資源描述:
《第10章 SQL Server 2005的安全管理》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1�����、SQLServer2005數(shù)據(jù)庫應(yīng)用與開發(fā)制作:姜桂洪聯(lián)系方式:jghget@sina.comSunday,September26,2021第10章SQLServer2005的安全管理內(nèi)容提要:SQLServer2005數(shù)據(jù)庫系統(tǒng)具有各種高度精確的可配置安全特性,可以實(shí)現(xiàn)經(jīng)過優(yōu)化的深度防御��。本章主要介紹:SQLServer的安全體系結(jié)構(gòu)兩種驗(yàn)證模式及其設(shè)置登錄賬號(hào)的設(shè)置角色與用戶的創(chuàng)建方法權(quán)限設(shè)置與使用第10章SQLServer2005的安全管理本章內(nèi)容:10.1SQLServer2005的安全性機(jī)制10.2管理服務(wù)器范圍的安全性10.3管理數(shù)據(jù)庫
2�、范圍的安全性10.4管理密匙與證書10.5權(quán)限管理10.6小結(jié)10.1SQLServer2005的安全性機(jī)制SQLServer2005的安全性機(jī)制主要包括以下5個(gè)方面的內(nèi)容:SQLServer2005客戶機(jī)的安全機(jī)制。網(wǎng)絡(luò)傳輸?shù)陌踩珯C(jī)制�����。SQLServer2005服務(wù)器的安全機(jī)制。數(shù)據(jù)庫的的安全機(jī)制��。數(shù)據(jù)對象的安全機(jī)制�����。10.1SQLServer2005的安全性機(jī)制10.1.1基本概念若要在SQLServer2005的安全機(jī)制下�,首先需要了解下面常用的基本概念或術(shù)語。(1)主體(Principal)�����。主體是可以請求對SQLServer資源的訪問權(quán)限
3�����、的用戶����、組和進(jìn)程。主體有幾個(gè)共同的特征�����。每個(gè)主體都有自己的安全標(biāo)識(shí)號(hào)(SID)�。主體可以是主體的集合(比如數(shù)據(jù)庫角色或Windows組)或不可分割的主體(比如本地登錄或域登錄)。每個(gè)主體有一個(gè)作用域�����,作用域基于定義主體的級(jí)別�。主體范圍主體Windows級(jí)別的主體Windows域登錄、Windows本地登錄SQLServer級(jí)別的主體SQLServer登錄����、SQLServer角色數(shù)據(jù)庫級(jí)別的主體數(shù)據(jù)庫用戶、數(shù)據(jù)庫角色�、應(yīng)用程序角色10.1SQLServer2005的安全性機(jī)制10.1.1基本概念(2)安全對象。安全對象是SQLServer2005數(shù)據(jù)
4�����、庫引擎授權(quán)系統(tǒng)控制對其進(jìn)行訪問的資源�����。通過創(chuàng)建可以為自己設(shè)置安全性的名為“范圍”的嵌套層次結(jié)構(gòu)����,可以將某些安全對象包含在其他安全對象中��。安全對象范圍包括服務(wù)器��、數(shù)據(jù)庫�、架構(gòu)和對象�����。安全對象范圍安全對象列表服務(wù)器端點(diǎn)���、登錄用戶�����、數(shù)據(jù)庫數(shù)據(jù)庫用戶���、角色、應(yīng)用程序角色��、程序集��、消息類型����、路由�、服務(wù)�����、遠(yuǎn)程服務(wù)綁定�����、全文目錄�、證書�、非對稱密鑰、對稱密鑰����、約定、架構(gòu)架構(gòu)類型�、XML架構(gòu)集合、對象對象聚合���、約束���、函數(shù)、過程����、隊(duì)列��、統(tǒng)計(jì)信息���、同義詞、表�、視圖10.1SQLServer2005的安全性機(jī)制10.1.1基本概念(3)用戶、數(shù)據(jù)庫用戶��、賬戶���、賬號(hào)�����、登錄名
5����、和密碼�。用戶是指能夠在SQLServer2005安全機(jī)制下,訪問數(shù)據(jù)庫對象中的數(shù)據(jù)的操作員或客戶���。用戶若要訪問數(shù)據(jù)庫對象����,必須獲得管理員分配的賬號(hào)和密碼。從SQLServer2005管理系統(tǒng)的角度來看�����,用戶就是一組匹配的賬戶和密碼��。賬戶和賬號(hào)是一個(gè)概念的不同說法�����,在服務(wù)器中的賬戶又叫登錄名(Login)�,因此訪問服務(wù)器也稱為登錄服務(wù)器����。服務(wù)器的登錄名可以映射到數(shù)據(jù)庫中成為數(shù)據(jù)庫用戶。一個(gè)登錄名可以映射多個(gè)數(shù)據(jù)庫用戶�����,而一個(gè)用戶只能映射一個(gè)登錄名����。10.1SQLServer2005的安全性機(jī)制10.1.1基本概念(4)角色(roles)�。角色是SQL
6����、Server2005中管理權(quán)限相近的安全賬戶的集合,相當(dāng)于Windows域中的組����。(5)權(quán)限。權(quán)限是SQLServer2005安全性的最后一個(gè)級(jí)別��,實(shí)際上是安全機(jī)制的設(shè)計(jì)者分配給某一個(gè)用戶(或角色)訪問數(shù)據(jù)庫時(shí)���,對數(shù)據(jù)對象的可以進(jìn)行的操作集合���。要擁有對SQLServer2005上的安全對象的訪問權(quán)限,主體必須具有在在數(shù)據(jù)對象上執(zhí)行操作的權(quán)限��。10.1SQLServer2005的安全性機(jī)制10.1.1基本概念(6)身份驗(yàn)證與授權(quán)��。身份驗(yàn)證(Authentication)是SQLServer2005系統(tǒng)標(biāo)識(shí)用戶或進(jìn)程的過程�,SQLServer2005中
7、有兩種身份驗(yàn)證方式:Windows身份驗(yàn)證模式和混合身份驗(yàn)證模式����??蛻舳俗陨肀仨毻ㄟ^服務(wù)器的身份驗(yàn)證后才可以請求其他資源��。授權(quán)(Authorization)是授予通過身份驗(yàn)證的用戶或進(jìn)程以訪問或修改資源的指定權(quán)限的過程�。10.1SQLServer2005的安全性機(jī)制10.1.3查詢權(quán)限用戶可以利用fn_my_permissions函數(shù)查詢用戶的有效權(quán)限,該函數(shù)一般返回調(diào)用對方服務(wù)器的有效權(quán)限列表��。fn_my_permissions函數(shù)語法格式如下:fn_my_permissions(securable,'securable_class')fn_my
8����、_permissions函數(shù)的返回列如表10.1所示.列名類型說明entity_namesysname對其有效授予所列權(quán)限
