數(shù)據(jù)庫(kù)的安全管理-課件

第14章數(shù)據(jù)庫(kù)的安全管理教學(xué)內(nèi)容1、SQLServer的安全機(jī)制2、登錄賬號(hào)管理3、數(shù)據(jù)庫(kù)用戶(hù)管理4、角色管理5、權(quán)限管理1ppt課件第14章數(shù)據(jù)庫(kù)的安全管理教學(xué)目的與要求了解SQLServer的安全機(jī)制與身份驗(yàn)證模式；理解登錄賬號(hào)與數(shù)據(jù)庫(kù)用戶(hù)的區(qū)別；了解服務(wù)器角色與數(shù)據(jù)庫(kù)角色；掌握語(yǔ)句權(quán)限與對(duì)象權(quán)限的管理；2ppt課件第14章數(shù)據(jù)庫(kù)的安全管理重點(diǎn)身份驗(yàn)證模式；登錄賬號(hào)、數(shù)據(jù)庫(kù)用戶(hù)；對(duì)象權(quán)限、語(yǔ)句權(quán)限；難點(diǎn)GRANT、REVOKE、DENY3ppt課件1、SQLServer的安全機(jī)制SQLServer的安全性是建立在身份驗(yàn)證和訪(fǎng)問(wèn)許可兩種安全機(jī)制上的；身份驗(yàn)證用來(lái)確定登錄SQLServer的用戶(hù)的登錄賬號(hào)和密碼是否正確，以此來(lái)驗(yàn)證其是否具有連接SQLServer的權(quán)限通過(guò)身份驗(yàn)證并不代表其能夠訪(fǎng)問(wèn)SQLServer中的數(shù)據(jù)庫(kù)對(duì)象訪(fǎng)問(wèn)許可用來(lái)指定登錄用戶(hù)可以使用的數(shù)據(jù)庫(kù)對(duì)象（如表、視圖、存儲(chǔ)過(guò)程、函數(shù)等）以及可以對(duì)這些對(duì)象執(zhí)行的操作4ppt課件1、SQLServer的安全機(jī)制SQLServer的安全機(jī)制主要包括三個(gè)等級(jí)服務(wù)器級(jí)別的安全性主要通過(guò)登錄賬號(hào)進(jìn)行控制，要想訪(fǎng)問(wèn)一個(gè)數(shù)據(jù)庫(kù)服務(wù)器，必須擁有一個(gè)登錄賬號(hào)，登錄賬號(hào)可以是windows賬號(hào)或組，也可以是SQLServer的登錄賬號(hào)；登錄賬號(hào)可以屬于相應(yīng)的服務(wù)器角色；數(shù)據(jù)庫(kù)級(jí)別的安全性主要通過(guò)數(shù)據(jù)庫(kù)用戶(hù)進(jìn)行控制，要想訪(fǎng)問(wèn)一個(gè)數(shù)據(jù)庫(kù)，必須擁有該數(shù)據(jù)庫(kù)的一個(gè)用戶(hù)，數(shù)據(jù)庫(kù)用戶(hù)是通過(guò)登錄賬號(hào)進(jìn)行映射的，可以屬于固定的數(shù)據(jù)庫(kù)角色或自定義的數(shù)據(jù)庫(kù)角色；數(shù)據(jù)對(duì)象級(jí)別的安全性通過(guò)設(shè)置數(shù)據(jù)對(duì)象的訪(fǎng)問(wèn)權(quán)限進(jìn)行控制的；5ppt課件1、SQLServer的安全機(jī)制SQLServer的安全機(jī)制主要包括三個(gè)等級(jí)6ppt課件1、SQLServer的安全機(jī)制兩種身份驗(yàn)證模式兩種身份驗(yàn)證模式：Windows身份驗(yàn)證和混合驗(yàn)證（即Windows驗(yàn)證或SQLServer驗(yàn)證）Windows身份驗(yàn)證使用Windows操作系統(tǒng)的安全機(jī)制驗(yàn)證用戶(hù)身份，只要用戶(hù)能夠通過(guò)Windows用戶(hù)賬號(hào)驗(yàn)證，即可連接到SQLServer而不再進(jìn)行身份驗(yàn)證混合驗(yàn)證對(duì)于可信任連接用戶(hù)(由Windows驗(yàn)證)，系統(tǒng)直接采用Windows的身份驗(yàn)證機(jī)制否則采用SQLServer身份驗(yàn)證模式，用戶(hù)在連接SQLServer時(shí)必須提供登錄名和密碼，這些登陸信息存儲(chǔ)在系統(tǒng)表syslogins中，與Windows的登陸帳號(hào)無(wú)關(guān)7ppt課件1、SQLServer的安全機(jī)制身份驗(yàn)證模式設(shè)置8ppt課件2、登錄賬號(hào)管理登錄賬號(hào)是服務(wù)器級(jí)用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)的標(biāo)識(shí)為了訪(fǎng)問(wèn)SQLServer系統(tǒng)，用戶(hù)必須提供正確的登錄賬號(hào)，這些登錄賬號(hào)既可以是Windows登錄賬號(hào)，也可以是SQLServer登錄賬號(hào)，但它必須是符合標(biāo)識(shí)符規(guī)則的惟一名字登錄賬號(hào)的信息是系統(tǒng)信息，存儲(chǔ)在master數(shù)據(jù)庫(kù)的sysxlogins系統(tǒng)表中，用戶(hù)如需要有關(guān)登錄賬號(hào)的信息可以到該表中查詢(xún)9ppt課件2、登錄賬號(hào)管理查看登錄賬號(hào)10ppt課件2、登錄賬號(hào)管理---使用SSMS管理登錄賬號(hào)添加一個(gè)WindowsNT用戶(hù)或用戶(hù)組例1：增加windows用戶(hù)“WTQ-PC\Test”11ppt課件2、登錄賬號(hào)管理---使用SSMS管理登錄賬號(hào)添加一個(gè)WindowsNT用戶(hù)或用戶(hù)組例1(續(xù))：增加windows用戶(hù)“WTQ-PC\Test”12ppt課件2、登錄賬號(hào)管理---使用SSMS管理登錄賬號(hào)添加一個(gè)WindowsNT用戶(hù)或用戶(hù)組例1(續(xù))：增加windows用戶(hù)“WTQ-PC\Test”13ppt課件2、登錄賬號(hào)管理---使用SSMS管理登錄賬號(hào)添加一個(gè)SQLServer用戶(hù)例2：增加SQLServer用戶(hù)，用戶(hù)名sql，密碼pwd14ppt課件2、登錄賬號(hào)管理---使用SSMS管理登錄賬號(hào)添加一個(gè)SQLServer用戶(hù)例2(續(xù))：增加SQLServer用戶(hù)，用戶(hù)名sql，密碼pwd15ppt課件2、登錄賬號(hào)管理---使用SSMS管理登錄賬號(hào)修改登錄賬號(hào)例3：修改登錄賬號(hào)“sql”的屬性16ppt課件2、登錄賬號(hào)管理---使用SSMS管理登錄賬號(hào)修改登錄賬號(hào)例3(續(xù))：修改登錄賬號(hào)“sql”的屬性17ppt課件2、登錄賬號(hào)管理---使用SSMS管理登錄賬號(hào)修改登錄賬號(hào)例3(續(xù))：修改登錄賬號(hào)“sql”的屬性18ppt課件2、登錄賬號(hào)管理---使用SSMS管理登錄賬號(hào)修改登錄賬號(hào)例3(續(xù))：修改登錄賬號(hào)“sql”的屬性19ppt課件2、登錄賬號(hào)管理---使用SSMS管理登錄賬號(hào)修改登錄賬號(hào)例3(續(xù))：修改登錄賬號(hào)“sql”的屬性20ppt課件2、登錄賬號(hào)管理---使用SSMS管理登錄賬號(hào)刪除登錄賬號(hào)例4：刪除登錄賬號(hào)“WTQ-PC\Test”21ppt課件2、登錄賬號(hào)管理---使用T-SQL命令管理登錄賬號(hào)添加一個(gè)WindowsNT用戶(hù)或用戶(hù)組例5：增加windows用戶(hù)“WTQ-PC\Test”，默認(rèn)數(shù)據(jù)庫(kù)為DBS22ppt課件2、登錄賬號(hào)管理---使用T-SQL命令管理登錄賬號(hào)添加一個(gè)SQLServer用戶(hù)例6：增加SQLServer用戶(hù)，用戶(hù)名sql，密碼pwd，默認(rèn)數(shù)據(jù)庫(kù)為DBS23ppt課件2、登錄賬號(hào)管理---使用T-SQL命令管理登錄賬號(hào)修改登錄賬號(hào)例7：修改登錄賬號(hào)“sql”的屬性24ppt課件2、登錄賬號(hào)管理---使用T-SQL命令管理登錄賬號(hào)刪除登錄賬號(hào)例8：刪除Windows登錄賬號(hào)“WTQ-PC\Test”例9：刪除SQLServer登錄賬號(hào)“sql”25ppt課件3、數(shù)據(jù)庫(kù)用戶(hù)管理數(shù)據(jù)庫(kù)用戶(hù)登錄賬號(hào)登錄成功后，如果想要操作數(shù)據(jù)庫(kù)，必須有一個(gè)數(shù)據(jù)庫(kù)用戶(hù)賬號(hào)，然后為這個(gè)數(shù)據(jù)庫(kù)用戶(hù)設(shè)置某種角色，才能進(jìn)行相應(yīng)的操作；數(shù)據(jù)庫(kù)用戶(hù)可以與登錄賬號(hào)相同，也可以不相同；每個(gè)登錄帳號(hào)在一個(gè)數(shù)據(jù)庫(kù)中只能有一個(gè)用戶(hù)帳號(hào)，但每個(gè)登錄帳號(hào)可以在不同的數(shù)據(jù)庫(kù)中各有一個(gè)用戶(hù)帳號(hào)。如果在新建登錄帳號(hào)過(guò)程中，指定它對(duì)某個(gè)數(shù)據(jù)庫(kù)具有存取權(quán)限，則在該數(shù)據(jù)庫(kù)中將自動(dòng)創(chuàng)建一個(gè)與該登錄帳號(hào)同名的用戶(hù)帳號(hào)；26ppt課件3、數(shù)據(jù)庫(kù)用戶(hù)管理登錄賬號(hào)與數(shù)據(jù)庫(kù)用戶(hù)的區(qū)別一個(gè)合法的登錄賬號(hào)只表明該賬號(hào)通過(guò)了NT認(rèn)證或SQLServer認(rèn)證，但不能表明其可以對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)和數(shù)據(jù)對(duì)象進(jìn)行某種或某些操作只有當(dāng)其同時(shí)擁有了數(shù)據(jù)庫(kù)用戶(hù)賬號(hào)后，才能夠訪(fǎng)問(wèn)相應(yīng)的數(shù)據(jù)庫(kù)一個(gè)登錄賬號(hào)總是與一個(gè)或多個(gè)數(shù)據(jù)庫(kù)用戶(hù)賬號(hào)（這些賬號(hào)必須分別存在相異的數(shù)據(jù)庫(kù)中）相對(duì)應(yīng)，這樣才可以訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)例如，登錄賬號(hào)sa自動(dòng)與每一個(gè)數(shù)據(jù)庫(kù)用戶(hù)dbo相關(guān)聯(lián)27ppt課件3、數(shù)據(jù)庫(kù)用戶(hù)管理創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)例10：在數(shù)據(jù)庫(kù)DBS中創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)28ppt課件3、數(shù)據(jù)庫(kù)用戶(hù)管理創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)例10

(續(xù))：在數(shù)據(jù)庫(kù)DBS中創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)29ppt課件3、數(shù)據(jù)庫(kù)用戶(hù)管理創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)例10

(續(xù))：在數(shù)據(jù)庫(kù)DBS中創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)30ppt課件3、數(shù)據(jù)庫(kù)用戶(hù)管理修改數(shù)據(jù)庫(kù)用戶(hù)例11：修改數(shù)據(jù)庫(kù)DBS中數(shù)據(jù)庫(kù)用戶(hù)sql31ppt課件3、數(shù)據(jù)庫(kù)用戶(hù)管理刪除數(shù)據(jù)庫(kù)用戶(hù)例12：刪除數(shù)據(jù)庫(kù)DBS中數(shù)據(jù)庫(kù)用戶(hù)sql32ppt課件4、角色管理利用角色，SQLServer管理者可以將某些用戶(hù)設(shè)置為某一角色，這樣只對(duì)角色進(jìn)行權(quán)限設(shè)置便可實(shí)現(xiàn)對(duì)所有用戶(hù)權(quán)限的設(shè)置，大大減少了管理員的工作量；“角色”類(lèi)似于MicrosoftWindows操作系統(tǒng)中的“組”SQLServer中有兩種角色固有服務(wù)器角色數(shù)據(jù)庫(kù)角色固有數(shù)據(jù)庫(kù)角色應(yīng)用程序角色33ppt課件4、角色管理---固有服務(wù)器角色服務(wù)器級(jí)角色也稱(chēng)為“固定服務(wù)器角色”，因?yàn)橛脩?hù)不能刪除，也不能創(chuàng)建新的服務(wù)器級(jí)角色；服務(wù)器級(jí)角色的權(quán)限作用域?yàn)榉?wù)器范圍。可以向服務(wù)器級(jí)角色中添加SQLServer登錄名、Windows帳戶(hù)和Windows組。固定服務(wù)器角色的每個(gè)成員都可以向其所屬角色添加其他登錄名。34ppt課件4、角色管理---固有服務(wù)器角色35ppt課件4、角色管理---固有服務(wù)器角色sysadmin

：可以在服務(wù)器上執(zhí)行任何活動(dòng)；Serveradmin：可以更改服務(wù)器范圍的配置選項(xiàng)和關(guān)閉服務(wù)器securityadmin

：可以管理登錄名及其屬性；processadmin

：可以終止在SQLServer實(shí)例中運(yùn)行的進(jìn)程setupadmin

：可以添加和刪除鏈接服務(wù)器；bulkadmin

：可以運(yùn)行BULKINSERT語(yǔ)句；diskadmin

：用于管理磁盤(pán)文件；dbcreator

：可以創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫(kù)；每個(gè)SQLServer登錄名都屬于public服務(wù)器角色；36ppt課件4、角色管理---固有數(shù)據(jù)庫(kù)角色固定數(shù)據(jù)庫(kù)角色是在數(shù)據(jù)庫(kù)級(jí)別定義的，并且存在于每個(gè)數(shù)據(jù)庫(kù)中；一個(gè)數(shù)據(jù)庫(kù)角色只在其所在的數(shù)據(jù)庫(kù)中有效，對(duì)其他數(shù)據(jù)庫(kù)無(wú)效；可以向數(shù)據(jù)庫(kù)級(jí)角色中添加任何數(shù)據(jù)庫(kù)帳戶(hù)和其他SQLServer角色；用戶(hù)不能刪除固有的數(shù)據(jù)庫(kù)角色；37ppt課件4、角色管理---固定數(shù)據(jù)庫(kù)角色38ppt課件4、角色管理---固定數(shù)據(jù)庫(kù)角色db_owner

：可以執(zhí)行數(shù)據(jù)庫(kù)的所有配置和維護(hù)活動(dòng)，還可以刪除數(shù)據(jù)庫(kù)；db_securityadmin：可以修改角色成員身份和管理權(quán)限；db_accessadmin：可以為Windows登錄名、Windows組和SQLServer登錄名添加或刪除數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)權(quán)限；db_backupoperator：可以備份數(shù)據(jù)庫(kù)；db_ddladmin：可以在數(shù)據(jù)庫(kù)中運(yùn)行任何數(shù)據(jù)定義語(yǔ)言(DDL)命令db_datawriter：可以在所有用戶(hù)表中添加、刪除或更改數(shù)據(jù)；db_datareader：可以從所有用戶(hù)表中讀取所有數(shù)據(jù)；db_denydatawriter：不能添加、修改或刪除數(shù)據(jù)庫(kù)內(nèi)用戶(hù)表中的任何數(shù)據(jù)；db_denydatareader：不能讀取數(shù)據(jù)庫(kù)內(nèi)用戶(hù)表中的任何數(shù)據(jù)；每個(gè)數(shù)據(jù)庫(kù)用戶(hù)都屬于public數(shù)據(jù)庫(kù)角色；39ppt課件4、角色管理---應(yīng)用程序角色應(yīng)用程序角色是一種比較特殊的由用戶(hù)定義的數(shù)據(jù)庫(kù)角色如果想讓某些用戶(hù)只能通過(guò)特定的應(yīng)用程序間接地存取數(shù)據(jù)庫(kù)中的數(shù)據(jù)，而不是直接地存取數(shù)據(jù)庫(kù)數(shù)據(jù)時(shí)，就應(yīng)該考慮使用應(yīng)用程序角色；應(yīng)用程序角色默認(rèn)情況下不包含任何成員，且是非活動(dòng)的必須為應(yīng)用程序角色設(shè)計(jì)一個(gè)密碼以激活它；40ppt課件5、權(quán)限管理許可（權(quán)限）用來(lái)指定授權(quán)用戶(hù)可以使用的數(shù)據(jù)庫(kù)對(duì)象和這些授權(quán)用戶(hù)可以對(duì)這些數(shù)據(jù)庫(kù)對(duì)象執(zhí)行的操作；在SQLServer中包括三種類(lèi)型的許可：對(duì)象許可、語(yǔ)句許可和隱含許可；41ppt課件5、權(quán)限管理---對(duì)象許可表示對(duì)特定的數(shù)據(jù)庫(kù)對(duì)象，即表、視圖、字段和存儲(chǔ)過(guò)程的操作許可；它決定了能對(duì)表、視圖、存儲(chǔ)過(guò)程等執(zhí)行哪些操作（如UPDATE、DELETE、INSERT、EXECUTE）；如果用戶(hù)想要對(duì)某一對(duì)象進(jìn)行操作，其必須具有相應(yīng)的操作的權(quán)限；例如，當(dāng)用戶(hù)要成功修改表中數(shù)據(jù)時(shí)，則前提條件是已被授予表的UPDATE權(quán)限；42ppt課件5、權(quán)限管理---對(duì)象許可例13：為數(shù)據(jù)庫(kù)DBS中的用戶(hù)sql授予對(duì)Student表的select、insert權(quán)限，拒絕update、delete權(quán)限43ppt課件5、權(quán)限管理---語(yǔ)句許可指定用戶(hù)是否具有權(quán)限來(lái)執(zhí)行某一語(yǔ)句，這些語(yǔ)句通常是一些具有管理性的操作，如創(chuàng)建數(shù)據(jù)庫(kù)、表、存儲(chǔ)過(guò)程等；還包括備份數(shù)據(jù)庫(kù)和事務(wù)日志的權(quán)限；44ppt課件5、權(quán)限管理---語(yǔ)句許可例14：為數(shù)據(jù)庫(kù)DBS中的用戶(hù)sql授予備份數(shù)據(jù)庫(kù)的權(quán)限，拒絕創(chuàng)建表的權(quán)限45ppt課件5、權(quán)限管理---隱含許可系統(tǒng)自行預(yù)定義而不需要授權(quán)就有的權(quán)限，包括固定服務(wù)器角色、固定數(shù)據(jù)庫(kù)角色和數(shù)據(jù)庫(kù)對(duì)象所有者所擁有的權(quán)限；例如：服務(wù)器角色sysadmin的成員可以在整個(gè)服務(wù)器范圍內(nèi)從事任何操作，數(shù)據(jù)庫(kù)擁有者db_owner被授予了對(duì)其所創(chuàng)建的數(shù)