[计算机软件及应用]chap06数据库保护机制.pptVIP

数据库技术与应用 第六章 数据库保护机制 （安全性控制、并发控制） 内容提要 数据库完整性控制（database integrity） 数据库安全性控制（database security ） 并发控制（concurrency control） 数据库恢复（database recovery） (见PPT,chap04-SQL) 数据库安全性控制 防止未授权用户存取数据库中的数据，避免数据的泄漏、更改或破坏！ 安全性控制的一般方法 用户标识与鉴别 身份验证 密码 随机数验证 存取控制（授权机制） 权限定义 ，存放在数据字典中，权限检查 视图机制 定义外模式，使用视图机制，通过给不同权限用户定义不同的视图，把部分需要保密的数据对无权限的用户隐藏起来，达到一定程度的安全性。 审计 把用户所有的操作及其相关信息存入审计日志，分析日志。 数据加密 对称密钥加密法和公开密钥加密法。 SQL Server2005的安全性控制 SQL Server级的安全控制（连接权） 通过身份验证（登录名和密码）机制来实现 数据库级安全控制 通过用户管理来实现。 数据对象级安全机制 通过权限管理来实现。两种权限管理： 语句权限 对象权限 角色 服务器级 数据库级 数据对象级 身份验证模式 以确定用户是否具有服务器的连接权。 SQL Server用户来源有两种： Windows授权的用户 这种用户的账号和密码由Windows操作系统建立、维护和管理。 SQL Server授权的用户 这种用户的账号和密码由SQL Server服务器创建、维护和管理。 SQL Server为此提供了两种不同的身份验证模式： Windows 身份验证模式 Windows负责验证用户身份。在这种认证模式下，SQL Server允许Windows的合法用户连接到SQL Server服务器。 混合身份验证模式： Windows操作系统和SQL Server一起负责验证用户身份。在这种验证模式下，SQL Server既接受Windows用户也接受SQL Server用户。 服务器级 数据库用户 一个账号只能连接到数据库服务器，如果想访问某个具体的数据库，就必须是该数据库的用户，否则对该数据库的访问就会遭到拒绝。 有两种方法创建数据库用户： SSMS T-SQL语言 数据库用户与账号（登录名）有什么关系呢？ 映射到登录名的用户就是一种数据库用户。 数据库用户必须依赖于某一个账号，即，在创建数据库用户前必须先创建一个用于连接服务器的账号或者使用已有的账号。 数据库级 注意：默认状态下，每个新建的数据库都有一个用户dbo和Guest, 它是数据库的拥有者，依赖于创建时所使用的账号。 数据对象的安全性 数据对象的安全性认证是用户能接触到数据的最后一道关卡，而过关的凭证是用户具有对数据对象操作的相应权限。 权限种类： 对象权限–指用户对数据对象的操作权限。主要是指数据操作语言（DML）的语句权限。即SELECT、UPDATE、DELETE、INSERT、EXECUTE等。如：用户想查询sc表中数据，查询的前提是该用户已被授予了对该表的SELECT权限。 语句权限 – 指用户对某一个语句执行的权限。这些语主要是数据定义语言（DDL）的语句。如CREATE DATABASE、BACKUP DATABASE等。 数据对象级 对权限的三种管理方式 授予(GRANT) 对用户、角色等授予某种权限。 收回(REVOKE) 对用户、角色等收回已授予的权限。 禁用(DENY) 禁止用户、角色等拥有某种权限。 数据对象级 如何做？ 先建登录 再建用户 设置权限 如何创建登录账号？ 创建SQL Server登录 (1)SSMS →对象资源管理器→ 安全性→登录名，从快捷菜单中选择『新建登录名』，见右图。 (2)在打开的“登录名-新建”对话框左侧选择『常规』选项，设置登录名、身份验证方式(选择SQL Server身份验证)、默认数据库。 服务器级 CREATE LOGIN login2 WITH PASSWORD=123rzw 或 EXEC sp_addlogin login2, 123rzw 如何创建登录账号？(Contd.) 创建Windows登录 (1)SSMS →对象资源管理器→ 安全性→登录名，从快捷菜单中选择『新建登录名』，见右图。 (2)在打开的“登录名-新建”对话框左侧选择『常规』选项，选择Windows身份验证,单击【搜索】按钮。 (3)在打开的“选择用户或组”对话框中，单击【高级】按钮，【立即查找】本机上已有的