中南大学：《计算机网络 computer networks》课程教学资源（PPT课件讲稿）第九章 网络数据管理（9.3）网络数据库的访问控制

9.3网络数据库的访问控制 93.1网络数据库访问控制方式 9、3.2 Oracle数据库访问控制简介 ●四南大字画字

第9章 网络数据管理 1 9.3 网络数据库的访问控制 9.3.1 网络数据库访问控制方式 9.3.2 Oracle数据库访问控制简介

9.3.1网络数据库访问控制方式 访问控制是通过某种途径显式地准许或限制访问能力及 范围的一种方法。访问控制的目的是使用户只能进行经过授 权的相关数据库操作。 访问控制系统一般包括: 主体 客体 安全访问政策 第9章网络数据管理

第9章 网络数据管理 2 9.3.1 网络数据库访问控制方式 访问控制是通过某种途径显式地准许或限制访问能力及 范围的一种方法。访问控制的目的是使用户只能进行经过授 权的相关数据库操作。 访问控制系统一般包括： ➢ 主体 ➢ 客体 ➢ 安全访问政策

9.3.1网络数据库访问控制方式 访问控制方式有自主访问控制(DAC, Discretionary Access Contro)、强制访问控制(MAC, Mandatory Access Contro)和基于角色访问控制(RBAC,Role Based Access Control) 自主访问控制 其基本思想是允许某个主体显式地控制其他主体对其自 身所拥有信息资源的访问,指定其他主体是否可以访问以及 可执行的访问类型。 信息在移动过程中其访问权限关系会被改变。如用户A 可将其对目标O的访问权限传递给用户B,从而使原来对O没 有访问权限的B可以访问O。 第9章网络数据管理

第9章 网络数据管理 3 9.3.1 网络数据库访问控制方式 访问控制方式有自主访问控制（DAC，Discretionary Access Control）、强制访问控制（MAC，Mandatory Access Control）和基于角色访问控制（RBAC，Role￾Based Access Control）。 1. 自主访问控制 其基本思想是允许某个主体显式地控制其他主体对其自 身所拥有信息资源的访问，指定其他主体是否可以访问以及 可执行的访问类型。 信息在移动过程中其访问权限关系会被改变。如用户A 可将其对目标O的访问权限传递给用户B，从而使原来对O没 有访问权限的B可以访问O

9.3.1网络数据库访问控制方式 2.强制访问控制 MAC给每个访问主体和客体分级,指定其信任度 MAC通过比较主体和客体的信任度来决定一个主体能否访问 某个客体,具体遵循以下两条规则: 下读:仅当主体的信任度大于或等于客体的信任度时, 主体才能对客体进行读操作。 上写:仅当主体的信任度小于或等于客体的信任度时 主体才能对客体进行写操作 第9章网络数据管理

第9章 网络数据管理 4 9.3.1 网络数据库访问控制方式 2. 强制访问控制 MAC给每个访问主体和客体分级，指定其信任度。 MAC通过比较主体和客体的信任度来决定一个主体能否访问 某个客体，具体遵循以下两条规则： 下读：仅当主体的信任度大于或等于客体的信任度时， 主体才能对客体进行读操作。 上写：仅当主体的信任度小于或等于客体的信任度时， 主体才能对客体进行写操作

9.3.1网络数据库访问控制方式 3.基于角色访问控制 所谓“角色”,就是一个或一群用户在组织内可执行的 操作的集合。 RBAC根据用户在组织内所处的角色进行访问授权与控 制。只有系统管理员有权定义和分配角色。用户与客体无直 接联系,只有通过角色才享有该角色所对应的权限,从而访 问相应的客体。 第9章网络数据管理

第9章 网络数据管理 5 9.3.1 网络数据库访问控制方式 3. 基于角色访问控制 所谓“角色”，就是一个或一群用户在组织内可执行的 操作的集合。 RBAC根据用户在组织内所处的角色进行访问授权与控 制。只有系统管理员有权定义和分配角色。用户与客体无直 接联系，只有通过角色才享有该角色所对应的权限，从而访 问相应的客体

9.3.1网络数据库访问控制方式 RBAC的特点: 以角色作为访问控制的主体 角色继承 >最小权限原则 职责分离 角色容量 第9章网络数据管理

第9章 网络数据管理 6 9.3.1 网络数据库访问控制方式 RBAC的特点： ➢ 以角色作为访问控制的主体 ➢ 角色继承 ➢ 最小权限原则 ➢ 职责分离 ➢ 角色容量

9.3.2 Oracle数据库访问控制简介 orac!e系统的安全性管理采用了基于角色的访问控制方法。 安全性管理采用了基于角色的访问控制方法 Oracle提供了三种标准角色 CONNECT RESOURCE DBA 7 第9章网络数据管理

第9章 网络数据管理 7 9.3.2 Oracle数据库访问控制简介 Oracle系统的安全性管理采用了基于角色的访问控制方法。 安全性管理采用了基于角色的访问控制方法 Oracle提供了三种标准角色： ➢ CONNECT ➢ RESOURCE ➢ DBA

9.3.2 Oracle数据库访问控制简介 在实际应用中,我们采用: 根据应用系统特点,建立几个核心用户,将表、视图、 存储过程、触发器、序号生成器等数据库对象建立在 相应的核心用户中。 根据系统用户的特点,建立各种类型的角色,并将核 心用户中的数据库对象的相应权限授予相应角色。 建立一个通用用户默认角色,该角色只有 CONNECT 权限,将该角色授子任一角色,并设置成默认角色。 在每次与数据库中断连接之前,屏蔽其他角色,只有 该角色有效;在与数据库连接后,只有该角色有效 其后根据用户的需要,在应用程序中设置其他角色有 效 第9章网络数据管理

第9章 网络数据管理 8 9.3.2 Oracle数据库访问控制简介 在实际应用中，我们采用： ➢ 根据应用系统特点，建立几个核心用户，将表、视图、 存储过程、触发器、序号生成器等数据库对象建立在 相应的核心用户中。 ➢ 根据系统用户的特点，建立各种类型的角色，并将核 心用户中的数据库对象的相应权限授予相应角色。 ➢ 建立一个通用用户默认角色，该角色只有CONNECT 权限，将该角色授予任一角色，并设置成默认角色。 在每次与数据库中断连接之前，屏蔽其他角色，只有 该角色有效；在与数据库连接后，只有该角色有效， 其后根据用户的需要，在应用程序中设置其他角色有 效