免费智能真题库 > 历年试卷 > 系统分析师 > 2018年上半年 系统分析师 上午试卷 综合知识
  第45题      
  知识点:   数据库的安全性   权限管理   用户权限管理
  关键词:   信息系统   用户权限管理   权限管理        章/节:   数据库系统       

 
若某企业信息系统的应用人员分为三类:录入、处理和查询,那么用户权限管理的方案适合采用( )。
 
 
  A.  针对所有人员建立用户名并授权
 
  B.  建立用户角色并授权
 
  C.  建立每类人员的视图并授权给每个人
 
  D.  对关系进行分解,每类人员对应一组关系
 
 
 

 
  第42题    2021年上半年  
   14%
在数据库系统中,视图实际上是一个()。
  第41题    2020年下半年  
   41%
若事务T1对数据D1已加排它锁,事务T2对数据D2已加共享锁,那么(41)。
  第41题    2016年上半年  
   77%
分布式事务的执行可能会涉及到多个站点上的数据操作,在两阶段提交协议中,当事务Ti的所有读写操作执行结束后,事务T..
   知识点讲解    
   · 数据库的安全性    · 权限管理    · 用户权限管理
 
       数据库的安全性
        DBS的信息安全性在技术上可以依赖于两种方式,一种是DBMS本身提供的用户身份识别、视图、使用权限控制、审计等管理措施,例如,大型数据库管理系统如Oracle和Sybase等均有此功能;另一种就是靠数据库的应用程序来实现对数据库访问进行控制和管理,例如,dBASE、FoxBase、FoxPro等开发的数据库应用程序,很多数据的安全控制都由应用程序里面的代码来实现。
               用户认证
               用户的身份认证是用户使用DBMS系统的第一个环节,用户的身份鉴别是DBMS识别什么用户能做什么事情的依据。
               (1)口令认证。口令(password,密码)是一种身份认证的基本形式,用户在建立与DBMS的访问连接前必须提供正确的用户账号(userid)和口令,DBMS与自身保存的用户列表中的用户标识和口令比较,如果匹配则认证成功,允许用户使用数据库系统;如果不匹配则返回拒绝信息。这种认证判断过程往往是数据库登录的第一步,用户账户(account)的账号和口令是口令认证方式中的核心,用户信息可以保存在数据库内、操作系统内或者集中的目录服务器(Directory Server)用户身份证书库内。
               (2)强身份认证。在网络环境下,客户端到DBMS服务器可能经过多个环节,在身份认证期间,用户的信息和口令可能会经过很多不安全的节点(如路由器和服务器),而被信息的窃听者窃取。强身份认证过程使认证可以结合信息安全领域一些更深入的技术保障措施,来强化用户身份的鉴别,例如,与用户证书、智能卡、用户指纹识别等多种身份识别技术相结合。
               用户角色
               按每个用户指定操作权限在用户数目比较多的时候往往是一项非常繁重的工作,所以DBMS提供角色来描述具有相同操作权限的用户集合,不同角色的用户授予不同的数据管理和访问操作权限。一般可以将权限角色分为3类,分别是数据库登录权限类、资源管理权限类和DBA权限类。
               有了数据库登录权限的用户才能进入DBMS,才能使用DBMS所提供的各类工具和实用程序。同时,数据对象的创建者(owner)可以授予这类用户以数据查询、建立视图等权限。这类用户只能查阅部分数据库信息,不能修改数据库中的任何数据。
               具有资源管理权限的用户,除了拥有上一类的用户权限外,还有创建数据库表、索引等数据对象的管理权限,可以在权限允许的范围内修改、查询数据库,还能将自己拥有的权限授予其他用户,可以申请审计。
               具有DBA权限的用户将具有数据库管理的全部权限,包括访问任何用户的任何数据,授予(或回收)用户的各种权限,创建各种数据对象,完成数据库的整库备份、装入重组及进行全系统的审计等工作。
               当然,不同的DBMS,可能对用户角色的定义不尽相同,权限的划分的细致程度也远超过上面3种基本的类型,而基于角色的用户权限管理是现在每个主流数据库产品(例如,IBM DB2、Oracle、Sybase、MS SQL Server等)和一些专用的数据库产品(例如,NCR Teradata、Hyperion Essbase等)都具有的特性。
               数据授权
               同一类功能操作权限的用户,对数据库中数据对象管理和使用的范围又可能是不同的,因此DBMS除了要提供基于功能角色的操作权限控制外,还要提供对数据对象的访问控制,访问控制可以根据对控制用户访问数据对象的粒度从大到小分为4个层次。
               (1)数据库级别:判断用户是否可以使用访问数据库里的数据对象,包括表、视图、存储过程。
               (2)表级:判断用户是否可以访问关系里面的内容。
               (3)行级:判断用户是否能访问关系中的一行记录的内容。
               (4)属性级:判断用户是否能访问表关系中的一个列(属性、字段)的内容。
               管理员把某用户可查询的数据和元素在逻辑上归并起来,简称一个或多个用户视图,并赋予名称,再把该视图的各种使用权限授予该用户(也可以授予多个用户)。
               DBMS对于用户的访问存取控制有以下两个基本的原则:
               (1)隔离原则:用户只能存取他自己所有的和已经取得授权的数据对象。
               (2)控制原则:用户只能按他所取得的数据存取方式存取数据,不能越权。
               数据库授权可以分为静态授权和动态授权。一般意义上,可以把静态授权理解成为是DBMS的隐性授权,也就是说用户(或DBA)对他自己拥有的信息是不需要有指定的授权动作就拥有全权管理和操作的权限的。与静态授权相对应,只有数据对象的所有者或者DBA默认地拥有对数据的存取权,动态授权则允许这些用户把这些权力授予其他的用户,现在DBMS支持的SQL语言里面有专门的授权语句。
               数据库视图
               视图可以被看成是虚拟表或存储查询。可通过视图访问的数据不作为独特的对象存储在数据库内。数据库内存储的是SELECT语句。SELECT语句的结果集构成视图所返回的虚拟表。用户可以用引用表时所使用的方法,在SQL语句中通过引用视图名称来使用虚拟表。使用视图可以实现下列功能:
               (1)将用户限定在表中的特定行上。例如,只允许雇员看见工作跟踪表内记录其工作的行。
               (2)将用户限定在特定列上。例如,对于那些不负责处理工资单的雇员,只允许他们看见雇员表中的姓名、工作电话和部门列,而不能看见任何包含工资信息或个人信息的列。
               (3)将多个表中的列连接起来,使它们看起来像一个表。
               (4)聚合信息而非提供详细信息。例如,显示一个列的和,或列的最大值和最小值。
               如果需要限制用户使用的数据,可以将视图作为一种安全机制。通过定义SELECT语句以检索将在视图中显示的数据来创建视图。SELECT语句引用的数据表称为视图的基表。
               审计功能
               如果身份认证是一种事前的防范措施,审计则是一种事后监督的手段。跟踪也是DBMS提供的监视用户动作的功能,然而,审计和跟踪是两个不同的概念,主要是两者的目的不同。跟踪主要是满足系统调试的需要,捕捉到的用户行为记录往往只用于分析,而并不长久地保存,而审计作为一种安全检查的措施,会把系统的运行状况和用户访问数据库的行为记录以日志保存下来,这种日志往往作为一种稽查用户行为的一种证据。
               根据审计对象的区分,有两种方式的审计,即用户审计和系统审计。用户审计时,DBMS的审计系统记下所有对自己表或视图进行访问的企图(包括成功的和不成功的)及每次操作的用户名、时间、操作代码等信息。这些信息一般都被记录在操作系统或DBMS的日志文件里面,利用这些信息可以对用户进行审计分析。系统审计由DBA进行,其审计内容主要是系统一级命令及数据对象的使用情况。
 
       权限管理
        权限管理为整体平台及后续管理提供统一的账户管理和授权管理等功能,支持地域、权限、角色和组织的管理。
        支持部门管理:支持多级部门(如处、科)。分配给部门的角色,将被该部门下的所有用户所继承,如下图所示。
        
        业务单位管理
        支持账户管理:对账户能够进行管理维护,包括增加、删除、修改、查询账户信息,如下图所示。
        
        账户管理
        支持角色管理:角色表示一类特定的权限的集合,包括可以进行的操作和可以管理的资源,通过角色管理可以动态地创建、删除和修改角色,形成新的权限集合,以便分配给账户,达到控制账户权限的目的,如下图所示。
        
        角色管理
        支持授权管理:实现细粒度的权限控制,将权限分为操作权限和资源权限两种。操作权限如对表单数据的增加、删除、修改、查询、审核等,资源权限包括被管设备或资源分组、监控视图分组、报表分组等。通过操作权限和资源权限的有机组合及授权,可以实现对用户权限的细颗粒度的控制。
               用户管理
               用户管理包括组织架构管理、账户角色管理,能够根据用户实际管理架构设定整个平台的管理架构。
               授权管理
               
               细粒度的权限控制
               系统将权限分为操作权限和资源权限两种。操作权限如对表单数据的增加、删除、修改、查询、审核等,资源权限包括被管设备或资源分组、监控视图分组、报表分组等。通过操作权限和资源权限的有机组合及授权,可以实现对用户权限的细颗粒度的控制,如上图和下图所示。
               
               对资产资源(操作对象)的操作授权管理
 
       用户权限管理
        用户权限管理是确定是否允许用户执行所请求操作的流程。用户授权过程出现在认证之后,它使用与用户相关的属性或权限,控制用户进行的访问和操作。授权通常采用基于角色的访问控制(Role based Access Control,RBAC), RBAC便于组织各种资源上的各种权限,进行灵活精确地权限分配。角色由资源和操作构成,角色通常根据企业内各种职务的需要来制定,从而使管理员能够以一种与企业组织模型相对应的方式,对用户赋予权限,进行访问控制。
   题号导航      2018年上半年 系统分析师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第45题    在手机中做本题