第07章 安全性課件

第07章安全性北京市高等教育精品教材立項(xiàng)項(xiàng)目數(shù)據(jù)庫(kù)系統(tǒng)及應(yīng)用第七章安全性第07章安全性學(xué)習(xí)內(nèi)容

安全性概述用戶管理和角色管理權(quán)限管理其他安全問題安全性概述

第07章安全性安全性措施的層次

物理層人員層操作系統(tǒng)層網(wǎng)絡(luò)層數(shù)據(jù)庫(kù)系統(tǒng)層第07章安全性數(shù)據(jù)庫(kù)管理系統(tǒng)的安全功能

安全性控制是數(shù)據(jù)庫(kù)管理員（或系統(tǒng)管理員）的一個(gè)重要任務(wù)，他要充分利用數(shù)據(jù)庫(kù)管理系統(tǒng)的安全功能，保證數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)中數(shù)據(jù)的安全。安全系統(tǒng)的核心問題是身份識(shí)別。用戶權(quán)限用戶組角色第07章安全性自主存取控制

自主存取控制就是由用戶（如數(shù)據(jù)庫(kù)管理員）自主控制對(duì)數(shù)據(jù)庫(kù)對(duì)象的操作權(quán)限，哪些用戶可以對(duì)哪些對(duì)象、進(jìn)行哪些操作，完全取決于用戶之間的授權(quán)。任何用戶只要需要，就有可能獲得對(duì)任何對(duì)象的操作權(quán)限。這種存取控制方式非常靈活，但有時(shí)也容易失控。目前大多數(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)都支持的是自主存取控制方式。第07章安全性強(qiáng)制存取控制強(qiáng)制存取控制的思路是，為每一個(gè)數(shù)據(jù)庫(kù)對(duì)象標(biāo)以一定的密級(jí)對(duì)每一個(gè)用戶都確定一個(gè)許可級(jí)別如密級(jí)可以分為絕密、機(jī)密、保密、秘密、公開等若干級(jí)別；而用戶可以劃分為一級(jí)用戶（可以操作所有數(shù)據(jù)）、二級(jí)用戶（可以操作除絕密以外的所有數(shù)據(jù)）、三級(jí)用戶等。強(qiáng)制存取控制本質(zhì)上具有分層的特點(diǎn)，通常具有靜態(tài)的、嚴(yán)格的分層結(jié)構(gòu)，與現(xiàn)實(shí)世界的層次管理也相吻合。這種強(qiáng)制存取控制特別適合層次嚴(yán)明的軍方和政府等數(shù)據(jù)管理。第07章安全性SQLServer的身份驗(yàn)證模式SQLServer提供了三種身份驗(yàn)證模式或安全管理模式，即標(biāo)準(zhǔn)模式、集成模式和混合模式。在WindowsNT或Windows2000上使用集成模式或混合模式，在Windows98（或Millennium）上使用標(biāo)準(zhǔn)模式。第07章安全性標(biāo)準(zhǔn)身份驗(yàn)證模式實(shí)際上，一般的數(shù)據(jù)庫(kù)管理系統(tǒng)都只提供標(biāo)準(zhǔn)身份驗(yàn)證模式，在這種模式下，由數(shù)據(jù)庫(kù)管理系統(tǒng)獨(dú)立來管理自己的數(shù)據(jù)庫(kù)安全。數(shù)據(jù)庫(kù)管理系統(tǒng)把用戶登錄的ID號(hào)和口令存儲(chǔ)在特定的系統(tǒng)表中，當(dāng)用戶試圖登錄到數(shù)據(jù)庫(kù)系統(tǒng)時(shí)，數(shù)據(jù)庫(kù)管理系統(tǒng)查詢有效的登錄ID和口令，以決定是否允許用戶登錄。第07章安全性集成身份驗(yàn)證模式集成身份驗(yàn)證模式也稱為Windows身份驗(yàn)證模式，用戶通過WindowsNT或Windows2000（以下簡(jiǎn)稱Windows）的身份驗(yàn)證后則自動(dòng)進(jìn)行SQLServer身份驗(yàn)證。即當(dāng)用戶通過Windows用戶賬戶進(jìn)行連接時(shí)，SQLServer通過回叫Windows以獲得信息，重新驗(yàn)證賬戶名和密碼。第07章安全性SQLServer的安全體系圖7-1SQLServer安全體系第07章安全性混合身份驗(yàn)證模式混合模式使用戶得以使用Windows身份驗(yàn)證或SQLServer身份驗(yàn)證與SQLServer實(shí)例連接。

用戶管理和角色管理

第07章安全性簡(jiǎn)介

用戶的分類登錄用戶和數(shù)據(jù)庫(kù)用戶用戶管理角色管理

SQLServer的預(yù)定義角色第07章安全性用戶的分類系統(tǒng)管理員用戶數(shù)據(jù)庫(kù)管理員用戶數(shù)據(jù)庫(kù)對(duì)象用戶數(shù)據(jù)庫(kù)訪問用戶第07章安全性登錄用戶和數(shù)據(jù)庫(kù)用戶圖7-1SQLServer安全體系第07章安全性用戶管理登錄用戶的管理:系統(tǒng)管理員的工作建立新的登錄用戶修改登錄密碼刪除登錄用戶數(shù)據(jù)庫(kù)用戶的管理:數(shù)據(jù)庫(kù)管理員的工作授權(quán)其他登錄用戶為數(shù)據(jù)庫(kù)的用戶取消某個(gè)登錄用戶為數(shù)據(jù)庫(kù)的用戶第07章安全性建立新的登錄用戶sp_addlogin[@loginname=]login_id[,[@passwd=]passwd][,[@defdb=]defdb][,[@deflanguage=]deflanguage][,[@sid=]sid][,[@encryptopt=]encryption_option]第07章安全性修改登錄密碼sp_password[[@old=]old_password,]{[@new=]new_password}[,[@loginame=]login]第07章安全性刪除登錄用戶sp_droplogin[@loginame=]login第07章安全性授權(quán)登錄用戶為當(dāng)前數(shù)據(jù)庫(kù)用戶sp_grantdbaccess[@loginame=]login[,[@name_in_db=]name_in_db]第07章安全性從當(dāng)前數(shù)據(jù)庫(kù)中刪除用戶sp_revokedbaccess[@name_in_db=]name第07章安全性角色管理

用戶組和角色定義角色為用戶指定角色取消用戶的角色刪除角色權(quán)限管理第07章安全性簡(jiǎn)介

授予權(quán)限授予語(yǔ)句權(quán)限授予對(duì)象權(quán)限查詢授權(quán)收回權(quán)限禁止權(quán)限角色與存取控制第07章安全性授予語(yǔ)句權(quán)限BACKUPDATABASEBACKUPLOGCREATEDATABASECREATEDEFAULTCREATEFUNCTIONCREATEPROCEDURECREATERULECREATETABLECREATEVIEWGRANT{ALL|statement_list}TOname_liststatement_list給出授權(quán)的語(yǔ)句列表，可以是：第07章安全性授予對(duì)象權(quán)限GRANT

{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}

|ON{table|view}[(column_list)]

|ONstored_procedure

|ONuser_defined_function}TOname_list[WITHGRANTOPTION][AS{group|role}]第07章安全性查詢授權(quán)使用系統(tǒng)存儲(chǔ)過程sp_helprotect查詢授權(quán)的情況第07章安全性收回權(quán)限收回語(yǔ)句授權(quán)REVOKE{ALL|statement_list}FROMname_list收回對(duì)象授權(quán)REVOKE[GRANTOPTIONFOR]{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}

|ON{table|view}[(column_list)]

|ONstored_procedure

|ONuser_defined_function}FROMname_list[CASCADE][AS{group|role}]第07章安全性禁止權(quán)限禁止語(yǔ)句權(quán)限D(zhuǎn)ENY{ALL|statement_list}TOname_list禁止對(duì)象權(quán)限D(zhuǎn)ENY

{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}

|ON{table|view}[(column_list