第5章项目数据库安全管理综述.ppt

第五章 项目数据库安全管理 本章目标 1．学习目标 了解SQL Server服务器安全特性； 掌握数据库安全性管理 掌握数据库角色管理； 掌握数据库权限管理； 2. 学习要点 用户的种类及其创建方法； 角色的种类及使用方法； 权限的种类及操作方法； 数据库安全性 保护数据库中的各种数据，以防止因非法使用而造成数据的泄密和破坏。简单的说就是保护数据库以防止不合法的使用所造成的数据泄露。 5.1.1 SQL Server 2008安全管理新特性 SQL Server 2008 提供了丰富的安全特性，用于保护数据和网络资源。它的安装更轻松、更安全，除了最基本的特性之外，其他特性都不是默认安装的，即便安装了也处于未启用的状态。SQL Server提供了丰富的服务器配置工具，特别值得关注的就是 SQL Server Surface Area Configuration Tool，它的身份验证特性得到了增强， SQL Server 更加紧密地与Windows身份验证相集成，并保护弱口令或陈旧的口令。有了细粒度授权、SQL Server Agent 代理和执行上下文，在经过验证之后，授权和控制用户可以采取的操作将更加灵活。元数据也更加安全，因为系统元数据视图仅返回关于用户有权以某种形式使用的对象的信息。在数据库级别，加密提供了最后一道安全防线，而用户与架构的分离使得用户的管理更加轻松。 5.1.2 SQL Server 2008安全性机制 服务器级别的安全机制 这个级别的安全性主要通过登录帐户进行控制，要想访问一个数据库服务器 ，必须拥有一个登录帐户。登录帐户可以是Windows账户或组，也可以是SQL Server的登录账户。登录账户可以属于相应的服务器角色。至于角色，可以理解为权限的组合。 数据库级别的安全机制 这个级别的安全性主要通过用户帐户进行控制，要想访问一个数据库，必须拥有该数据库的一个用户账户身份。用户账户是通过登录账户进行映射的，可以属于固定的数据库角色或自定义数据库角色。 数据对象级别的安全机制 这个级别的安全性通过设置数据对象的访问权限进行控制。如果是使用图形界面管理工具，可以在表上右击，选择“属性”|“权限”选项，然后启用相应的权限复选框即可。 5.1.3 SQL Server 2008安全主体 主体级别 主体对象 Windows级别 Windows域登录、Windows本地登录、Windows组 SQL Server级别 服务器角色、SQL Server登录 SQL Server登录映射为非对称密钥 SQL Server登录映射为证书 SQL Server登录映射为Windows登录 数据库级别 数据库用户、应用程序角色、数据库角色、公共数据库角色 数据库映射为非对称密钥 数据库映射为证书 数据库映射为Windows登录 5.2.1管理SQL Server服务器安全性 内容包括： 确认用户帐号是否有效； 能否访问系统； 能访问系统的哪些数据。 身份验证是指当用户访问系统时，系统对该用户的账号和口令的确认过程。SQL SERVER能识别两种类型的身份： WINDOWS身份； SQL SERVER身份。 用户和客户机在连接SQL时，可任选其一。 1、WINDOWS身份： 在使用Windows身份验证模式时，可以使用Windows域中有效的用户和组账户来进行身份验证。这种模式下，域用户不需要独立的SQL Server用户账户和密码就可以访问数据库。 2、SQL SERVER身份： 由SQL SERVER系统管理员定义SQL 的登录帐号和密码，用户连接时必须提供帐号和口令。 1、WINDOWS身份验证方式： 在使用Windows身份验证模式时，可以使用Windows域中有效的用户和组账户来进行身份验证。这种模式下，域用户不需要独立的SQL Server用户账户和密码就可以访问数据库。 Windows身份验证模式有以下主要优点： 数据库管理员的工作可以集中在管理数据库上面，而不是管理用户账户。对用户账户的管理可以交给Windows去完成。 Windows有更强的用户账户管理工具。可以设置账户锁定、密码期限等。如果不通过定制来扩展SQL Server，SQL Server则不具备这些功能。 Windows的组策略支持多个用户同时被授权访问SQL Server。 5．2．1身份验证模式 登录过程： 2、混合安全模式 功能：指用户登录时，其身份由WINDOWS NT和SQL SERVER共同认证。 适用对象：适合用于外界用户访问数据库或不能