數據庫的基本安全體系由哪幾部分組成

數據庫的基本安全體系由訪問控制、安全認證、用戶管理、權限分配、系統日志和審計等幾個主要環節組成。

1.訪問控制

由于數據庫是把各種用戶的數據按某種規則集中在一起統一管理的，各種用戶根據需要將會不斷對數據庫進行訪問，為了保護用戶數據的安全，數據庫系統必須采取措施對每個用戶的訪問加以限制，只允許用戶訪問屬于自己的數據。

為了有效實施訪問控制，數據庫系統應能夠根據不同的安全要求為整個系統控制范圍內的主體和客體設置安全屬性標記。用戶的安全屬性應在用戶建立注冊賬戶后由系統安全員為其設置安全屬性標記并維護；客體的安全屬性應在客體被調入系統控制范圍內時以默認方式生成安全屬性標記或由安全員進行設置并維護；系統管理員、安全員和審計員的安全屬性應通過相互安全標記形成制約關系；對于自主訪問控制，應能夠以某種方式標記主體與客體的訪問關系；對于強制訪問控制，應能夠分別對主體和客體進行安全屬性標記，并建立安全屬性庫，能實現基于多級安全模型的強制訪問控制。

2.安全認證

一般情況下，用戶對數據庫的訪問需要經過兩層認證，一是在DBMS外由操作系統完成的認證；二是由DBMS自身完成的認證。由于DBMS本身也是操作系統中的一個用戶，所以DBMS并不能完全信賴操作系統對用戶的身份認證，應該擁有自己的認證機制，特別是對安全性要求較高的數據庫系統，更需要由DBMS來完成對用戶身份的認證。

1）基于操作系統的身份認證

這種認證的過程是：用戶首先向操作系統提出訪問DBMS的申請，操作系統對用戶身份認證通過后，向用戶提供一份訪問DBMS的證書：用戶得到證書后，再向DBMS提出訪問申請，此時，DBMS對用戶進行各項審查，如果該用戶是DBMS的合法用戶，則為其換證（該證書上含有用戶標識、用戶安全屬性和數據安全屬性等內容），否則拒絕訪問。

2）基于公鑰的身份認證

這是利用公鑰密碼技術實現的認證方式。DBMS很容易獲得所管理用戶的公鑰信息，而用戶的私鑰就是訪問DBMS的證書。用戶通過使用私鑰加密用戶標識直接向DBMS提出訪問請求，而DBMS利用用戶的公鑰解密后，對用戶進行審查，如果審查通過，則為其換證，否則拒絕訪問。

3.用戶管理

數據庫系統中的用戶是按類別進行管理的，不同類別的用戶享有不同的操作權限，同一類別的用戶對數據庫中數據的管理和使用范圍也不完全相同。

數據庫系統一般將用戶分為普通用戶、特權用戶和超級用戶三大類。普通用戶只能查閱數據庫中的部分信息，不能改動數據庫中的任何數據；特權用戶除具有普通用戶的權限外，還具有一定的資源管理權限，如創建數據表、索引等，可在規定的權限范圍內對數據庫進行有限修改和查詢，也可將自己的權限授予其他用戶；超級用戶享有數據庫管理系統的一切權限，包括創建用戶、為用戶授權、創建數據庫、備份數據庫、恢復數據庫，以及數據庫系統審計等。普通用戶和特權用戶都是由超級用戶創建的。

數據庫系統中的數據也可以分類管理，它通常把某用戶可查詢的數據邏輯上組織在一起構成一個或多個視圖，并賦予名稱，然后將該視圖的查詢權限授予指定用戶或一組用戶。從而既保證用戶能訪問到所需數據，同時又限制用戶對數據庫中其他數據的訪問。

4.權限分配

DBMS是通過為用戶授予權限、撤銷權限和拒絕訪問來限制用戶對數據庫訪問的。凡登錄到數據庫系統中的用戶必須經DBMS授權才能訪問數據庫中的數據信息，未授權的用戶是無法訪問數據庫的。

數據庫中的權限一般包括對象權限、語句權限和默認權限三種類型。對象權限是指用戶對數據庫對象（如表、視圖、記錄的行列、存儲過程和用戶定義的函數等）進行操作的權限，如選擇、插入、刪除、更新和執行等；語句權限是指用戶是否具有執行某些語句的權限，例如，禁止或允許用戶創建數據庫、表、過程、函數、視圖，以及備份數據庫和日志等；默認權限是指系統預定義用戶所擁有的權限，如數據庫擁有者、數據庫對象擁有者及固定服務器角色成員所擁有的權限等，用戶的默認權限是不需要設置的。

5.系統日志和審計

系統日志和審計是保護數據庫系統安全的一個重要方面。它通過記錄和監視每個用戶對數據庫所實施的操作為系統管理員提供維護系統的有力證據。數據庫的審計包括用戶審計和系統審計兩個方面。用戶審計主要是記錄每次對數據庫系統實施操作的用戶名、時間、操作代碼及結果等信息；系統審計主要是記錄系統級的操作內容，這些操作都是系統級用戶實施的。

回答所涉及的環境：聯想天逸510S、Windows 10。