第8章 SQL Server数据库保护.ppt

An Introduction to Database Systenm 8.1 数据库安全管理 作为一个企业级的关系数据库管理系统，SQL Server提供了内置的安全性和数据保护机制，并且这种管理有效而操作简单，归纳起来主要有以下四个等级：客户端操作系统的安全、数据库的登录安全、数据库使用安全和数据库对象的使用安全。 无论安全管理问题多么复杂，均可归结为对‘锁’和‘钥匙’ 的管理问题，这就是所谓的账户管理问题。SQL Server的安全管理主要是围绕账户管理展开的。 8.1 数据库安全管理 身份认证模式 用户在使用SQL Server系统之前，必须通过系统的检测。认证模式就是系统选择何种认证确认用户的方式 Windows认证模式 混合认证模式：需提供SQL Server系统的登录名和密码 当采用SQL Server身份验证方式完成SQL Server安装工作后， SQL Server就建立一个特殊账号sa，它拥有对服务器和所有数据库的管理权限，可执行服务器范围内的所有操作。 登录帐户 存储在master数据库的sysxlogins系统表中。 在登录账户建好后，可以对其属性进行修改 8.1 数据库安全管理 数据库用户 使登录账户与要访问的数据库联系起来，否则登录账户不能访问任何一个数据库。 一个登录账户可以与多个数据库有联系，一个数据库用户对应一个登录账户。 每一个数据库都有一个dbo用户，他不能从数据库中删除，其他数据库用户在不需要时可以删除。 使用企业管理器建立数据库用户的方法 8.1 数据库安全管理 角色管理 为了便于操作和管理，对用户进行分类，一类用户从属于一个角色。不同的角色具有不同的操作权限，属于同一角色的用户具有相同的操作权限。 系统定义的固定角色：执行日常的服务器设置管理和数据库设置管理。如sa,public。 用户定义的用户角色：对数据库进行管理。 8.1 数据库安全管理 权限管理 在实现了数据库的安全登录后，检验用户权限的下一道门就是数据库的访问权限。数据库的访问权限是通过映射数据库的用户账号和登录账号之间的关系来实现的。 SQL Server中的数据库级别上有两个内置的特殊用户，即dbo和guest。 dbo是数据库的拥有者，它在每个数据库中都存在，并拥有对数据库的最高权利，可以在数据库范围内执行一切操作。dbo用户对应于创建该数据库的登录账号，所以当采用sa为登录账号进行安装时，所以系统数据库的dbo都对应于sa账号。 8.1 数据库安全管理 guest用户可以使任何已经登录到SQL Server服务器的用户都可以访问数据库，所有的系统数据库除了Model以外都有guest用户。所有新建数据库没有这个用户。 用户许可管理 当用户以某一登录账号登录SQL Server服务器，并作为某一数据库用户创建了表、视图等数据库对象后，他就拥有了对该数据库对象的访问权限。但其他用户要想访问该对象必须首先获得拥有者的许可，对表、视图等拥有者可以授予INSERT、UPDATE、DELETE、SELECT等权限。 8.1 数据库安全管理 拒绝访问 拒绝用户访问数据库对象语法如下： DENY {ALL[PRIVILEGES]|权限[,…n]} {[(列名 [,…n])] ON {表名|视图名}} TO 数据库用户[,…n] 撤销以前被授予语句许可的用户的访问语法如下： DENY {ALL|语句命令[,…n]} [ON 表名] TO 数据库用户[,…n] 8.2 数据库完整性实现 数据的完整性是指数据的一致性（相容性）和正确性。数据库完整性的实现能保证数据的真实可用性，通过对数据取值的规范及其他约束使数据符合现实意义，不出现错误。 SQL Server提供的用来实施数据完整性的途径主要是约束（Constraint）、标识列（Identity Column）、默认（Default）、规则（Rule）、触发器（Trigger）、数据类型（Data Type）、索引（Index）和存储过程（Stored Procedure）等。 8.2 数据库完整性实现 8.2 数据库完整性实现 规则（Rule）是数据库中对存储在表的列或用户自定义数据类型中的值的规定和限制。规则是单独存储的数据库对象，规则与其作用的表和自定义数据类型是相互独立的，即表或自定义数据对象的delete、update不会对规则产生影响。当用户向绑定有规则的数据列中INSERT和UPDATE数据时，规则会检测修改值的完整性。 使用规则保证数据