授权他知 道的那些数据对象(最小特权原则) • 数据库部分的权的形式: – 读权 - 允许读, 但是不能修改数据 – 插入权 - 允许插入新数据, 但不能修改已存在的数据 – 修改权 - 允许修改, 但不能删除数据 – 删除权 - 允许删除数据 2.2 基于授予/收回权限的自主访问控制 2 安全数据模型与多级安全数据库
2安全数据模型与多级安全数据库 22基于授予/收回权限的自主访问控制 权限控制 更新数据库模式权的的形式 索引权-允许创建和删除索引 资源权-允许创建新关系 修改权-允许增加或删除关系中的属性 删除权-允许删除关系 权与视图 用户可以将某个权授给视图 视图可以通过限制用户访问的数据而加强数据库的安全性 关系层和视图层的安全组合可以精确地限制用户只对其应 用需要的数据访
• 更新数据库模式权的的形式: – 索引权- 允许创建和删除索引 – 资源权- 允许创建新关系 – 修改权- 允许增加或删除关系中的属性 – 删除权- 允许删除关系 • 权与视图 – 用户可以将某个权授给视图 – 视图可以通过限制用户访问的数据而加强数据库的安全性 – 关系层和视图层的安全组合可以精确地限制用户只对其应 用需要的数据访问 2.2 基于授予/收回权限的自主访问控制 2 安全数据模型与多级安全数据库 权限控制
2安全数据模型与多级安全数据库 22基于授予/收回权限的自主访问控制 授权与收权 Grant语句 Grant<权>To<用户> With Grant Option Revoke语句 Revoke<权>Fom<用户>
授权与收权 • Grant 语句 – Grant <权> To <用户> With Grant Option • Revoke 语句 – Revoke <权> From <用户> 2.2 基于授予/收回权限的自主访问控制 2 安全数据模型与多级安全数据库
2安全数据模型与多级安全数据库 22基于授予/收回权限的自主访问控制 授权方式 静态授权 检查功能 隔离功能:保证用户只访问已授权的数据对象 控制访问:保证用户只能按他已得到的访问权的访问方式存 取数据,不得越权 DBMS必须要确定不同用户对不同数据对象的存取权 数据对象的粒度由系统规定 数据对象命名唯 DBA拥有访问全部数据对象的全权
授权方式 • 静态授权 – 检查功能 • 隔离功能:保证用户只访问已授权的数据对象 • 控制访问:保证用户只能按他已得到的访问权的访问方式存 取数据,不得越权 – DBMS必须要确定不同用户对不同数据对象的存取权 • 数据对象的粒度由系统规定 • 数据对象命名唯一 • DBA拥有访问全部数据对象的全权 2.2 基于授予/收回权限的自主访问控制 2 安全数据模型与多级安全数据库