Web与数据库安全2012-09-10常见应用软件安全办公软件安全课程内容2系统安全知识体知识域数据库安全知识子域数据库安全基础数据库系统安全管理应用软件安全网络服务安全Web服务基础Web浏览器与服务器安全电子邮件安全FTP安全即时通信软件安全知识域：数据库安全知识子域：数据库安全基础了解数据库及结构化查询语言SQL基本概念掌握结构化查询语言SQL理解数据库安全概念理解数据库安全功能理解数据库“视图”对于数据保密性的作用理解“规则与默认”和“事务管理”对于数据完整性的作用知识子域：数据库管理系统的安全管理理解数据库威胁与防护掌握数据库安全特性检查掌握数据库运行安全监控了解数据库管理系统产品安全理解数据库管理系统安全要求3数据库概念定义1：长期储存在计算机内的，有组织的，可共享的数据集合。定义2：数据库是由一个互相关联的数据的集合和一组用以访问这些数据的程序组成。4图书管理员图书馆用户请求数据库管理系统概念定义：如何地组织和存储数据库中的数据，如何有效地获取和维护这些数据。完成这个任务的程序(软件)叫数据库管理系统（DataBaseManagementSystem）相对于文件系统的优点5DBMS数据独立性缓存管理事务特性各种辅助功能Database程序数据库用户请求数据库逻辑结构和存储结构外部表现6系统管理员最终用户数据库请求数据库设计、数据库编程和数据库管理人员操作系统应用程序DBMS关系数据库管理系统逻辑结构和存储结构6结构化查询语言SQLSQL语句格式基本语句约30条。每条语句都请求DBMS完成一个动作。所有SQL语句的基本格式都一样。7DELETEFROMsalesrepsWHERESales安全概念传统的数据库运行环境：9Databasesecurity防止未经授权的数据泄露和数据修改：认证、授权和审计客户-服务器模式1982(DorothyDenning)数据库安全概念统计数据库安全目标：允许用户查询聚集类型的信息（例如合计、平均值等），但是不允许查询单个记录信息10[Adam&Wortmann’89]SELECTcount(*)FROMPatientsWHEREage=42SELECTcount(*)FROMPatientsWHEREage=42andsex=‘M’anddiagnostic=‘schizophrenia’OKSELECTnameFROMPatientWHEREage=42SELECTnameFROMPatientWHEREage=42andsex=‘M’anddiagnostic=‘schizophrenia’数据库安全概念现代数据库运行环境：多层结构应用环境在一个多层应用环境中，中间层负责:鉴别客户层应用（用户认证）管理与数据库交互（数据库会话管理）中间层使用通用的用户名和密码与数据库连接并进行身份验证数据库服务器使用中间层的通用用户名和密码，依据应用上下文对终端用户的权限进行管理11数据库层客户层中间层应用服务器数据库服务器终端用户鉴别会话管理中间层用户标识、密码等权限检查数据库安全概念本课程定位的数据库安全：假设支持DBMS的运行支持环境是安全的12DATAPersonnelSecurityDatabaseSecurityOperatingSystem/NetworkSecurityApplicationSecurityPhysicalSecurity数据库安全概念基本概念用户(Users)：数据库中的行动者。数据库用户分最终用户、管理员、开发员、分析和设计员。数据库对象（DatabaseObjects）：是SQL安全性保护能够施加的项,如数据库表与视图、存储过程与函数、数据库表与视图中的列、行等。权限（Privileges）：允许用户对一个给定数据库对象执行的动作，如表对象的