文档介绍:第四讲��数据库安全
1。数据库概论
2。数据库系统的安全
3。Web数据库安全
4。Oracle数据库安全
数据库概论
数据库系统:数据集合(数据库本身)、用户应用程序、数据库管理系统DBMS
设计目的:更好地管理和维护数据
数据共享、减少数据冗余、保持数据一致性、独立于应用、安全保密性、并发控制、故障恢复
共享性:不同的人和不同的处理同一时间使用数据
可用性:保证用户对单位数据资源的使用,使数据进出数据库
进化性:适应用户增长的需求,适应技术进步
完整性:防止物理破坏;合法性检查;防止同步修改;安全性考虑
独立性:数据库和应用程序的修改彼此影响减到最小
关系数据库
表、记录、域、元素
域1
域2
记录1
记录2
DBMS体系结构
主机/终端结构:小型机+哑终端
网络/文件服务器结构
C/S结构
基于Web的三级C/S结构:通过浏览器访问
数据库系统的安全
1。数据库安全策略
:集中式、分布式
:最小特权、保密前提下的最大共享、开放和封闭系统
:向上写入,向下访问
2。数据库加密
库外加密
库内加密:记录加密、域加密、数据元素加密
硬件加密
密钥管理问题:多级密钥
数据库安全性要求
数据库完整性
单个元素的完整性(包括合法性)
可审计性
访问控制
用户身份认证
防间接攻击
防推理攻击
其它:可获性、访问判决
Web数据库安全
1。Web与http协议的安全
增强服务器安全性
Http远程服务请求和远程执行命令的问题
S-HTTP和SSL
2。CGI安全
对CGI参数检查不充分
破坏合法用户文件
在服务器上执行命令
不要依赖“隐藏变量”
3。Java 和JavaScript安全问题
执行任意机器指令漏洞
Applet之间的交互问题和抢占系统资源
与随意主机建立连接
更多漏洞
欺骗用户上载文件
获得用户目录列表
监视用户网页,上载URL
4。ActiveX安全:不限制控件能力
5。Cookie安全:记住用户,侵犯隐私