第07章安全性北京市高等教育精品教材立項項目數據庫系統及應用第七章安全性第07章安全性學習內容

安全性概述用戶管理和角色管理權限管理其他安全問題安全性概述

第07章安全性安全性措施的層次

物理層人員層操作系統層網絡層數據庫系統層第07章安全性數據庫管理系統的安全功能

安全性控制是數據庫管理員（或系統管理員）的一個重要任務，他要充分利用數據庫管理系統的安全功能，保證數據庫和數據庫中數據的安全。安全系統的核心問題是身份識別。用戶權限用戶組角色第07章安全性自主存取控制

自主存取控制就是由用戶（如數據庫管理員）自主控制對數據庫對象的操作權限，哪些用戶可以對哪些對象、進行哪些操作，完全取決于用戶之間的授權。任何用戶只要需要，就有可能獲得對任何對象的操作權限。這種存取控制方式非常靈活，但有時也容易失控。目前大多數數據庫管理系統都支持的是自主存取控制方式。第07章安全性強制存取控制強制存取控制的思路是，為每一個數據庫對象標以一定的密級對每一個用戶都確定一個許可級別如密級可以分為絕密、機密、保密、秘密、公開等若干級別；而用戶可以劃分為一級用戶（可以操作所有數據）、二級用戶（可以操作除絕密以外的所有數據）、三級用戶等。強制存取控制本質上具有分層的特點，通常具有靜態的、嚴格的分層結構，與現實世界的層次管理也相吻合。這種強制存取控制特別適合層次嚴明的軍方和政府等數據管理。第07章安全性SQLServer的身份驗證模式SQLServer提供了三種身份驗證模式或安全管理模式，即標準模式、集成模式和混合模式。在WindowsNT或Windows2000上使用集成模式或混合模式，在Windows98（或Millennium）上使用標準模式。第07章安全性標準身份驗證模式實際上，一般的數據庫管理系統都只提供標準身份驗證模式，在這種模式下，由數據庫管理系統獨立來管理自己的數據庫安全。數據庫管理系統把用戶登錄的ID號和口令存儲在特定的系統表中，當用戶試圖登錄到數據庫系統時，數據庫管理系統查詢有效的登錄ID和口令，以決定是否允許用戶登錄。第07章安全性集成身份驗證模式集成身份驗證模式也稱為Windows身份驗證模式，用戶通過WindowsNT或Windows2000（以下簡稱Windows）的身份驗證后則自動進行SQLServer身份驗證。即當用戶通過Windows用戶賬戶進行連接時，SQLServer通過回叫Windows以獲得信息，重新驗證賬戶名和密碼。第07章安全性SQLServer的安全體系圖7-1SQLServer安全體系第07章安全性混合身份驗證模式混合模式使用戶得以使用Windows身份驗證或SQLServer身份驗證與SQLServer實例連接。

用戶管理和角色管理

第07章安全性簡介

用戶的分類登錄用戶和數據庫用戶用戶管理角色管理

SQLServer的預定義角色第07章安全性用戶的分類系統管理員用戶數據庫管理員用戶數據庫對象用戶數據庫訪問用戶第07章安全性登錄用戶和數據庫用戶圖7-1SQLServer安全體系第07章安全性用戶管理登錄用戶的管理:系統管理員的工作建立新的登錄用戶修改登錄密碼刪除登錄用戶數據庫用戶的管理:數據庫管理員的工作授權其他登錄用戶為數據庫的用戶取消某個登錄用戶為數據庫的用戶第07章安全性建立新的登錄用戶sp_addlogin[@loginname=]login_id[,[@passwd=]passwd][,[@defdb=]defdb][,[@deflanguage=]deflanguage][,[@sid=]sid][,[@encryptopt=]encryption_option]第07章安全性修改登錄密碼sp_password[[@old=]old_password,]{[@new=]new_password}[,[@loginame=]login]第07章安全性刪除登錄用戶sp_droplogin[@loginame=]login第07章安全性授權登錄用戶為當前數據庫用戶sp_grantdbaccess[@loginame=]login[,[@name_in_db=]name_in_db]第07章安全性從當前數據庫中刪除用戶sp_revokedbaccess[@name_in_db=]name第07章安全性角色管理

用戶組和角色定義角色為用戶指定角色取消用戶的角色刪除角色權限管理第07章安全性簡介

授予權限授予語句權限授予對象權限查詢授權收回權限禁止權限角色與存取控制第07章安全性授予語句權限BACKUPDATABASEBACKUPLOGCREATEDATABASECREATEDEFAULTCREATEFUNCTIONCREATEPROCEDURECREATERULECREATETABLECREATEVIEWGRANT{ALL|statement_list}TOname_liststatement_list給出授權的語句列表，可以是：第07章安全性授予對象權限GRANT

{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}

|ON{table|view}[(column_list)]

|ONstored_procedure

|ONuser_defined_function}TOname_list[WITHGRANTOPTION][AS{group|role}]第07章安全性查詢授權使用系統存儲過程sp_helprotect查詢授權的情況第07章安全性收回權限收回語句授權REVOKE{ALL|statement_list}FROMname_list收回對象授權REVOKE[GRANTOPTIONFOR]{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}

|ON{table|view}[(column_list)]

|ONstored_procedure

|ONuser_defined_function}FROMname_list[CASCADE][AS{group|role}]第07章安全性禁止權限禁止語句權限DENY{ALL|statement_list}TOname_list禁止對象權限DENY

{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}

|ON{table|view}[(column_list