DB09数据库安全性.pptVIP

数据库安全性 数据库安全性 问题的提出 数据库的一大特点是数据可以共享 数据共享必然带来数据库的安全性问题 数据库系统中的数据共享不能是无条件的共享 例： 军事秘密、国家机密、新产品实验数据、 市场需求分析、市场营销策略、销售计划、 客户档案、医疗档案、银行储蓄数据 安全性和完整性的区别 数据的安全性和完整性是两个不同概念 数据的完整性 防止数据库中存在不符合语义的数据，也就是防止数据库中存在不正确的数据 防范对象：不合语义的、不正确的数据 数据的安全性 保护数据库防止恶意的破坏和非法的存取 防范对象：非法用户和非法操作 1 SQL Server的安全机制 ★ 2 数据库安全性控制 1 SQL Server的安全机制 1.1 SQL Server 安全控制概述 1.2 安全模式 1.3 服务器登录标识管理 1.4 数据库用户管理 1.5 权限管理 1.1 SQL Server安全控制概述 SQL Server安全基础—四个等级的安全验证 操作系统安全验证——（安全模式） SQL Server安全验证——（服务器登录标识管理） SQL Server数据库安全验证——（数据库用户管理） SQL Server数据库对象安全验证——（权限管理） 1.2 安全模式 两种登录安全模式 Windows 认证 SQL Server 混合认证 当你在Windows 98计算机上运行SQL Server时，SQL Server混合认证是你唯一可用的方法。 设置安全模式 第一次安装SQL Server时，或者 使用SQL Server 连接服务器时。 1.3 服务器登录标识管理 使用企业管理器管理登录名 创建登录名 删除登录名 使用系统存储过程管理登录名 创建登录名sp_addlogin sp_addlogin [@loginame =] login [, [@passwd =] password ] [, [@defdb =] database ] [, [@deflanguage =] language ] 注意：对于Windows认证，使用sp_grantlogin存储过程。 删除登录名sp_droplogin sp_droplogin [@loginame =] login 1.4 数据库用户管理 数据库用户名和登录名的关系 数据库用户管理 1.4.1 数据库用户名和登录名的关系 数据库用户名和登录名的关系（续） 在SQL Server中，登录对象和用户对象是SQL Server进行权限管理的两种不同的对象。 一个登录对象是服务器方的一个实体，用户对象是登录对象在数据库中的映射，可以对用户对象进行授权，以便为登录对象提供对数据库的访问权限。 一个登录名可以被授权访问多个数据库，一个登录名在每个数据库中只能映射一次。 每个数据库中都会有一个叫sysusers的表，这个表包含了在数据库中的所有用户对象，以及和它们相对应的登录名的标识。只有在master数据库中的syslogins表中，才会保存所有的登录名及口令。 删除登录名时系统会将其映射的所有用户名全部删除。数据库所有者不能被删除，但是能够使用sp_changedbowner存储过程将数据库所有者改变到其他的登录名上。 1.4.2 数据库用户管理 使用企业管理器管理数据库用户 创建用户 删除用户 使用系统存储过程管理数据库用户 增加用户sp_grantdbaccess sp_grantdbaccess [@loginame =] login [，[@name_in_db =] user] 删除用户sp_revokedbaccess sp_revokedbaccess [@name_in_db =] name 这些存储过程只对当前数据库进行操作 1.5 权限管理 什么是权限 权限类型 权限状态 分配权限 1.5.1 什么是权限 权限用于控制用户在SQL Server里执行特定任务的能力。 在SQL Server中，每个数据库有各自独立的权限保护系统，对于不同的数据库要分别授权。 在数据库里分配权限要按需分配——“需者方知”。 在数据库里分配权限有几个不同的层次。 数据库管理员?数据库所有者、数据库对象所有者?其他用户 1.5.2 权限类型 语句权限（系统权限） 对象权限 隐含权限（只允许属于特定角色的人使用） 一、语句权限 语句权限通常只给那些需要在数据库中创建或修改对象、执行数据库或事务日志备份的用户。 这类权限是SQL Server中功能最强大的一些权限，并且正常情况下，很少人需要这些权限。通常