第十章 数据库安全管理.pptVIP

审计署数据库应用技术 章节安排 第1章 数据库基础概述 第2章 SQL Server2008概述 第3章 数据库的创建与管理 第4章 Transact—SQL语言基础 第5章 表的创建与管理 第6章 数据的查询与数据操作 第7章 视图 第8章 存储过程 第9章 游标 第10章 安全管理 第11章 备份和恢复数据库 第12章 数据导入导出 第13章 Acces数据库及表的基本操作 第14章 查询对象 第15章 报表对象 第 十 章 安全性管理 安全控制 SQL Server的安全控制 管理 SQL Server登录账号 管理数据库用户 管理权限 角色 10.1 安全控制 在数据库应用系统的不同层次提供对有意和无意损害行为的安全防范。 安全控制概念 1. 安全控制模型 2. 权限的种类 系统维护权 操作权 数据库对象权限：创建、修改、删除 数据操作权：增、删、改、查、存储过程的执行权 3、数据库用户分类 数据库系统管理员 数据库对象拥有者 普通用户 连接权认证→访问权认证→操作权认证 10.2 SQL Server的安全控制 1、三个认证过程 连接权 访问权 操作权 用户能够登录到数据库服务器上(是服务器合法用户) 每个合法用户均具有一个服务器的登录帐号login（包括用户名（UID）和口令（PWD）） 用户注册到服务器时提供其登录帐号 用户能够访问某个数据库（是数据库的合法用户） 将合法的服务器用户映射到数据库中 （将login ? DB User） 使用户成为合法的数据库用户 数据库用户在数据库中基本不具备权限 让数据库用户在数据库中具有一定的权限(数据操作权、创建对象权等) 具体用户对具体的DB对象都安排有具体的操作权 用户访问DB数据严格限制权内操作。 2、SQL Server用户来源 Windows授权用户 SQL授权用户 Windwos授权用户 Windwos授权用户 3、安全认证模式 认证模式分类 混合模式 Windows Only授权模式 设置安全验证模式 使用SQL Server Management Studio 10.3 管理 SQL Server登录账号 系统内置的登录账号 建立用户登录账号 修改登录账号属性 删除登录账号 10.4 管理数据库用户 建立数据库用户 删除数据库用户 管理数据库用户 注意1： 可以为一个登录帐户在多个用户数据库下建立对应的数据库用户。 注意2： 一个登录帐户在一个用户数据库下只能对应一个数据库用户。 10.5 管理权限 SQL Server权限种类 对象权限（DML） 对于表和视图：可以使用select、insert、update和delete权限。 对于表和视图的字段：可以使用select和update权限。 对于存储过程：可以使用Exec权限。 语句权限（DDL）：对数据库对象的管理 隐含权限：系统预定义好的权限（如系统角色、对象拥有者的权限） 10.5 管理权限 权限管理：授权、收权、拒绝 许可（permission） 许可种类 10.6 角色 角色：具有相同/相似权限的一组用户 用于组织数据库用户的安全 角色种类： 系统提供的角色 固定的服务器角色 固定的数据库角色 用户自定义角色 10.6.1固定的服务器角色 作用：用于进行服务器一级的管理 10.6.1固定的服务器角色 查看固定的服务器角色 添加固定的服务器角色的成员 删除固定的服务器角色成员 10.6.2 固定的数据库角色 作用：用于进行数据库一级的管理 10.6.2 固定的数据库角色 查看固定的数据库角色 添加固定的数据库角色的成员 删除数据库角色的成员 10.6.3 用户自定义的数据库角色 用户自定义的角色的成员可以是 数据库的用户 用户定义的角色 只有权限没有被拒绝过，则角色中的成员的权限就使角色的权限加上它们自己所具有的权限。 10.6.3 用户自定义的数据库角色 建立用户自定义的角色 为用户定义的角色授权 添加和删除用户自定义角色的成员 角色与权限的问题 假设用户user为角色role的成员 权限为：对表x的查询权 用户最终获得许可的必要条件 1、用户已直接被保证许可或者其已属于某一个角色且该角色已被保证许可。 2、没有DENY过用户或其所属的任何一个角色。 角 色 权 限 public 默认不具有任何权限，但用户可对其授权 db_owner 在数据库中有全部权限 db_accessadmin 可以添加或删除数据库用户 、角色 db_ddladmin 管理数据库对象 db_security admin 授予语句和对象权限 db_backupoperat