資源描述:
《7、數(shù)據(jù)庫(kù)安全》由會(huì)員上傳分享���,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)��。
1��、學(xué)習(xí)目標(biāo)掌握SQLServer2005的安全機(jī)制正確理解并掌握登錄名���、用戶名�����、角色��、架構(gòu)的概念及其相互關(guān)系學(xué)會(huì)管理服務(wù)器安全學(xué)會(huì)管理數(shù)據(jù)對(duì)象安全一�、SQLServer2005的安全機(jī)制SQLServer2005比2000的安全方面有了很大的改進(jìn)���,如下:增強(qiáng)了架構(gòu)的概念實(shí)現(xiàn)了用戶和架構(gòu)的分離通過(guò)Grant語(yǔ)句提高了權(quán)限的可管理性增強(qiáng)了加密和密鑰管理功能如果一個(gè)遠(yuǎn)程用戶要訪問(wèn)SQLServer2005數(shù)據(jù)庫(kù),則要經(jīng)過(guò)以下幾層驗(yàn)證:操作系統(tǒng)驗(yàn)證網(wǎng)絡(luò)傳輸驗(yàn)證數(shù)據(jù)庫(kù)服務(wù)器驗(yàn)證數(shù)據(jù)庫(kù)驗(yàn)證數(shù)據(jù)對(duì)象驗(yàn)證操作系統(tǒng)驗(yàn)證用戶名與密碼驗(yàn)證網(wǎng)絡(luò)傳輸驗(yàn)證采用基于SSL的TCP/IP協(xié)議進(jìn)行加密傳輸數(shù)據(jù)庫(kù)服
2���、務(wù)器驗(yàn)證用戶名與密碼驗(yàn)證數(shù)據(jù)庫(kù)驗(yàn)證登錄的用戶只能訪問(wèn)擁有權(quán)限的數(shù)據(jù)庫(kù)數(shù)據(jù)對(duì)象驗(yàn)證登錄的用戶只能訪問(wèn)擁有權(quán)限的對(duì)象二����、基本概念安全管理涉及到許多基礎(chǔ)術(shù)語(yǔ)���,如:用戶名��、登錄名����、角色、架構(gòu)等:2.1登錄名和用戶名登錄名不等于用戶名�,登錄名是數(shù)據(jù)庫(kù)服務(wù)器的登錄賬戶,而用戶名是為特定的數(shù)據(jù)庫(kù)定義的要?jiǎng)?chuàng)建用戶名���,則必須已經(jīng)定義了該用戶名的登錄名登錄名擁有的是服務(wù)器的權(quán)限�,而用戶名擁有的是數(shù)據(jù)庫(kù)上的權(quán)限��。用戶可以按照登錄名登錄服務(wù)器���,可以操作服務(wù)器��,而使用不同的用戶名訪問(wèn)相對(duì)應(yīng)的賦予該用戶名權(quán)限的數(shù)據(jù)庫(kù)登錄名的層次比用戶名層次高2.2角色角色是一個(gè)權(quán)限包�����,可以將很多權(quán)限賦予一個(gè)角色�,然后再將
3��、這個(gè)角色賦予具體用戶或者登錄名����,這樣此用戶或者登錄名就擁有此角色的所有權(quán)限。角色分為服務(wù)器角色和數(shù)據(jù)庫(kù)角色:服務(wù)器角色:系統(tǒng)固定的不能添加,擁有管理服務(wù)器的權(quán)限��。數(shù)據(jù)庫(kù)角色:主要是管理具體對(duì)象的權(quán)限�,可以自定義角色。2.3架構(gòu)架構(gòu)類似于命名空間的概念注意:SQLServer2005的用戶與架構(gòu)是分離的�,這個(gè)不同于以前的用戶即架構(gòu)的概念所有的都是存在與架構(gòu)中的,如果沒(méi)有指明架構(gòu)���,則默認(rèn)的架構(gòu)為dbo三��、管理服務(wù)器安全服務(wù)器安全是登錄數(shù)據(jù)庫(kù)的第一道安全權(quán)限��,不涉及到具體的某個(gè)數(shù)據(jù)庫(kù)��,其中包含兩種登錄驗(yàn)證模式:2.1登錄模式WINDOWS身份驗(yàn)證:與操作系統(tǒng)用戶進(jìn)行捆綁,優(yōu)點(diǎn)是不必牢
4����、記多個(gè)用戶名和密碼,充分利用WINDOWS的密碼策略�����。SQLSERVER身份驗(yàn)證:用戶名和密碼都是存放在數(shù)據(jù)庫(kù)中的�,與操作系統(tǒng)用戶無(wú)關(guān)。2.2創(chuàng)建管理登錄名步驟如下:使用sa登錄,在服務(wù)器的安全性目錄下新增一個(gè)登錄用戶test,密碼test,將默認(rèn)數(shù)據(jù)庫(kù)設(shè)置為test.注意:一定要設(shè)置用戶映射(即對(duì)應(yīng)于哪個(gè)數(shù)據(jù)庫(kù)的哪個(gè)用戶��,默認(rèn)的數(shù)據(jù)庫(kù)用戶與登錄名相同)登錄后修改密碼�,進(jìn)入系統(tǒng)只能訪問(wèn)默認(rèn)設(shè)置的數(shù)據(jù)庫(kù)2.3固定服務(wù)器角色固定服務(wù)器角色也是服務(wù)器級(jí)別的主體,他們的作用范圍是整個(gè)服務(wù)器�����。固定服務(wù)器角色描述bulkadmin塊數(shù)據(jù)操作管理員��,擁有執(zhí)行塊操作的權(quán)限��,即擁有ADMINIS
5��、TERBULKOPERATIONS權(quán)限���,例如執(zhí)行BULKINSERT操作dbcreator數(shù)據(jù)庫(kù)創(chuàng)建者�����,擁有創(chuàng)建數(shù)據(jù)庫(kù)的權(quán)限����,即擁有CREATEANYDATABASE權(quán)限diskadmin磁盤管理員��,擁有修改資源的權(quán)限,即擁有ALTERRESOURCE權(quán)限processadmin進(jìn)程管理員�,擁有管理服務(wù)器連接和狀態(tài)的權(quán)限,即擁有ALTERANYCONNECTION���、ALTERSERVERSTATE權(quán)限securityadmin安全管理員���,擁有執(zhí)行修改登錄名的權(quán)限,即擁有ALTERANYLOGIN權(quán)限serveradmin服務(wù)器管理員����,擁有修改端點(diǎn)、資源�、服務(wù)器狀態(tài)等權(quán)限,即擁有
6�、ALTERANYENDPOINT、ALTERRESOURCES��、ALTERSERVERSTATE���、ALTERSETTINGS、SHUTDOWN���、VIEWSERVERSTATE權(quán)限setupadmin安裝程序管理員�����,擁有修改鏈接服務(wù)器泉下���,即擁有ALTERANYLINKEDSERVER權(quán)限sysadmin系統(tǒng)管理員�����,擁有操作SQLServer系統(tǒng)的所有權(quán)限四�、管理數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)安全的管理�,主要通過(guò)對(duì)數(shù)據(jù)庫(kù)架構(gòu)、用戶名和角色的管理來(lái)實(shí)現(xiàn)�,這是SQLSERVER2005服務(wù)器安全的第二道防線注意:如果增加新的用戶,則一定要與登錄名綁定�,我們剛剛已經(jīng)創(chuàng)建了test登錄用戶和對(duì)應(yīng)在te
7、st數(shù)據(jù)庫(kù)中的test用戶���,但是這個(gè)用戶什么都干不了�,因?yàn)樗挥械卿浀姆?wù)器權(quán)限進(jìn)入數(shù)據(jù)庫(kù)后��,我們就要為數(shù)據(jù)庫(kù)用戶分配權(quán)限了�����,而暫時(shí)不用再考慮登錄用戶了。下面我們要用sa為test用戶分配一個(gè)角色����,db_accessadmin,這個(gè)角色擁有創(chuàng)建架構(gòu)的權(quán)限�����。4.1管理架構(gòu)架構(gòu)是形成單個(gè)命名空間的數(shù)據(jù)庫(kù)實(shí)體的集合�。架構(gòu)是數(shù)據(jù)庫(kù)級(jí)的安全對(duì)象,也是MicrosoftSQLServer2005系統(tǒng)強(qiáng)調(diào)的新特點(diǎn)�����,是所有數(shù)據(jù)庫(kù)對(duì)象的容器���。下面我們用test用戶登錄后創(chuàng)建一個(gè)架構(gòu)testjg�����。4.2管理數(shù)據(jù)
