SQL课件--十四、数据库安全性.pptVIP

第十四章　 数据库的安全性 教学目标 计算机系统的三类安全性 可信计算机系统评测标准（TCSEC）和它的级别划分 数据库的安全性控制及其技术 安全性控制机制的功能 重点和难点 重点: 计算机系统评测标准（TCSEC）和它的级别划分 SQL SERVER 2000安全架构 难点: SQL Server 安全性管理的途径 计算机安全性概论 本讲讨论的两个问题： 计算机系统的三类安全性问题 可信计算机系统评测标准（TCSEC） 计算机系统的三类安全性问题 所谓计算机系统安全性，是指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。 技术安全类 管理安全类 政策法律类 可信计算机系统评测标准（TCSEC） TCSEC 对系统安全等级的划分 TCSEC 将计算机系统划分为四组七个等级，按系统可靠或可信程序逐渐增高排列，依次是： D、C1、C2、B1、B2、B3、A1 安全性控制 安全性控制定义 安全性控制保护数据库以防止不合法的使用所造成的数据泄露和破坏。其基本措施是存取控制 安全性措施 物理级 人际级 操作系统级 网络级 数据库系统级 数据库有关的安全技术 用户标识和鉴定 存取控制 视图 审计 数据加密 用户标识和鉴别 用户标识和鉴别： 是系统提供的最外层安全保障措施。其方法是由系统提供一定的方式让用户标识自己的名字或身份。每次用户要求进入系统时，由系统进行核对，通过鉴定后才提供机器使用。 常用的方法： 用一个用户名或者用户标识号来标明用户身份 口令 存取控制 数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限，同时令所有未被授权的人员无法接近数据，这主要通过数据库系统的存取控制机制实现 存取控制机制主要包括两部分： 定义用户权限 合法权限检查 自主存取控制方法 自主存取控制： 用户对于不同的数据对象有不同的存取权限，不同的用户对同一对象也有不同的权限，而且用户还可将其拥有的存取权限转授给其他用户。 特点：非常灵活 视图机制 视图： 进行存取权限控制时为不同的用户定义的不同的数据对象范围。 审计 审计功能把用户对数据库的所有操作自动记录下来放入审记日志（Audit Log）中。 DBA可以利用审计跟踪的信息，重现导致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等。 审计是对选定的用户动作的监控和记录，通常用于审查可疑的活动。例如：数据被非授权用户所删除，此时安全管理员可决定对该 数据库的所有连接进行审计，以及对数据库的所有表的成功地或不成功地删除进行审计。 数据加密 数据加密： 是防止数据库中数据在存储和传输中失密的有效手段。 加密的两种方法： 替换方法 转换方法 创建安全账户 1.新建登陆 登陆分为sql server身份认证和windows身份认证. 用户授权 Windows身份认证的登陆: 我们可以利用系统存储过程sp_grantlogin实现授权，语法如下: sp_grantlogin [@loginame =] login‘ 设定一windows用户或用户组为sql server的登陆者 用户授权 拒 绝 登 录 很多时候Windows用户所属的组在SQL Server中有登录帐号，但是很多时候要阻止一些用户登录到SQL Server，这时我们可以利用系统存储过程sp_denylogin来实现： sp_denylogin [ @loginame = ] login 添加 SQL Server 登录 我们可以利用系统存储过程sp_addlogin创建登录，语法如下： sp_addlogin [ @loginame = ] login??? ?[ , [ @passwd = ] password ]??? ?[ , [ @defdb = ] database ]???? [ , [ @deflanguage = ] language ]??? 删除登陆帐号,禁止其访问SQL SERVER ,其格式为: sp_droplogin [@loginname] ‘login’ 注:1.不能删除系统管理者sa以及当前连接到sq