《数据库系统安全》复习题.doc

《《数据库系统安全》复习题.doc》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、一、问答题1.试简要说明数据库系统安全需求与操作系统安全需求的异同点？2.在一个实现了强制访问控制功能的，满足国标三级要求的数据库管理系统中，不再存在从高安全级到低安全级的非法信息流动，这一说法是否正确？为什么？3.在采用库外加密机制的数据库应用系统中，数据库管理系统的哪些功能会受到限制？4.有人说，“目前，国外卖给中国的数据库管理系统都是C2级的，其中存在许多隐通道”，请你谈谈对这一观点的看法？二、解答题1.在根据数据库系统的特点，采用了改进的BLP模型的强制访问控制的数据库管理系统中，标记粒度是元组。这个系统中建有表emp，其中的数据及其安全级如下所示，其中na

2、me，empid，Salary，dept分别保存员工姓名，员工编号，员工工资，员工所在部门，TC是元组安全级，并且普通<秘密<机密<绝密。nameempidSalarydeptTC李明12000开发部普通王晓莉23000设计部机密张平31000管理部机密江平105000设计部秘密陈坚52000测试部绝密回答下列问题:(1)现有一秘密级别的用户进入系统，他能够看到的数据是哪些？为什么？(2)另有一机密级别的用户发出更新语句：UPDATEempsetsalary=4000;写出执行这条语句后，数据库中所有的数据？2.在一个采用了Jajodia-Sandhu模型的多级安全

3、数据库系统中，假设只有四个安全级：U(普通)

4、通道的信息传递的例子。如下例所示，当一个安全级是普通的数据库用户，删除员工基本信息表中姓名是”陈晓”的员工时，系统报错，从而该用户猜测到员工工资表中有一条安全级是秘密的元组存在。试设计利用这一隐通道进行信息传递的编码模式，设计利用基于主关键字的存储隐通道的同步模式，构造隐通道的使用场景。引用完整性的例子:员工基本信息表(主关键字：员工编号)员工编号姓名学历家庭住址安全级牛得草本科……..普通张平大专……..普通陈晓研究生……..普通员工工资表(外键：员工编号，引用员工基本信息表的员工编号)员工编号工资安全级3000普通5000秘密三、分析题1.设有一用户，打算对下面

5、的学生成绩表(表1)加密后存储在一关系数据库中，采用下面的方法:(1)用DES加密算法将整个元组加密；(2)为了还能够对加密后的成绩进行查询，他将学生的成绩按照数据范围进行了划分，并给每个范围一个对应的数据(表2所示)，并将表2保存在自己的机器中；(3)将加密后的学生成绩表3，将表3存放在数据库服务器中(假设数据库服务器不在用户自己的机器上)；回答下面的问题:(1)若已知王琛的成绩是66，要在这个数据库服务器中删除学生王琛的数据，试写出实现的方法(只写出解决问题的步骤)。(2)当攻击者已知加密方法时(但是不知表2的具体数据)，试分析这种加密方法是否满足密码学上的消息

6、不可区分性，并举例说明表1：学生成绩表(加密前)表2：成绩范围及其对应关系学生编号姓名课程名班级成绩成绩范围数值00001陈实数据库原理计算机030193[1,59)400002张苹数据结构计算机030387[60，79)900003李凌操作系统计算机031077[80,89)200004王琛数据结构计算机031366[90,100)5表3：学生成绩表(加密后)加密后的元组数据工资项………5………2………9………9消息的不可区分性:A给出两个数据库D1，D2，给B加密，B将密文数据库给A，让A猜测哪个密文数据库对应哪个明文数据库，A猜中的概率不比随机猜测好时，称B所

7、用的加密方法满足消息不可区分性。2.设有一数据库应用系统编程人员，编写了一段网络应用程序，用于查询数据库中保存的工资数据。在员工用自己的姓名登录系统后，在输入身份证号后，查询并显示该员工的所有工资。假设该程序使用的后台数据库服务器是ORACLE，假设员工的工资表为employee_salary，其中身份证号、月份一起作为主键。employee_salary表结构列名身份证号姓名部门工资月份数据类型CHAR(20)CHAR(20)CHAR(20)REALINT完成这一功能的Java程序片断如下：Publicconnectionconn(){//建立与后台ORACL