【教学课件】第11章安全管理.ppt

《【教学课件】第11章安全管理.ppt》由会员分享，可在线阅读，更多相关《【教学课件】第11章安全管理.ppt（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、上页返回第第1111章章 安全管理安全管理n教教学学提提示示：数数据据库库安安全全是是关关系系数数据据库库中中的的非非常常重重要要的的方方面面，包包括括了了系系统统安安全全、数数据据安安全全、资资源源管管理理、用用户户管管理理、权权限限管管理理、角角色色管管理理、口口令令管管理理以以及及授授权权、认认证证、审审计计等等相相当当多方面的内容。本章讲述有关数据库安全方面的知识。多方面的内容。本章讲述有关数据库安全方面的知识。数数据据库库系系统统的的安安全全性性是是每每个个数数据据库库管管理理员员都都必必须须认认真真考考虑虑的的问问题题。SQL SQL Server Server 20052005为

2、为维维护护数数据据库库系系统统的的安安全全性性提提供供了了完完善善的的管管理理机机制制和和简简单单而而丰丰富富的的操操作作手手段段。在在实实际际应应用用中中，用用户户可可以以根根据据系系统统对对安安全全性性的的不不同同需需求求采采用用合合适适的的方式来完成数据库系统安全体系的设计。方式来完成数据库系统安全体系的设计。上页返回n教学目标：本章主要包含以下内容：教学目标：本章主要包含以下内容：SQL SeverSQL Sever的安全机制的安全机制登录和用户登录和用户权限管理权限管理角色管理角色管理 通通过过本本章章的的学学习习，要要求求读读者者深深入入理理解解SQL SQL ServerServ

3、er的的安安全全机机制制，以以及及掌掌握握常常用用管管理理操操作作，并并培培养养良良好好的的数数据据库库安安全全意意识识，以以及及制制定定合合理理的的数数据据库库安安全全策策略略，也也为为进进一一步步的的学学习习和和掌掌握握其其他数据库安全知识奠定基础。他数据库安全知识奠定基础。上页返回第第1111章章 安全管理安全管理n11.1 11.1 SQL ServerSQL Server的安全性机制的安全性机制n11.2 11.2 登录和用户登录和用户n11.3 11.3 权限管理权限管理n11.4 11.4 角色管理角色管理n11.5 11.5 上机指导上机指导上页返回11.1 11.1 SQL

4、ServerSQL Server的安全性机制的安全性机制11.1.1 11.1.1 权限层次机制权限层次机制 SQL SQL Server Server 20052005的的权权限限管管理理是是分分层层进进行行管管理理，在在每每一一层层都都有有相相应应的的安安全全性性机机制制，SQL SQL ServerServer通通过过管管理理这这种种分分层层的的安安全性机制，保证数据库的安全使用。全性机制，保证数据库的安全使用。SQL SQL Server Server 20052005的的安安全全性性管管理理可可分分为为3 3个个等等级级，图图11.111.1给给出出了了详详细细的的权权限限层层次次和

5、和安安全全机机制制：操操作作系系统统级级；SQL SQL ServerServer级；级；数据库级。数据库级。上页返回上页返回11.1.2 11.1.2 操作系统级的安全性操作系统级的安全性 在在用用户户使使用用客客户户计计算算机机通通过过网网络络实实现现对对SQL SQL ServerServer服服务务器的访问时，用户首先要获得计算机操作系统的使用权。器的访问时，用户首先要获得计算机操作系统的使用权。一一般般说说来来，在在能能够够实实现现网网络络互互连连的的前前提提下下，用用户户没没有有必必要要向向运运行行SQL SQL ServerServer服服务务器器的的主主机机进进行行登登录录，除

6、除非非SQL SQL ServerServer服服务务器器就就运运行行在在本本地地计计算算机机上上。SQL SQL ServerServer可可以以直直接接访访问问网网络络端端口口，所所以以可可以以实实现现对对Windows Windows NTNT安安全全体体系系以以外外的的服务器及其数据库的访问。服务器及其数据库的访问。操操作作系系统统安安全全性性是是操操作作系系统统管管理理员员或或者者网网络络管管理理员员的的任任务务。由由于于SQL SQL ServerServer采采用用了了集集成成Windows Windows NTNT网网络络安安全全性性的的机机制制，所所以以使使得得操操作作系系统

7、统安安全全性性的的地地位位得得到到提提高高，但但同同时时也也加加大了管理数据库系统安全性的灵活性和难度。大了管理数据库系统安全性的灵活性和难度。上页返回11.1.3 SQL Server11.1.3 SQL Server级的安全性级的安全性 SQL SQL ServerServer的的服服务务器器级级安安全全性性建建立立在在控控制制服服务务器器登登录录账账号号和和口口令令的的基基础础上上。SQL SQL ServerServer采采用用了了标标准准SQL SQL ServerServer登登录录和和集集成成Windows Windows NTNT登登录录两两种种方方式式。无无论论是是使使用用那

8、那种种登登录录方方式式，用用户户在在登登录录时时提提供供的的登登录录账账号号和和口口令令，决决定定了了用用户户能能否否获获得得SQL SQL ServerServer的的访访问问权权，以以及及在在获获得得访访问问权权以以后后，用用户户在在访访问问SQL SQL ServerServer进进程程时时可可以以拥拥有有的的权权利利。管管理理和和设设计计合合理理的的登登录录方方式式是是SQL SQL Server Server 管管理理员员DBADBA的的重重要要任任务务，是是SQL SQL ServerServer安安全体系中，全体系中，DBADBA可以发挥主动性的第一道防线。可以发挥主动性的第一道

9、防线。上页返回11.1.4 11.1.4 数据库级的安全性数据库级的安全性 在在用用户户通通过过SQL SQL ServerServer服服务务器器的的安安全全性性检检验验以以后后，将将直直接接面面对对不不同同的的数数据据库库入入口口。这这是是用用户户将将接接受受的的第第三三次次安安全全性性检检验。验。在在建建立立用用户户的的登登录录账账号号信信息息时时，SQL SQL ServerServer会会提提示示用用户户选选择择默默认认的的数数据据库库。以以后后用用户户每每次次连连接接上上服服务务器器后后，都都会会自自动动转转到到默默认认的的数数据据库库上上。对对任任何何用用户户来来说说，maste

10、rmaster数数据据库库的的门门总总是是打打开开的的，如如果果在在设设置置登登录录账账号号时时没没有有指指定定默默认认的的数数据据库库，则用户的权限将局限在则用户的权限将局限在mastermaster数据库以内。数据库以内。在在默默认认的的情情况况下下，只只有有数数据据库库的的拥拥有有者者才才可可以以访访问问该该数数据据库库的的对对象象，数数据据库库的的拥拥有有者者可可以以分分配配访访问问权权给给别别的的用用户户，以以便便让让别别的的用用户户也也拥拥有有针针对对该该数数据据库库的的访访问问权权利利，在在SQL SQL ServerServer中并不是所有的权利都可以自由转让和分配的。中并不是

11、所有的权利都可以自由转让和分配的。上页返回11.2 11.2 登录和用户登录和用户11.2.1 11.2.1 登录的身份验证模式及其设置登录的身份验证模式及其设置 用用于于连连接接到到SQL SQL ServerServer的的账账户户都都称称为为SQL SQL ServerServer的的登登录录；用用户户是是为为特特定定数数据据库库定定义义的的，要要创创建建用用户户，你你必必须须已已经经定定义义了了该该用用户户的的登登录录，用用户户IDID同同登登录录类类似似，但但是是它它的的名名称称不不需需要要与登录相同。与登录相同。对对于于访访问问SQL SQL ServerServer的的登登录录，

12、有有两两种种验验证证模模式式：WindowsWindows身身份验证和混合模式身份验证。份验证和混合模式身份验证。上页返回11.2.2 11.2.2 创建登录创建登录 登登录录属属于于服服务务器器级级的的安安全全策策略略，要要连连接接到到数数据据库库，首首先先要要存存在在一一个个合合法法的的登登录录。在在Microsoft Microsoft SQL SQL Server Server Management Management StudioStudio中创建登录的步骤如下。中创建登录的步骤如下。1.1.打打开开Microsoft Microsoft SQL SQL Server Server

13、 Management Management StudioStudio并并连连接接到到目目标标服服务务器器，在在【对对象象资资源源管管理理器器】窗窗口口中中，单单击击【安安全全性性】节节点点前前的的“+”“+”号号，展展开开安安全全节节点点。在在【登登录录名名】上上单单击击鼠鼠标标右右键键，弹弹出出快快捷捷菜菜单单，从从中中选选择择【新新建建登登录录名名(N N)】命令，如图】命令，如图11.411.4所示。所示。略略上页返回上页返回11.2.3 11.2.3 创建用户创建用户 用用户户是是数数据据库库级级的的安安全全策策略略，在在为为数数据据库库创创建建新新的的用用户户前前，必必须须存存在在

14、要要创创建建用用户户的的一一个个登登录录或或者者使使用用已已经经存存在在的的登登录录创创建用户。建用户。1.1.使用使用 Management Studio Management Studio创建用户创建用户2.2.使用使用Transact-SQLTransact-SQL创建登录和用户创建登录和用户上页返回11.3 11.3 权权 限限 管管 理理11.3.1 11.3.1 服务器权限服务器权限 服服务务器器权权限限允允许许数数据据库库管管理理员员执执行行管管理理任任务务。这这些些权权限限定定义义在在固固定定服服务务器器角角色色(fixed(fixed server server roles)

15、roles)中中。这这些些固固定定服服务务器器角角色色可可以以分分配配给给登登录录，但但这这些些角角色色是是不不能能修修改改的的。一一般般只只把把服服务务器器权权限限授授给给DBA(DBA(数数据据库库管管理理员员)，他他不不需需要要修修改改或或者者授授权权给给别别的的用用户户登登录录。我我们们将将在在后后面面讲讲解解角角色色管管理理时时，详详细细地地介介绍绍服务器的相关权限和配置。服务器的相关权限和配置。上页返回11.3.2 11.3.2 数据库对象权限数据库对象权限 数数据据库库对对象象权权限限是是授授予予用用户户以以允允许许他他们们访访问问数数据据库库中中对对象象的的一一类类权权限限，对

16、对象象权权限限对对于于使使用用SQLSQL语语句句访访问问表表或或者者视视图图是是必必须的。须的。在在Microsoft Microsoft SQL SQL Server Server Management Management 20052005中中给给用用户户添添加对象权限的具体步骤如下。略加对象权限的具体步骤如下。略上页返回11.3.3 11.3.3 数据库权限数据库权限 对对象象权权限限使使用用户户能能够够访访问问存存在在于于数数据据库库中中的的对对象象，除除了了数数据据库库对对象象权权限限外外，还还可可以以给给用用户户分分配配数数据据库库权权限限。SQL SQL Server Serv

17、er 20052005对对数数据据库库权权限限进进行行了了扩扩充充，增增加加了了许许多多新新的的权权限限，这这些些数数据据库库权权限限除除了了授授权权用用户户可可以以创创建建数数据据库库对对象象和和进进行行数数据据库库备备份份外外，还还增增加加了了一一些些更更改改数数据据库库对对象象的的权权限限，在在此此我我们不一一介绍。们不一一介绍。在在Microsoft Microsoft SQL SQL Server Server 20052005中中给给用用户户添添加加数数据据库库权权限限的的具体的步骤如下。略具体的步骤如下。略上页返回11.4 11.4 角角 色色 管管 理理11.4.1 11.4.

18、1 固定服务器角色固定服务器角色 在在SQL SQL ServerServer安安装装时时就就创创建建了了在在服服务务器器级级别别上上应应用用的的大大量量预预定定义义的的角角色色，每每个个角角色色对对应应着着相相应应的的管管理理权权限限。这这些些固固定定服服务务器器角角色色用用于于授授权权给给DBA(DBA(数数据据库库管管理理员员)，拥拥有有某某种种或或某某些些角角色色的的DBADBA就就会会获获得得与与相相应应角角色色对对应应的的服服务务器器管管理理权权限限。这这些些角色和相应的权限如表角色和相应的权限如表11.111.1所示。所示。上页返回上页返回11.4.2 11.4.2 数据库角色数

19、据库角色 在在SQL SQL ServerServer安安装装时时，数数据据库库级级别别上上也也有有一一些些预预定定义义的的角角色色，在在创创建建每每个个数数据据库库时时都都会会添添加加这这些些角角色色到到新新创创建建的的数数据据库库中中，每每个个角角色色对对应应着着相相应应的的权权限限。这这些些数数据据库库角角色色用用于于授授权权给给数数据据库库用用户户，拥拥有有某某种种或或某某些些角角色色的的用用户户会会获获得得相相应应角色对应的权限。这些角色和相应的权限如表角色对应的权限。这些角色和相应的权限如表11.211.2所示。所示。上页返回上页返回11.5 11.5 上上 机机 指指 导导11.5.1 11.5.1 创建登录创建登录11.5.2 11.5.2 创建新用户创建新用户