第 9章 网络数据管理 1
9.3 网络数据库的访问控制
9.3.1 网络数据库访问控制方式
9.3.2 Oracle数据库访问控制简介
第 9章 网络数据管理 2
9.3.1 网络数据库访问控制方式
访问控制 是通过某种途径显式地准许或限制访问能力及
范围的一种方法。访问控制的目的是使用户只能进行经过授
权的相关数据库操作。
访问控制系统一般包括:
? 主体
? 客体
? 安全访问政策
第 9章 网络数据管理 3
9.3.1 网络数据库访问控制方式
访问控制方式有自主访问控制( DAC,Discretionary
Access Control)、强制访问控制( MAC,Mandatory
Access Control)和基于角色访问控制( RBAC,Role-
Based Access Control)。
1,自主访问控制
其基本思想是允许某个主体显式地控制其他主体对其自
身所拥有信息资源的访问,指定其他主体是否可以访问以及
可执行的访问类型。
信息在移动过程中其访问权限关系会被改变。如用户 A
可将其对目标 O的访问权限传递给用户 B,从而使原来对 O没
有访问权限的 B可以访问 O。
第 9章 网络数据管理 4
9.3.1 网络数据库访问控制方式
2,强制访问控制
MAC给每个访问主体和客体分级,指定其信任度。
MAC通过比较主体和客体的信任度来决定一个主体能否访问
某个客体,具体 遵循以下两条规则:
下读,仅当主体的信任度大于或等于客体的信任度时,
主体才能对客体进行读操作。
上写,仅当主体的信任度小于或等于客体的信任度时,
主体才能对客体进行写操作。
第 9章 网络数据管理 5
9.3.1 网络数据库访问控制方式
3,基于角色访问控制
所谓,角色,,就是一个或一群用户在组织内可执行的
操作的集合。
RBAC根据用户在组织内所处的角色进行访问授权与控
制。只有系统管理员有权定义和分配角色。用户与客体无直
接联系,只有通过角色才享有该角色所对应的权限,从而访
问相应的客体。
第 9章 网络数据管理 6
9.3.1 网络数据库访问控制方式
RBAC的特点:
? 以角色作为访问控制的主体
? 角色继承
? 最小权限原则
? 职责分离
? 角色容量
第 9章 网络数据管理 7
9.3.2 Oracle数据库访问控制简介
Oracle系统的安全性管理采用了基于角色的访问控制方法。
安全性管理采用了基于角色的访问控制方法
Oracle提供了三种标准角色:
? CONNECT
? RESOURCE
? DBA
第 9章 网络数据管理 8
9.3.2 Oracle数据库访问控制简介
在实际应用中,我们采用:
? 根据应用系统特点,建立几个核心用户,将表、视图、
存储过程、触发器、序号生成器等数据库对象建立在
相应的核心用户中。
? 根据系统用户的特点,建立各种类型的角色,并将核
心用户中的数据库对象的相应权限授予相应角色。
? 建立一个通用用户默认角色,该角色只有 CONNECT
权限,将该角色授予任一角色,并设置成默认角色。
在每次与数据库中断连接之前,屏蔽其他角色,只有
该角色有效;在与数据库连接后,只有该角色有效,
其后根据用户的需要,在应用程序中设置其他角色有
效。
9.3 网络数据库的访问控制
9.3.1 网络数据库访问控制方式
9.3.2 Oracle数据库访问控制简介
第 9章 网络数据管理 2
9.3.1 网络数据库访问控制方式
访问控制 是通过某种途径显式地准许或限制访问能力及
范围的一种方法。访问控制的目的是使用户只能进行经过授
权的相关数据库操作。
访问控制系统一般包括:
? 主体
? 客体
? 安全访问政策
第 9章 网络数据管理 3
9.3.1 网络数据库访问控制方式
访问控制方式有自主访问控制( DAC,Discretionary
Access Control)、强制访问控制( MAC,Mandatory
Access Control)和基于角色访问控制( RBAC,Role-
Based Access Control)。
1,自主访问控制
其基本思想是允许某个主体显式地控制其他主体对其自
身所拥有信息资源的访问,指定其他主体是否可以访问以及
可执行的访问类型。
信息在移动过程中其访问权限关系会被改变。如用户 A
可将其对目标 O的访问权限传递给用户 B,从而使原来对 O没
有访问权限的 B可以访问 O。
第 9章 网络数据管理 4
9.3.1 网络数据库访问控制方式
2,强制访问控制
MAC给每个访问主体和客体分级,指定其信任度。
MAC通过比较主体和客体的信任度来决定一个主体能否访问
某个客体,具体 遵循以下两条规则:
下读,仅当主体的信任度大于或等于客体的信任度时,
主体才能对客体进行读操作。
上写,仅当主体的信任度小于或等于客体的信任度时,
主体才能对客体进行写操作。
第 9章 网络数据管理 5
9.3.1 网络数据库访问控制方式
3,基于角色访问控制
所谓,角色,,就是一个或一群用户在组织内可执行的
操作的集合。
RBAC根据用户在组织内所处的角色进行访问授权与控
制。只有系统管理员有权定义和分配角色。用户与客体无直
接联系,只有通过角色才享有该角色所对应的权限,从而访
问相应的客体。
第 9章 网络数据管理 6
9.3.1 网络数据库访问控制方式
RBAC的特点:
? 以角色作为访问控制的主体
? 角色继承
? 最小权限原则
? 职责分离
? 角色容量
第 9章 网络数据管理 7
9.3.2 Oracle数据库访问控制简介
Oracle系统的安全性管理采用了基于角色的访问控制方法。
安全性管理采用了基于角色的访问控制方法
Oracle提供了三种标准角色:
? CONNECT
? RESOURCE
? DBA
第 9章 网络数据管理 8
9.3.2 Oracle数据库访问控制简介
在实际应用中,我们采用:
? 根据应用系统特点,建立几个核心用户,将表、视图、
存储过程、触发器、序号生成器等数据库对象建立在
相应的核心用户中。
? 根据系统用户的特点,建立各种类型的角色,并将核
心用户中的数据库对象的相应权限授予相应角色。
? 建立一个通用用户默认角色,该角色只有 CONNECT
权限,将该角色授予任一角色,并设置成默认角色。
在每次与数据库中断连接之前,屏蔽其他角色,只有
该角色有效;在与数据库连接后,只有该角色有效,
其后根据用户的需要,在应用程序中设置其他角色有
效。
