标签:基于 影响 商业 并发控制 工资 流控制 实施 int 漏洞
主要目标
当我们谈及数据库安全的时候,主要是希望实现三个目标:
机密性(Confidentiality):数据只能展示给那些获得权限允许访问的用户对象。
例如,由存取控制机制执行
完整性(Integrity):数据只能被拥有修改权限的用户对象修改。
例如,由模式上指定的访问控制机制和完整性约束实施
可用性(Availability):如果某个用户对象允许访问或修改对象,那么他应当能够这么做。
例如,由恢复和并发控制机制强制执行
在实现数据库安全的实践中,可能还会采用其他的服务,例如:
加密(Encryption):在跨系统传输和存储在辅助存储器上时保护数据。
查询身份验证(Query authentication):通过使用签名机制和数据结构来确保查询结果是正确的。
数据库安全提供的保护通常针对两种情况:
禁止没有数据库访问权限的用户进行任何访问;
阻止具有数据库访问权限的用户对数据库执行不需要执行的操作。
数据库安全漏洞的威胁
数据库潜在的安全漏洞,如果成功,将对数据库产生一定的影响。主要有以下几个方面,与数据库安全的主要目标对应:
机密性缺失(Loss of confidentiality):数据不应该被那些没有合法访问权限的人访问。
完整性缺失(Loss of integrity):不应通过有意或无意的行为。
可用性缺失(Loss of availability):数据应该对那些拥有合法访问权限的人保持可访问性。
控制措施
访问控制(Access control)
限制对数据库系统的访问
例如,用户帐户和密码
推理控制(Inference control)
确保用户未被授权访问的数据不能从统计或汇总数据中推断出来
例如,知道某个部门的平均工资,但不知道某个特定人员的工资
流控制(Flow control)
防止数据流入未经授权的用户
例如,避免秘密通道
数据加密(Data encryption)
在储存和传送过程中保护敏感资料
例如密码和信用卡资料。
访问控制(Access Control)
访问控制是指控制对数据库中资源的访问的任何方法,可以将其视为身份验证(authentication)和授权(authorization)以及其他措施(如基于ip的限制)的组合
作者:Ulrich蚊子
链接:https://www.jianshu.com/p/975fbe9403eb
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
【数据库】数据库入门(十一): 数据库安全(Database Security)
标签:基于 影响 商业 并发控制 工资 流控制 实施 int 漏洞
原文地址:https://www.cnblogs.com/ciou/p/13374213.html