第22章 安全性-安全保护及用户.pptVIP

第22章 安全性-安全保护及用户权限 安全性是数据库最重要的特性之一，可将保护SQL Server视为一系列步骤，其涉及到4方面：平台、身份验证、对象（包括数据）及访问系统的应用程序；而SQL注入是一种最为常见的攻击方式，严重威胁到SQL Server的安全性；合理的用户权限也是系统安全的保障之一。 22.1 架构 架构是包含表、视图、过程等的容器，其位于数据库内部，而数据库位于服务器内部。这些实体像嵌套框一样放置在一起。服务器是最外面的框，而架构是最里面的框。 22.1.1 用户与架构的分离 在SQL Server 2008中，架构不等效于数据库用户。现在，每个架构都是独立于其创建数据库用户存在的不同命名空间。也就是说，架构只是对象的容器。任何用户都可以拥有架构，并且架构所有权可以转移。 22.1.2 新目录视图 在SQL Server 2008中架构是反映的显式实体。因此，架构只能有一个所有者。但一个用户可以拥有一个架构，也可以拥有多个架构，还可以不荣拥有架构。这种复杂关系并未在以前数据库版本的系统表中反映，因此SQL Server 2008使用了新的目录视图，以准确反映新的元数据。 22.1.3 什么是默认架构 每个用户都拥有一个默认架构，可以使用CREATE USER或ALTER USER的DEFAULT_SCHEMA选项来设置和更改默认架构。如果未定义DEFAULT_SCHEMA，则数据库用户将使用dbo作为默认架构。如存储过程的名字一般为dbo.uspGetBillOfMaterials。 22.2 主体 主体是可以请求SQL Server资源的实体。与SQL Server授权模型的其他组件一样，主体也可以按层次结构排列。主体的影响范围取决于主体定义的范围（Windows、服务器或数据库），以及主体是否不可分或是一个集合。 22.2.1 典型的主体 在SQL Server 2008中典型的主体有SQL Server sa登录名、public数据库角色，以及基于证书的SQL Server登录名。 （1）SQL Server sa登录名 （2）public数据库角色 （3）基于证书的SQL Server登录名 （4）客户端和数据库服务器 （5）非主体，INFORMATION_SCHEMA和sys 22.2.2 选择身份验证模式 对于SQL Server 2008的登录名主体，在安装过程中，必须为数据库引擎选择身份验证模式。可供选择的模式有两种：Windows身份验证模式和混合模式。Windows身份验证模式会启用Windows身份验证并禁用SQL Server身份验证。混合模式会同时启用Windows身份验证和SQL Server身份验证。Windows身份验证始终可用，并且无法禁用。 （1）配置身份验证模式 （2）通过Windows身份验证进行连接 （3）通过SQL Server身份验证进行连接 （4）SQL Server身份验证的缺点 （5）SQL Server身份验证的优点 22.3 SQL Server登录用户的管理 操作SQL Server的人员一般称为SQL Server用户，在打开SQL Server后，都会出现一个连接对话框，要求输入服务器名称和身份验证等信息。身份验证信息就是一个用户的用户名和密码，通过SQL Server的“用户”对象，可以设置数据库的使用权限。同一个数据库可以拥有多个用户，同一个用户也可以同时访问多个数据库。 22.3.1 添加用户 使用SQL Server Management Studio可以可视化的添加用户，步骤如下所示。 22.3.2 使用用户登录 创建登录名后，可以用该登录名来登录数据库实例，下面就列用上面创建好的登录名进行操作，步骤如下所示。 22.3.3 为用户设置权限 本节介绍在SQL Server Management Studio里为用户添加权限的方法。步骤如下。 22.4 角色 为便于管理服务器和数据库上的权限，SQL Server提供了若干“角色”，这些角色是用于分组其他主体的安全主体。“角色”类似于Microsoft Windows操作系统中的“组”。 22.4.1 服务器级别角色 服务器级角色也称为“固定服务器角色”，因为用户不能创建新的服务器级角色。服务器级角色的权限作用域为服务器范围。用户可以向服务器级角色中添加SQL Server登录名、Windows账户和Windows组。固定服务器角色的每个成员都可以向其所属角色添加其他登录名。 22.4.2 数据库级别的角色 为便于管理数据库中的权限，SQL Server同样也提供了若干“角色”，这些角色是用于分组其他主体的安全主体。数据库级角色的权限作用域为数据库范围。S