9.1,安全性概论
三类安全性问题
技术安全类、管理安全类、政策法律类。
可信计算机系统评测标准
四个指标:安全策略、责任、保证和文档。
安全等级的四组七级:D;C(C1,C2);B(B1,B2,B3);A(A1)
9.2,数据库安全性控制
分四级渐进加强控制:用户标识与鉴别、DBMS(存取控制、视图、审计、加密)、OS、DB。
用户标识与鉴别
说的高端的一批,其实就是用户名和密码(手动呵呵
DBMS存取控制
通过定义权限和权限检查来进行控制。分为两类,自主存取控制和强制存取控制。
自主存取控制方法
这种就是sql中常用的授权控制,通过给用户定义不同权限来实现不同层次的操作空间,很灵活但是存在安全隐患。
强制存取控制
通过对数据设置敏感度标记(绝密、机密、可信、公开)。主体的敏感度标记称为许可证级别,客体的敏感度标记称为密级。
规则是:主体许可证级别大于等于客体密级时方可读;主体许可证级别等于客体密级时方可写。
这种方式很严格。
视图
视图也是一种安全性控制手段呢。
审计
审计日志,找出搞坏的人和对象。
加密
你懂的。
9.3,统计数据库安全性
在统计数据库中,只能查聚集数据而不能查单个数据。但是有时候会有点小意外,比如说先查“本公司有多少女程序员”,返回1,证明本公司只有一个女程序员,然后再查“本公司女程序员的工资总额”,那此时就知道那个女程序员的工资了。至于证明解决,管他呢,应该不会考233333。