數(shù)據(jù)庫原理實驗報告S8-數(shù)據(jù)庫安全性

1、WORD格式數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告實驗 8數(shù)據(jù)庫安全性實驗日期和時間： 2014/11/05實驗室： 2 棟實驗樓班級： 12 計科 4學(xué)號： 20123569姓名：施文君實驗環(huán)境：硬件： Windows 7 旗艦版 ( 32 位/ DirectX 11 )， SQL Server 2005軟件：CPU ：英特爾 Pentium(奔騰 ) 雙核 T4300 2.10GHz，內(nèi)存： 2 GB ( 海力士DDR2 800MHz )硬盤： 希捷 ST9500325AS ( 500 GB )顯卡： ATI Mobility Radeon HD 4570 (M92) ( 512 M

2、B /華碩 )實驗原理：SQL Server 2005 數(shù)據(jù)庫的安全性通過以下幾個方面得以保證：網(wǎng)絡(luò)系統(tǒng)的安全性：這可以通過在網(wǎng)絡(luò)系統(tǒng)邊界安裝防火墻系統(tǒng)得以實施。服務(wù)器的安全性： 即保證運行 SQL Server 2005 的服務(wù)器本身及其操作系統(tǒng)的安全。SQL Server 2005 的登錄安全性：即允許哪些用戶登錄SQL Server 服務(wù)器。數(shù)據(jù)庫的安全性： 即規(guī)定用戶登錄 SQL Server 服務(wù)器以后可以使用哪些數(shù)據(jù)庫。數(shù)據(jù)庫對象的安全性：即規(guī)定用戶打開某一數(shù)據(jù)庫后，可以操作哪些數(shù)據(jù)庫對象以及怎樣操作。實驗主要任務(wù)：一、創(chuàng)建登錄賬戶： SQL Server 2005 的登錄安全性（

3、 通過修改身份認證方式 Windows 身份認證和SQL、 Windows 混合身份認證及在服務(wù)器安全性里建立登錄名實現(xiàn)）1. 理解 Windows 身份認證和 SQL 、Windows 身份認證的含義區(qū)別， 利用 SQL 管理控制平臺建立 5 個登錄賬號，創(chuàng)建密碼， ，默認數(shù)據(jù)庫為 MASTER ，再利用 SQL 語句創(chuàng)建 3 個登錄賬號，創(chuàng)建密碼。如：createlogins20120001WITHPASSWORD ='S123_456'(登錄賬號建議使用本班學(xué)生的學(xué)號，密碼用強密碼方式）。然后用其中的登錄賬戶進入系統(tǒng)。2.刪除一個登錄賬號3.查看各服務(wù)器角色的含義并為所創(chuàng)

4、建的登錄賬號分配服務(wù)器角色 。(服務(wù)器角色 是指根據(jù) SQL Server 的管理任務(wù)，以及這些任務(wù)相對的重要性等級來把具有 SQL Server 管理職能的用戶劃分為不同的用戶組，每一組所具有的管理SQLServer 的權(quán)限都是 SQL Server 內(nèi)置的，即不能對其進行添加、修改和刪除，只能向?qū)I(yè)資料整理第 1頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告其中加入用戶或者其他角色。SQL Server 提供的固定服務(wù)器角色，其具體含義如下：系統(tǒng)管理員（sysadmin）：可以在數(shù)據(jù)庫引擎中執(zhí)行任何活動。默認情況下，Windows BUILTINAdministrator

5、s 組（本地管理員組） 的所有成員都是 sysadmin 固定服務(wù)器角色的成員。服務(wù)器管理員（Serveradmin）：可以更改服務(wù)器范圍的配置選項和關(guān)閉服務(wù)器。磁盤管理員（ diskadmin ）：管理磁盤文件。進程管理員（ processadmin）：可以終止在數(shù)據(jù)庫引擎實例中運行的進程。安全管理員（ securityadmin ）：可以管理登錄名及其屬性。安裝管理員（ setupadmin）：可以添加和刪除鏈接服務(wù)器，并可以執(zhí)行某些系統(tǒng)存儲過程。數(shù)據(jù)庫創(chuàng)建者（dbcreator）：可以創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫。大容量插入操作管理者（bulkadmin ）：可以執(zhí)行大容量插入操作)

6、二、管理數(shù)據(jù)庫的用戶（通過在不同的數(shù)據(jù)庫里建立用戶名，并與相應(yīng)的任務(wù)一 所建立的服務(wù)器登錄名建立映射關(guān)系實現(xiàn)）在數(shù)據(jù)庫中，一個用戶或工作組取得合法的登錄賬戶，只表明該賬戶可以通過Windows認證或 SQL Server 認證，但并不表明其可以訪問數(shù)據(jù)庫和對數(shù)據(jù)庫對象進行某種或某些操作，管理員必須在數(shù)據(jù)庫中為用戶建立一個數(shù)據(jù)庫賬戶，并授予此賬戶訪問數(shù)據(jù)庫及數(shù)據(jù)庫中對象的權(quán)限后，才能使該用戶訪問數(shù)據(jù)庫。一臺服務(wù)器除了有一套服務(wù)器登錄帳戶列表外，每個數(shù)據(jù)庫中也都有一套相互獨立的數(shù)據(jù)庫用戶列表。每個數(shù)據(jù)庫用戶都和服務(wù)器登錄帳戶之間存在著一種映射關(guān)系。系統(tǒng)管理員可以將一個服務(wù)器登錄帳戶映射到用戶需要訪

7、問的每一個數(shù)據(jù)庫中的一個用戶帳戶和角色上。一個登錄帳戶在不同的數(shù)據(jù)庫中可以映射成不同的用戶，從而擁有不同的權(quán)限。導(dǎo)入（或附加）學(xué)生成績數(shù)據(jù)庫，附加SPJ 表，然后以不同的登錄賬戶訪問相關(guān)數(shù)據(jù)庫對數(shù)據(jù)庫實施如下操作：1.使用USE數(shù)據(jù)庫名GO查看各個登錄賬戶能否使用各數(shù)據(jù)庫。2.分別使用 SQLSERVER 管理控制臺為學(xué)生成績數(shù)據(jù)庫創(chuàng)建數(shù)據(jù)庫用戶U1-U5 和TRANSACT-SQL 的數(shù)據(jù)庫用戶U6， U7,U8 ，與相應(yīng)的登錄賬戶建立好映射關(guān)系。如： USE 學(xué)生成績createuser u3for login s3-WITH DEFAULT_SCHEMA=DBO3.查看各數(shù)據(jù)庫角色的含義

8、并為所創(chuàng)建的用戶分配數(shù)據(jù)庫角色（在 SQL Server 管理控制臺中， 展開 SQL Server 服務(wù)器組中相應(yīng)服務(wù)器，展開 “數(shù)據(jù)庫”目錄樹，再展開某個具體的數(shù)據(jù)庫，選擇“安全性 |角色 |數(shù)據(jù)庫角色 ”，在右側(cè)窗口中會看到數(shù)據(jù)庫中已存在的角色。在未創(chuàng)建新角色之前，數(shù)據(jù)庫中只有固定數(shù)據(jù)庫角色。）( 數(shù)據(jù)庫角色是為某一用戶或某一組用戶授予不同級別的管理或訪問數(shù)據(jù)庫以及數(shù)第 2頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告據(jù)庫對象的權(quán)限，這些權(quán)限是數(shù)據(jù)庫專有的，并且還可以給一個用戶授予屬于同一數(shù)據(jù)庫的多個角色。 SQL Server 在安裝成功后，提供了十種固定數(shù)據(jù)庫角色。

9、固定數(shù)據(jù)庫角色是在數(shù)據(jù)庫級別定義的，并且存在于每個數(shù)據(jù)庫中。 SQL Server 提供的固定數(shù)據(jù)庫角色的具體含義如下：public ：維護全部默認權(quán)限。db_accessadmin ：可以為登錄帳戶添加或刪除訪問權(quán)限。db_backupoperator：可以備份該數(shù)據(jù)庫。db_datareader：可以對數(shù)據(jù)庫中的任何表或視圖運行SELECT語句。db_datawriter：可以在所有用戶表中添加、刪除或更改數(shù)據(jù)。db_ddladmin ：可以在數(shù)據(jù)庫中運行任何數(shù)據(jù)定義語言(DDL) 命令。db_denydatareader：不能讀取數(shù)據(jù)庫內(nèi)用戶表中的任何數(shù)據(jù)。db_denydatawrit

10、er：不能添加、修改或刪除數(shù)據(jù)庫內(nèi)用戶表中的任何數(shù)據(jù)。db_owner ：可以執(zhí)行數(shù)據(jù)庫的所有配置和維護活動。db_securityadmin：可以修改角色成員身份和管理權(quán)限。在固定的數(shù)據(jù)庫角色中， public 是一個特殊的數(shù)據(jù)庫角色， 每個數(shù)據(jù)庫用戶都屬于 public 數(shù)據(jù)庫角色。當尚未對某個用戶授予或拒絕對安全對象的特定權(quán)限時，則該用戶將繼承授予該安全對象的public角色的權(quán)限。)4.利用 TRANSACT-SQL語句 DROP USER user_name刪除用戶U8 。三、權(quán)限的管理權(quán)限用來指定授權(quán)用戶可以使用的數(shù)據(jù)庫對象以及對這些數(shù)據(jù)庫對象可以執(zhí)行的操作。用戶在登錄到SQL S

11、erver 之后，根據(jù)其用戶帳戶所屬的Windows 組或角色，決定了該用戶能夠?qū)δ男?shù)據(jù)庫對象執(zhí)行哪種操作以及能夠訪問、修改哪些數(shù)據(jù)。在每個數(shù)據(jù)庫中，用戶的權(quán)限獨立于用戶帳戶和用戶在數(shù)據(jù)庫中的角色，每個數(shù)據(jù)庫都有自己獨立的權(quán)限系統(tǒng)。權(quán)限的管理主要是完成對權(quán)限的授權(quán)、拒絕和回收。權(quán)限的管理主要是對權(quán)限的授權(quán)（grant）、拒絕 (deny)、和回收 (revoke)。管理權(quán)限可以通過以下方式實現(xiàn)：1. 從數(shù)據(jù)庫的角度來管理。2. 從用戶或角色的角度來管理。3. 從數(shù)據(jù)庫對象的角度來管理。在 SQL Server 中，可以通過 SQL Server 管理控制臺或 Transact-SQL 語句管

12、理權(quán)限。（一）管理數(shù)據(jù)庫的權(quán)限：從數(shù)據(jù)庫的角度來管理。在 SQL Server 管理控制臺中，展開SQL Server 服務(wù)器組中相應(yīng)服務(wù)器。（ 2）展開 “數(shù)據(jù)庫 ”，右擊某個數(shù)據(jù)庫的名稱，在彈出的快捷菜單中選擇“屬性 ”選項， 會彈出數(shù)據(jù)庫屬性對話框。單擊“權(quán)限 ”選擇頁，打開權(quán)限窗口。在權(quán)限選擇頁中，可以單擊“添加 ”按鈕，添加用戶或角色。選擇權(quán)限。1.利用 SQL Server 管理控制臺對學(xué)生成績數(shù)據(jù)庫為用戶U1 授予 CONNECT 、CREATE TABLE 、 CREATE VIEW 、 INSERT 、 SELECT 等 6 種權(quán)限。并驗證相應(yīng)的權(quán)限。（注意：要能執(zhí)行建表語句

13、，需要兩個權(quán)限：(1). create table 權(quán)限：(2.） 所在架構(gòu)的alter 權(quán)限： alter schema2.利用 SQL Server 管理控制臺對學(xué)生成績數(shù)據(jù)庫為用戶U1 回收相應(yīng)的權(quán)限， 并驗證。第 3頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告（二）管理用戶的權(quán)限：從用戶或角色的角度來管理管理用戶的權(quán)限就是設(shè)置一個用戶能對哪些對象執(zhí)行哪些操作。選擇數(shù)據(jù)庫 -安全性 -用戶 -右鍵單擊數(shù)據(jù)庫用戶 -屬性 -安全對象 -添加 -特定對象 -相關(guān)表或視圖等 -選擇權(quán)限。，1.對用戶 U2 ，利用對用戶的授權(quán)機制授予其查詢課程表的權(quán)限, 并驗證。2.回收其查

14、詢課程表的權(quán)限, 并驗證。（三）管理數(shù)據(jù)庫對象的權(quán)限：從數(shù)據(jù)庫對象的角度來管理可以從數(shù)據(jù)庫對象的角度完成相同的工作，即設(shè)置一個數(shù)據(jù)庫對象能被哪些用戶/角色執(zhí)行哪些操作。在 SQL Server 管理控制臺中，展開 SQL Server 服務(wù)器組中相應(yīng)服務(wù)器。展開 “數(shù)據(jù)庫 ”，再展開指定的數(shù)據(jù)庫，選擇 “表 ”，在右邊窗口的數(shù)據(jù)表列表中右擊表名稱，在彈出的快捷菜單中選擇 “屬性 ”選項，打開表屬性對話框，選擇 “權(quán)限 ”選擇頁?？梢詥螕?“添加 ”按鈕添加用戶或角色，也可以撤消已授的權(quán)限。1.對于成績表，對用戶 U3 賦予其 SELECT 、DELETE 、 INSERT 、 UPDATE 成

15、績列的權(quán)限，并驗證。同時驗證驗證將學(xué)號2005226146 的成績改為100驗證學(xué)號2005226146 的學(xué)號改為2005999999如果給用戶 U3 賦予了修改學(xué)號的權(quán)限，可以修改嗎？為什么（利用第五章的數(shù)據(jù)庫的參照完整性回答）2. 回收其查詢成績表的權(quán)限，并驗證。四、參照王珊教材第四章利用Transact-SQL 語句完成下列權(quán)限的設(shè)置，并驗證。（先在管理控制平臺下回收用戶的上述所有的權(quán)限。）（一）授權(quán)1.把查詢學(xué)生表和張姓同學(xué)的視圖的權(quán)限授給用戶U12.把對學(xué)生表和課程表的全部權(quán)限授予用戶U2和 U33. 把對成績表的查詢權(quán)限授予所有用戶4.把查詢學(xué)生表和修改學(xué)生學(xué)號的權(quán)限授給用戶U4

16、5. 把對成績的 INSERT 權(quán)限授予 U5 用戶，并允許他再將此權(quán)限授予其他用戶（with grant option ）6. U5 將相應(yīng)權(quán)限授予 U6，并允許他再將此權(quán)限授予其他用戶7. U6 將相應(yīng)權(quán)限授予 U7（二）回收權(quán)限8. 把用戶 U4 修改學(xué)生學(xué)號的權(quán)限收回9. 收回所有用戶對表 SC 的查詢權(quán)限10. 把用戶 U5 對成績表的 INSERT 權(quán)限收回驗證結(jié)果是否正確將以上任務(wù)的實驗完成情況、實驗結(jié)果、實驗原理、總結(jié)分欄一一填寫到下表中，格式參考任務(wù) 1 或者自定。第 4頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告任務(wù) 1：1.理解 Windows 身份認

17、證和 SQL 、Windows 身份認證的含義區(qū)別， 利用 SQL 管理控制平臺建立 5 個登錄賬號，創(chuàng)建密碼， ，默認數(shù)據(jù)庫為 MASTER ，2.刪除一個登錄賬號3.查看各服務(wù)器角色的含義并為所創(chuàng)建的登錄賬號分配服務(wù)器角色 。完成情況 ( 代碼及運行結(jié)果評析 ) ：1.createlogins20126666withPASSWORD = 'S123'createlogins20127777withPASSWORD = 'S123'createlogins20128888withPASSWORD = 'S123'2.第 5頁2011年5月4日數(shù)

18、據(jù)庫管理系統(tǒng)SQL Server 實驗報告3第 6頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告第 7頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告小結(jié)：第 8頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告任務(wù) 2：通過在不同的數(shù)據(jù)庫里建立用戶名，并與相應(yīng)的任務(wù)一 所建立的服務(wù)器登錄名建立映射關(guān)系實現(xiàn)導(dǎo)入（或附加）學(xué)生成績數(shù)據(jù)庫，附加SPJ 表，然后以不同的登錄賬戶訪問相關(guān)數(shù)據(jù)庫對數(shù)據(jù)庫實施如下操作：1.使用USE數(shù)據(jù)庫名GO查看各個登錄賬戶能否使用各數(shù)據(jù)庫。2.分別使用 SQL SERVER 管理控制臺為學(xué)生成績數(shù)據(jù)庫創(chuàng)建數(shù)據(jù)庫用戶 U1

19、-U5 和 TRANSACT-SQL 的數(shù)據(jù)庫用戶 U6， U7,U8 ，與相應(yīng)的登錄賬戶建立好映射關(guān)系。3.查看各數(shù)據(jù)庫角色的含義并為所創(chuàng)建的用戶分配數(shù)據(jù)庫角色4.利用 TRANSACT-SQL語句 DROP USER user_name刪除用戶U8。完成情況 ( 代碼及結(jié)果 ) ：1 第 9頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告用戶 20121111 的服務(wù)器角色是sysadmin，所以可以訪問spj 表2.第10頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告第11頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告createuse

20、rU6forlogins20126666createuserU7forlogins20127777createuserU8forlogins201288883.第12頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告第13頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告4.DROP USER U8命令成功完成， U8已經(jīng)刪除。第14頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告總結(jié)： ( 實驗結(jié)果及原理的分析)任務(wù) 3：（一）管理數(shù)據(jù)庫的權(quán)限：從數(shù)據(jù)庫的角度來管理。1.利用 SQL Server 管理控制臺對學(xué)生成績數(shù)據(jù)庫為用戶U1 授予 CON

21、NECT 、CREATE TABLE 、 CREATE VIEW 、 INSERT 、 SELECT 等 6 種權(quán)限。并驗證相應(yīng)的權(quán)限。（注意：要能執(zhí)行建表語句，需要兩個權(quán)限：(1). create table 權(quán)限：(2.） 所在架構(gòu)的alter 權(quán)限： alter schema2.利用 SQL Server 管理控制臺對學(xué)生成績數(shù)據(jù)庫為用戶U1 回收相應(yīng)的權(quán)限， 并驗證。（二）管理用戶的權(quán)限：從用戶或角色的角度來管理1.對用戶 U2 ，利用對用戶的授權(quán)機制授予其查詢課程表的權(quán)限, 并驗證。2.回收其查詢課程表的權(quán)限, 并驗證。（三）管理數(shù)據(jù)庫對象的權(quán)限：從數(shù)據(jù)庫對象的角度來管理1.對于成績

22、表，對用戶 U3 賦予其 SELECT 、DELETE 、 INSERT 、 UPDATE 成績列的權(quán)限，并驗證。同時驗證驗證將學(xué)號2005226146 的成績改為100驗證學(xué)號2005226146 的學(xué)號改為2005999999如果給用戶 U3 賦予了修改學(xué)號的權(quán)限，可以修改嗎？為什么（利用第五章的數(shù)據(jù)庫的參照完整性回答）2. 回收其查詢成績表的權(quán)限，并驗證。完成情況 ( 代碼及結(jié)果 ) ：1.第15頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告select*from學(xué)生名單createtable宿舍( 宿舍號 char( 20 )primarykey )第16頁2011年

23、5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告第17頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告2.第18頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告3第19頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告第20頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告4第21頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告第22頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告第23頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告回收成績表的權(quán)限后第24頁2011年5月4日數(shù)據(jù)庫

24、管理系統(tǒng)SQL Server 實驗報告總結(jié)： ( 實驗結(jié)果及原理的分析)可以從數(shù)據(jù)庫對象的角度完成相同的工作，即設(shè)置一個數(shù)據(jù)庫對象能被哪些用戶/角色執(zhí)行哪些操作。任務(wù) 4：-1. 把查詢學(xué)生表和張姓同學(xué)的視圖的權(quán)限授給用戶U1GRANT SELECTON學(xué)生TOU1 ;CREATEVIEW 張姓同學(xué)ASSELECT*FROM 學(xué)生WHERE 姓名 LIKE' 張 %' ;GRANT SELECTON張姓同學(xué)TOU1 ;我之后用用戶U1 登陸，驗證結(jié)果如下：第25頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告-2.把對學(xué)生表和課程表的全部權(quán)限授予用戶U2 和U3

25、GRANT ALL PRIVILEGESON學(xué)生TO U2 , U3;GRANT ALL PRIVILEGESON課程TOU2 , U3;-3.把對成績表的查詢權(quán)限授予所有用戶GRANT SELECTON 成績第26頁2011年5月4日數(shù)據(jù)庫管理系統(tǒng)SQL Server 實驗報告TO PUBLIC ;-4.把查詢學(xué)生表和修改學(xué)生學(xué)號的權(quán)限授給用戶U4GRANT UPDATE( 學(xué)號 ), SELECTON 學(xué)生TOU4 ;-5.把對成績的 INSERT 權(quán)限授予 U5 用戶，并允許他再將此權(quán)限授予其他用戶（with grantoption）GRANT INSERTON 成績TO U5WITHGRANT OPTION ;- 驗證：INSERTINTO成績(學(xué)號, 課程號 , 成績)VALUES( '20122956', '00502