数据库安全知识课件.pptVIP

数据库安全知识培训主讲人：胡浩强电话：邮箱：天津优扬科技有限公司信息安全等级保护测评机构CSPEC-PGWJ09

内容提要v数据库概述v数据库安全概述v数据库安全技术v典型数据库安全§SQLServer数据库安全§Oracle数据库安全vSQLInjection安全问题

数据库发展简史v1961年GE开发出第一个数据库系统IDS（IntegratedDataStore），是网状数据库系统。IDS具有数据模式和日志的特征，只能在GE主机上运行，并且数据库只有一个文件。vIBM公司在1968年开发的IMS（InformationManagementSystem），是一种层次数据库系统v1970年，IBM的研究员提出了关系模型的概念，奠定了关系模型的理论基础。并以此开发SystemR，该项目直到1980年才正式推出。v1973年加州大学伯克利分校的MichaelStonebraker和EugeneWong利用SystemR已发布的信息开始开发自己的关系数据库系统Ingres。v1976年Honeywell公司开发了第一个商用关系数据库系统——MulticsRelationalDataStore。

数据库发展简史v1979年Oracle(当时还是RSI)引入了第一个商用SQL关系数据库管理系统——OracleV2。v1980年Informix公司成立，推出的第一个关系数据库产品是InformixSE（StandardEngine）。v1983年IBM推出了DB2数据库产品。v1984年Sybase公司成立，87年与微软合作开发OS/2平台的数据库，并于89年推出SQLServer1.0v1996年，MySQL以二进制形式在Internet上发布v1996年Stonebraker提出面向对象的关系数据库系统理论，99年发表的SQL3标准就引进面向对象的关系型数据库的许多内容。v随着Internet的发展XML成为标准语言，XML数据库成为发展的新趋势。

数据库基础v数据库是按照数据结构来组织、存储和管理数据的仓库。v数据库通常分为层次式数据库、网络式数据库、关系式数据库和面向对象数据库等。v目前流行的数据库系统是关系数据库，它也是最有效率的数据组织方式之一，所有数据都按表进行组织和管理。v数据库管理系统（DBMS）是为建立、使用和维护数据库而设计的数据管理软件。如：DB2、Oracle、SQLServer等。

数据库系统构成v数据库§存取数据v数据库管理系统（DBMS）§为用户及程序提供数据访问，并对数据库进行管理、维护，通常主要包括存储管理器和查询理器两大部分。

内容提要v数据库概述v数据库安全概述v数据库安全技术v典型数据库安全§SQLServer数据库安全§Oracle数据库安全vSQLInjection安全问题

数据库的重要性v数据库是电子商务、金融、办公自动化及其他信息化系统等的核心。v数据库保存着敏感的信息资源，如客户信息或个人资料、商业事务、业务帐务等。

数据库的安全性v与系统紧密相关但更难正确配置和保护v一些安全漏洞不仅威胁数据库的安全，也威胁到操作系统和其他可信任的系统v对数据库的安全重视程度远比不上对待操作系统和网络

数据库面临的安全威胁v凡是对数据库内数据的非授权访问（如读取）或非授权写入（修改、删除、增加等）都对数据库造成了威胁和破坏v在正常需要期间，造成授权用户不能得到数据库服务时也对数据库造成了威胁和破坏

数据库的安全威胁形式v黑客正在关注数据库安全v蠕虫和病毒开始针对数据库系统v数据库开发和应用存在大量的安全问题v默认口令和配置在数据库中大量存在v增长的业务应用发展

典型数据库应用与攻击v典型数据库应用与攻击AttackInternet等用应用服务器中间件数据库服务器

数据库的安全要求v数据完整性、可用性、机密性v可审计性v用户认证v访问控制

数据库的安全需求v对操作系统的安全需求§防止对DBMS的非法访问和修改§保护存储的数据、文件的安全性§对数据库用户的认证v对数据库系统本身的安全需求§用户认证管理、访问控制、审计§数据库的稳定性§保证数据的安全性与完整性，完善的恢复功能§数据加密v对数据库应用系统的安全需求§访问控制、认证管理§对数据库的保护防止非法访问和修改§自身的稳定性

内容提要v数据库概述v数据库安全概述v数据库安全技术v典型数据库安全§SQLServer数据库安全§Oracle数据库安全vSQLInjection安全问题

数据库基本安全构架（一）v数据库的安全模型§自主安全模型（DAC）?用户对信息的存取控制是基于用户的鉴别和确定的存取访问控制规则