数据库安全、备份与恢复.pptVIP

学习目标 掌握SQLServer2005的安全机制 正确理解并掌握登录名、用户名、角色、架构的概念及其相互关系 学会管理服务器安全 学会管理数据对象安全 一、SQLServer2005的安全机制 SQLServer2005比2000的安全方面有了很大的改进，如下： 增强了架构的概念 实现了用户和架构的分离 通过Grant语句提高了权限的可管理性 增强了加密和密钥管理功能 如果一个远程用户要访问SQLServer2005数据库，则要经过以下几层验证： 操作系统验证 网络传输验证 数据库服务器验证 数据库验证 数据对象验证 操作系统验证 用户名与密码验证 网络传输验证 采用基于SSL的TCP/IP协议进行加密传输 数据库服务器验证 用户名与密码验证 数据库验证 登录的用户只能访问拥有权限的数据库 数据对象验证 登录的用户只能访问拥有权限的对象 二、基本概念 安全管理涉及到许多基础术语，如：用户名、登录名、角色、架构等： 2.1 登录名和用户名 登录名不等于用户名，登录名是数据库服务器的登录账户，而用户名是为特定的数据库定义的 要创建用户名，则必须已经定义了该用户名的登录名 登录名拥有的是服务器的权限，而用户名拥有的是数据库上的权限。 用户可以按照登录名登录服务器，可以操作服务器，而使用不同的用户名访问相对应的赋予该用户名权限的数据库 登录名的层次比用户名层次高 2.2 角色 角色是一个权限包，可以将很多权限赋予一个角色，然后再将这个角色赋予具体用户或者登录名，这样此用户或者登录名就拥有此角色的所有权限。 角色分为服务器角色和数据库角色： 服务器角色：系统固定的不能添加，拥有管理服务器的权限。 数据库角色：主要是管理具体对象的权限，可以自定义角色。 2.3 架构 架构类似于命名空间的概念 注意：SQLServer2005的用户与架构是分离的，这个不同于以前的用户即架构的概念 所有的都是存在与架构中的，如果没有指明架构，则默认的架构为dbo 三、管理服务器安全 服务器安全是登录数据库的第一道安全权限，不涉及到具体的某个数据库，其中包含两种登录验证模式： 2.1 登录模式 WINDOWS身份验证：与操作系统用户进行捆绑，优点是不必牢记多个用户名和密码，充分利用WINDOWS的密码策略。 SQLSERVER身份验证：用户名和密码都是存放在数据库中的，与操作系统用户无关。 2.2 创建管理登录名 步骤如下： 使用sa登录，在服务器的安全性目录下新增一个登录用户test,密码test,将默认数据库设置为test. 注意：一定要设置用户映射（即对应于哪个数据库的哪个用户，默认的数据库用户与登录名相同） 登录后修改密码，进入系统 只能访问默认设置的数据库 2.3 固定服务器角色 固定服务器角色也是服务器级别的主体，他们的作用范围是整个服务器。 四、管理数据库安全 数据库安全的管理，主要通过对数据库架构、用户名和角色的管理来实现，这是SQLSERVER2005服务器安全的第二道防线 注意： 如果增加新的用户，则一定要与登录名绑定，我们刚刚已经创建了test登录用户和对应在test数据库中的test用户，但是这个用户什么都干不了，因为它只有登录的服务器权限 进入数据库后，我们就要为数据库用户分配权限了，而暂时不用再考虑登录用户了。 下面我们要用sa为test用户分配一个角色，db_accessadmin，这个角色拥有创建架构的权限。 4.1 管理架构 架构是形成单个命名空间的数据库实体的集合。 架构是数据库级的安全对象，也是Microsoft SQL Server 2005系统强调的新特点，是所有数据库对象的容器。 下面我们用test用户登录后创建一个架构testjg。 4.2 管理数据库用户 数据库用户是数据库级的主体，是登录名在数据库中的映射，是在数据库中执行操作和活动的执行者。 在Microsoft SQL Server 2005系统中，数据库用户不能直接拥有表、视图等数据库对象，而是通过架构拥有这些对象。 注意：如果增加新的用户，则一定要与登录名绑定，我们刚刚已经创建了test登录用户和对应在test数据库中的test用户。 下面我们给test用户再增加一个db_ddladmin角色，这样test用户就可以创建表了,运行create table testjg.aa(a int);语句则创建了一个在testjg架构下的表aa，但是这时候我们还可以继续使用create table aa(a int);语句，同样创建了一个表aa,但是它属于默认的架构dbo了。 4.3 数据库角色 用户的权限就是通过数据库角色体现了，数据库角色本身是个虚的对象。 Microsoft SQL Server 2005系统提供了一些固定数据库