第五章數(shù)據(jù)庫安全管理

數(shù)據(jù)的安全性是指保護(hù)數(shù)據(jù)庫中的數(shù)據(jù)，來防止因不合法的使用而造成的數(shù)據(jù)泄密和破壞。第五章數(shù)據(jù)庫安全管理

安全管理是指對需要登入服務(wù)器的人員進(jìn)行管理。采取一定的安全措施，例如，用檢查口令等手段來檢查用戶身份,合法的用戶才能進(jìn)入數(shù)據(jù)庫系統(tǒng)，當(dāng)用戶對數(shù)據(jù)庫操作時(shí),系統(tǒng)自動檢查用戶是否有權(quán)限執(zhí)行這些操作。第五章數(shù)據(jù)庫安全管理一、SQLServer2000安全構(gòu)架二、SQLServer的身份驗(yàn)證模式三、管理登錄賬號一、SQLServer2000安全構(gòu)架一、SQLServer2000安全構(gòu)架1、安全性機(jī)制

SQLServer2000的安全性管理是建立在身份驗(yàn)證和權(quán)限驗(yàn)證兩種機(jī)制上。身份驗(yàn)證用來確定登錄SQLServer的服務(wù)器用戶的登錄帳號和密碼是否正確，以此來驗(yàn)證其是否具有連接SQLServer服務(wù)器的權(quán)限。一、SQLServer2000安全構(gòu)架權(quán)限驗(yàn)證

有了連接SQLServer服務(wù)器的權(quán)限，不等于能訪問數(shù)據(jù)庫，還必須獲得訪問數(shù)據(jù)庫的權(quán)限，我們才能對數(shù)據(jù)庫進(jìn)行操作。權(quán)限驗(yàn)證用來獲得訪問數(shù)據(jù)庫和數(shù)據(jù)庫對象(如表、視圖、存儲過程等)的權(quán)限。一、SQLServer2000安全構(gòu)架SQLServer2000的安全性機(jī)制一、SQLServer2000安全構(gòu)架２、相關(guān)概念SQLServer2000使用身份驗(yàn)證，數(shù)據(jù)庫用戶管理，權(quán)限管理,角色管理來保護(hù)數(shù)據(jù)庫中的數(shù)據(jù)。一、SQLServer2000安全構(gòu)架SQLServer登錄賬號設(shè)置登錄賬號，用戶通過登錄賬號名和密碼可以登錄到SQLServer服務(wù)器上。一、SQLServer2000安全構(gòu)架sa賬號

sa賬號是SQLServer2000在安裝后自動建立的一個特殊的SQL賬號，即SystemAdministrator。

sa具有最高權(quán)限，可以進(jìn)行任何操作，而且不能被刪除。在安裝時(shí)，sa可以不設(shè)密碼，但在實(shí)際應(yīng)用中，為了安全起見，一定要為其設(shè)置密碼，并且要嚴(yán)格保密。一、SQLServer2000安全構(gòu)架數(shù)據(jù)庫用戶賬號用戶要想擁有訪問某個數(shù)據(jù)庫的權(quán)力，就必須在這個數(shù)據(jù)庫上創(chuàng)建一個數(shù)據(jù)庫用戶賬號，并將登錄賬號和這個數(shù)據(jù)庫用戶賬號相關(guān)聯(lián)。用戶只有將登錄賬號與這個數(shù)據(jù)庫的某個數(shù)據(jù)庫用戶賬號關(guān)聯(lián)在一起才能取得對此數(shù)據(jù)庫的實(shí)際訪問權(quán)的。一、SQLServer2000安全構(gòu)架數(shù)據(jù)庫用戶賬號都是基于某一個數(shù)據(jù)庫建立的，系統(tǒng)管理員在創(chuàng)建一個數(shù)據(jù)庫用戶賬號時(shí),必須為它關(guān)聯(lián)一個登錄名。

一、SQLServer2000安全構(gòu)架注意：

在一個數(shù)據(jù)庫中可以建立多個數(shù)據(jù)庫用戶賬號，每個登錄賬號在一個數(shù)據(jù)庫中只能和一個用戶賬號相關(guān)聯(lián),但是每個登錄賬號可以在不同的數(shù)據(jù)庫中各有一個用戶賬號相關(guān)聯(lián)。一、SQLServer2000安全構(gòu)架登錄賬號與數(shù)據(jù)庫用戶賬號一、SQLServer2000安全構(gòu)架權(quán)限一個登錄者通過數(shù)據(jù)庫用戶關(guān)聯(lián)到某一個數(shù)據(jù)庫上，還需要為它加上一些限制，來控制它對數(shù)據(jù)庫的訪問級別，這就是權(quán)限。權(quán)限是指用戶可以使用的數(shù)據(jù)庫對象和對這些數(shù)據(jù)庫對象可以執(zhí)行的操作,用戶若要進(jìn)行任何涉及更改數(shù)據(jù)庫定義或者訪問數(shù)據(jù)的活動，必須具有相應(yīng)的權(quán)限。一、SQLServer2000安全構(gòu)架SQLServer2000的安全管理就是通過以上這三個層次，即登錄賬戶、數(shù)據(jù)庫用戶與數(shù)據(jù)庫對象權(quán)限來對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行保護(hù)的。一、SQLServer2000安全構(gòu)架角色角色是SQLServer2000版本引進(jìn)的新概念，是為了方便權(quán)限管理而設(shè)置的一種管理單位。如果打算使一組登錄賬戶或數(shù)據(jù)庫用戶在數(shù)據(jù)庫服務(wù)器或數(shù)據(jù)庫對象上具有相同的權(quán)限，則可以通過角色實(shí)現(xiàn)。一、SQLServer2000安全構(gòu)架角色是對權(quán)限的集中管理機(jī)制，當(dāng)若干個用戶都被賦予同一個角色時(shí)，它們都繼承了該角色擁有的權(quán)限，若角色的權(quán)限變更了，這些相關(guān)的用戶權(quán)限都會發(fā)生變更，因此，角色可以方便管理員對用戶權(quán)限的集中管理。二、SQLServer的身份驗(yàn)證模式

1．Windows身份驗(yàn)證模式Windows驗(yàn)證模式是利用Windows2000Server/NT本身的用戶安全性和帳號管理機(jī)制，允許SQLServer也可以使用Windows的用戶名和口令來驗(yàn)證身份。二、SQLServer的身份驗(yàn)證模式

在這種模式下，用戶只需要通過Windows2000Server/NT的操作系統(tǒng)的登錄驗(yàn)證，就可以連接到SQLServer2000數(shù)據(jù)庫實(shí)例。Windows身份驗(yàn)證方式僅用于Windows2000Server/NT操作系統(tǒng)。二、SQLServer的身份驗(yàn)證模式

2、混合身份驗(yàn)證模式(Windows身份驗(yàn)證和SQLServer身份驗(yàn)證)

SQLServer身份驗(yàn)證：在此種驗(yàn)證方式下，即使用戶已經(jīng)登錄操作系統(tǒng)，也必須輸入有效的SQLServer專用登錄名與密碼方可連入SQLServer2000數(shù)據(jù)庫實(shí)例。混合驗(yàn)證模式允許用戶連接服務(wù)器,可采用SQLServer身份驗(yàn)證模式或windows身份驗(yàn)證模式。二、SQLServer的身份驗(yàn)證模式

二、SQLServer的身份驗(yàn)證模式

３、兩種驗(yàn)證模式的切換在安裝SQLServer2000時(shí)就設(shè)置了身份驗(yàn)證模式，在使用的過程中還可以對它進(jìn)行修改。二、SQLServer的身份驗(yàn)證模式

修改服務(wù)器的身份驗(yàn)證模式操作：企業(yè)管理器/MicrosoftSQLServers/SQLServer組/選中要修改身份驗(yàn)證模式的服務(wù)器→右鍵→屬性在安全性標(biāo)簽頁中，可以修改服務(wù)器的身份驗(yàn)證方式二、SQLServer的身份驗(yàn)證模式

二、SQLServer的身份驗(yàn)證模式

二、SQLServer的身份驗(yàn)證模式

修改客戶端的身份驗(yàn)證模式需要在注冊的服務(wù)器的注冊屬性中修改。操作：在客戶端企業(yè)管理器中選中要修改身份驗(yàn)證模式的SQLServer服務(wù)器→右鍵→編輯SQLServer注冊屬性。在這里可以修改登錄驗(yàn)證方式。二、SQLServer的身份驗(yàn)證模式

二、SQLServer的身份驗(yàn)證模式

三、管理登錄賬號１、默認(rèn)登錄賬號BUILTIN/Administrators凡是屬于Windows2000Server中Administrators組的賬號都允許登錄SQLServer。sa：超級管理員賬號允許SQLServer的系統(tǒng)管理員登錄。這兩個賬號是系統(tǒng)在安裝時(shí)默認(rèn)建立的，都擁有管理員權(quán)限，是超級用戶，也就是擁有最大權(quán)限，可以對服務(wù)器做所有操作。三、管理登錄賬號２、添加登錄賬號設(shè)置SQLServer登錄賬戶操作：

在企業(yè)管理器中打開要新建登錄賬戶的服務(wù)器→安全性→登錄→右鍵（或在詳細(xì)信息的空白處單擊右鍵）→新建登錄三、管理登錄賬號三、管理登錄賬號三、管理登錄賬號三、管理登錄賬號三、管理登錄賬號三、管理登錄賬號３、修改登錄賬號操作：登錄→詳細(xì)信息窗口中雙擊要修改的登錄賬號（或者選中要修改的登錄賬號→右鍵→屬性）三、管理登錄賬號三、管理登錄賬號三、管理登錄賬號４、刪除登錄賬號操作：登錄→詳細(xì)信息窗口中選中要刪除的登錄賬號→右鍵→刪除三、管理登錄賬號四、管理數(shù)據(jù)庫用戶

１、創(chuàng)建數(shù)據(jù)庫用戶操作：

在企業(yè)管理器中打開服務(wù)器→數(shù)據(jù)庫→打開要創(chuàng)建數(shù)據(jù)庫用戶的數(shù)據(jù)庫→用戶→右鍵（或在詳細(xì)信息的空白處單擊右鍵）→新建數(shù)據(jù)庫用戶四、管理數(shù)據(jù)庫用戶

四、管理數(shù)據(jù)庫用戶

四、管理數(shù)據(jù)庫用戶

2、刪除數(shù)據(jù)庫用戶操作：

在企業(yè)管理器中打開服務(wù)器→數(shù)據(jù)庫→打開要創(chuàng)建數(shù)據(jù)庫用戶的數(shù)據(jù)庫→用戶→選中某一用戶→右鍵→刪除四、管理數(shù)據(jù)庫用戶

五、管理權(quán)限1、管理登錄帳號的權(quán)限

操作：登錄→詳細(xì)信息窗口中雙擊要修改的登錄賬號（或者選中要修改的登錄賬號→右鍵→屬性）→進(jìn)入服務(wù)器角色標(biāo)簽頁五、管理權(quán)限五、管理權(quán)限五、管理權(quán)限2、管理數(shù)據(jù)庫用戶帳號的權(quán)限

設(shè)置用戶帳號數(shù)據(jù)庫操作權(quán)限（也稱語句權(quán)限）對用戶賬號設(shè)置語句權(quán)限是限制用戶賬號對整個數(shù)據(jù)庫的操作權(quán)限，是創(chuàng)建數(shù)據(jù)庫或者數(shù)據(jù)庫中的數(shù)據(jù)對象（表、視圖或存儲過程等）所涉及的權(quán)限。操作：在企業(yè)管理器中打開服務(wù)器→數(shù)據(jù)庫→打開要修改用戶權(quán)限的數(shù)據(jù)庫→右鍵→屬性→進(jìn)入權(quán)限標(biāo)簽頁五、管理權(quán)限三種權(quán)限允許權(quán)限（GRANT）表示用戶或角色能夠執(zhí)行某項(xiàng)操作。拒絕權(quán)限（DENY）表示用戶或角色不能執(zhí)行某項(xiàng)操作，也稱禁止權(quán)限。廢除權(quán)限（REVOKE）表示廢除以前用戶或角色所具有的允許權(quán)限或拒絕權(quán)限，但是當(dāng)用戶繼承其它角色時(shí)，用戶的權(quán)限是以其它角色的權(quán)限為準(zhǔn)。五、管理權(quán)限拒絕權(quán)限優(yōu)先：如果用戶本身設(shè)置了一定權(quán)限，而它又繼承了一定的角色，當(dāng)它們的權(quán)限出現(xiàn)沖突時(shí)，以拒絕權(quán)限優(yōu)先。五、管理權(quán)限設(shè)置用戶賬號數(shù)據(jù)庫對象的操作權(quán)限（對象權(quán)限）操作：在企業(yè)管理器中打開服務(wù)器→數(shù)據(jù)庫→打開要修改用戶權(quán)限的數(shù)據(jù)庫→用戶→選中某一用戶雙擊（或者右鍵→屬性），進(jìn)行屬性菜單→雙擊權(quán)限按鈕還可以對表的某一列的權(quán)限進(jìn)行設(shè)置：單擊“列”按鈕。五、管理權(quán)限五、管理權(quán)限五、管理權(quán)限五、管理權(quán)限五、管理權(quán)限六、管理角色1、服務(wù)器角色是用來管理和維護(hù)SQLServer2000服務(wù)器的，服務(wù)器角色擁有的管理權(quán)限是固定的，用戶不能修改，也不能新增和刪除服務(wù)器角色。查看服務(wù)器角色。操作：在企業(yè)管理器中打開要查看服務(wù)器角色的服務(wù)器→安全性→查看服務(wù)器角色雙擊某一服務(wù)器角色，查看它所屬的用戶和它的權(quán)限。五、管理權(quán)限五、管理權(quán)限五、管理權(quán)限2、數(shù)據(jù)庫角色標(biāo)準(zhǔn)角色固定的數(shù)據(jù)庫角色：查看數(shù)據(jù)庫標(biāo)準(zhǔn)角色操作：在企業(yè)管理器中打開服務(wù)器→數(shù)據(jù)庫→打開要查看角色的數(shù)據(jù)庫→角色五、管理權(quán)限五、管理權(quán)限用戶自定義的數(shù)據(jù)庫角色創(chuàng)建用戶數(shù)據(jù)庫角色：

操作：在企業(yè)管理器中打開服務(wù)器→數(shù)據(jù)庫→打開要創(chuàng)建角色的數(shù)據(jù)庫→角色→右鍵→新建數(shù)據(jù)庫角色五、管理權(quán)限五、管理權(quán)限三、管理登錄賬號修改用戶數(shù)據(jù)庫角色：操作：

在企業(yè)管理器中打開服務(wù)器→數(shù)據(jù)庫→打開要修改角色的數(shù)據(jù)庫→角色→雙擊要修改的角色（或者右鍵→屬性）→在常規(guī)對話框單擊“權(quán)限”按鈕五、管理權(quán)限五、管理權(quán)限五、管理權(quán)限2、Intranet的定義

Intranet是基于Internet技術(shù)的內(nèi)部網(wǎng)，是Internet技術(shù)在LAN和WA