第十讲数据库安全性讲稿.ppt

使用CREATE SCHEMA语句不仅可以创建架构，同时还可以创建该架构所拥有的表、视图并且可以对这些对象设置权限。 创建架构 创建有明确所有者的架构 创建架构 创建架构时同时创建一个表 创建架构 查看和修改数据库中的架构信息 如果要查看数据库中的架构信息，可以使用sys.schemas架构目录视图。该视图包含了数据库中架构的名称、架构的标识符和架构所有者的标识符等信息。 修改架构是指将特定架构中的对象转移到其他架构中。可以使用ALTER SCHEMA语句完成对架构的修改。 转移对象的架构 删除架构 6、数据库角色 数据库角色是数据库级别的主体，也是数据库用户的集合。数据库用户可以作为数据库角色的成员，继承数据库角色的权限。数据库管理人员可以通过管理角色的权限来管理数据库用户的权限。 Microsoft SQL Server 2008系统提供了一些固定数据库角色和public特殊角色。 管理数据库角色包括创建数据库角色、添加和删除数据库角色成员、查看数据库角色信息及修改和删除角色等。 创建带有所有者的角色 如果要为角色添加成员，可以使用sp_addrolemember存储过程。 使用该存储过程可以为当前数据库中的数据库角色添加数据库用户、数据库角色、Windows登录名和Windows组。 sp_addrolemember存储过程的使用方式如下所示： sp_addrolemember role_name, security_account 与sp_addrolemember存储过程相对应的是 sp_droprolemember存储过程，后者可以删除指定数据库角色中的成员。 可以使用sys.database_principals安全性目录视图查看当前数据库中所有数据库角色信息，使用 sys.database_role_members安全性目录视图查看当前数据库中所有数据库角色和其成员的信息。 如果要修改数据库角色的名称，可以使用ALTER ROLE语句。如果某个角色确实不再需要了，可以使用DROP ROLE语句删除指定的角色。 固定数据库角色 就像固定服务器角色一样，固定数据库角色也具有了预先定义好的权限。使用固定数据库角色可以大大简化数据库角色权限管理工作。 Microsoft SQL Server 2008系统提供了9个固定数据库角色。 角色名称 意义 所具有的权限与功能 public 特殊的公共角色 所有数据库用户都属于它的成员，并自动继承它的权限 db_owner 数据库所有者 拥有执行数据库所有操作的权限 db_accessadmin 数据库访问权限管理员 拥有增、删数据库用户、工作组及角色的权限 db_ ddladmin 数据库DDL管理员 拥有在数据库中运行DDL命令的权限 db_securityadmin 数据库安全管理员 拥有角色成员身份管理和权限管理的权限 db_backupoperator 数据库备份管理员 拥有备份和恢复数据库的权限 db_datareader 数据检索管理员 拥有读取数据库中所有表的数据的权限 db_datawriter 数据维护管理员 拥有对数据库所有表的数据执行增、删、改操作的权限 db_denydatareader 禁止数据检索管理员 禁止读取数据库中所有表的数据 db_denydatawriter 禁止数据维护管理员 禁止对数据库所有表的数据执行增、删、改操作 public角色 除了9个固定数据库角色之外，Microsoft SQL Server系统成功安装之后，还有一个特殊的角色，这就是public角色。 public角色有两大特点，第一，初始状态时没有权限；第二，所有的数据库用户都是它的成员。 固定数据库角色都有预先定义好的权限，但是不能为这些角色增加或删除权限。虽然初始状态下public角色没有任何权限，但是可以为该角色授予权限。 7 、管理应用程序角色 应用程序角色是一个数据库主体，它可以使应用程序能够用其自身的、类似用户的权限来运行。 在使用应用程序时，仅允许特定用户来访问数据库中的特定数据，如果不使用这些特定的应用程序连接，就无法访问这些数据。从而实现安全管理的目的。 与数据库角色相比来说，应用程序角色有3个特点： 第一，在默认情况下该角色不包含任何成员； 第二，在默认情况下该角色是非活动的，必须激活之后才能发挥作用； 第三，该角色有密码，只有拥有应用程序角色正确密码的用户才可以激活该角色。当激活某个应用程序角色之后，用户会失去自己原有的权限，转而拥有应用程序角色的权限。 创建应用程序角色 激活应用程序角色 修改应用程序角色 8、管理权限 权限是执行操作、访问数据的通行证。只有拥有了针对某种安全对象的指定权限，才能对该对象