資源描述:
《數(shù)據(jù)庫(kù)系統(tǒng)的安全性管理》由會(huì)員上傳分享�����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)���。
1���、第8章數(shù)據(jù)庫(kù)系統(tǒng)的安全性管理教學(xué)內(nèi)容:SQLServer安全控制機(jī)制SQLServer登錄賬戶管理SQLServer管理數(shù)據(jù)庫(kù)用戶SQLServer管理權(quán)限SQLServer角色管理SQLServer安全性管理的途徑2005年9月第頁(yè)8.1SQLServer安全控制機(jī)制8.1.1數(shù)據(jù)庫(kù)系統(tǒng)的安全控制模型2005年9月第頁(yè)8.1.2數(shù)據(jù)庫(kù)權(quán)限和用戶分類(lèi)對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)正常運(yùn)行而進(jìn)行的維護(hù)權(quán)限對(duì)數(shù)據(jù)庫(kù)中的對(duì)象和數(shù)據(jù)的操作權(quán)限對(duì)數(shù)據(jù)庫(kù)對(duì)象的權(quán)限對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的操作權(quán)用戶按其操作權(quán)限的大小可分為數(shù)據(jù)庫(kù)系統(tǒng)管理員數(shù)據(jù)庫(kù)對(duì)象擁有者普通用戶2005年
2、9月第頁(yè)8.1.3SQLServer的安全機(jī)制建立在認(rèn)證和訪問(wèn)許可機(jī)制上的身份驗(yàn)證訪問(wèn)權(quán)驗(yàn)證操作權(quán)驗(yàn)證SQLServer登錄賬戶的來(lái)源有兩種:Windows授權(quán)用戶:來(lái)自于Windows的用戶或組��;SQL授權(quán)用戶:來(lái)自于非Windows的用戶����,我們也將這種用戶稱為SQL用戶。2005年9月第頁(yè)1.Windows身份驗(yàn)證模式Windows登錄帳號(hào)的建立和取消2005年9月第頁(yè)2.SQLServer身份驗(yàn)證模式用戶在連接SQLServer時(shí)必須提供登錄名和登錄密碼��,這些登錄信息存儲(chǔ)在系統(tǒng)表syslogins中���,與NT的登錄賬號(hào)無(wú)關(guān)��。200
3����、5年9月第頁(yè)3.混合驗(yàn)證模式2005年9月第頁(yè)8.1.4設(shè)置SQLServer的認(rèn)證模式2005年9月第頁(yè)8.2管理SQLServer登錄賬戶有兩類(lèi)登錄賬戶一類(lèi)是由SQLServer自身負(fù)責(zé)身份驗(yàn)證的登錄賬戶;另一類(lèi)是登錄到SQLServer的WindowsNT/2000網(wǎng)絡(luò)賬戶�����,可以是組賬戶或用戶賬戶�。2005年9月第頁(yè)8.2.1系統(tǒng)的登錄賬戶2005年9月第頁(yè)8.2.2管理登錄賬戶2005年9月第頁(yè)2.使用系統(tǒng)存儲(chǔ)過(guò)程管理登錄賬戶sp_addlogin:創(chuàng)建新的使用SQLServer認(rèn)證模式的登錄賬號(hào);sp_revokelogin
4����、:刪除賬戶,但不能刪除系統(tǒng)管理者SA以及當(dāng)前連接到SQLServer的登錄���。??如果與登錄相匹配的用戶仍存在數(shù)據(jù)庫(kù)sysusers表中���,則不能刪除該登錄賬號(hào)。sp_addlogin和sp_droplogin只能用在SQLServer認(rèn)證模式下��。sp_denylogin:拒絕某一用戶連到SQLServer上�����。sp_granlogin:設(shè)定windows用戶或組成員為SQLServer用戶�。sp_granlogin和sp_revokelogin只有使用于NT認(rèn)證模式下對(duì)NT用戶或用戶組賬號(hào)做設(shè)定,而不能對(duì)SQLServer維護(hù)的登錄賬號(hào)進(jìn)
5���、行設(shè)定���。sp_droplogin:刪除登錄SQLServer賬戶,禁止該用戶訪問(wèn)����。sp_helplogins:用來(lái)顯示所有登錄到SQLServer賬戶的信息。2005年9月第頁(yè)8.3管理數(shù)據(jù)庫(kù)用戶8.3.1數(shù)據(jù)庫(kù)用戶簡(jiǎn)介數(shù)據(jù)庫(kù)用戶用來(lái)指出哪一個(gè)人可以訪問(wèn)哪一個(gè)數(shù)據(jù)庫(kù)���。用戶對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限以及對(duì)數(shù)據(jù)庫(kù)對(duì)象的所有關(guān)系都是通過(guò)用戶賬號(hào)來(lái)控制的�,用戶賬號(hào)總是基于數(shù)據(jù)庫(kù)的����。用戶賬號(hào)和登錄賬號(hào)登錄賬號(hào)只表明該賬號(hào)通過(guò)了NT認(rèn)證或SQLServer認(rèn)證,但不能表明其可以對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)和數(shù)據(jù)對(duì)象進(jìn)行某種或某些操作���,所以一個(gè)登錄賬號(hào)總是與一個(gè)或多個(gè)數(shù)據(jù)庫(kù)
6�、用戶賬號(hào)(這些賬號(hào)必須分別存在相異的數(shù)據(jù)庫(kù)中)相對(duì)應(yīng)�����,這樣才可以訪問(wèn)數(shù)據(jù)庫(kù)�����。2005年9月第頁(yè)8.3.2管理數(shù)據(jù)庫(kù)用戶2005年9月第頁(yè)2.使用系統(tǒng)存儲(chǔ)過(guò)程管理數(shù)據(jù)庫(kù)用戶SQLServer利用以下系統(tǒng)過(guò)程管理數(shù)據(jù)庫(kù)用戶sp_adduser、sp_granddbaccess:創(chuàng)建新數(shù)據(jù)庫(kù)用戶��。sp_dropuser�����、sp_revokedbaccess:刪除數(shù)據(jù)庫(kù)用戶�。sp_helpuser:查看用戶和數(shù)據(jù)庫(kù)角色的信息。2005年9月第頁(yè)8.4管理權(quán)限1.對(duì)象權(quán)限對(duì)象權(quán)限是指用戶對(duì)數(shù)據(jù)庫(kù)中的表�����、視圖���、存儲(chǔ)過(guò)程等對(duì)象的操作權(quán)����,如:對(duì)表和視圖
7����、,可以使用SELECT���、INSERT��、UPDATE和DELETE權(quán)限�����。對(duì)于表和視圖的字段�;可以使用SELECT和UPDATE權(quán)限�。對(duì)于存儲(chǔ)過(guò)程;可以使用EXECUTE權(quán)限�����。2.語(yǔ)句權(quán)限語(yǔ)句權(quán)限相當(dāng)于數(shù)據(jù)定義語(yǔ)言(DDL)的語(yǔ)句權(quán)限�����,這種權(quán)限專(zhuān)指是否允許執(zhí)行下列語(yǔ)句:CREATETABLE�、CREATEPROCEDURE、CREATEVIEW等與創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象有關(guān)的操作����。3.隱含權(quán)限隱含權(quán)限是指由SQLServer預(yù)定義的服務(wù)器角色、隱含權(quán)限相當(dāng)于內(nèi)置權(quán)限��,而不再需要明確地授予這些權(quán)限。例如��,數(shù)據(jù)庫(kù)擁有者自動(dòng)地?fù)碛袑?duì)數(shù)據(jù)庫(kù)進(jìn)行一切操作的
8�、權(quán)限。2005年9月第頁(yè)8.4.2權(quán)限的管理權(quán)限的管理包含如下三個(gè)內(nèi)容���;授予權(quán)限(GRANT):允許用戶或角色具有某種操作權(quán)��。收回權(quán)限(REVOKE):不允許用戶或角色具有某種操作權(quán)�����,或者收回曾經(jīng)授予的權(quán)限�����。拒絕訪問(wèn)(D
