第29講安全管理(理論+實訓(xùn))

第10章SQLServer安全管理第29講復(fù)習(xí):存儲過程含義、類型、語句格式、調(diào)用含義:存儲在服務(wù)器上的多條T-SQL語句的預(yù)編譯集合。類型:系統(tǒng)存儲過程、用戶自定義存儲過程語句格式createprocedure

存儲過程名形參

assql語句調(diào)用存儲過程exec

存儲過程名實參復(fù)習(xí):觸發(fā)器的含義、類型、作用、語句格式含義：DML觸發(fā)器是一種對表或視圖執(zhí)行insert、delete、update操作時，被系統(tǒng)自動執(zhí)行的特殊的存儲過程。類型：按觸發(fā)的時機(jī)分為：后觸發(fā)器和替代觸發(fā)器按觸發(fā)的事件分為：insert觸發(fā)器、delete觸發(fā)器、update觸發(fā)器作用：對表實現(xiàn)復(fù)雜的數(shù)據(jù)完整性約束，以防止不正確的操作。語句格式：createtrigger

觸發(fā)器名on

表名

after{[insert][,delete][,update]}

as

SQL語句

復(fù)習(xí):存儲過程和觸發(fā)器的區(qū)別相同點(diǎn)：觸發(fā)器和存儲過程都是由多條T-SQL語句的預(yù)編譯集合。不同點(diǎn)：存儲過程是由用戶利用execute命令執(zhí)行。觸發(fā)器是通過事件進(jìn)行觸發(fā)而自動執(zhí)行。引:對于一個網(wǎng)絡(luò)數(shù)據(jù)庫管理系統(tǒng)，安全是很重要的。如何才能保護(hù)數(shù)據(jù)庫不被破壞、偷竊和非法使用？第10章SQLServer安全管理

教學(xué)內(nèi)容基礎(chǔ)知識：安全機(jī)制服務(wù)器級的安全管理數(shù)據(jù)庫級的安全管理權(quán)限管理第10章SQLServer安全管理

學(xué)習(xí)目標(biāo)認(rèn)知目標(biāo)：了解安全模式、身份驗證、權(quán)限驗證、登錄帳戶、服務(wù)器角色、數(shù)據(jù)庫角色等概念能力目標(biāo):掌握登錄帳戶、數(shù)據(jù)庫用戶、數(shù)據(jù)庫角色的創(chuàng)建(重點(diǎn))掌握數(shù)據(jù)庫中權(quán)限設(shè)置管理的方法(難點(diǎn))一、安全機(jī)制每個網(wǎng)絡(luò)用戶在訪問SQLServer數(shù)據(jù)庫之前，都必須經(jīng)過兩級安全驗證：身份驗證：驗證用戶是否擁有服務(wù)器級的“連接權(quán)”，即是否允許訪問SQLServer服務(wù)器。權(quán)限驗證：驗證用戶是否擁有數(shù)據(jù)庫級的“訪問權(quán)”，即是否可以在數(shù)據(jù)庫上執(zhí)行操作。二、服務(wù)器級的安全管理

1.身份驗證–(1)兩種模式Windows身份驗證使用Windows操作系統(tǒng)本身提供的安全機(jī)制驗證用戶的身份。只要用戶能夠通過Windows的用戶帳戶驗證，就可連接到SQLServer，又稱為“信任連接”模式。SQLServer驗證使用SQLServer驗證時，必須提供連接到SQLServer上登錄帳號和口令(該帳號和口令由系統(tǒng)管理員事先創(chuàng)建并存儲在SQLServer中)。使用該模式：一是為了和7.0版以前的SQLServer相兼容；二是如果SQLServer安裝在Windows98下，必須使用該模式。二、服務(wù)器級的安全管理

1.身份驗證—(2)模式設(shè)置動手實驗1：設(shè)置身份驗證模式。任務(wù)1：將本地服務(wù)器的身份驗證模式設(shè)置為“混合模式”右擊“本地服務(wù)器”→“屬性”→“安全性”→……任務(wù)2：用“windows”身份驗證連接到本地服務(wù)器上。右擊“本地服務(wù)器”→“編輯SQLServer注冊屬性”→……展開“本地服務(wù)器”即連接(因“windows”身份是信任連接)任務(wù)3：用“SQLServer”身份驗證連接到本地服務(wù)器上。修改登錄帳號“sa”的密碼。展開“本地服務(wù)器”中的“安全性”→單擊“登錄”→右擊“sa”→“屬性”→修改密碼→……設(shè)置“使用SQLServer身份驗證”。右擊“本地服務(wù)器”→“編輯SQLServer注冊屬性”→勾選“使用SQLServer身份驗證”→輸入“登錄名”和“密碼”→…說明：sa是一個超級登錄帳號，具有操作服務(wù)器的一切權(quán)限。二、服務(wù)器級的安全管理

2.登錄帳號含義：登錄者用來連接SQLserver的帳號。兩種類型：windows身份驗證時的登錄帳號(即用戶帳號)。形式為“域(或計算機(jī))名\用戶(或組)”系統(tǒng)內(nèi)建的本地組,采用“BUILTIN\Administrators”形式SQLserver身份驗證時，由系統(tǒng)管理員創(chuàng)建的登錄帳號和密碼。sa是一個內(nèi)置的SQLServer超級登錄帳號，該賬戶擁有最高的管理權(quán)限，具有操作服務(wù)器的一切權(quán)限。動手實驗2：登錄帳號的使用任務(wù)1：①將windows中的某個組或用戶設(shè)置為登錄帳號；②創(chuàng)建個“SQLServer”登錄帳號，登錄名為st1和st2。方法：雙擊“服務(wù)器”→安全性→右擊“登錄”→“新建登錄”

①創(chuàng)建“windows”登錄帳號。單擊“名稱”旁的“瀏覽”按鈕→選擇要加入的組或用戶…②創(chuàng)建“SQLServer”登錄帳號。在“名稱”框中輸入“st1”→選擇“SQLServer身份驗證”→輸入密碼…動手實驗2：登錄帳號的使用任務(wù)2：使用st1登錄帳號連接到SQLServer服務(wù)器，請問能否查看xscj庫中的數(shù)據(jù)?為什么？說明：普通登錄帳號必須賦予了服務(wù)器角色后,才會具有服務(wù)器范圍內(nèi)的操作權(quán)限。任務(wù)3：查看各登錄帳號的服務(wù)器角色。右擊“登錄帳號”→“屬性”→……二、服務(wù)器級安全性的管理

3.服務(wù)器角色含義：系統(tǒng)定義的具有不同權(quán)限的組，其組成員是登錄帳號。服務(wù)器角色不能增加或刪除，只能對其中的成員進(jìn)行修改。常用的服務(wù)器角色

動手實驗3：服務(wù)器角色的使用任務(wù)1：了解各服務(wù)器角色中的成員及權(quán)限。雙擊“服務(wù)器”→“安全性”→“服務(wù)器角色”→……任務(wù)2：將登錄帳號st1賦予“databasecreators”的服務(wù)器角色，使其具有可創(chuàng)建和更改數(shù)據(jù)庫的權(quán)限。在“服務(wù)器角色”窗口中，右擊“databasecreators”角色→“屬性”→單擊“添加”→選擇成員→……請思考：使用st1登錄帳號連接到SQLServer服務(wù)器，請問能否查看xscj庫中的表對象?為什么？說明：盡管普通登錄帳號已賦予了服務(wù)器角色(sysadmin除外

)，但仍沒有使用其它數(shù)據(jù)庫對象(表/視圖/存儲過程等)的權(quán)限。因為SQLServer是以數(shù)據(jù)庫用戶名來訪問數(shù)據(jù)庫的。動手實驗3：服務(wù)器角色的使用任務(wù)3：將登錄帳號st2賦予“sysadmin”的服務(wù)器角色，使其具有對系統(tǒng)的所有操作權(quán)。說明：若將登錄帳號st2加入到sysadmin服務(wù)器角色中，以該帳號登錄的用戶就擁有了對系統(tǒng)的所有操作權(quán)。任務(wù)4：分別以st1和st2登錄SQLServer服務(wù)器，查看xscj庫中的各對象，請思考哪個登錄帳號的權(quán)限大？任務(wù)5：因某種原因，要取消登錄帳號為st2所擁有的對服務(wù)器的所有操作權(quán)，但仍能登錄SQLServer服務(wù)器，如何設(shè)置？在“服務(wù)器角色”窗口中，右擊“sysadmin”角色→“屬性”→選擇成員→單擊“刪除”→……三、數(shù)據(jù)庫級的安全管理

1.數(shù)據(jù)庫用戶簡介含義：如果要使登錄帳號具有訪問數(shù)據(jù)庫的權(quán)力，必須將登錄帳號映射為數(shù)據(jù)庫用戶名。所以，每一個登錄帳號必須對應(yīng)一個數(shù)據(jù)庫用戶名稱。登錄帳號sa（或windows帳號）對應(yīng)的數(shù)據(jù)庫用戶名為dbo，dbo用戶擁有操作數(shù)據(jù)庫的所有權(quán)限（權(quán)限最高）。凡具有sysadmin服務(wù)器角色的登錄帳號，自動映射為dbo。其它登錄帳號在某庫中沒有對應(yīng)的用戶名稱時，就映射到guest用戶帳號上，若沒有g(shù)uest(如xscj庫)，則不能查看到該數(shù)據(jù)庫對象。三、數(shù)據(jù)庫級的安全管理

1.數(shù)據(jù)庫用戶簡介含義：如果要使登錄帳號具有訪問數(shù)據(jù)庫的權(quán)力，必須將登錄帳號映射為數(shù)據(jù)庫用戶名。登錄帳號和數(shù)據(jù)庫用戶的區(qū)別：SQLServer數(shù)據(jù)庫DB1DB2DB3數(shù)據(jù)庫用戶名（提供數(shù)據(jù)庫訪問）登錄帳號（提供SQLserver訪問）用戶說明：每個登錄帳號要對應(yīng)一個數(shù)據(jù)庫用戶名稱。三、數(shù)據(jù)庫級的安全管理

1.數(shù)據(jù)庫用戶簡介內(nèi)置的用戶名稱：dbo和guest登錄帳號sa（或windows帳號）對應(yīng)的數(shù)據(jù)庫用戶名為dbo，dbo用戶擁有操作數(shù)據(jù)庫的最高權(quán)限。凡具有sysadmin服務(wù)器角色的登錄帳號，自動映射為dbo。其它登錄帳號在某庫中沒有對應(yīng)的用戶名時，就映射到guest用戶帳號上（對數(shù)據(jù)庫的訪問權(quán)限最低）。若沒有g(shù)uest(如xscj庫)，則不能查看到該數(shù)據(jù)庫對象。例如:在xscj庫中，登錄帳號st1既沒有映射相應(yīng)的用戶名，又沒有g(shù)uest，所以，st1不能查看到該庫中對象的信息。動手實驗4：數(shù)據(jù)庫用戶的創(chuàng)建任務(wù)1：將登錄帳號st1映射為xscj庫中的一個名為“u1”的用戶帳號，使“u1”能訪問該庫。右擊xscj庫中的“用戶”→“新建數(shù)據(jù)庫用戶”任務(wù)2：將登錄帳號st1同時映射為pubs、northwind庫中的一個用戶帳號。雙擊“服務(wù)器”→“安全性”→“登錄”在“登錄”窗口，雙擊“st1”登錄帳號單擊“數(shù)據(jù)庫訪問”標(biāo)簽→勾選所要訪問的數(shù)據(jù)庫三、數(shù)據(jù)庫級的安全管理

2.管理數(shù)據(jù)庫用戶修改數(shù)據(jù)庫用戶主要是修改為此用戶所設(shè)置的用戶權(quán)限（修改所屬的數(shù)據(jù)庫角色）。刪除數(shù)據(jù)庫用戶刪除一個登錄帳號在當(dāng)前數(shù)據(jù)庫的映射，使該登錄帳號失去訪問數(shù)據(jù)庫的權(quán)限。方法1：與創(chuàng)建類似，只是取消數(shù)據(jù)的選定。方法2：在指定數(shù)據(jù)庫的“用戶”窗口中，右擊要刪除的用戶名→單擊“刪除”三、數(shù)據(jù)庫級的安全管理

3.數(shù)據(jù)庫角色定義：是在數(shù)據(jù)庫級別上定義的用戶權(quán)限組，存在于每個數(shù)據(jù)庫中。其成員是用戶帳號。類型：固定數(shù)據(jù)庫角色自建數(shù)據(jù)庫角色動手實驗5：數(shù)據(jù)庫角色的創(chuàng)建任務(wù)1：將xscj庫的所有者權(quán)限賦給st1用戶。在“登錄”窗口，雙擊“st1”登錄帳號→單擊“數(shù)據(jù)庫訪問”標(biāo)簽→勾選“db_owner”任務(wù)2：創(chuàng)建一個名為“zdy”的數(shù)據(jù)庫角色，使該角色具有如下的權(quán)限：可查詢xsqk表、可查詢和修改xs_kc表、可查詢和插入kc表，但不能進(jìn)行刪除的權(quán)限。右擊xscj庫的“角色”→“新建數(shù)據(jù)庫角色”→輸入名稱“zdy”→“確定”雙擊“zdy”→單擊“權(quán)限”按鈕→設(shè)置語句權(quán)限四、權(quán)限管理

1.權(quán)限的分類權(quán)限的作用：用來控制用戶如何訪問數(shù)據(jù)庫對象。權(quán)限的分類：對象權(quán)限：是指用戶對數(shù)據(jù)庫中的表、視圖、存儲過程等對象的操作權(quán)限。語句權(quán)限：是指執(zhí)行數(shù)據(jù)定義語句的權(quán)限。隱含權(quán)限：是指系統(tǒng)預(yù)定義的服務(wù)器角色、數(shù)據(jù)庫擁有者和數(shù)據(jù)庫對象擁有者所擁有的權(quán)限。該權(quán)限不能明確地賦予和撤銷。四、權(quán)限管理

2.權(quán)限管理的內(nèi)容用戶或角色的權(quán)限有三種形式：授予權(quán)限√：能執(zhí)行相應(yīng)操作拒絕權(quán)限×：不能執(zhí)行相應(yīng)操作剝奪權(quán)限□：不允許執(zhí)行相應(yīng)操作，但可以通過加入角色來獲得許可權(quán)。動手實驗6：管理權(quán)限任務(wù)1：管理數(shù)據(jù)庫用戶的語句權(quán)限。要求：xscj庫中的用戶u1只能查看kc表中的數(shù)據(jù)，不能做任何更改和刪除，應(yīng)如何設(shè)置？單擊xscj庫中的“用戶”→右擊“u1”用戶→“所有任務(wù)”→“管理權(quán)限”設(shè)置在kc表上的操作權(quán)限任務(wù)2：管理數(shù)據(jù)庫角色的語句權(quán)限。要求：xscj庫中的所有用戶只能查看kc表中的數(shù)據(jù)，不能做任何更改和刪除，應(yīng)如何設(shè)置？右擊xscj庫中的“角色”→“新建自定義角色”(aa)雙擊aa→添加所有用戶→單擊“權(quán)限”按鈕→設(shè)置在kc表上的操作權(quán)限動手實驗6：管理權(quán)限任務(wù)3：管理數(shù)據(jù)庫對象的權(quán)限。對于xscj庫中的xsqk表，希望所有用戶都不能刪除、修改和插入記錄，且不能訪問“地址”字段右擊xsqk表→“所有任務(wù)”→“管理權(quán)限”→設(shè)置權(quán)限單擊“列”按鈕→設(shè)置列權(quán)限五、數(shù)據(jù)庫備份和恢復(fù)備份設(shè)備備份策略完全備份差異備份事