第12章SQL Server安全管理课程.ppt

第12章 SQL Server安全管理 12．1 SQL Server 2000的安全 12．2 管理服务器的安全性 12．3 管理数据库用户 12．4 管理角色 12．5 管理权限 12．6本章总结 学习目标： 通过本章学习，你可以学会： SQL Server的安全性机制 管理和设计SQL Server登录信息，实现服务器级的安全控制 设计和实现数据库级的安全保护机制 设计和实现数据库对象级安全保护机制 12.1 SQL Server 2000的安全机制 合理有效的数据库技术安全机制可以既保证被授权用户能够方便地访问数据库中的数据又能够防止非法用户的入侵。SQL Server 2000提供了一套设计完善、操作简单的安全管理机制。SQL Server 2000安全机制可以划分为4个等级。 客户机操作系统登录的安全性 SQL Server登录的安全性 数据库访问的安全性 数据库对象使用的安全性 每个安全等级就好像一道门，如果门没有上锁，或者用户拥有开门的钥匙，则用户可以通过这道门达到下一个安全等级，如果通过了所有的门，则用户就可以实现对数据库的访问了。这种关系可以用图12.1来表示。 12.2管理服务器的安全性 对于一个合法的数据库用户，首先必须在SQL Server 2000中为其设置相应的登录账户，否则他不能登录数据库服务器。有两类登录账户，一是SQL Server身份验证的登录账户(以下简称SQL账户)，二是Windows身份验证的登录账户(以下简称Windows账户)。SQL账户的登录名称与登录密码由SQL Server 2000系统负责验证，Windows账户的登录名称与登录密码则由Windows NT操作系统负责验证。 12．2．1 使用企业管理器管理登录账户 [实例12.1]利用企业管理器创建一个SQL账户名为test，密码为xxxbjwk,默认数据库为学生库的账户。 步骤： 这样使用企业管理器就可以创建一个登录账户。在建立SQL账户实现服务器连接时，用户必须拥有合法的账号和正确的密码。在SQL Server系统中，登录密码并不是必须的。但是用户最好设置密码，没有密码的保护，SQL Server的服务器级安全保护就像没有上锁的大门，知道门的位置（账号）的用户都可以畅通无阻。 上面采用的是SQL账户的创建，如若采用Windows账户登录，则不同之处就是在图12.3中选择Windows身份验证，这时登录名称不能随便键入，它必须是Windows NT的用户。可以在“域”组合框的下拉菜单中选择域名，然后点击按钮，在弹出的对话框中（如图12.5所示）中选择Windows用户或组，单击“添加”按钮后再单击“确定”按钮，系统自动将该Windows用户或组添加到图12.3的“名称”文本框中如图12.6所示。其他操作与建立SQL账户相同。 [实例12.2]对上例创建的test账户进行属性修改。 12．2．2 使用T-SQL语句管理登录账户 管理登录账户也可以使用T-SQL语句，主要是通过存储过程来加以管理，需要注意的是管理Windows账户与SQL账户所使用的系统存储过程不同。 1、管理SQL身份验证的登录账户 使用系统存储过程管理SQL身份验证的登录账户包括使用系统存储过程创建SQL账户，修改SQL账户的密码，修改SQL账户的默认数据库，修改SQL账户的默认语言，以及删除SQL账户。下面将分别给以介绍。 [实例12.3]创建一个SQL账户yn_sql，密码为123，默认数据库为学生库。 输入如下SQL语句： SP_ADDLOGIN yn_sql,123,学生库‘ 执行得到如下结果： 通过上例，我们可归纳出使用系统存储过程创建SQL账户的命令格式： sp_addlogin [@loginame=] ‘新建登录账户的名称’ [，[@passwd=]密码’] [，[@defdb=]默认数据库] [，[@defianguage= ] ‘默认语言] 命令说明： 密码可以默认设置为NULL。 全部按上述次序取值时，局部变量名称@loginame、@passwd、@defdb、@deflanguage可以省略。 [实例12.4] 将SQL账户yn_sql 中的密码由123更改为123456。 输入如下SQL语句： SP_PASSWORD 123,123456 ,yn_sql 通过上例，我们可归纳出使用系统存储过程修改SQL账户密码的命令格式： sp_password [[@old=] ‘旧的登录密码’，] [[ @new=] ‘新的登录密码’] [，[@loginame=]‘需要更改