数据库的安全性管理25733.docx

《数据库的安全性管理25733.docx》由会员分享，可在线阅读，更多相关《数据库的安全性管理25733.docx（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第10章 数据库的的安全性性管理 20第10章 数据库的的安全性性管理教学目标标：掌握SQQL SSeveer 的的安全机机制，了了解登录录和用户户的概念念，掌握握权限管管理和掌掌握角色色管理。通通过本章章的学习习，要求求读者深深入理解解SQLL Seerveer 的的安全机机制，以以及掌握握常用的的管理操操作，培培养良好好的数据据库安全全意识以以及制定定合理的的数据库库安全策策略。建立CC/S结结构的网网络数据据库概念念，锻炼炼实际数数据库管管理能力力，为今今后从事事数据库库管理员员（DBBA）的的工作奠奠定基础础。10.1 SQL Serrverr 的安安全性机机制在介绍安安全管理理之前，

2、首首先看一一下SQQL SServver 是如何何保证数数据库安安全性的的，即了了解SQQL SServver 安全机机制。10.1.1 权限层次次机制SQL Serrverr 20005的的安全性性管理可可分为33个等级级：1、操操作系统统级；22、SQQL SServver 级3、数数据库级级。10.1.2 操作系统统级的安安全性在用户使使用客户户计算机机通过网网络实现现SQLL Seerveer 服服务器的的访问时时，用户户首先要要获得计计算机操操作系统统的使用用权。一般说来来，在能能够实现现网络互互联的前前提下，用用户没有有必要向向运行SSQL Serrverr 服务务器的主主机进行行

3、登录，除除非SQQL SServver 服务器器就运行行在本地地计算机机上。SSQL Serrverr 可以以直接访访问网络络端口，所所以可以以实现对对Winndowws NNT 安安全体系系以外的的服务器器及其数数据库的的访问，操作系统统安全性性是操作作系统管管理员或或者网络络管理员员的任务务。由于于SQLL Seerveer 采采用了集集成Wiindoows NT网网络安全全性机制制，所以以使得操操作系统统安全性性的地位位得到提提高，但但同时也也加大了了管理数数据库系系统安全全性的灵灵活性和和难度。10.1.3 SQL Serrverr 级的的安全性性SQL Serrverr 的服服务器级

4、级安全性性建立在在控制服服务器登登录帐号号和口令令的基础础上。SSQL Serrverr 采用用了标准准SQLL Seerveer 登登录和集集成Wiindoows NT登登录两种种方式。无无论是使使用哪种种登录方方式，用用户在登登录时提提供的登登录帐号号和口令令，决定定了用户户能否获获得SQQL SServver的的访问权权，以及及在获得得访问权权以后，用用户在访访问SQQL SServver时时可以拥拥有的权权利。10.1.4 数据库级级的安全全性在用户通通过SQQL SServver服服务器的的安全性性检验以以后，将将直接面面对不同同的数据据库入口口这是用用户将接接受的第第三次安安全性检

5、检验。在建立用用户的登登录帐号号信息时时，SQQL SServver会会提示用用户选择择默认的的数据库库。以后后用户每每次连接接上服务务器后，都都会自动动转到默默认的数数据库上上。对任任何用户户来说mmastter数数据库的的门总是是打开的的，设置置登录账账号时没没有指定定默认的的数据库库，则用用户的权权限将局局限在mmastter数数据库以以内。在默认的的情况下下只有数数据库的的拥有者者才可以以访问该该数据库库的对象象，数据据库的拥拥有者可可以分配配访问权权限给别的的用户，以以便让别别的用户户也拥有有针对该该数据库库的访问问权利，在在SQLL Seerveer 中中并不是是所有的的权利都都可

6、以转转让分配配的。10.2 登录和用用户现在从登登录和用用户开始始，讲解解SQLL Seerveer 220055的安全全性管理理，本节节主要讲讲解登录录和用户户的基本本概念、登登录验证证模式及及其创建建登录和和用户的的操作步步骤。10.2.1 登录身份份验证模模式及其其设置首先介绍绍两个概概念：用用户和登登录。用用户连接接到SQQL SServver 账户都都称SQQL SServver 的登录录：用户户是为特特定数据据库定义义的，要要创建用用户，你你必须已已经定义义了该用用户的登登录，用用户IDD同登录录类似，但但是它的的名称不不需要与与登录相相同。用户可以以防止数数据库被被未授权权的用户

7、户故意或或无意地地修改。SSQL Serrverr为每一一用户分分配了唯唯一的用用户名和和密码。可可以为不不同账号号授予不不同的安安全级别别。对于访问问SQLL Seerveer的登登录，有有两种验验证模式式：Wiindoows身身份验证证和混合合模式身身份验证证。在WWinddowss 身份份验证中中，SQQL SServver依依赖于WWinddowss操作系系统提供供登录安安全性，SSQL Serrverr检验登登录是否否被Wiindoows验验证身份份，并根根据这一一验证来来允许访访问。SSQL Serrverr 将自自己的登登录安全全过程同同Winndowws 登登录安全全过程结结合

8、起来来提供安安全登录录服务。网网络安全全性通过过同Wiindoows 提供复复杂加密密过程进进行验证证。用户户登录一一旦通过过操作系系统的验验证，访访问SQQL SServver就就不再需需要其它它的身份份验证。如果连接接来自一一个不安安全的系系统，我我们还可可以使用用混合模模式身份份验证，SSQL Serrverr 将验验证登录录的身份份，即通通过用户户提供的的登录名名和与预预先存储储在数据据库中的的登录名名和密码码进行比比较来完完成身份份验证。下面我们们看一看看如何在在SSMMS中设设置身份份验证模模式。（1）打打开SSSMS并并连接到到目标服服务器，在在【资源管管理器】窗口中中，在目目标

9、服务务器上单单击鼠标标右键，弹弹出快捷捷菜单，从从中选择择“属性”命令，如如图100.1所所示。图 100.1利利用对象象资源管管理器设设置身份份验证模模式（2）出出现【服务器器属性】窗口，选选择【选择页页】中的“安全性性”选项，进进入安全全性设置置页面，如如图100.2所所示图10.2 服服务器属属性窗口口的安全全性页面面（3）在在“服务器器身份验验证”选项级级中选择择验证模模式前的的单选按按钮，选选中需要要的验证证模式。用用户还可可以在“登录审审核”选项级级中设置置需要的的审核方方式，如如图100.3所所示。审审核方式式取决于于安全性性要求，这这四种审审核级别别的含义义如下。“无”：不使用

10、用登录审审核。“仅限失失败的登登录”：记录录所有的的失败登登录。“仅限成成功的登登录”：记录录所有的的成功登登录。“失败和和成功的的登录”：记录录所有的的登录。图10.3 服服务器属属性最后单击击“确定”按钮，完完成登录录验证模模式的设设置。10.2.2 创建登录录登录属于于服务器器级的安安全策略略，要连连接到数数据库，首首先要存存在一个个合法的的登录。在在SSMMS中创创建登录录的步骤骤如下。（1）打打开SSSMS并并连接到到目标服服务器，在在【对象资资源管理理器】窗口中中，单击击“安全性性”节点前前的“”号，展展开安全全节点。在在“登录名名”上单击击鼠标右右键，弹弹出快捷捷菜单，从从中选择

11、择“新建登登录（NN）”命令令，如图图10.4所示示。图10.4 利利用对象象资源管管理器创创建登录录（2）出出现【登录名名】对话框框，单击击需要创创建的登登录模式式前的单单选按钮钮，选定定验证方方式。如如图100.5所所示，并并完成“登录名名”、“密码”、“确认密密码”和其他他参数的的设置。图10.5 登登录名对对话框（3）选选择“选择页页”中的“服务器器角色”项，出出现服务务器角色色设定页页面，如如图100.6所所示，用用户可以以为此用用户添加加服务器器角色。图10.6 登登录名对对话框的的服务器器角色页页面（4）选选择【登录名名】对话框框中的“用户映映射”项，进进入映射射设置页页面，可可

12、以为这这个新建建的登录录添加映映射到此此登录名名的用户户，并添添加数据据库角色色，从而而使该用用户获得得数据库库的相应应角色对对应的数数据库权权限。如如图100.7所所示。图10.7 登登录名对对话框的的用户映映射页面面最后单击击“登录名名”对话框框底部的的“确定”按钮，完完成登录录名的创创建。10.2.3 创建用户户用户是数数据库级级的安全全策略，在在为数据据库创建建新的用用户前，必必须存在在创建用用户的一一个登录录或者使使用已经经存在的的登录创创建用户户。1、使用用Mannageemennt SStuddio创创建用户户使用 MManaagemmentt Sttudiio创建建用户的的具体

13、步步骤如下下。（1）打打开SSSMS并并连接到到目标服服务器，在在【对象资资源管理理器】窗口中中，单击击“数据库库”节点前前的“”号，展展开数据据库节点点。单击击要创建建用户的的目标数数据节点点前的“”号，展展开目标标数据库库节点NNortthwiind。单单击“安全性性”节点前前的“”号，展展开“安全性性”节点。在在“用户”上单击击鼠标右右键，弹弹出快捷捷菜单，从从中选择择“新建用用户（NN）”命令令，如图图10.8所示示。图 100.8 利用对对象资源源管理器器创建用用户（2）出出现【数据库库用户新建】对话框框，在“常规”页面中中，填写写“用户名名”，选择择“登录名名”和“默认架架构”名称

14、。添添加此用用户拥有有的架构构，添加加此用户户的数据据库角色色。如图图10.9所示示。图10.9 新新建数据据库用户户（3）在在【数据库库用户新建】对话框框的“选择页页”中选择择“安全对对象”，进入入权限设设置页面面（即“安全对对象”页面），如如图100.100所示。“安全对象页面”主要用于设置数据库用户拥有的能够访问的数据库对象以及相应的访问权限。单击“添加”按钮为该用户添加数据库对象，并为添加的对象添加显示权限。图 100.100 数据据库用户户-新建建对话框框中的安安全对象象页面最后，单单击【数据库库用户新建】对话框框底部的的“确定”，完成成用户创创建。10.3 权限管理理权限用于于控制

15、对对数据库库对象的的访问，以及指指定用户户对数据据库可以以执行的的操作，用户可可以设置置服务器器和数据据库的权权限。服服务器权权限允许许数据库库管理员员执行管管理任务务，数据据库权限限用于控控制对数数据库对对象的访访问和语语句执行行。10.3.1 服务器权权限服务器权权限允许许数据库库管理员员执行任任务。这这些权限限定义在在固定服服务器角角色（FFixeed SServver Rolles）中中。这些些固定服服务器角角色可以以分配给给登录用用户，但但这些角角色是不不能修改改的。一一般只把把服务器器权限授授给DBBA(数数据库管管理员)，他不不需要修修改或者者授权给给别的用用户登录录。我们们将在

16、后后面讲解解角色管管理时，详详细地介介绍服务务器的相相关权限限和配置置。10.3.2 数据库对对象权限限数据库对对象是授授予用户户以允许许他们访访问数据据库中对对象的一一类权限限，对象象权限对对于使用用SQLL语句访访问表或或者视图图是必须须的。在Miccrossoftt SQQL SServver Mannageemennt 220055中给用用户添加加对象权权限的具具体步骤骤如下 。（1）依依次单击击【对象资资源管理理器】窗口中中树型节节点前的的“”号，直直到展开开目标数数据库的的“用户”节点为为止，如如图100.111所示。在在“用户”节点下下面的目目标用户户上单击击鼠标右右键，弹弹出快

17、捷捷菜单，从从中选择择“属性（RR）”命令。图10.11利利用对象象资源管管理器为为用户添添加对象象权限（2）出出现【数据库库用户】对话框，选选择“选择页页”窗口中中的“安全对对象”项，进进入权限限设置页页面，单单击“添加（AA）”按钮钮，如图图10.12所所示。图10.12数数据库用用户对话话框（3）出出现【添加对对象】对话框框，如图图10.13所所示，单单击要添添加的对对象类别别前的单单选按钮钮，添加加权限的的对象类类别，然然后单击击“确定”按钮。图10.13 添加对对象对话话框（4）出出现【选择对对象】对话框框，如图图10.14所所示，从从中单击击“对象类类型”按钮。图10.14 选择对

18、对象对话话框（5）出出现【选择对对象类型型】对话框框，依次次选择需需要添加加权限的的对象类类型前的的复选框框，选中中其对象象，如图图10.15所所示。最最后单击击“确定”按钮。图 100.155 选择择对象类类型 对对话框（6）回回到【选择对对象】对话框框，此时时在该对对话框中中出现了了刚才选选择的对对象类型型，如图图10.16所所示，单单击该对对话框中中的“浏览（BB）”按钮钮。图 100.166 选择择对象对对话框（7）出出现【查找对对象】对话框框，依次次选择要要添加权权限的对对象前的的复选框框，选中中其对象象，如图图10.17所所示。最最后单击击“确定”按钮。图10.17 查找对对象对话

19、话框（8）又又回到【选择对对象】对话框框，并且且已包含含了选择择的对象象，如图图10.18所所示。确确定无误误后，单单击该对对话框中中的“确定”按钮，完完成对象象选择操操作。图 100.188 选择择对象 对话框框（9）又又回到【数据库库用户】对话框框窗口，此此窗口中中已包含含用户添添加的对对象，依依次选择择每一个个对象，并并在下面面的该对对象的“显示权权限”窗口中中根据需需要选择择“授予/拒绝”列的复复选框，添添加或禁禁止对该该（表）对对象的相相应访问问权限。设设置完每每一个对对象的访访问权限限后，单单击“确定”按钮，完完成给用用户添加加数据库库对象权权限所有有操作，如如图100.199所示

20、。图10.19 数据库库用户对对话框10.3.3 数据库权权限对象权限限使用户户能够访访问存在在于数据据库中的的对象，除除了数据据库对象象权限外外，还可可以给用用户分配配数据库库权限。SSQL Serrverr 20005对对数据库库权限进进行了扩扩充，增增加了许许多新的的权限，这这些数据据库权限限除了授授权用户户可以创创建数据据库对象象和进行行数据库库备份外外，还增增加了一一些更改改数据库库对象的的权限。在Miccrossoftt SQQL SServver 20005中给给用户添添加数据据库权限限的具体体步骤如如下。 （1）在在【对象资资源管理理器】窗口中中，单击击服务器器前的“+”号，展

21、展开服务务器节点点。单击击“数据库库”前的“+”号，展展开数据据库节点点。在要要给用户户添加数数据库权权限的目目标数据据库上单单击鼠标标右键，弹弹出快捷捷菜单，如如图100.200所示，从从中选择择“属性（RR）”命令。 图 100.200利用对对象资源源管理器器为用户户添加数数据库权权限（2）出出现【数据库库属性】对话框框窗口，选选择“选择页页”窗口中中的“权限”项，进进入如图图10.21所所示的权权限设置置页面，在在该页面面的“用户或或角色（UU）”中选择择要添加加数据库库权限的的用户，如如果该用用户不在在列表中中，请单单击“添加加（A）”按钮，添加该用户到当前数据库中。然后在该用户的“显

22、示权限（p）”中添加相应的数据库权限。最后单击“确定”按钮，完成操作。图10.21 数据库库属性对对话框的的权限页页面10.4 角色管理理角色用来来简化将将很多权权限分配配给用户户这一复复杂任务务的管理理。角色色允许用用户分组组接受同同样的数数据库权权限，而而不用单单独给每每一个用用户分配配这些权权限。用用户可以以使用系系统自带带的角色色，也可可以创建建一个代代表一组组用户使使用的权权限角色色，然后后把这个个角色分分配给这这个工作作组的用用户。一般而言言，角色色是为特特定的工工作组或或者任务务分类而而设置的的，用户户可以根根据自己己所执行行的任务务成为一一个或多多个角色色的成员员。当然然用户可

23、可以不必必是任何何角色的的成员，也也可以为为用户分分配个人人权限。10.4.1 固定服务务器角色色 在SQLL Seerveer安装装时就创创建了在在服务器器级别上上应用的的大量预预定义的的角色，每每个角色色对应着着相应的的管理权权限。这这些固定定服务器器角色用用于授权权给DBBA（数数据库管管理员）拥拥有某种种或某些些角色的的DBAA就会获获得与相相应角色色对应的的服务器器管理权权限。通过给用用户分配配固定服服务器角角色，可可以使用用户具有有执行管管理任务务的角色色权限。固固定服务务器角色色的维护护比单个个权限维维护更容容易些，但但是固定定服务器器角色不不能修改改。在SSMMS中，可可以按以

24、以下步骤骤为用户户分配固固定服务务器角色色，从而而使该用用户获取取相应的的权限。（1）在在【对象资资源管理理器】中，单单击服务务器前的的“+”号，展展开服务务器节点点。单击击“安全性性”节点前前的“+”号，展展开安全全性节点点。这时时在次节节点下面面可以看看到固定定服务器器角色，如如图100.222所示，在在要给用用户添加加的目标标角色上上单击鼠鼠标右键键，弹出出快捷菜菜单，从从中选择择“属性（RR）”命令。图 100.222 利用用对象资资源管理理器为用用户分配配固定服服务器角角色（2）出出现【服务器器角色属属性】对话框框，如图图10.23所所示，单单击“添加（AA）”按钮钮。图 100.2

25、33 服务务器角色色属性对对话框（3）出出现【选择登登陆名】对话框框，如图图10.24所所示，单单击“浏览（BB）”按钮钮。图 100.244 选择择登录名名对话框框（4）出出现“查找对对象”对话框框，在该该对话框框中，选选择目标标用户前前的复选选框，选选中其用用户，如如图100.255所示，最最后单击击“确定”按钮。图10.25 查找对对象对话话框（5）回回到【选择登登陆名】对话框框，可以以看到选选中的目目标用户户已包含含在对话话框中，确确定无误误后，如如图100.266所示，单单击“确定”按钮。图10.26选选择登录录名对话话框（6）回回到【服务器器角色属属性】对话框框，如图图10.27所

26、所示。确确定添加加的用户户无误后后，单击击“确定”按钮，完完成为用用户分配配角色的的操作。图10.27 服务器器角色属属性对话话框10.4.2 数据库角角色在SQLL Seerveer安装装时，数数据库级级别上也也有一些些预定义义的角色色，在创创建每个个数据库库时都会会添加这这些角色色到新创创建的数数据库中中，每个个角色对对应着相相应的权权限。这这些数据据库角色色用于授授权给数数据库用用户，拥拥有某种种或某些些角色的的用户会会获得相相应角色色对应的的权限。可以为数数据库添添加角色色，然后后把角色色分配给给用户，使使用户拥拥有相应应的权限限，在SSSMSS中，给给用户添添加角色色（或者者叫做将将

27、角色授授权用户户）的操操作与将将固定服服务器角角色授予予用户的的方法类类似，通通过相应应角色的的属性对对话框可可以方便便的添加加用户，使使用户成成为角色色成员。另外，用用户也可可以使用用图形界界面工具具Traansaact-SQLL命令创创建新角角色，使使这一角角色拥有有某个或或某些权权限；创创建的角角色还可可以修改改其对应应的权限限。无论论使用哪哪种方法法，用户户都需要要完成下下列任务务：a.创建建新的数数据库角角色。b.分配配权限给给创建的的角色。c.将这这个角色色授予某某个用户户。在SSMMS创建建新的数数据库角角色操作作的具体体步骤如如下。(1) 展开要添添加新角角色的目目标数据据库，

28、单单击目标标数据库库节点下下的“安全性性”节点前前的“+”号，展展开此节节点。然然后在“角色”节点上上单击右右键，弹弹出快捷捷菜单，选选择快捷捷菜单中中的“新建”下“ 新建建数据库库角色”命令，如如图100.288所示。10.228新建建数据库库角色(2) 出现“数数据库角角色-新新建”对话框框，在“常规”页面中中，添加加“角色名名称”和“所有者者”，并选选择此角角色所拥拥有的架架构。在在此对话话框中也也可以单单击“添加”按钮为为新创建建的角色色添加用用户，如如图100.299所示。图10.29数数据库角角色-新新建对话话框(3) 选择“选选择页”中的“安全对对象”项，进进入权限限设置页页面（

29、即即“安全对对象”页面），如如图100.300所示。接接下来的的操作就就是为新新创建的的角色添添加所拥拥有的数数据库对对象的访访问权限限。图10.30 数据库库角色-新建对对话框安安全对象象页面至此，已已经用110.33节和110.44节介绍绍了数据据库权限限和角色色以及它它们在 SSMMS中的的创建和和管理操操作，关关于如何何用 TT-SQQL语句句来实现现同样目目标的相相关内容容不再讲讲解，留留给用户户自己学学习。10.5 小结结合第11章DBBMS的的DCLL数据库库的安全全性控制制功能，讲讲解了数数据库安安全控制制的基本本概念；SQLL Seerveer 220055的安全全体系结结构，包包括安全全控制策策略，身身份验证证模式，验验证模式式的设置置；SQQL SServver 20005数据据库的安安全性管管理，包包括数据据库系统统登录管管理中管管理模式式和管理理方法，数数据库用用户管理理的基本本概念和和方法，数数据库系系统角色色管理和和权限管管理。