數(shù)據(jù)庫的安全性PPT課件

1、第11章 數(shù)據(jù)庫的安全性1安全機制 DBMS安全性 SQL安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結 1 SQL Server的安全機制的安全機制第1頁/共62頁第11章 數(shù)據(jù)庫的安全性1安全機制 DBMS安全性 SQL安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結數(shù)據(jù)庫管理系統(tǒng)的安全性通常包括兩個方面：一是指數(shù)據(jù)訪問的安全性，二是指數(shù)據(jù)運行的安全性(數(shù)據(jù)庫維護：災難恢復等)。 數(shù)據(jù)訪問的安全性是指設計和實現(xiàn)數(shù)據(jù)庫資源的授權訪問，即設計和實現(xiàn)授權的用戶在指定的時間、指定或允許的地點(計算機)、授權的訪問方式訪問

2、數(shù)據(jù)庫中的指定的數(shù)據(jù)資源。 1.1 數(shù)據(jù)庫管理系統(tǒng)的安全性數(shù)據(jù)庫管理系統(tǒng)的安全性第2頁/共62頁第11章 數(shù)據(jù)庫的安全性1安全機制 DBMS安全性 SQL安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結1.2 SQL Server的安全機制的安全機制身份驗證/連接權權限驗證/訪問權第3頁/共62頁第11章 數(shù)據(jù)庫的安全性1安全機制 DBMS安全性 SQL安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結1.2 SQL Server的安全機的安全機制制搜索或ping到安裝SQL Server 服務器的計算機。在要訪問的數(shù)據(jù)

3、庫中建立數(shù)據(jù)庫用戶并與登錄賬號關聯(lián)。登錄SQL Server服務器的登錄賬戶和口令。數(shù)據(jù)庫用戶對要訪問的庫中的表(視圖)設有訪問權限。數(shù)據(jù)庫用戶對要訪問的庫中的過程或函數(shù)設有訪問權限。數(shù)據(jù)庫用戶對要訪問的表(視圖)中列的設有訪問權限。第4頁/共62頁第11章 數(shù)據(jù)庫的安全性1安全機制 DBMS安全性 SQL安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結1.2 SQL Server的安全機的安全機制制第5頁/共62頁第11章 數(shù)據(jù)庫的安全性2 2 服務器的登錄賬戶服務器的登錄賬戶1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬

4、戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第6頁/共62頁第11章 數(shù)據(jù)庫的安全性【例11.1】查看或設置SQL Server的安全認證模式。(1) 展開【服務器組】、右擊服務器(2) 單擊【屬性】，彈出【SQL Server屬性】，單擊【安全性】(3) 在【身份驗證】中【僅Windows或【 SQL Server和Windows】選項。(4) 在【審核級別】中選擇【無】、【成功】、【失敗】或【全部選項。(5) 在【啟動服務賬戶】中選擇【系統(tǒng)賬戶】或【本賬戶】選項。(6) 單擊【確定】，重新啟動SQL Server。如圖11.1所示。1安全機制2服務

5、器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第7頁/共62頁第11章 數(shù)據(jù)庫的安全性使用Windows操作系統(tǒng)的登錄賬戶和密碼連接SQL服務器。與 Windows安全系統(tǒng)集成在一起，優(yōu)點：如安全驗證和密碼加密、審核、密碼過期、最短密碼長度，多次登錄請求無效后鎖定賬戶。只使用Windows身份驗證模式。使用SQL Server的登錄賬戶和密碼連接SQL服務器。用戶提供登錄賬戶和密碼先在SQL Server中驗證，如果驗證失敗后，再去進行Windows身份驗證。1安全機制2服務器登錄 安全認證模

6、式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第8頁/共62頁第11章 數(shù)據(jù)庫的安全性【例11.2】使用企業(yè)管理器查看服務器登錄賬號。(1) 展開【服務器組】、服務器、【安全性】。(2) 單擊【登錄】，在詳細信息窗格中顯示登錄賬號信息。如圖11.2所示。登錄賬戶(LoginName)是指用戶登錄(連接) SQL Server服務器的賬戶和密碼，是進入數(shù)據(jù)庫服務器的第一張通行證?！纠?1.3】使用T-SQL語句查看服務器登錄賬號 。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登

7、錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第9頁/共62頁第11章 數(shù)據(jù)庫的安全性sa：SQL Server數(shù)據(jù)庫服務器系統(tǒng)管理員登錄賬戶。不可刪除、不能更改。該賬戶擁有最高的管理權限，不要輕易使用sa。BUILTINAdministrators：一個Windows組賬戶，凡屬于該組的Windows賬戶都可作為SQL Server的登錄賬戶，可刪除。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第10頁/共62頁第11章 數(shù)據(jù)庫的安全性簡

8、介：從題庫中16份試題通過隨機等方式為同學們發(fā)放試題；學生通過上機方式完成試卷，并將其結果提交到數(shù)據(jù)庫中；教師再從數(shù)據(jù)庫中取出試卷進行閱卷（其中選擇題、判斷題、填空題自動批閱）并匯總學生考試成績。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第11頁/共62頁第11章 數(shù)據(jù)庫的安全性登錄名登錄名數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶/角角色色描述描述SQL考試客戶考試客戶SQL考試客戶考試客戶只用在用戶登錄開始連接服務器時，登錄后只用在用戶登錄開始連接服務器時，登錄后用戶成為相應的老師或學生。只

9、可查詢參數(shù)用戶成為相應的老師或學生。只可查詢參數(shù)表和學生信息表中學號、姓名、座號、身份表和學生信息表中學號、姓名、座號、身份證號，填寫學生信息表中的座號。證號，填寫學生信息表中的座號。SQL考試教師考試教師SQL考試教師考試教師設置為數(shù)據(jù)庫的所有者角色，具有本數(shù)據(jù)庫設置為數(shù)據(jù)庫的所有者角色，具有本數(shù)據(jù)庫的所有權限，但不能修改試卷完成表中的答的所有權限，但不能修改試卷完成表中的答案、結果圖、提交時間和提交機器的內容。案、結果圖、提交時間和提交機器的內容。sqltest100001高翔高翔100001學號為學號為100001的學生登錄賬戶。的學生登錄賬戶?？忌忌?角色角色)所有考生都是這個角色的

10、成員，只能進行個所有考生都是這個角色的成員，只能進行個人答卷，不可查詢別人的答案或標準答案，人答卷，不可查詢別人的答案或標準答案，即只可查詢參數(shù)表和執(zhí)行即只可查詢參數(shù)表和執(zhí)行p學生查詢個人試學生查詢個人試卷、卷、p學生提交試卷答案。學生提交試卷答案。saDbo服務器管理員服務器管理員sa，具有服務器和本數(shù)據(jù)庫的，具有服務器和本數(shù)據(jù)庫的所有權限。所有權限。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第12頁/共62頁第11章 數(shù)據(jù)庫的安全性【例11.4】創(chuàng)建登錄賬號SQL考試客

11、戶 。(1) 雙擊SQL上機考試與閱卷系統(tǒng).exe文件，自解壓安裝到：E:SQL上機考試與閱卷系統(tǒng)。(2) 展開【服務器組】、服務器，右擊【數(shù)據(jù)庫】選擇【所有任務】、【附加數(shù)據(jù)庫】菜單，彈出【附加數(shù)據(jù)庫】對話框，單擊【】按鈕選“E:SQL上機考試與閱卷系統(tǒng)SQL考試數(shù)據(jù)庫.mdf”進行附加。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第13頁/共62頁第11章 數(shù)據(jù)庫的安全性【例11.4】創(chuàng)建登錄賬號SQL考試客戶 。(3) 展開【服務器組】、服務器、【安全性】。(4) 右擊

12、【登錄】，選擇【新建登錄(L)】，彈出【SQL Server登錄屬性 新建登錄】，如圖11.3所示。(5) 單擊【常規(guī)】、【服務器角色】、【數(shù)據(jù)庫用戶】選項卡填寫相關內容：名稱：SQL考試客戶、數(shù)據(jù)庫：SQL考試數(shù)據(jù)庫、密碼：123，選：SQL身份驗證。(6) 單擊【確定】，彈出【確認密碼】對話框。(7) 在【確認密碼】對話框，填寫【確認新密碼】，并單擊【確定】按鈕。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第14頁/共62頁第11章 數(shù)據(jù)庫的安全性【例11.5】使用T-S

13、QL語句創(chuàng)建服務器登錄賬號 。語法：sp_addlogin 登錄名 , 密碼 , 默認數(shù)據(jù)庫 , 默認語言功能：創(chuàng)建SQL Server身份驗證的登錄賬戶。提示：用sp_defaultdb存儲過程可以更改用戶的默認數(shù)據(jù)庫。 用sp_defaultlanguage存儲過程可以更改用戶的默認語言。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第15頁/共62頁第11章 數(shù)據(jù)庫的安全性語法：sp_grantlogin 登錄名功能：授予Windows NT用戶或組的成員登錄連接數(shù)據(jù)庫服

14、務器。注意：只有sysadmin和securityadmin角色的賬戶可用sp_addlogin創(chuàng)建SQL Server身份驗證的登錄賬戶、可用sp_grantlogin授權windows賬戶登錄SQL Server。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第16頁/共62頁第11章 數(shù)據(jù)庫的安全性在SQL Server中要阻止某賬戶的登錄，對于Windows身份驗證的賬戶可用拒絕登錄方式阻止，對于SQL Server身份驗證的賬戶可以修改密碼而不通知該密碼的用戶方式阻止

15、，更徹底的方法是刪除賬戶。在SQL Server應用中，有時SQL Server身份驗證的賬戶忘記登錄密碼需要數(shù)據(jù)庫管理員重新設置密碼，有時用戶本人認為登錄可能泄漏需要更新自己的登錄密碼。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第17頁/共62頁第11章 數(shù)據(jù)庫的安全性操作步驟：(1)展開【服務器組】、服務器、【安全性】，單擊【登錄】。(2)右擊要設置的SQL Server身份賬戶，選擇【屬性】，彈出【SQL Server登錄屬性】對話框。(3)在【常規(guī)】選項卡的密碼區(qū)域

16、輸入新密碼。(4)單擊【確定】，彈出【確認密碼】對話框。(5)在【確認密碼】對話框，填寫【確認新密碼】，并單擊【確定】按鈕。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第18頁/共62頁第11章 數(shù)據(jù)庫的安全性語法：sp_password 舊密碼, 新密碼 , 登錄賬戶 功能：修改SQL Server身份賬戶的登錄密碼。【例11.6】以SQL考試教師身份連接查詢分析器,連接時輸入自己的登錄密碼1949,修改自己的登錄密碼，假設原密碼為：1949，新密碼為：1999?！纠?1.

17、7】設置SQL考試教師的登錄密碼為2008。 1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第19頁/共62頁第11章 數(shù)據(jù)庫的安全性操作步驟：(1)展開【服務器組】，展開要設置的服務器，展開【安全性】，單擊【登錄】。(2)右擊要設置的Windows身份驗證賬戶，選擇【屬性】菜單項，彈出【SQL Server登錄屬性】對話框。(3)在【常規(guī)】選項卡的身份驗證區(qū)域單擊【拒絕訪問】/【允許訪問】選項。(4)單擊【確定】按鈕。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例

18、增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第20頁/共62頁第11章 數(shù)據(jù)庫的安全性格式：sp_denylogin 登錄名 功能：拒絕Windows NT用戶或組的成員登錄數(shù)據(jù)庫服務器。注意：其中登錄名是要授權的Windows NT用戶或組，必須用Windows NT域名限定，其格式為“域名組名”或“域名用戶名”。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第21頁/共62頁第11章 數(shù)據(jù)庫的安全性操作步驟：(1

19、)展開【服務器組】，展開要設置的服務器，展開【安全性】，單擊【登錄】。(2)右擊要刪除的登錄賬戶，單擊【刪除】菜單項。(3)在確認對話框中單擊【是】按鈕。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第22頁/共62頁第11章 數(shù)據(jù)庫的安全性語法：sp_revokelogin 登錄名 功能：撤銷Windows身份驗證的登錄賬戶。 語法: sp_droplogin 登錄名功能：刪除sql server身份驗證的登錄賬戶。注意：只有sysadmin和securityadmin角色的

20、賬戶可用和sp_droplogin刪除SQL Server身份驗證的登錄賬戶、可用sp_revokelogin撤銷windows賬戶登錄SQL Server。1安全機制2服務器登錄 安全認證模式 登錄賬戶 考試案例 增加登錄賬戶 阻止賬戶登錄 刪除登錄賬戶3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第23頁/共62頁第11章 數(shù)據(jù)庫的安全性角色是指服務器管理、數(shù)據(jù)庫管理和訪問的機制，包含兩方面的內涵，一是角色的成員，二是角色的權限，即指定角色中成員允許行使的權限。角色通過添加或刪除成員方法增減成員，通過授予、拒絕或撤銷方法增減權限。因此，權限可理解為崗位或職務，通過任免指

21、定職務的人員，通過賦予或撤銷增減職務的權限。SQL Server 2000有兩種類型的預定義角色：固定服務器角色(ServerRole)和固定數(shù)據(jù)庫角色。這些角色是預先定義的，角色的種類和每個角色的權限都是固定的、不可更改或刪除，只允許為其添加或刪除成員(public角色除外,其權限可以增減，其成員是數(shù)據(jù)庫中所有的數(shù)據(jù)庫用戶)。1安全機制2服務器登錄3服務器角色 固定服務器角色 查看成員 增加成員 刪除成員4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第24頁/共62頁第11章 數(shù)據(jù)庫的安全性1安全機制2服務器登錄3服務器角色 固定服務器角色 查看成員 增加成員 刪除成員4數(shù)據(jù)庫用戶5

22、數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第25頁/共62頁第11章 數(shù)據(jù)庫的安全性SQL Server 事先設計了8個固定的服務器角色。這些角色是定義在服務器級上，存在于用戶數(shù)據(jù)庫之外，具有完成特定服務器級管理活動的權限，其作用域在服務器范圍內。固定服務器角色的成員是服務器的登錄賬戶。最初可由sa超級賬戶將其他登錄賬戶添加到任一種固定服務器角色中，也可由系統(tǒng)管理員角色(sysadmin)或安全管理員角色(securityadmin)的成員將其他登錄賬戶添加到任一種固定服務器角色中，還可以由每種固定服務器角色的每個成員向該角色中添加其他登錄賬戶。1安全機制2服務器登錄3服務器角色 固定服務器角色

23、 查看成員 增加成員 刪除成員4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第26頁/共62頁第11章 數(shù)據(jù)庫的安全性固定服務器角色固定服務器角色權力權力sysadmin系統(tǒng)管理員進行任何活動。serveradmin服務器管理員配置服務器范圍的設置。setupadmin設置管理員添加和刪除鏈接服務器，并執(zhí)行某些系統(tǒng)存儲過程(如sp_serveroption)。securityadmin安全管理員登錄賬號、用戶、角色、權限等管理。processadmin進程管理員進程管理。dbcreator數(shù)據(jù)庫創(chuàng)建者創(chuàng)建和改變數(shù)據(jù)庫。diskadmin磁盤管理員管理磁盤文件。bulkadmin 執(zhí)行

24、BULK INSERT 語句。1安全機制2服務器登錄3服務器角色 固定服務器角色 查看成員 增加成員 刪除成員4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第27頁/共62頁第11章 數(shù)據(jù)庫的安全性(1)展開【服務器組】，展開要查看的服務器名，再展開【安全性】。(2)單擊【服務器角色】，在詳細信息窗格顯示固定服務器角色。(1)展開【服務器組】，展開要查看的服務器名；(2)展開【安全性】，單擊【服務器角色】；(3)在詳細信息窗格右擊選定的角色，單擊【屬性】；(4)在【服務器角色屬性】對話框中顯示該角色的成員(登錄賬戶)列表。1安全機制2服務器登錄3服務器角色 固定服務器角色 查看成員 增

25、加成員 刪除成員4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第28頁/共62頁第11章 數(shù)據(jù)庫的安全性 語法：sp_helpsrvrole 固定服務器角色名語法：sp_helpsrvrolemember 固定服務器角色名1安全機制2服務器登錄3服務器角色 固定服務器角色 查看成員 增加成員 刪除成員4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第29頁/共62頁第11章 數(shù)據(jù)庫的安全性【例11.8】為使SQL考試教師能夠建立學生的登錄賬戶，需要向固定服務器角色安全管理員角色securityadmin中添加成員SQL考試教師。(1)展開【服務器組】、服務器、【安全性】。(2)單

26、擊【服務器角色】，在詳細信息窗格顯示固定服務器角色。(3)右擊【securityadmin】角色行，選擇【屬性】。(4)在【服務器角色屬性】中，單擊【常規(guī)】選項卡 ，單擊【添加】，如圖11.4所示。(5)在添加成員對話框中，選擇登錄賬戶【SQL考試教師】、單擊【確定】。(6) 在【服務器角色屬性】對話框中，單擊【確定】。1安全機制2服務器登錄3服務器角色 固定服務器角色 查看成員 增加成員 刪除成員4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第30頁/共62頁第11章 數(shù)據(jù)庫的安全性語法格式：sp_addsrvrolemember 登錄用戶名，固定服務器角色名【例11.9】設置SQL

27、考試教師為sysadmin角色的成員，使其能夠在SQL服務器中進行任何活動。1安全機制2服務器登錄3服務器角色 固定服務器角色 查看成員 增加成員 刪除成員4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第31頁/共62頁第11章 數(shù)據(jù)庫的安全性(1)展開【服務器組】、服務器、【安全性】。(2)單擊【服務器角色】在詳細窗格顯示固定服務器角色。(3)右擊要刪除成員的服務器角色行，單擊【屬性】。(4)在【服務器角色屬性】對話框中，單擊【常規(guī)】卡。(5)選擇要刪除的登錄賬戶、單擊【刪除】、【確定】。語法格式：sp_dropsrvrolemember 登錄用戶名，固定服務器角色名【例11.10】

28、從sysadmin角色中刪除SQL考試教師 成員1安全機制2服務器登錄3服務器角色 固定服務器角色 查看成員 增加成員 刪除成員4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第32頁/共62頁第11章 數(shù)據(jù)庫的安全性數(shù)據(jù)庫用戶(dbAccess)：對于每個要求訪問數(shù)據(jù)庫的登錄賬戶，必須在要訪問的數(shù)據(jù)庫中建立該數(shù)據(jù)庫的訪問賬戶，且與其登錄賬戶鏈接關聯(lián)，才可進入該數(shù)據(jù)庫訪問（注：該數(shù)據(jù)庫中有guest數(shù)據(jù)庫用戶或該登錄賬戶加入相應固定數(shù)據(jù)庫角色除外）。否則，該登錄賬戶就無法進入該數(shù)據(jù)庫訪問。這個數(shù)據(jù)庫訪問賬戶就是數(shù)據(jù)庫用戶(dbAccess)。有關信息保存在各自數(shù)據(jù)庫sysusers表中。

29、1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶 添加用戶 修改查看用戶 刪除用戶 特殊用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第33頁/共62頁第11章 數(shù)據(jù)庫的安全性【例11.11】為SQL考試數(shù)據(jù)庫添加數(shù)據(jù)庫用戶。(1)展開【服務器組】，展開要查看的服務器名。(2)展開【服務器】，展開【SQL考試數(shù)據(jù)庫】數(shù)據(jù)庫。(3)右擊【用戶】，單擊【新建數(shù)據(jù)庫用戶.】菜單，彈出【數(shù)據(jù)庫用戶屬性新建用戶】對話框。如圖11.5所示。(4) 從登錄名下拉列表框中選擇一個登錄賬號。(5) 在用戶名框中輸入數(shù)據(jù)庫用戶名。(6) 單擊【確定】按鈕。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶 添加用戶 修

30、改查看用戶 刪除用戶 特殊用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第34頁/共62頁第11章 數(shù)據(jù)庫的安全性語法：sp_grantdbaccess 登錄賬戶名, 數(shù)據(jù)庫用戶名 功能：在當前數(shù)據(jù)庫中，添加數(shù)據(jù)庫用戶名為本數(shù)據(jù)庫的用戶，并與將賬戶名為登錄賬戶名的登錄賬戶鏈接(關聯(lián))?！纠?1.12】在當前數(shù)據(jù)庫SQL考試數(shù)據(jù)庫中，創(chuàng)建SQL考試教師名字的數(shù)據(jù)庫用戶，并與SQL考試數(shù)據(jù)庫登錄賬戶關聯(lián)。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶 添加用戶 修改查看用戶 刪除用戶 特殊用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第35頁/共62頁第11章 數(shù)據(jù)庫的安全性修改數(shù)據(jù)庫用戶，即修改

31、用戶所屬的數(shù)據(jù)庫的角色及所擁有的權限。這些內容分別在介紹數(shù)據(jù)庫角色和管理權限的部分介紹。查詢分析器：F Exec sp_helpuserF select userF select user_name()企業(yè)管理器：展開【服務器組】，服務器，【數(shù)據(jù)庫】，展開要查看的數(shù)據(jù)庫，單擊【用戶】，在詳細信息窗格中顯示該數(shù)據(jù)庫的用戶。查看數(shù)據(jù)庫用戶：1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶 添加用戶 修改查看用戶 刪除用戶 特殊用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第36頁/共62頁第11章 數(shù)據(jù)庫的安全性(1)展開【服務器組】、服務器、【數(shù)據(jù)庫】、數(shù)據(jù)庫；(2)單擊【用戶】，在詳細信息窗格中

32、右擊想要刪除的數(shù)據(jù)庫用戶，選擇【刪除】，在確認對話框中單擊【是】。語法：sp_revokedbaccess 數(shù)據(jù)庫用戶名1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶 添加用戶 修改查看用戶 刪除用戶 特殊用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第37頁/共62頁第11章 數(shù)據(jù)庫的安全性dbo是數(shù)據(jù)庫對象的所有者，每個數(shù)據(jù)庫中都存在，不能刪除，具有操作該數(shù)據(jù)庫的最高權力。戶與該數(shù)據(jù)庫創(chuàng)建者的登錄賬戶關聯(lián)，自動關聯(lián)固定服務器角色sysadmin中的所有成員，同時sysadmin的任何成員創(chuàng)建的任何對象都自動屬于dbo。guest用戶:允許在該數(shù)據(jù)庫中沒有相應用戶的登錄賬戶訪問數(shù)據(jù)庫，即可認

33、為guest自動關聯(lián)服務器所有登錄賬戶。guest 用戶可以同其他用戶賬戶一樣被授于權限。默認情況下，新建的數(shù)據(jù)庫中沒有 guest 用戶?？梢栽诔?master 和 tempdb 外（在這兩個數(shù)據(jù)庫中它必須始終存在）的所有數(shù)據(jù)庫中添加或刪除 guest 用戶。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶 添加用戶 修改查看用戶 刪除用戶 特殊用戶5數(shù)據(jù)庫角色6管理權限7本章實訓8本章小結第38頁/共62頁第11章 數(shù)據(jù)庫的安全性數(shù)據(jù)庫角色(dbRole)是定義在數(shù)據(jù)庫級上，保存在各自數(shù)據(jù)庫的系統(tǒng)表sysusers之中，作用在各自的數(shù)據(jù)庫之內，同樣包含兩方面的內涵，一是角色的成員，二是角色的

34、權限。數(shù)據(jù)庫角色的成員是數(shù)據(jù)庫用戶(dbAccess)。數(shù)據(jù)庫角色分為固定數(shù)據(jù)庫角色、用戶自定義角色和應用程序角色。本書只介紹前2種角色。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色 固定數(shù)據(jù)庫角色 自定義數(shù)據(jù)庫角色 管理數(shù)據(jù)庫角色 6管理權限7本章實訓8本章小結第39頁/共62頁第11章 數(shù)據(jù)庫的安全性固定數(shù)據(jù)庫角色是系統(tǒng)預定義在數(shù)據(jù)庫級上管理的角色，除public角色外，角色的種類和每個角色的權限都是固定的、不可更改或刪除，只允許為其添加或刪除成員。每個數(shù)據(jù)庫都有10個固定數(shù)據(jù)庫角色，如下表所示。public是一個特殊的數(shù)據(jù)庫角色，數(shù)據(jù)庫中的每個數(shù)據(jù)庫用戶都自動是此角色的成員

35、，最初創(chuàng)建只有本數(shù)據(jù)庫的系統(tǒng)表和系統(tǒng)視圖的select權限。 可以通過授予、拒絕或撤銷方法增減權限，提供數(shù)據(jù)庫中所有用戶的默認權限。查看固定數(shù)據(jù)庫角色列表：F 展開【服務器組】、服務器、【數(shù)據(jù)庫】、數(shù)據(jù)庫，單擊【角色】，在右側詳細信息窗格中列出角色列表。F 查詢分析器中，執(zhí)行sp_helpdbfixedrole1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色 固定數(shù)據(jù)庫角色 自定義數(shù)據(jù)庫角色 管理數(shù)據(jù)庫角色 6管理權限7本章實訓8本章小結第40頁/共62頁第11章 數(shù)據(jù)庫的安全性角色角色描述描述Public所有人所有人db_owner所有者，在數(shù)據(jù)庫中擁有全部權限所有者，在數(shù)據(jù)庫中擁

36、有全部權限 db_accessadmin用戶管理者，可以添加或刪除用戶用戶管理者，可以添加或刪除用戶ID db_securityadmin 安全管理者，管理權限、所有權、角色和成安全管理者，管理權限、所有權、角色和成員資格員資格 db_ddladmin 可以發(fā)出可以發(fā)出 ALL DDL(除除GRANT、REVOKE、 DENY) db_backupoperator 備份操作者。備份操作者。 db_datareader 數(shù)據(jù)讀者，可以讀本庫內任何表的數(shù)據(jù)數(shù)據(jù)讀者，可以讀本庫內任何表的數(shù)據(jù) db_datawriter 數(shù)據(jù)寫者，可以插入、刪除、修改本數(shù)據(jù)庫數(shù)據(jù)寫者，可以插入、刪除、修改本數(shù)據(jù)庫內任

37、何表中的數(shù)據(jù)。內任何表中的數(shù)據(jù)。 db_denydatareader 不能讀庫內任何表中任何數(shù)據(jù)用戶。不能讀庫內任何表中任何數(shù)據(jù)用戶。 db_denydatawriter 不能改庫內任何表中任何數(shù)據(jù)用戶。不能改庫內任何表中任何數(shù)據(jù)用戶。 1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色 固定數(shù)據(jù)庫角色 自定義數(shù)據(jù)庫角色 管理數(shù)據(jù)庫角色 6管理權限7本章實訓8本章小結第41頁/共62頁第11章 數(shù)據(jù)庫的安全性（1）展開【服務器組】、服務器、【數(shù)據(jù)庫】、數(shù)據(jù)庫。（2）右擊【角色】單擊【新建數(shù)據(jù)庫角色】彈出【數(shù)據(jù)庫角色屬性新建角色】對話框。如圖11.6所示。（3）在對話框中輸入角色的名稱：

38、考生，選中【標準角色】單選按鈕。（4）單擊【添加】，可以為角色添加用戶，也可不添加用戶創(chuàng)建一個暫無成員的角色。單擊【確定】。自定義數(shù)據(jù)庫角色是由用戶定義，存在于數(shù)據(jù)庫之中，作用在各自數(shù)據(jù)庫之內，允許用戶增減權限、添加或刪除成員的角色。自定義數(shù)據(jù)庫角色定義的目的是為了方便權限管理?！纠?1.13】創(chuàng)建SQL考試數(shù)據(jù)庫庫角色考生。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色 固定數(shù)據(jù)庫角色 自定義數(shù)據(jù)庫角色 管理數(shù)據(jù)庫角色 6管理權限7本章實訓8本章小結第42頁/共62頁第11章 數(shù)據(jù)庫的安全性語法：sp_addrole 角色名 , 角色的所有者功能：在當前數(shù)據(jù)庫中添加標準的用戶角色

39、。新角色的所有者必須是當前數(shù)據(jù)庫中的某個用戶或角色，默認值為 dbo。語法：sp_droprole 角色名 功能：從當前數(shù)據(jù)庫刪除標準用戶角色。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色 固定數(shù)據(jù)庫角色 自定義數(shù)據(jù)庫角色 管理數(shù)據(jù)庫角色 6管理權限7本章實訓8本章小結第43頁/共62頁第11章 數(shù)據(jù)庫的安全性(1)展開【服務器組】、服務器、【數(shù)據(jù)庫】、數(shù)據(jù)庫；(2)單擊【角色】，在右側詳細信息窗格中選定角色右擊，單擊【屬性】，彈出【數(shù)據(jù)庫角色屬性】對話框(3)單擊【添加】添加角色成員，選中成員單擊【刪除】刪除角色成員。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色

40、固定數(shù)據(jù)庫角色 自定義數(shù)據(jù)庫角色 管理數(shù)據(jù)庫角色 6管理權限7本章實訓8本章小結第44頁/共62頁第11章 數(shù)據(jù)庫的安全性語法：sp_addrolemember 數(shù)據(jù)庫角色, 安全賬戶功能：為數(shù)據(jù)庫角色添加成員。語法：sp_droprolemember 數(shù)據(jù)庫角色, 安全賬戶功能：從數(shù)據(jù)庫角色中刪除成員?！纠?1.14】SQL上機考試與輔助閱卷系統(tǒng)賬戶設置，具體要求見表11.1。數(shù)據(jù)庫角色指當前數(shù)據(jù)庫中的數(shù)據(jù)庫角色的名稱，包括固定數(shù)據(jù)庫角色(public角色除外)和自定義角色；安全賬戶指當前數(shù)據(jù)庫用戶、當前數(shù)據(jù)庫角色或windows登錄賬戶。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)

41、庫角色 固定數(shù)據(jù)庫角色 自定義數(shù)據(jù)庫角色 管理數(shù)據(jù)庫角色 6管理權限7本章實訓8本章小結第45頁/共62頁第11章 數(shù)據(jù)庫的安全性權限是指用戶是否能進行訪問數(shù)據(jù)庫資源的相應操作。即權限就是用戶是否可以執(zhí)行訪問數(shù)據(jù)庫資源的相應操作語句或存儲過程。管理權限實質就是管理數(shù)據(jù)庫訪問的安全性，有三方面的內涵：一是用戶，有服務器登錄賬戶、角色中的成員和數(shù)據(jù)庫用戶，二是訪問的數(shù)據(jù)庫資源（對象），有服務器、數(shù)據(jù)庫、庫中表或視圖、自定義函數(shù)、存儲過程、表或視圖中的列，三是相應的操作方式。總之，管理權限就是將用戶、資源和操作權限的有機配置。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限 權限

42、 管理權限(1) 管理權限(2) 7本章實訓8本章小結第46頁/共62頁第11章 數(shù)據(jù)庫的安全性語句權限是指用戶能否當前數(shù)據(jù)庫上進行備份數(shù)據(jù)庫和創(chuàng)建數(shù)據(jù)庫、表、視圖、用戶定義函數(shù)、存儲過程、規(guī)則和默認等對象，即指用戶能否執(zhí)行右表所列語句。權限:語句權限、對象權限和暗示性權限。動作動作對象對象語句語句備份備份數(shù)據(jù)數(shù)據(jù)backup database日志日志backup log創(chuàng)建創(chuàng)建數(shù)據(jù)庫數(shù)據(jù)庫create database數(shù)據(jù)表數(shù)據(jù)表create table視圖視圖create view存儲過程存儲過程create procedure自定義函數(shù)自定義函數(shù)create function規(guī)則規(guī)則cr

43、eate rule默認默認create default1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限 權限 管理權限(1) 管理權限(2) 7本章實訓8本章小結第47頁/共62頁第11章 數(shù)據(jù)庫的安全性對象權限是指用戶能否在當前數(shù)據(jù)庫中表或視圖、用戶定義函數(shù)、存儲過程、表或視圖的列上進行相應的訪問操作。對象對象操作操作表或視圖表或視圖select、insert、update 和和 delete存儲過程存儲過程ExecuteExecute內嵌表值函數(shù)內嵌表值函數(shù)Select表或視圖的列表或視圖的列select和和update1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)

44、據(jù)庫角色6管理權限 權限 管理權限(1) 管理權限(2) 7本章實訓8本章小結第48頁/共62頁第11章 數(shù)據(jù)庫的安全性暗示性權限是指將用戶(成員)加入角色，系統(tǒng)自動將角色的權限傳遞給成員的權限，特別是預定義角色，如固定服務器角色成員所具有的權限。暗示性權限是由添加或刪除角色成員實現(xiàn)的。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限 權限 管理權限(1) 管理權限(2) 7本章實訓8本章小結第49頁/共62頁第11章 數(shù)據(jù)庫的安全性(1)展開【服務器組】，右擊要設置的數(shù)據(jù)庫，選擇【屬性】菜單項，彈出數(shù)據(jù)庫【屬性】對話框。(2)單擊【權限】選項卡，如圖11.7所示。(3)權

45、限選項卡中信息表格左側列出了數(shù)據(jù)庫中所有用戶和角色，在上方列出所有語句權限，單擊用戶/角色與權限的交叉點的方框可以設置用戶或角色的授權狀況。(4)單擊【確定】完成?！纠?1.15】使用企業(yè)管理器管理語句權限。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限 權限 管理權限(1) 管理權限(2) 7本章實訓8本章小結第50頁/共62頁第11章 數(shù)據(jù)庫的安全性(1)展開【服務器組】、服務器、【數(shù)據(jù)庫】、數(shù)據(jù)庫。(2)根據(jù)用戶類型，單擊【用戶】或【角色】，在右側詳細信息窗格顯示【用戶】或【角色】列表。(3)右擊要設置用戶或角色，單擊【屬性】，彈出【數(shù)據(jù)庫用戶屬性】或【數(shù)據(jù)庫角色屬

46、性】對話框，在常規(guī)選項卡上單擊【權限】按鈕，如圖11.8所示。(4)【權限】單擊對象與權限的交叉點的方框可以設置用戶或角色的授權狀況。(5)單擊【列】按鈕彈出【列權限】對話框，在【常規(guī)】卡表格，單擊列與權限的交叉點的方框可以設置用戶或角色的授權狀況，單擊【確定】按鈕。(6) 設置完畢后，單擊【確定】，使設置生效。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限 權限 管理權限(1) 管理權限(2) 7本章實訓8本章小結第51頁/共62頁第11章 數(shù)據(jù)庫的安全性(1)展開【服務器組】、服務器、【數(shù)據(jù)庫】、數(shù)據(jù)庫；(2)根據(jù)對象類型，單擊【表】、【視圖】或【存儲過程】。(3)在

47、詳細信息窗格中，右擊要管理權限的對象單擊【所有任務】、【管理權限】菜單，如圖11.9所示。之后彈出【對象屬性】對話框，如圖11.10所示。(4)在【權限】選項卡信息表格，左側列出【用戶/數(shù)據(jù)庫角色/public】，上方列出權限，單擊其中行列的交叉點的方框可以設置對象的授權狀況。(5) 設置完畢后，單擊【確定】，使設置生效。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限 權限 管理權限(1) 管理權限(2) 7本章實訓8本章小結第52頁/共62頁第11章 數(shù)據(jù)庫的安全性語句權限語法格式： GRANT 語句 ,. TO 安全用戶 ,. 對象權限語法格式： GRANT 權限 ,

48、. ON 表或視圖 ( 列,.) | ON 存儲過程 | ON 用戶自定義函數(shù) TO 安全賬戶 ,. 數(shù)據(jù)控制語句：GRANT、DENY或REVOKE語句授予、拒絕或撤銷安全賬戶的語句執(zhí)行權限。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限 權限 管理權限(1) 管理權限(2) 7本章實訓8本章小結第53頁/共62頁第11章 數(shù)據(jù)庫的安全性功能：授予當前數(shù)據(jù)庫中的數(shù)據(jù)庫用戶、數(shù)據(jù)庫角色或windows登錄賬戶能夠在當前數(shù)據(jù)庫中的執(zhí)行語句/權限指定的T-SQL 語句。若安全賬戶指定的是windows登錄賬戶，則先以windows登錄賬戶名相同的名字在當前數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫用

49、戶，并與windows登錄賬戶同名關聯(lián)，然后授予指定語句執(zhí)行權。安全賬戶：指當前數(shù)據(jù)庫用戶、當前數(shù)據(jù)庫角色或服務器的windows登錄賬戶；ON：指當前數(shù)據(jù)庫中供訪問的對象資源：表或視圖、表或視圖(列,.)、存儲過程或用戶自定義函數(shù)；語句：指特指表11.4所列的權限語句；權限：指供訪問對象的相對應操作，如表11.5所示。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限 權限 管理權限(1) 管理權限(2) 7本章實訓8本章小結第54頁/共62頁第11章 數(shù)據(jù)庫的安全性語句權限語法格式： DENY 語句 ,. TO 安全賬戶 ,. 對象權限語法格式： DENY 權限 ,. O

50、N 表或視圖(列,. ) | ON 存儲過程 | ON 用戶自定義函數(shù) TO 安全賬戶 ,. 功能：使當前數(shù)據(jù)庫中的數(shù)據(jù)庫用戶、數(shù)據(jù)庫角色或windows登錄賬戶在當前數(shù)據(jù)庫中的不能執(zhí)行語句/權限指定的T-SQL 語句。1安全機制2服務器登錄3服務器角色4數(shù)據(jù)庫用戶5數(shù)據(jù)庫角色6管理權限 權限 管理權限(1) 管理權限(2) 7本章實訓8本章小結第55頁/共62頁第11章 數(shù)據(jù)庫的安全性語句：REVOKE 語句 ,. FROM 安全賬戶 ,. 對象：REVOKE 權限 ,. ON 表或視圖(列,. ) | ON 存儲過程 | ON 用戶自定義函數(shù) FROM 安全賬戶 ,. 功能：撤銷當前數(shù)據(jù)庫中的數(shù)據(jù)庫用戶、數(shù)據(jù)庫角色或windows登錄賬戶在當前數(shù)據(jù)庫中的執(zhí)行語句/權限指定的T-SQL 語句的