sybase数据库安全.pdf

Sybase数据库安全 Sybase数据库安全是Sybase数据库管理系统的核心部分，旨在保护数据库免受非法访问和操作。Sybase数据库安全机制基于四点原则：选择性访问控制（Discretionary Access Controls DAC）、验证、授权和审计。这些原则旨在确保只有授权的合法用户才能访问和操作数据库。 安全性控制的层次结构 Sybase数据库安全机制采用分层解决方案，分为多个层次以保护数据库的安全。第一层是注册和用户许可，保护对服务器的基本存取；第二层是存取控制，对不同用户设定不同的权限，使数据库得到最大限度的保护；第三层是增加限制数据存取的视图和存储过程，在数据库与用户之间建立一道屏障。 选择性访问控制（Discretionary Access Controls DAC） 选择性访问控制（DAC）是Sybase数据库安全机制的核心部分。DAC用来决定用户是否有权访问数据库对象。在Sybase数据库中，所有权限都分配给系统管理员，系统管理员可以在服务器上增加注册者（Logins），Logins可以登录服务器但不能访问数据库。数据库属主（DBO）有权增加用户（users），users可以使用分配给它的数据库。 验证 验证是Sybase数据库安全机制的第二个重要组件。验证就是保证只有授权的合法用户才能注册和访问。在用户登录时，系统要通过口令进行验证，以防止非法用户盗用他人的用户名进行登录。 授权 授权是Sybase数据库安全机制的第三个重要组件。授权对不同的用户访问数据库授予不同的权限。在Sybase数据库中，对象的所有者或创建者自动被授予对对象的许可权。所有者则有权决定把许可权授予其他用户。Sybase提供了GRANT和REVOKE命令，以便授予或取消许可权。 审计 审计是Sybase数据库安全机制的第四个重要组件。Sybase提供了Audit Server，它是能够全面审计跟踪服务器上一切活动的工具。在某些情况下，我们难以阻止非法操作的发生，但至少可以监视非法操作，并采取跟踪措施，找出非法执行操作的人。 视图和存储过程 视图和存储过程是Sybase数据库安全机制的两个重要组件。它们像数据库中的其他对象，也要进行权限设定，这样用户只能取得对视图和存储过程的授权，而无法访问底层表。视图可以限制底层表的可见列，从而限制用户能查询的数据列的种类，还能通过应用Where子句限制表返回的行。 实例说明 下面以具体实例说明Sybase的安全性控制策略。假设开发一个新项目，需要建一个服务器，命名为Server，系统自动产生SA，并要求输入口令。在这个例子中，我们创建了两个用户USER1和USER2，这两个用户只能访问数据库DB。DB中有两张表TABLE1和TABLE2。USER1要访问DB时，首先以Login登录服务器，默认数据库DB被打开，Login的身份就会化为USER1。在完成了登录和验证后，我们可以通过授权进行安全性控制。授权命令要由数据库属主SA发出：GRANT ALL ON TABLE1，TABLE2 TO USER1则USER1拥有对TABLE1，TABLE2的所有权限。 Sybase数据库安全机制是一个复杂的安全系统，旨在保护数据库免受非法访问和操作。通过选择性访问控制、验证、授权和审计四点原则，Sybase数据库安全机制能够确保数据库的安全性。同时，视图和存储过程也可以增强系统的安全性，使用户只能取得对视图和存储过程的授权，而无法访问底层表。