第章_数据库安全性.ppt

5.2.3 实验内容 使用订单数据库OrderDB完成下面的实验，记录详细的操作过程： (1)用户user07在订单数据库中创建一张表Table1(内容自定)。 (2)用户user02对表Table1和表OrderDetail执行了插入和查询操作。 (3)用户user03建立两张表Table2和Table3和一个视图View1(内容自定)，然后将该表和视图的查询权限授予user05和user06，并具有转授权限。 (4)在订单数据库中创建两个角色r5和r6，角色r5具有创建表和视图的权限，角色r6具有对Customer表的查询、插入权限，Employee表的查询、更新和插入权限，OrderMaster表的所有权限。 (5)用户user05将user03用户创建的表和视图的查询权限授予了用户user07，user07用户对表Table2进行了插入操作。 (6)user07用户具有角色r5，同时创建了表Table4(内容自定)。 * 第5章 数据库安全性 5.1 相关知识 5.2 实验八：安全性定义 5.3 实验九：安全性检查 * 5.1 相关知识 1. 登录账号的管理 登录(亦称Login用户)是通过帐号和口令访问SQL Server的数据库 登录SQL Server服务器时，SQL Server有三个默认的用户登录帐号： sa、builtin\administrators和域名\administrator。 (1) sa：SQL Server系统管理员登录账号，该账号拥有最高管理权限，可以执行服务器范围内的所有权限。 (2) builtin\administrators：一个Windows组账号，凡属于该组的用户账号都可以作为SQL Server登录账号使用。 (3) 域名\administrator：一个Windows用户账号，允许作为SQL Server登录账号使用。 * 5.1 相关知识 2. 数据库用户的管理 在数据库中，一个用户或工作组取得合法的登录帐号 只表明该帐号通过了Windows NT认证或者SQL Server认证 但不能表明其可以对数据库数据和数据库对象进行某种或者某些操作 只有当他同时拥有了用户帐号后，才能够访问数据库。 数据库用户有：? (1) dbo用户：数据库拥有者或数据库创建者，dbo在其所拥有的数据库中拥有所有的操作权限。dbo的身份可被重新分配给另一个用户，系统管理员sa可作为其所管理的任何数据库的dbo用户。 * 2. 数据库用户的管理 数据库用户 (2) guest用户：如果guest用户在数据库存在，则允许任意一个登录用户作为guest用户访问数据库，其中包括那些不是数据库用户的SQL服务器用户。 除系统数据库master和临时数据库tempdb的guest用户不能被删除外，其他数据库都可以将自己guest用户删除，以防止非数据库用户的登录用户对数据库进行访问。 (3) 新建的数据库用户：用户根据实际需要创建不同权限的数据库用户。 * 3. 数据库角色的管理 SQL Server管理者可将某些用户设置为某一角色，这样只对角色进行权限设置便可实现对所有用户权限的设置，大大减少了管理员的工作量。 SQL Server提供了一些预定义的服务器角色和数据库角色。 (1) 服务器角色 指根据SQL Server的管理任务，以及这些任务相对的重要性等级来把具有SQL Server管理职能的用户划分为不同的用户组 每一组所具有的管理SQL Server的权限都是SQL Server内置的，即不能对其进行添加、修改和删除，只能向其中加入用户或者其他角色。 * 3. 数据库角色的管理 (2) 数据库角色是为某一用户或某一组用户授予不同级别的管理或访问数据库以及数据库对象的权限，这些权限是数据库专有的，并且还可以使一个用户具有属于同一数据库的多个角色 SQL Server提供了两种类型的数据库角色：固定的数据库角色和用户自定义的数据库角色。 (3) 用户自定义角色：创建用户定义的数据库角色就是创建一组用户，这些用户具有相同的一组权限。 如果一组用户需要执行在SQL Server中指定的一组操作并且不存在对应的Windows NT组，或者没有管理Windows NT用户帐号的许可，就可以在数据库中建立一个用户自定义的数据库角色。 用户自定义的数据库角色有两种类型：即标准角色和应用程序角色。 * 3. 数据库角色的管理 ① 标准角色通过对用户权限等级的认定而将用户划分为不用的用户组，用户属于一个或多个角色，从而实现管理的安全性。 ② 应用程序角色是一种比较特殊的角色。当我们打算让某些用户只能通过特定的应用程序间接地存取数据库中的数据而不是直接地存取数据库数据时，就应该考虑