《数据安全》PPT课件.ppt

《《数据安全》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《数据安全》PPT课件.ppt（36页珍藏版）》请在三一办公上搜索。

1、第五章 数据安全,5-1 数据库恢复技术 5-2 并发控制 5-3 安全性,5-1 数据库恢复技术,尽管数据库系统中采取了各种保护措施来防止数据库的安全性和完整性被破坏，保证并发事务的正确执行，但是计算机系统中硬件的故障、软件的错误、操作员的失误以及恶意的破坏仍是不可避免的，这些故障轻则造成运行事务非正常中断，影响数据库中数据的正确性，重则破坏数据库，使数据库中全部或部分数据丢失，因此数据库管理系统必须具有把数据库从错误状态恢复到某一已知的正确状态(亦称为一致状态或完整状态)的功能，这就是数据库的恢复。,恢复子系统是数据库管理系统的一个重要组成部分，而且还相当庞大，常常占整个系统代码的10%以

2、上。数据库系统所采用的恢复技术是否行之有效，不仅对系统的可靠程度起着决定性作用，而且对系统购运行效率也有很大影响，是衡量系统性能优劣的重要指标。,一、事务的概念,1、事务 事务是用户定义的一个操作序列，这些操作要么全做要么全不做，是一个不可分割的工作单位。例如，在关系数据库中，一个事务可以是一条SQL语句、一组SQL语句或整个程序。事务的开始与结束可以由用户显式控制。如果用户没有显式地定义事务，则由DBMS按缺省规定自动划分事务。在SQL语言中，定义事务的语句有三条：BEGIN TRANSACTIONCOMMITROLLBACK,事务的开始：BEGIN TRANSACTION事务的结束COMM

3、IT 表示提交，即提交事务的所有操作，即将事务中所有对数据库的更新写回到磁盘上的物理数据库中去，事务正常结束。ROLLBACK 表示回滚，即在事务运行的过程中发生了某种故障，事务不能继续执行，系统将事务中对数据库的所有已完成的操作全部撤消，滚回到事务开始时的状态。,2、事务的特性 事务具有四个特性：原子性、一致性、隔离性和持续性。（1）原子性：事务是数据库的逻辑工作单位，事务中包括的诸操作要么都做，要么都不做。（2）一致性：事务执行的结果必须是使数据库从一个一致性状态变到另一个一致性状态。如果数据库系统运行中发生故障，有些事务尚未完成就被迫中断，系统将事务中对数据库的所有已完成的操作全部撤消，

4、滚回到事务开始时的一致状态。,例如某公司在银行”有A，B两个账号，现在公司想从账号A中取出万元，存入账号B。那么就可以定义一个事务，该事务包括两个操作：第1个操作是从账号A中减去1万元；第2个操作是向账号B中加入1万元。这两个操作要么全做，要么全不做。全做或者全不做，数据库都处于一致性状态。如果只做一个操作则用户逻辑上就会发生错误，少了1万元，这时数据库就处于不一致性状态。可见一致性与原于性是密切相关的。,（3）隔离性：一个事务的执行不能被其他事务干扰。即一个事务内部的操作及使用的数据对其他并发事务是隔离的，并发执行的各个事务之间不能互相干扰。（4）持续性：持续性也称永久性（Permanenc

5、e），指一个事务一旦提交，它对数据库中数据的改变就应该是永久性的。接下来的其他操作或故障不应该对其执行结果有任何影响。,事务的概念,事务是恢复和并发控制的基本单位。事务ACID特性可能遭到破坏的因素有：（1）多个事务并行运行时，不同事务的操作交叉执行。（2）事务在运行过程中被强行停止。在第一种情况下，DBMS必须保证多个事务的交叉运行不影响这些事务的原子性。在第二种情况下，DBMS必须保证被强行终止的事务对数据库和其它事务没有任何影响。,二、故障的种类,1、事务内部的故障 事务内部的故障有的是可以通过事务程序本身发现的（见下面转帐事务的例子），有的是非预期的，不能由事务程序处理的。,例如：银行

6、转帐事务，这个事务把一笔金额从一个帐户甲转给另一个帐户乙。BEGIN TRANSACTION读帐户甲的余额BALANCE；BALANCE=BALANCE-AMOUNT；（AMOUNT 为转帐金额）IF（BALANCE0）THEN 打印金额不足，不能转帐；ROLLBACK；（撤消刚才的修改，恢复事务）ELSE 读帐户乙的余额BALANCE1；BALANCE1=BALANCE1+AMOUNT；写回BALANCE1；COMMIT；,这个例子所包括的两个更新操作要么全部完成要么全部不做。否则就会使数据库处于不一致状态，例如只把帐户甲的余额减少了而没有把帐户乙的余额增加。在这段程序中若产生帐户甲余额不足

7、的情况，应用程序可以发现并让事务滚回，撤消已作的修改，恢复数据库到正确状态。事务故障意味着事务没有达到预期的终点，数据库可能处于不正确状态。DBMS要在不影响其它事务运行的情况下，强行回滚（ROLLBACK）该事务，撤消该事务已经作出的任何对数据库的修改，使得该事务好象根本没有启动一样。,2、系统故障 系统故障是指造成系统停止运转的任何事件，使得系统要重新启动。例如硬件错误（CPU故障）、操作系统故障等。这类故障影响正在运行的所有事务，但不破坏数据库。这时数据库缓冲区中的内容丢失，所有运行事务都非正常终止，一些尚未完成的事务的结果可能已存入物理数据库，可能有一部分甚至全部留在缓冲区，尚未写回到

8、磁盘上的物理数据库中，从而造成数据库处于不正确的状态。为保证数据一致性，DBMS必须在系统重新启动时让所有非正常终止的事务回滚，强行撤消所有未完成事务。重做所有已提交的事务。,三、恢复的技术,恢复机制涉及的两个关键问题是：（1）如何建立冗余数据；（2）如何利用这些冗余数据实施数据库恢复。建立冗余数据最常用的技术是数据转储和日志文件。通常在一个数据库系统中，这两种方法是一起使用的。,1、数据转储 所谓转储即DBA定期地将整个数据库复制到磁带或另一个磁盘上保存起来的过程。这些备用的数据文本称为后备副本或后援副本。当数据库遭到破坏后可以将后备副本重新装入，但重装后备副本只能将数据库恢复到转储时的状态

9、，要想恢复到故障发生时的状态，必须重新运行自转储以后的所有更新事务。,转储是十分耗费时间和资源的，不能频繁进行。DBA应该根据数据库使用情况确定一个适当的转储周期。转储还可以分为海量转储和增量转储两种方式。海量转储是指每次转储全部数据库。增量转储则指每次只转储上一次转储后更新过的数据。从恢复角度看，使用海量转储得到的后备副本进行恢复一般说来会更方便些。但如果数据库很大，事务处理又十分频繁，则增量转储方式更实用更有效。,2、日志文件 日志文件是用来记录事务对数据库的更新操作的文件。每个日志记录的内容主要包括：事务标识(标明是哪个事务)操作的类型(插入、删除或修改)操作对象(记录内部标识)更新前数

10、据的旧值（对插入操作而言为空）更新后数据的新值(对删除操作而言为空),日志文件可以用来进行事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复。为保证数据库是可恢复的，登记日志文件时必须遵循两条原则：（1）登记的次序严格按并发事务执行的时间次序。（2）必须先写日志文件，后写数据库。把对数据的修改写到数据库中和把写表示这个修改的日志记录写到日志文件中是两个不同的操作。有可能在这两个操作之间发生故障，即这两个写操作只完成了一个。如果先写了数据库修改，而在运行记录中没有登记下这个修改，则以后就无法恢复这个修改了。如果先写日志，但没有修改数据库，则重新执行一次日志文件中的已记载的操作，即可使数据

11、库处于正确性的状态。,四、恢复策略,当系统运行过程中发生故障，利用数据库后备副本和日志文件就可以将数据库恢复到故障前的某个一致性状态。不同故障其恢复策略和方法也不一样。,1、事务故障的恢复 事务故障是指事务在运行至正常终止点前被中止，这时DBMS利用日志文件撤消此事务已对数据库进行的修改。事务故障的恢复是由系统自动完成的，对用户是透明的。,恢复步骤是：（1）反向扫描文件日志（即从最后向前扫描日志文件），查找该事务的更新操作。（2）对该事务的更新操作执行逆操作。即将日志记录中“更新前的值”写入数据库。这样，如果记录中是插入操作，则相当于做删除操作（因此时“更新前的值”为空）。若记录中是删除操作，

12、则做插入操作，若是修改操作，则相当于用修改前值代替修改后值。（3）继续反向扫描日志文件，查找该事务的其他更新操作，并做同样处理。（4）如此处理下去，直至读到此事务的开始标记，事务故障恢复就完成了。,2、系统故障的恢复 系统故障造成数据库不一致状态的原因有两个，一是未完成事务对数据库的更新可能已写入数据库，二是已提交事务对数据库的更新可能还留在缓冲区没来得及写入数据库。因此恢复操作就是要撤消故障发生时未完成的事务，重做已完成的事务。系统故障的恢复是由系统在重新启动时自动完成的，不需要用户干预。,（1）正向扫描日志文件（即从头扫描日志文件），找出在故障发生前已经提交事务，将其事务标识记入重做（RE

13、DO）队列。同时找出故障发生时尚未完成的事务，将其事务标识记入撤消队列。（2）对撤消队列中的各个事务进行撤消(UNDO)处理。进行UNDO处理的方法是，反向扫描日志文件，对每个UNDO事务的更新操作执行逆操作，即将日志记录中“更新前的值”写入数据库。（3）对重做队列中的各个事务进行重做(REDO)处理。进行REDO处理的方法是：正向扫描日志文件，对每个REDO事务重新执行日志文件登记的操作。即将日志记录中“更新后的值”写入数据库。,5-2 并发控制,数据库是一个共享资源，可以供多个用户使用。允许多个用户同时使用的数据库系统称为多用户数据库系统。当多个用户并发地存取数据库时就会产生多个事务同时存

14、取同一数据的情况。若对并发操作不加控制就可能会存取和存储不正确的数据，破坏数据库的一致性。数据库管理系统必须提供并发控制机制。并发控制机制是衡量一个数据库管理系统性能的重要标志之一。,一、并发操作隐含的数据不一致性问题,考虑飞机订票系统中的一个活动序列:（1）甲售票点（甲事务）读出某航班的机票余额A,设A=16.（2）乙售票点（乙事务）读出同一航班的机票余额A,也为16.（3）甲售票点卖出一张机票,修改余额AA-1.所以A为15,把A写回数据库.（4）乙售票点也卖出一张机票,修改余额AA-1.所以A为15,把A写回数据库.结果明明卖出两张机票，数据库中机票余额只减少1。并发操作带来的数据不一致

15、性包括三类：丢失修改不可重复读读“脏”数据。,1、丢失修改 两个事务T1和T2读入同一数据并修改，T2提交的结果破坏了T1提交的结果，导致T1的修改被丢失。上面飞机订票例子就属此类。,2、不可重复读 当事务T1读取某数据后，随后事务T2对该数据执行更新操作，使T1无法再现前一次读取结果。不可重复读包括三种情况：(1)事务T1读取某一数据后，事务T2对其做了修改，当 事务T1再次读该数据时，得到与前一次不同的值。(2)事务T1按一定条件从数据库中读取了某些数据记录后，事务T2删除了其中部分记录，当T1再次按相同条件读取数据时，发现某些记录神密地消失了。(3)事务T1按一定条件从数据库中读取某些数

16、据记录后，事务T2插入了一些记录，当T1再次按相同条件读取数据时，发现多了一些记录。,3、读“脏”数据（dirty read）读“脏”数据是指事务T1修改某一数据，并将其写回磁盘，事务T2读取同一数据后，T1由于某种原因被撤消，这时T1已修改过的数据恢复原值，T2读到的数据就与数据库中的数据不一致，则T2读到的数据就为“脏”数据,即不正确的数据。产生上述三类数据不一致性的主要原因是并发操作破坏了事务的隔离性。并发控制就是要用正确的方式调度并发操作，使一个用户事务的执行不受其它事务的干扰，从而避免造成数据的不一致性。,二、封锁,封锁是实现并发控制的一个非常重要的技术。封锁就是事务 T 在对某个数

17、据对象（如表、记录等）操作之前，先向系统发出请求，对其加锁。加锁后事务 T 就对该数据对象有了一定的控制，在事务T释放它的锁之前，其它的事务不能更新此数据对象。,两种基本封锁:排它锁(X锁)排它锁又称为写锁。若事务T对数据对象 A 加上 X 锁，则只允许 T 读取和修改 A，其它任何事务都不能访问 A，也不能对A加任何类型的锁，直到事务 T 释放 A 上的锁。这就保证了其它事务在 T 释放 A 上的锁之前不能再读取和修改 A。共享锁(S锁)共享锁又称为读锁。若事务 T 对数据对象 A 加上 S 锁，则事务 T 可以读 A 但不能修改 A，其它事务只能再对 A 加S 锁，而不能加 X 锁，直到

18、T 释放 A 上的 S 锁。这就保证了其它事务可以读 A，但在 T 释放 A 上的 S 锁之前不能对 A 做任何修改。,5-3 安全性,计算机系统安全性，是指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。,一、安全性控制的一般方法,1、用户标识和鉴别 其方法是由系统提供一定的方式让用户标识自己的名字或身份。每次用户要求进入系统时，由系统进行核对，通过鉴定后才提供机器使用权。例如，使用用户名和口令。2、存取控制 通过对用户授权确定用户的访问数据库权限。存取控制是由两个要素组成：数据对象和操作类型。定义

19、一个用户的权限就是要定义这个用户可以在哪些数据对象上进行哪些类型的操作。当用户试图对数据库进行操作时，系统根据用户的存取控制权限判断其操作的合法性。若用户的操作请求超出了定义的权限，系统将拒绝执行此操作。,衡量授权机制一个重要指标是授权粒度。粒度越细，授权越灵活。在关系数据库系统中，授权的数据粒度包括表、列、行等。,3、定义视图 可以为不同的用户定义不同的视图，把数据对象限制在一定的范围内。通过视图机制把要保密的数据对无权存取的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。4、审计 审计就是把用户对数据库的所有操作自动记录下来放入审计日志中。DBA可以利用审计跟踪的信息，重现导致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等。,5、数据加密 数据加密是防止数据库中数据在存储和传输中失密的有效手段。加密的基本思想是根据一定的算法将原始数据（明文）变换为不可直接识别的格式（密文），从而使得不知道解密算法的人无法获知数据的内容。加密方法主要有两种：替换方法：该方法使用密钥将明文中的每一个字符转换为密文中的一个字符。置换方法：该方法仅将明文的字符按不同的顺序重新排列。,