SQLServer数据库访问控制课程报告..docVIP

SQL Server数据库访问控制 摘 要：数据库的应用已十分广泛，深入到了各个领域，但同时也带来了数据的安全隐患。本文从维护数据库系统的安全角度出发，介绍SQL Server数据库访问控制，并提出SQL Server数据库应用时的安全措施, 从而有效的增强数据库的安全性。 关键字：SQL，数据库，安全性，访问控制 1.引言 对于数据库系统来说,信息的收集、储存、检索和访问控制等各个环节都是十分重要的。信息的搜集、储存和检索是数据库系统的基本功能，而有效和完备的访问控制措施则是实现其各项功能的基本保障。随着数据库系统规模的不断扩大和信息敏感性的提高，数据库系统的安全性就显得更为重要。 SQL Server数据库管理系统使用登录帐户认证来控制用户对服务器的连接, 使用数据库的用户和角色许可等限制用户对数据库的访问，它们共同构成SQL Server数据库系统安全机制的基础。下面介绍SQL Server数据库管理系统中的这些访问控制技术。 2.SQL SEVER的安全体系结构 1、客户机操作系统的安全性：在使用客户计算机通过网络实现对SQL Server服务器的访问时，用户首先要获得客户计算机操作系统的使用权。 操作系统安全性是操作系统管理员或网络管理员的任务。 2、SQL Server的登录安全性：SQL SEVER服务器的安全，建立在控制服务器登录帐号和密码的基础上。两种登录方式，无论是使用哪种登录方式，通过登录时提供的密码和账号，决定了用户能否获得SQL Server访问权，并确定获得访问权限后，用户使用SQL Server进程时就可以拥有的权利。 管理和设计合理的登录是数据库管理员（DBA）的重要任务。 3、数据库的使用安全性：设置访问数据库用户。 4、数据库对象的使用安全性：设置对数据库对象操作权限。 3.SQL Server访问控制策略 Microsoft SQL Server对用户的访问控制分为以下两个阶段: #登录帐户认证; #访问许可确认。 在登录帐户认证阶段, Windows NT操作系统或SQL Server对用户登录进行认证, 如果认证成功, 用户则可连接到SQL Server, 否则服务器将拒绝用户的连接请求。 用户成功连接到SQL Server后, 系统根据数据库中保存的与服务器登录标识相对应的用户帐户判断他们是否具有对数据库的访问许可。用户对数据库的访问许可被确认后才可访问指定的数据库对象,否则, SQL Server将拒绝用户对数据库的操作。 在SQL Server中, 服务器登录标识由系统管理员创建, 而对数据库对象的访问许可则由数据库对象所有者授权。 3.1 登录帐户认证 Microsoft SQL Server数据库管理系统与Windows NT操作系统有机集成, 使它既可以使用自身的安全体系对用户登录进行认证, 又可以接收Windows NT认证用户的连接请求。SQL Server登录帐户认证有以下两种模式: （1） Windows NT认证模式 在这种认证模式下, 使用Windows NT操作系统的安全机制验证用户身份。当用户通过Windows NT认证并成功登录后, 用户在连接SQL Server时, SQL Server直接接收用户的连接请求。这种认证模式只使用于Windows NT平台, 运行在Windows95/ 98操作系统下的SQL Server系统无此认证模式; （2） Windows NT认证和SQL Server认证混合模式 在这种方式下, 对于可信连接用户的连接请求,系统将采用Windows NT认证模式, 而对于非可信连接用户则采用SQL Server认证模式。SQL Server模式认证要求用户提供登录帐户名称和口令, 当登录帐户和口令通过认证后, 用户应用程序才可连接到SQL Server服务器, 否则将拒绝用户的连接请求。 SQL Server对登录标识的认证过程见图1。 图1 SQL Server对登录标识的认证过程 无论采用以上哪种认证模式, 在用户连接到SQL Server之后, 他们的操作是完全相同的。比较起来, Windows NT认证与SQL Server认证各有优劣: #Windows NT认证更为安全。因为Windows NT操作系统自身具有较高的安全性, 其安全性能达到美国国防部定义的C2级安全标准。它具有安全确认、口令加密、审核、口令有效期保护、最短口令长度限制、非法登录时的帐户锁定等功