實驗七數(shù)據(jù)的安全性

1、數(shù)據(jù)庫原理實驗指導(dǎo)實驗7 數(shù)據(jù)的安全性一、實驗?zāi)康?本實驗的目的是通過實驗使學(xué)生加深對數(shù)據(jù)安全性的理解，并掌握SQL Server中有關(guān)用戶，角色及操作權(quán)限的管理方法。 相關(guān)知識介紹： SQL Server提供以下四種防線：（1）Windows NT操作系統(tǒng)的安全防線 Windows NT的網(wǎng)絡(luò)管理員負(fù)責(zé)建立用戶組，設(shè)置帳號并注冊，同時決定不同的用戶對不同的系統(tǒng)資源的訪問級別。用戶只有擁有了一個有效的Windows NT登錄帳號，才能對網(wǎng)絡(luò)資源進(jìn)行訪問。（2）SQL Server的運行安全防線 SQL Server 通過另外一種帳號設(shè)置來創(chuàng)建附加安全層。SQL Server具有標(biāo)準(zhǔn)登錄和集成登

2、錄兩種用戶登錄方式，用戶只有登錄成功，才能與SQL Server建立一次連接。（3）SQL Server數(shù)據(jù)庫的安全防線 SQL Server的特定數(shù)據(jù)庫都有自己的用戶和角色（用戶組），該數(shù)據(jù)庫只能由它的用戶或角色訪問，其他用戶無權(quán)訪問其數(shù)據(jù)，數(shù)據(jù)庫系統(tǒng)可以通過創(chuàng)建和管理特定的數(shù)據(jù)庫的用戶和角色來保證數(shù)據(jù)庫不被非法用戶訪問。（4）SQL Server數(shù)據(jù)庫對象的安全防線 SQL Server可以對權(quán)限進(jìn)行管理，SQL的DCL功能保證合法用戶即使登陸了數(shù)據(jù)庫也不能進(jìn)行超越權(quán)限的數(shù)據(jù)操作，即合法用戶必須在自己的權(quán)限范圍內(nèi)進(jìn)行數(shù)據(jù)操作。二、實驗內(nèi)容(1) 在SQL Server Management

3、 Studio中設(shè)置SQL Server的安全認(rèn)證模式。(2) 通過圖形界面，實現(xiàn)對SQL Server的用戶和角色管理。(3) 分別通過SQL Server圖形界面和SQL的數(shù)據(jù)控制功能，設(shè)置和管理數(shù)據(jù)操作權(quán)限。三、實驗步驟1在SQL Server Management Studio中為所屬的SQL服務(wù)器設(shè)置為SQL Server和Windows NT混合安全認(rèn)證模式。其步驟如下：（1）在對象資源管理器中，用鼠標(biāo)右擊需要設(shè)置的SQL服務(wù)器，在彈出的菜單中選擇“屬性”項，則出現(xiàn)服務(wù)器對話框。如圖61所示，在“選擇頁”中選擇“安全性”。（2）在“服務(wù)器身份驗證”中選擇“SQL Server和Wi

4、ndows身份驗證模式”單選項。圖6-1 服務(wù)器屬性對話框2在SQL Server Management Studio中為自己建立一個服務(wù)器用戶、數(shù)據(jù)庫用戶和數(shù)據(jù)庫角色。（1）在對象資源管理器中展開服務(wù)器，用鼠標(biāo)單擊“安全性”文件夾右側(cè)的+，再用鼠標(biāo)右擊“登錄名”，在彈出的菜單中選擇“新建登錄名”選項，則出現(xiàn)新建登錄名對話框。（2）如圖6-2所示，選擇“選擇頁”中的“常規(guī)”選項，輸入登錄名（本例為U1），選擇SQL Server身份驗證，并輸入用戶口令。指定此登錄名可以訪問的數(shù)據(jù)庫（本例選中Test數(shù)據(jù)庫）。圖6-2 新建登錄名對話框常規(guī)選項（3）如圖6-3所示，選擇“選擇頁”中的“服務(wù)器角色

5、”選項，需要確定用戶所屬的服務(wù)器角色，在本例中采用缺省值public即可。圖6-3 新建登錄名對話框服務(wù)器角色（4）如圖6-4所示，選擇“選擇頁”中的“用戶映射”選項，需要確定映射到此登錄名的用戶，在本例中勾選Test。數(shù)據(jù)庫角色成員身份選擇public。圖6-4 新建登錄名對話框用戶映射（5）單擊“確定”按鈕，即完成了創(chuàng)建登錄用戶的工作。 （6）按照上述方法創(chuàng)建登錄用戶U2、U3。 3登錄新建用戶。（1）重新登錄SQL Server Management Studio，如圖6-5所示，選擇“SQL Server身份驗證”，用戶名為U1，輸入用戶口令，連接到SQL Server。圖6-5 新建

6、用戶登錄（2）新建查詢，選擇Test數(shù)據(jù)庫，在查詢編輯窗口中鍵入SQL查詢命令“SELECT * FROM Student”。運行后，在運行結(jié)果窗口得到消息“拒絕了對對象 'Student'（數(shù)據(jù)庫 'Test'，所有者 'dbo'）的 SELECT 權(quán)限?！?，可見用戶U1沒有對Student表的SELECT權(quán)限。4要將Test數(shù)據(jù)庫的部分操作權(quán)限賦予數(shù)據(jù)庫用戶U1，有兩種方法。方法一：通過圖形界面方式（1）以sa身份進(jìn)入SQL Server Management Studio，展開服務(wù)器，用鼠標(biāo)單擊“數(shù)據(jù)庫”文件夾右側(cè)的+，用鼠標(biāo)單擊Test數(shù)

7、據(jù)庫文件夾右側(cè)的+，用鼠標(biāo)右擊“用戶”。在屏幕右側(cè)的“用戶”窗口中選擇“U1”項，用鼠標(biāo)右擊，在彈出的菜單中選擇“屬性”項，則出現(xiàn)數(shù)據(jù)庫用戶屬性對話框，選擇“安全對象”選項，如圖6-6所示。圖6-6 數(shù)據(jù)庫用戶U1對話框安全對象選項（2）點擊“搜索”按鈕，出現(xiàn)“添加對象”對話框，選擇“特定對象”，點擊“確定”按鈕，如圖6-7所示。圖6-7 添加權(quán)限對象對話框（3）如圖6-8所示，在“選擇對象”對話框中點擊“對象類型”按鈕。圖6-8 選擇權(quán)限對象對話框（4）如圖6-9所示，在“選擇對象類型”對話框中勾選“表”，然后點擊“確定”按鈕，返回到“選擇對象”對話框。圖6-9 選擇權(quán)限對象類型 （5）如圖

8、6-10所示，在“選擇對象”對話框中，點擊“瀏覽”按鈕，進(jìn)入“查找對象”對話框。圖6-10 選擇權(quán)限對象（6）如圖6-11所示，在“查找對象”對話框中勾選表Student，然后點擊“確定”按鈕，再次返回到“選擇對象”對話框。圖6-11 查找權(quán)限對象（7）如圖6-12所示，點擊“確定”按鈕，返回到安全對象設(shè)置對話框。圖6-12 選擇權(quán)限對象對話框（8）在安全對象設(shè)置對話框中，通過勾選dbo.Student對應(yīng)的權(quán)限給用戶U1授權(quán)。如圖6-13所示，勾選“選擇”權(quán)限對應(yīng)的授權(quán)框，再點擊“確定”按鈕，使得用戶U1獲得Student表的查詢權(quán)限。圖6-13 授權(quán)（9）驗證用戶U1對Student表的操

9、作權(quán)限。以用戶U1的身份登錄，在SQL Server Management Studio中新建查詢，并在查詢編輯區(qū)中使用SQL語句查詢到Student表中的數(shù)據(jù)。但是如果以用戶U1的身份查詢其他基本表，依然無法查看表中數(shù)據(jù)。方法二：通過SQL的數(shù)據(jù)控制功能對用戶U1授權(quán)，必須是數(shù)據(jù)庫對象擁有者以上用戶授予。我們可以以系統(tǒng)管理員或sa用戶登錄。選擇“Test”數(shù)據(jù)庫，在查詢編輯區(qū)中輸入授權(quán)語句“GRANT SELECT ON SC TO U1；”，然后執(zhí)行即可。5使用角色來管理數(shù)據(jù)庫權(quán)限。創(chuàng)建角色，使該角色擁有一組權(quán)限，然后將角色授予一個指定的用戶。方法一：通過圖形界面創(chuàng)建角色R1，使該角色擁S

10、C表的插入、更新權(quán)限，然后將角色R1授予指定的用戶U1。（1）在“對象資源管理器”中展開服務(wù)器，用鼠標(biāo)單擊“數(shù)據(jù)庫”文件夾右側(cè)的+，用鼠標(biāo)單擊Test數(shù)據(jù)庫文件夾右側(cè)的+，展開數(shù)據(jù)庫文件夾，然后依次展開“安全性”、“角色”。鼠標(biāo)右擊“數(shù)據(jù)庫角色”，在彈出的菜單中選擇“新建數(shù)據(jù)庫角色”項（如圖6-14所示），則出現(xiàn)數(shù)據(jù)庫角色屬性對話框。圖6-14 新建數(shù)據(jù)庫角色（2）在“選擇頁”中選擇“常規(guī)”選項，并在“角色名稱”一欄輸入R1，如圖6-15所示。圖6-15 數(shù)據(jù)庫角色對話框常規(guī)選項（3）賦予角色權(quán)限的方法與賦予“數(shù)據(jù)庫用戶權(quán)限”的方法類似。在“選擇頁”中選擇“安全對象”選項，如圖6-16所示。圖

11、6-16 數(shù)據(jù)庫角色對話框安全對象選項（4）點擊“搜索”按鈕，出現(xiàn)“添加對象”對話框，選擇“特定對象”，點擊“確定”按鈕，如圖6-17所示。圖6-17 添加權(quán)限對象對話框（5）如圖6-18所示，在“選擇對象”對話框中點擊“對象類型”按鈕。圖6-18 選擇權(quán)限對象對話框（6）如圖6-19所示，在“選擇對象類型”對話框中勾選“表”，然后點擊“確定”按鈕，返回到“選擇對象”對話框。圖6-19 選擇權(quán)限對象類型對話框 （7）如圖6-20所示，在“選擇對象”對話框中，點擊“瀏覽”按鈕，進(jìn)入“查找對象”對話框。圖6-20 選擇權(quán)限對象對話框（8）如圖6-21所示，在“查找對象”對話框中勾選表SC，然后點擊

12、“確定”按鈕，再次返回到“選擇對象”對話框。圖6-21 查找權(quán)限對象對話框（9）如圖6-22所示，點擊“確定”按鈕，返回到安全對象設(shè)置對話框。圖6-22 選擇權(quán)限對象對話框（10）在安全對象設(shè)置對話框中，通過勾選dbo.SC對應(yīng)的權(quán)限給角色R1授權(quán)。如圖6-23所示，勾選“選擇”權(quán)限對應(yīng)的授權(quán)框，點擊“確定”按鈕，使得角色R1獲得SC表的插入和修改權(quán)限。圖6-23 角色授權(quán)（11）如圖6-24所示，在“選擇頁”中選擇“常規(guī)”選項，點擊“添加”按鈕，實現(xiàn)將角色R1授予用戶。圖6-24 角色賦予用戶（12）如圖6-25所示，在“選擇數(shù)據(jù)庫用戶或角色”對話框中，點擊“瀏覽”按鈕，進(jìn)入“查找對象”對話

13、框。圖6-25 選擇數(shù)據(jù)庫用戶或角色對話框 （13）如圖6-26所示，在“查找對象”對話框中勾選U1，點擊“確定”按鈕返回。圖6-26 選擇被授權(quán)用戶對話框（14）如圖6-27所示，點擊“確定”按鈕完成授權(quán)，實現(xiàn)把角色R1授予用戶U1。圖6-27 完成角色授權(quán)（15）驗證用戶U1的操作權(quán)限。以用戶U1的身份登錄，在SQL Server Management Studio中新建查詢，并在查詢編輯區(qū)中使用SQL語句，驗證用戶U1的操作權(quán)限。方法二：通過SQL的數(shù)據(jù)控制功能對角色授權(quán)，必須是數(shù)據(jù)庫對象擁有者以上用戶授予。我們可以以系統(tǒng)管理員或sa用戶登錄SQL Server Management S

14、tudio。創(chuàng)建角色R2，使該角色擁Student表的SELECT、INSERT權(quán)限，然后將角色R2授予指定的用戶U2和U3。1）在平臺中使用語句sp_addrole rolename='角色名'創(chuàng)建角色R2；2）用GRANT語句為角色R2賦予Student表的SELECT、INSERT權(quán)限；3）在查詢分析器中使用語句sp_addrolemember '角色名','用戶名'將角色授予指定的用戶。 6分別以用戶U1，U2，U3的身份進(jìn)入數(shù)據(jù)庫，實現(xiàn)權(quán)限內(nèi)的操作和權(quán)限外的操作，看看會得到什么結(jié)果？附錄：實驗7 數(shù)據(jù)庫安全性基本權(quán)限表1、角色R1對象SELECT