11,安全管理.pptVIP

Page */31 许可（权限）管理 1. 使用SQL Server 管理平台管理许可 （2）面向数据库对象的许可设置。 在SQL Server 管理平台中，展开服务器和数据库，然后选择需要设置的用户对象，即表、视图、存储过程等，在右面的页框中选择要进行许可设置的对象，右击该对象，从弹出的快捷菜单中选择“属性”选项，出现对象属性对话框，在该对话框中选择“权限”页框，单击“添加”按钮设置好相应的对象许可后，如图所示，单击“确定”按钮即可完成数据库对象的许可设置。 图表属性中的权限对话框 Page */31 许可（权限）管理 2.使用Transaction_SQL 语句 Transaction-SQL 语句使用grant、revoke和deny三种命令来管理权限，相关的语法和实例可参照第3章数据控制语言部分。 Grant permission,permission……. On object To user/role,user/role With grant option 可以授予的权限有：all select delete references update或execute 角色或用户名可以是数据库用户名、任意用户定义角色或public角色 Page */31 例如：将person表的select权限授予joe Grant select on person to joe 例如：将marriage表的all权限授予public角色 Grant all on marriage to public 例如：列出多个用户多个角色 Grant select,update on persion to guest,tom With grant option 让用户能够将其对象权限转授给其他人 Grant select on person to joe with grant option Page */31 使用代码收回和拒绝对象权限 例如从joe收回marriage的select权限revoke all on marriage to publice 如果原来授权使用了with grant option 则必须使用cascade选项来收回或拒绝权限，以便废除用户通过with grant option选项转授给其它用户的权限 例如：拒绝joe对person表的select权限deny select on person to joe cascade Page */31 安全管理 Page */31 概述 做为管理员，您的工作是有效的管理数据库访问，可以通过创建用户登录、配置登录权限和分配角色完成此目标。 管理安全主要目标： 平衡用户对数据库访问需求与需要保护数据防止非授权数据访问之间的矛盾 限制数据库权限以便减少用户执行有害命令或过程（恶意的或意外地）的可能 弥补其他安全漏洞 Page */31 SQL Server 2005的安全认证模式 当用户使用SQL Server 2005时，需要经过两个安全性阶段，身份验证阶段和权限认证阶段。 (1)身份验证阶段：用户在SQL Server2005上获得任何数据库的访问权限之前，必须登录到SQL Server 2005上，并被认为合法的。SQL Server2005或者Windows对用户进行验证。如果通过验证，用户可以连接到SQL Server2005服务器上，否则服务器拒绝用户登录。 （2）权限认证阶段：如果身份验证通过，只表示用户可以连接到SQLServer 2005服务器上，然后，需要检测用户是否有访问数据库的权限。为此需要授予每个数据库中映射到用户登录的帐户权限，权限认证可以控制用户对数据库进行操作。 Page */31 服务器级安全性 用户可以使用以下三种方式向SQL Server认证 Windows用户登录名 Windows用户组成员资格 SQL Server专用登录名（服务器设置了混合模式） 服务器使用loginid来识别用户，服务器识别用户后，用户获得了通过固定服务器角色授予的服务器级管理权限。如果用户数据sysadmin角色，将具备全面访问所有服务器函数、数据库和对象的权限 可授予用户访问数据库的权限，如果用户没有访问某个数据库的权限，可以调整数据库服务器配置，使其获得guest用户的权限。 Page */31 服务器安全性 SQL Server使用两阶段身份验证方案，首先由服务器对用户进行身份验证，用户获准访问服务器后，就可以授予访问各个数据库的权限 SQL Server将所有登录信息存储在master数据库中。 Page */31 SQL Server身份验证模式 任何用户在使用SQL Server数据库之前，必须经过系统的安全身份验证。 SQL Serv