數(shù)據(jù)庫的安全管理課件

數(shù)據(jù)庫的安全管理2023/10/8數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理2023/10/7數(shù)據(jù)庫的安全管理1第14章數(shù)據(jù)庫的安全管理教學(xué)目的與要求了解SQLServer的安全機制與身份驗證模式；理解登錄賬號與數(shù)據(jù)庫用戶的區(qū)別；了解服務(wù)器角色與數(shù)據(jù)庫角色；掌握語句權(quán)限與對象權(quán)限的管理；數(shù)據(jù)庫的安全管理第14章數(shù)據(jù)庫的安全管理教學(xué)目的與要求數(shù)據(jù)庫的安全管理2第14章數(shù)據(jù)庫的安全管理重點身份驗證模式；登錄賬號、數(shù)據(jù)庫用戶；對象權(quán)限、語句權(quán)限；難點GRANT、REVOKE、DENY數(shù)據(jù)庫的安全管理第14章數(shù)據(jù)庫的安全管理重點數(shù)據(jù)庫的安全管理31、SQLServer的安全機制SQLServer的安全性是建立在身份驗證和訪問許可兩種安全機制上的；身份驗證用來確定登錄SQLServer的用戶的登錄賬號和密碼是否正確，以此來驗證其是否具有連接SQLServer的權(quán)限通過身份驗證并不代表其能夠訪問SQLServer中的數(shù)據(jù)庫對象訪問許可用來指定登錄用戶可以使用的數(shù)據(jù)庫對象（如表、視圖、存儲過程、函數(shù)等）以及可以對這些對象執(zhí)行的操作數(shù)據(jù)庫的安全管理1、SQLServer的安全機制SQLServer的安全41、SQLServer的安全機制SQLServer的安全機制主要包括三個等級服務(wù)器級別的安全性主要通過登錄賬號進行控制，要想訪問一個數(shù)據(jù)庫服務(wù)器，必須擁有一個登錄賬號，登錄賬號可以是windows賬號或組，也可以是SQLServer的登錄賬號；登錄賬號可以屬于相應(yīng)的服務(wù)器角色；數(shù)據(jù)庫級別的安全性主要通過數(shù)據(jù)庫用戶進行控制，要想訪問一個數(shù)據(jù)庫，必須擁有該數(shù)據(jù)庫的一個用戶，數(shù)據(jù)庫用戶是通過登錄賬號進行映射的，可以屬于固定的數(shù)據(jù)庫角色或自定義的數(shù)據(jù)庫角色；數(shù)據(jù)對象級別的安全性通過設(shè)置數(shù)據(jù)對象的訪問權(quán)限進行控制的；數(shù)據(jù)庫的安全管理1、SQLServer的安全機制SQLServer的安51、SQLServer的安全機制SQLServer的安全機制主要包括三個等級數(shù)據(jù)庫的安全管理1、SQLServer的安全機制SQLServer的安61、SQLServer的安全機制兩種身份驗證模式兩種身份驗證模式：Windows身份驗證和混合驗證（即Windows驗證或SQLServer驗證）Windows身份驗證使用Windows操作系統(tǒng)的安全機制驗證用戶身份，只要用戶能夠通過Windows用戶賬號驗證，即可連接到SQLServer而不再進行身份驗證混合驗證對于可信任連接用戶(由Windows驗證)，系統(tǒng)直接采用Windows的身份驗證機制否則采用SQLServer身份驗證模式，用戶在連接SQLServer時必須提供登錄名和密碼，這些登陸信息存儲在系統(tǒng)表syslogins中，與Windows的登陸帳號無關(guān)數(shù)據(jù)庫的安全管理1、SQLServer的安全機制兩種身份驗證模式數(shù)據(jù)庫的安71、SQLServer的安全機制身份驗證模式設(shè)置數(shù)據(jù)庫的安全管理1、SQLServer的安全機制身份驗證模式設(shè)置數(shù)據(jù)庫的安82、登錄賬號管理登錄賬號是服務(wù)器級用戶訪問數(shù)據(jù)庫系統(tǒng)的標(biāo)識為了訪問SQLServer系統(tǒng)，用戶必須提供正確的登錄賬號，這些登錄賬號既可以是Windows登錄賬號，也可以是SQLServer登錄賬號，但它必須是符合標(biāo)識符規(guī)則的惟一名字登錄賬號的信息是系統(tǒng)信息，存儲在master數(shù)據(jù)庫的sysxlogins系統(tǒng)表中，用戶如需要有關(guān)登錄賬號的信息可以到該表中查詢數(shù)據(jù)庫的安全管理2、登錄賬號管理登錄賬號數(shù)據(jù)庫的安全管理92、登錄賬號管理查看登錄賬號數(shù)據(jù)庫的安全管理2、登錄賬號管理查看登錄賬號數(shù)據(jù)庫的安全管理102、登錄賬號管理---使用SSMS管理登錄賬號添加一個WindowsNT用戶或用戶組例1：增加windows用戶“WTQ-PC\Test”數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號添加一個Win112、登錄賬號管理---使用SSMS管理登錄賬號添加一個WindowsNT用戶或用戶組例1(續(xù))：增加windows用戶“WTQ-PC\Test”數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號添加一個Win122、登錄賬號管理---使用SSMS管理登錄賬號添加一個WindowsNT用戶或用戶組例1(續(xù))：增加windows用戶“WTQ-PC\Test”數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號添加一個Win132、登錄賬號管理---使用SSMS管理登錄賬號添加一個SQLServer用戶例2：增加SQLServer用戶，用戶名sql，密碼pwd數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號添加一個SQL142、登錄賬號管理---使用SSMS管理登錄賬號添加一個SQLServer用戶例2(續(xù))：增加SQLServer用戶，用戶名sql，密碼pwd數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號添加一個SQL152、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號例3：修改登錄賬號“sql”的屬性數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號數(shù)162、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號例3(續(xù))：修改登錄賬號“sql”的屬性數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號數(shù)172、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號例3(續(xù))：修改登錄賬號“sql”的屬性數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號數(shù)182、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號例3(續(xù))：修改登錄賬號“sql”的屬性數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號數(shù)192、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號例3(續(xù))：修改登錄賬號“sql”的屬性數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號數(shù)202、登錄賬號管理---使用SSMS管理登錄賬號刪除登錄賬號例4：刪除登錄賬號“WTQ-PC\Test”數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號刪除登錄賬號數(shù)212、登錄賬號管理---使用T-SQL命令管理登錄賬號添加一個WindowsNT用戶或用戶組例5：增加windows用戶“WTQ-PC\Test”，默認(rèn)數(shù)據(jù)庫為DBS數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用T-SQL命令管理登錄賬號添加一個222、登錄賬號管理---使用T-SQL命令管理登錄賬號添加一個SQLServer用戶例6：增加SQLServer用戶，用戶名sql，密碼pwd，默認(rèn)數(shù)據(jù)庫為DBS數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用T-SQL命令管理登錄賬號添加一個232、登錄賬號管理---使用T-SQL命令管理登錄賬號修改登錄賬號例7：修改登錄賬號“sql”的屬性數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用T-SQL命令管理登錄賬號修改登錄242、登錄賬號管理---使用T-SQL命令管理登錄賬號刪除登錄賬號例8：刪除Windows登錄賬號“WTQ-PC\Test”例9：刪除SQLServer登錄賬號“sql”數(shù)據(jù)庫的安全管理2、登錄賬號管理---使用T-SQL命令管理登錄賬號刪除登錄253、數(shù)據(jù)庫用戶管理數(shù)據(jù)庫用戶登錄賬號登錄成功后，如果想要操作數(shù)據(jù)庫，必須有一個數(shù)據(jù)庫用戶賬號，然后為這個數(shù)據(jù)庫用戶設(shè)置某種角色，才能進行相應(yīng)的操作；數(shù)據(jù)庫用戶可以與登錄賬號相同，也可以不相同；每個登錄帳號在一個數(shù)據(jù)庫中只能有一個用戶帳號，但每個登錄帳號可以在不同的數(shù)據(jù)庫中各有一個用戶帳號。如果在新建登錄帳號過程中，指定它對某個數(shù)據(jù)庫具有存取權(quán)限，則在該數(shù)據(jù)庫中將自動創(chuàng)建一個與該登錄帳號同名的用戶帳號；數(shù)據(jù)庫的安全管理3、數(shù)據(jù)庫用戶管理數(shù)據(jù)庫用戶數(shù)據(jù)庫的安全管理263、數(shù)據(jù)庫用戶管理登錄賬號與數(shù)據(jù)庫用戶的區(qū)別一個合法的登錄賬號只表明該賬號通過了NT認(rèn)證或SQLServer認(rèn)證，但不能表明其可以對數(shù)據(jù)庫數(shù)據(jù)和數(shù)據(jù)對象進行某種或某些操作只有當(dāng)其同時擁有了數(shù)據(jù)庫用戶賬號后，才能夠訪問相應(yīng)的數(shù)據(jù)庫一個登錄賬號總是與一個或多個數(shù)據(jù)庫用戶賬號（這些賬號必須分別存在相異的數(shù)據(jù)庫中）相對應(yīng)，這樣才可以訪問數(shù)據(jù)庫例如，登錄賬號sa自動與每一個數(shù)據(jù)庫用戶dbo相關(guān)聯(lián)數(shù)據(jù)庫的安全管理3、數(shù)據(jù)庫用戶管理登錄賬號與數(shù)據(jù)庫用戶的區(qū)別數(shù)據(jù)庫的安全管理273、數(shù)據(jù)庫用戶管理創(chuàng)建數(shù)據(jù)庫用戶例10：在數(shù)據(jù)庫DBS中創(chuàng)建數(shù)據(jù)庫用戶數(shù)據(jù)庫的安全管理3、數(shù)據(jù)庫用戶管理創(chuàng)建數(shù)據(jù)庫用戶數(shù)據(jù)庫的安全管理283、數(shù)據(jù)庫用戶管理創(chuàng)建數(shù)據(jù)庫用戶例10(續(xù))：在數(shù)據(jù)庫DBS中創(chuàng)建數(shù)據(jù)庫用戶數(shù)據(jù)庫的安全管理3、數(shù)據(jù)庫用戶管理創(chuàng)建數(shù)據(jù)庫用戶數(shù)據(jù)庫的安全管理293、數(shù)據(jù)庫用戶管理創(chuàng)建數(shù)據(jù)庫用戶例10(續(xù))：在數(shù)據(jù)庫DBS中創(chuàng)建數(shù)據(jù)庫用戶數(shù)據(jù)庫的安全管理3、數(shù)據(jù)庫用戶管理創(chuàng)建數(shù)據(jù)庫用戶數(shù)據(jù)庫的安全管理303、數(shù)據(jù)庫用戶管理修改數(shù)據(jù)庫用戶例11：修改數(shù)據(jù)庫DBS中數(shù)據(jù)庫用戶sql數(shù)據(jù)庫的安全管理3、數(shù)據(jù)庫用戶管理修改數(shù)據(jù)庫用戶數(shù)據(jù)庫的安全管理313、數(shù)據(jù)庫用戶管理刪除數(shù)據(jù)庫用戶例12：刪除數(shù)據(jù)庫DBS中數(shù)據(jù)庫用戶sql數(shù)據(jù)庫的安全管理3、數(shù)據(jù)庫用戶管理刪除數(shù)據(jù)庫用戶數(shù)據(jù)庫的安全管理324、角色管理利用角色，SQLServer管理者可以將某些用戶設(shè)置為某一角色，這樣只對角色進行權(quán)限設(shè)置便可實現(xiàn)對所有用戶權(quán)限的設(shè)置，大大減少了管理員的工作量；“角色”類似于MicrosoftWindows操作系統(tǒng)中的“組”SQLServer中有兩種角色固有服務(wù)器角色數(shù)據(jù)庫角色固有數(shù)據(jù)庫角色應(yīng)用程序角色數(shù)據(jù)庫的安全管理4、角色管理利用角色，SQLServer管理者可以將某些334、角色管理---固有服務(wù)器角色服務(wù)器級角色也稱為“固定服務(wù)器角色”，因為用戶不能刪除，也不能創(chuàng)建新的服務(wù)器級角色；服務(wù)器級角色的權(quán)限作用域為服務(wù)器范圍?？梢韵蚍?wù)器級角色中添加SQLServer登錄名、Windows帳戶和Windows組。固定服務(wù)器角色的每個成員都可以向其所屬角色添加其他登錄名。數(shù)據(jù)庫的安全管理4、角色管理---固有服務(wù)器角色服務(wù)器級角色也稱為“固定服務(wù)344、角色管理---固有服務(wù)器角色數(shù)據(jù)庫的安全管理4、角色管理---固有服務(wù)器角色數(shù)據(jù)庫的安全管理354、角色管理---固有服務(wù)器角色sysadmin：可以在服務(wù)器上執(zhí)行任何活動；Serveradmin：可以更改服務(wù)器范圍的配置選項和關(guān)閉服務(wù)器securityadmin：可以管理登錄名及其屬性；processadmin：可以終止在SQLServer實例中運行的進程setupadmin：可以添加和刪除鏈接服務(wù)器；bulkadmin：可以運行BULKINSERT語句；diskadmin：用于管理磁盤文件；dbcreator：可以創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫；每個SQLServer登錄名都屬于public服務(wù)器角色；數(shù)據(jù)庫的安全管理4、角色管理---固有服務(wù)器角色sysadmin：可以在服364、角色管理---固有數(shù)據(jù)庫角色固定數(shù)據(jù)庫角色是在數(shù)據(jù)庫級別定義的，并且存在于每個數(shù)據(jù)庫中；一個數(shù)據(jù)庫角色只在其所在的數(shù)據(jù)庫中有效，對其他數(shù)據(jù)庫無效；可以向數(shù)據(jù)庫級角色中添加任何數(shù)據(jù)庫帳戶和其他SQLServer角色；用戶不能刪除固有的數(shù)據(jù)庫角色；數(shù)據(jù)庫的安全管理4、角色管理---固有數(shù)據(jù)庫角色固定數(shù)據(jù)庫角色是在數(shù)據(jù)庫級別374、角色管理---固定數(shù)據(jù)庫角色數(shù)據(jù)庫的安全管理4、角色管理---固定數(shù)據(jù)庫角色數(shù)據(jù)庫的安全管理384、角色管理---固定數(shù)據(jù)庫角色db_owner：可以執(zhí)行數(shù)據(jù)庫的所有配置和維護活動，還可以刪除數(shù)據(jù)庫；db_securityadmin：可以修改角色成員身份和管理權(quán)限；db_accessadmin：可以為Windows登錄名、Windows組和SQLServer登錄名添加或刪除數(shù)據(jù)庫訪問權(quán)限；db_backupoperator：可以備份數(shù)據(jù)庫；db_ddladmin：可以在數(shù)據(jù)庫中運行任何數(shù)據(jù)定義語言(DDL)命令db_datawriter：可以在所有用戶表中添加、刪除或更改數(shù)據(jù)；db_datareader：可以從所有用戶表中讀取所有數(shù)據(jù)；db_denydatawriter：不能添加、修改或刪除數(shù)據(jù)庫內(nèi)用戶表中的任何數(shù)據(jù)；db_denydatareader：不能讀取數(shù)據(jù)庫內(nèi)用戶表中的任何數(shù)據(jù)；每個數(shù)據(jù)庫用戶都屬于public數(shù)據(jù)庫角色；數(shù)據(jù)庫的安全管理4、角色管理---固定數(shù)據(jù)庫角色db_owner：可以執(zhí)行394、角色管理---應(yīng)用程序角色應(yīng)用程序角色是一種比較特殊的由用戶定義的數(shù)據(jù)庫角色如果想讓某些用戶只能通過特定的應(yīng)用程序間接地存取數(shù)據(jù)庫中的數(shù)據(jù)，而不是直接地存取數(shù)據(jù)庫數(shù)據(jù)時，就應(yīng)該考慮使用應(yīng)用程序角色；應(yīng)用程序角色默認(rèn)情況下不包含任何成員，且是非活動的必須為應(yīng)用程序角色設(shè)計一個密碼以激活它；數(shù)據(jù)庫的安全管理4、角色管理---應(yīng)用程序角色應(yīng)用程序角色是一種比較特殊的由405、權(quán)限管理許可（權(quán)限）用來指定授權(quán)用戶可以使用的數(shù)據(jù)庫對象和這些授權(quán)用戶可以對這些數(shù)據(jù)庫對象執(zhí)行的操作；在SQLServer中包括三種類型的許可：對象許可、語句許可和隱含許可；數(shù)據(jù)庫的安全管理5、權(quán)限管理許可（權(quán)限）用來指定授權(quán)用戶可以使用的數(shù)據(jù)庫對象415、權(quán)限管理---對象許可表示對特定的數(shù)據(jù)庫對象，即表、視圖、字段和存儲過程的操作許可；它決定了能對表、視圖、存儲過程等執(zhí)行哪些操作（如UPDATE、DELETE、INSERT、EXECUTE）；如果用戶想要對某一對象進行操作，其必須具有相應(yīng)的操作的權(quán)限；例如，當(dāng)用戶要成功修改表中數(shù)據(jù)時，則前提條件是已被授予表的UPDATE權(quán)限；數(shù)據(jù)庫的安全管理5、權(quán)限管理---對象許可表示對特定的數(shù)據(jù)庫對象，即表、視圖425、權(quán)限管理---對象許可例13：為數(shù)據(jù)庫DBS中的用戶sql授予對Student表的select、insert權(quán)限，拒絕update、delete權(quán)限數(shù)據(jù)庫的安全管理5、權(quán)限管理---對象許可例13：為數(shù)據(jù)庫DBS中的用戶sq435、權(quán)限管理---語句許可指定用戶是否具有權(quán)限來執(zhí)行某一語句，這些語句通常是一些具有管理性的操作，如創(chuàng)建數(shù)據(jù)庫、表、存儲過程等；還包括備份數(shù)據(jù)庫和事務(wù)日志的權(quán)限；數(shù)據(jù)庫的安全管理5、權(quán)限管理---語句許可指定用戶是否具有權(quán)限來執(zhí)行某一語句445、權(quán)限管理---語句許可例14：為數(shù)據(jù)庫DBS中的用戶sql授予備份數(shù)據(jù)庫的權(quán)限，拒絕創(chuàng)建表的權(quán)限數(shù)據(jù)庫的安全管理5、權(quán)限管理---語句許可例14：為數(shù)據(jù)庫DBS中的用戶sq455、權(quán)限管理---隱含許可系統(tǒng)自行預(yù)定義而不需要授權(quán)就有的權(quán)限，包括固定服務(wù)器角色、固定數(shù)據(jù)庫角色和數(shù)據(jù)庫對象所有者所擁有的權(quán)限；例如：服務(wù)器角色sysadmin的成員可以在整個