第四章 SQL Server安全性(补充).pptx

SQL Server安全控制机制1. 多层次的数据库安全机制OS文件权限保护DB数据库加密用户身份认证（Authentication）DBMS访问控制（Access Control）SQL Server安全控制机制身份认证机制身份验证数据库用户权限登录权限权限许可机制其它方法SQL Server访问许可控制身份认证只是第一步学校数据库学籍教师(1)身份认证(2)访问控制万能锁匙？固定资产SQL Server进行两个方面认证两个方面的授权获得准许连接 SQL Server 服务器的权利； 获得访问特定数据库中数据的权利(select, update, delete, create table ...).登录用户及身份认证机制登录验证(登录用户)是指核对连接到SQL Server实例的登录帐户名和密码是否正确，以此确定用户是否具有连接到SQL Server服务器的权限。通过了登录验证，并不意味着用户能够访问SQL Server实例中的各个数据库。用户只有在被授于访问数据库的权限许可之后， 才能对服务器上的数据库进行权限许可下的各种操作。身份验证模式（Authentication Modes）Windows身份验证模式依靠Windows身份验证数据库用户的身份更为安全，因为Windows具有C2级安全标准。混合模式依靠Windows与SQL Server身份验证用户的身份；混合模式下，即允许使用Windows认证模式，又允许使用SQL Server认证模式；SQL Server认证简单数据库用户及访问许可学校数据库学籍数据库用户教师映射登录用户（张三）固定资产用户在进行身份认证并登录后，下一个安全等级是数据库访问权限。数据库访问权限的实现：映射数据库用户和登录用户之间的关系。SQL Server数据库用户（database users）SQL Server用数据库用户来指出哪一个人可以访问哪一个数据库；数据库用户帐户通常是由DBA在SQL Server实例的各个数据库中创建的。一个登录账号总是与一个或多个数据库用户账号相关联。这个关联工作，由DBA在为用户新建登录账户或修改登录帐户属性时完成的。对于一些特殊登录帐户，这个过程是由SQL服务器自动完成的。如：sa是SQL Server内置的管理员登录账号，sa登录账号自动与每一个数据库的dbo用户相关联。用户访问SQL Server实例中的某一数据库，SQL Server检查该登录用户是否与该数据库中的某一用户帐户相关联。如果有，则允许它以该用户帐户访问数据库；如果没有，则检查该数据库中是否有guest用户如果有，则允许用户以guest用户来访问该数据库如果没有，则该用户对该数据库的访问被拒绝。在安装SQL Server时，系统自动在master、pubs、 tempdb和Northwind 数据库中创建guest用户。2. SQL Server用户管理实践2.1 登录用户的创建与管理使用企业管理器使用T-SQL语句使用存储过程使用登录向导创建2.2 数据库用户的创建与管理使用企业管理器使用T-SQL语句使用存储过程2.3 数据库的授权管理T-SQL语句：Grant, Revoke2.1 用企业管理器创建登录用户T-SQL 创建登录用户(SQL Server 2005)CREATE LOGIN loginName { WITH option_list1 | FROM sources DROP LOGIN loginName示例SQL Server 2005以上版本适用。存储过程创建示例(SQL Server 2000)创建登录用户testzz,密码testzz111，默认数据库为stud;EXEC sp_addlogin testzz,testzz111,stud 为用户testzz修改密码EXEC sp_password testzz111, ok123,testzz2.2 数据库用户帐户创建为了创建一个新的数据库用户帐户，必须事先确定一个将与该数据库用户相关的登录帐户。登录帐户数据库用户帐户企业管理器T-SQL创建数据库用户(SQL Server2005)为登录名user1创建数据库用户TomCREATE USER Tom FOR LOGIN user1; 2.3 权限许可机制权限许可服务器权限数据库权限对象权限(Object permission)语句权限(Statement Permission)角色概念2.3.1 权限许可服务器权限数据库权限服务器权限服务器权限用来为数据库管理员分配执行数据库管理任务的许可。服务器权限被预先赋于固定的服务器角色，为用户的登录帐户分配某一服务器角色，则用户具有该服务器角色所具有的服务器权限。服务器权限包括：关闭数据库系统、新建数据库，备份数据库