資源描述:
《數(shù)據(jù)庫(kù)原理及應(yīng)用 (SQL Server 2005) 第12章 管理SQL Server 2005的安全性》由會(huì)員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1���、數(shù)據(jù)庫(kù)原理及應(yīng)用(SQLServer2005)授課教師:******2021年9月14日第12章管理SQLServer2005的安全性第1章管理SQLServer2005的安全性任務(wù)目標(biāo):掌握管理兩類SQLServer2005登錄帳戶的方法掌握管理SQLServer2005數(shù)據(jù)庫(kù)用戶的方法掌握管理服務(wù)器角色的方法掌握管理數(shù)據(jù)庫(kù)角色的方法掌握管理權(quán)限的方法第12章管理SQLServer2005的安全性12.1SQLServer的安全體系12.2服務(wù)器級(jí)別的安全機(jī)制12.3數(shù)據(jù)庫(kù)級(jí)別的安全性12.4數(shù)據(jù)庫(kù)對(duì)象級(jí)別的安全性習(xí)題與實(shí)驗(yàn)12.1SQLServer的安全體系12.
2�、1.1操作系統(tǒng)級(jí)別安全性圖12-1SQLServer的安全性控制策略四層體系SQLServer2005安全性體系由四層構(gòu)成:操作系統(tǒng)的安全性�����、服務(wù)器的安全性�����、數(shù)據(jù)庫(kù)的安全性以及表和列級(jí)的安全性,可以用圖12-1表示��。在用戶使用客戶計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)SQLServer服務(wù)器的訪問(wèn)時(shí)�,用戶首先要獲得客戶計(jì)算機(jī)操作系統(tǒng)的使用權(quán)����。一般來(lái)說(shuō)�����,在能夠?qū)崿F(xiàn)網(wǎng)絡(luò)互連的前提下�,用戶沒(méi)有必要向SQLServer服務(wù)器的主機(jī)進(jìn)行登錄,除非SQLServer服務(wù)器就運(yùn)行在本地計(jì)算機(jī)上�����。SQLServer可以直接訪問(wèn)網(wǎng)絡(luò)端口,所以可以實(shí)現(xiàn)對(duì)WindowsNT或Windows2000Serve
3����、r安全體系以外的服務(wù)器及其數(shù)據(jù)庫(kù)的訪問(wèn)��。操作系統(tǒng)的安全性是操作系統(tǒng)管理員或網(wǎng)絡(luò)管理員的任務(wù)����。12.1SQLServer的安全體系12.1.1操作系統(tǒng)級(jí)別安全性SQLServer服務(wù)器的安全性是建立在控制服務(wù)器登錄帳號(hào)和口令的基礎(chǔ)上的�����。SQLServer采用了標(biāo)準(zhǔn)的SQLServer登錄和集成Windows登錄兩種方法���。無(wú)論是哪種登錄方式,用戶在登錄時(shí)提供的登錄帳號(hào)和口令決定了用戶能否獲得對(duì)SQLServer服務(wù)器的訪問(wèn)權(quán)���,以及在獲得訪問(wèn)權(quán)后用戶可以利用的資源。設(shè)計(jì)和管理合理的登錄方式是SQLServer數(shù)據(jù)庫(kù)管理員(DBA)的重要任務(wù)�,在SQLServer的安全體系中
4��、��,DBA是發(fā)揮主動(dòng)性的第一道防線�����。SQLServer事先設(shè)計(jì)了許多固定的服務(wù)器角色,可供具有服務(wù)器管理員資格的用戶分配和使用���,擁有固定服務(wù)器角色的用戶可以擁有服務(wù)器級(jí)的管理權(quán)限。12.1SQLServer的安全體系12.1.2服務(wù)器級(jí)別的安全性在用戶通過(guò)SQLServer服務(wù)器的安全性檢查以后��,將直接面對(duì)不同的數(shù)據(jù)庫(kù)入口���。這是用戶接受的第三次安全性檢查。默認(rèn)情況下�����,只有數(shù)據(jù)庫(kù)的所有者才可以訪問(wèn)該數(shù)據(jù)庫(kù)內(nèi)的對(duì)象�����,數(shù)據(jù)庫(kù)的所有者可以給其他用戶分配訪問(wèn)權(quán)限���,以便讓其他用戶也擁有針對(duì)該數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)。一個(gè)用戶在取得合法的登錄帳號(hào)����,只表明該帳號(hào)可以通過(guò)Windows認(rèn)證或SQL
5��、Server認(rèn)證����,其在當(dāng)前服務(wù)器上可以訪問(wèn)哪些數(shù)據(jù)庫(kù),以及對(duì)數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)及數(shù)據(jù)對(duì)象進(jìn)行哪些操作�,與該帳號(hào)對(duì)應(yīng)的數(shù)據(jù)庫(kù)用戶所有的權(quán)限有關(guān)��。SQLServer提供了許多固定的數(shù)據(jù)庫(kù)角色��,可以用來(lái)在當(dāng)前數(shù)據(jù)庫(kù)內(nèi)向用戶分配部分權(quán)限��。同時(shí),還可以創(chuàng)建用戶自定義的角色�,來(lái)實(shí)現(xiàn)特定權(quán)限的授予����。12.1SQLServer的安全體系12.1.3數(shù)據(jù)庫(kù)級(jí)別的安全性數(shù)據(jù)庫(kù)對(duì)象的安全性是核查用戶權(quán)限的最后一個(gè)安全等級(jí)。在創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象時(shí)�����,SQLServer自動(dòng)將該數(shù)據(jù)庫(kù)對(duì)象的所有權(quán)賦予該對(duì)象的創(chuàng)建者。對(duì)象的所有者可以實(shí)現(xiàn)以該對(duì)象的完全控制��。默認(rèn)情況下����,只有數(shù)據(jù)庫(kù)的所有者可以在該數(shù)據(jù)庫(kù)下進(jìn)行
6、操作�����。當(dāng)一個(gè)普通用戶想訪問(wèn)數(shù)據(jù)庫(kù)內(nèi)的對(duì)象時(shí),必須事先由數(shù)據(jù)庫(kù)的所有者賦予該用戶關(guān)于某指定對(duì)象的指定操作權(quán)限��。例如�,一個(gè)用戶想訪問(wèn)某數(shù)據(jù)庫(kù)表的信息�,則他必須在成為數(shù)據(jù)庫(kù)的合法用戶的前提下���,獲得由數(shù)據(jù)庫(kù)所有者分配的針對(duì)該表的訪問(wèn)許可�����。12.1SQLServer的安全體系12.1.4數(shù)據(jù)庫(kù)對(duì)象級(jí)別的安全性SQLServer2005提供了兩種確認(rèn)用戶的驗(yàn)證模式:即“Windows身份驗(yàn)證模式”和“SQLServer和Windows身份驗(yàn)證模式”�����。1.Windows身份驗(yàn)證Windows身份驗(yàn)證模式是指只允許使用MicrosoftWindows登錄賬戶連接SQLServer服務(wù)
7���、器。這是默認(rèn)的身份驗(yàn)證模式�。它要求用戶登錄到Windows���,當(dāng)用戶訪問(wèn)SQLServer數(shù)據(jù)庫(kù)時(shí)����,不必再次等進(jìn)行登錄驗(yàn)證�,這就表明服務(wù)器將客戶機(jī)的身份驗(yàn)證任務(wù)完全交給了Windows操作系統(tǒng)�。Windows身份驗(yàn)證通過(guò)強(qiáng)密碼的復(fù)雜性驗(yàn)證提供密碼策略強(qiáng)制����,提供帳戶鎖定支持��,并且支持密碼過(guò)期��。12.2服務(wù)器級(jí)別的安全機(jī)制12.2.1選擇身份驗(yàn)證模式2.SQLServer和Windows身份驗(yàn)證模式(混合模式)混合模式是指允許用戶使用Windows身份驗(yàn)證或SQLServer身份驗(yàn)證進(jìn)行連接SQLServer服務(wù)器���。用戶使用Windows身份驗(yàn)證與上面相同
