《[精选]数据库安全性概述(PPT 60页).pptx》由会员分享,可在线阅读,更多相关《[精选]数据库安全性概述(PPT 60页).pptx(61页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、数据库安全性 1、数据库安全性的定义 是指保护数据库中的各种数据,以防止因非法使用而造成数据的泄密和破坏。简单的说就是保护数据库以防止不合法的使用所造成的数据泄露。SQL SERVER的验证模式验证模式分为:身份验证模式和登录验证模式 内容包括:确认用户帐号是否有效;能否访问系统;能访问系统的哪些数据。身份验证方式 身份验证是指当用户访问系统时,系统对该用户的账号和口令确实认过程。SQL SERVER能识别两种类型的身份验证方式:WINDOWS身份验证方式;SQL SERVER身份验证方式。用户和客户机在连接SQL时,可任选其一。1、WINDOWS身份验证方式:用户身份由WINDOWS域建立,
2、只要能 登 录 Windows NT/2000就 可 连 接 SQL SERVER。2、SQL SERVER身份验证:由SQL SERVER系统管理员定义SQL 的登录帐号和密码,用户连接时必须提供帐号和口令。设置步骤:在“效劳器/“安全性/“登录中新建登录名;右键单击“效劳器,选择“属性/“安全性标签,并设置“混合模式以设置效劳登录的帐户;右键单击“效劳器,选择“编辑注册,选择“SQL身份验证,并输入登录名称及密码。登录验证机制登录验证机制指当用户登录时,SQL SERVER采用什么系统来验证用户身份。1、NT验证模式:功能:指要登录到SQL SERVER系统的用户身份由NT系统来进行验证,
3、此时无法以SQL SERVER帐号登录。特点:用户和组由WINDOWS管理及维护,数据库管理员的工作仅是管理数据库;WINDOWS具有很强的管理用户帐户的工具;可以在SQL SERVER增加用户组。2、混合安全模式功 能:指 用 户 登 录 时,其 身 份 由WINDOWS和SQL SERVER共同认证。适用对象:适合用于外界用户访问数据库或不能登录到WINDOWS域时使用。特点:混合模式允许非WINDOWS客户、Internet客户和混合的客户组连接到SQL SERVER;增加了安全性方面的选择。验证模式的设置:右键单击“效劳器,选择“属性/“安全性标签,并设置适合的验证模式 登录管理管理员
4、可以从WINDOWS用户或用户组中创立登录帐号或者创立一个新的SQL SERVER登录帐号。登录帐号存储在主数据库的sysxlogins系统表中;在创立帐号过程中,管理员可以为每个用户指定一个默认数据库;系统管理员帐户1、默认的系统管理员帐户,均具有SQL SERVER系统和所有数据库的全部权限:sa:特殊登录名,代表混合验证机制下SQL SERVER的系统管理员,其始终关联DBO用户。BUILTINAdministrator:是NT系统的系统管理员组。2、主要负责:创立登录名;配置效劳器;创立、删除数据库;无须考虑所有权和权限,可以操作各种数据库对象;停止、启动效劳器;停止在效劳器上运行的无
5、效过程,使用使用T-SQL T-SQL 语言创立、查看、删除语言创立、查看、删除SQL SERVERSQL SERVER登录帐户登录帐户SQL SQL 身份验证身份验证创立登录帐户格式:SP_addlogin 帐户名,新帐户密码,默认数据库 例:sp_addlogin abc,123,teach查看登录帐户的信息:sp_helplogins 帐户名 例:sp_helplogins abc,假设省略帐户名,则查看所有的帐户信息 删除登录帐户:删除一个登录帐户,必须确认该登录帐户无关联的用户存在于数据库系统中,即不存在孤儿型的用户没有任何登录名与其映射。删除步骤:先删除用户:sp_revokedb
6、access 用户名再删除帐户:sp_droplogin 帐户名注:不能删除系统管理者sa以及当前连接到SQL的登录。1、创立一个名为seu,密码:12345,默认数据库为teach的SQL登录帐号。sp_addlogin seu,12345,teach注:此时未向该帐号授予访问teach数据库的权限因此暂不能登录SQL。2、查看该登录帐号的信息 sp_helplogins seu3、删除该帐户 sp_droplogin seu用企业管理器设置:效劳器/安全性/登录/新建登录在弹出窗口的“常规标签中:假设选择WINDOWS身份验证,则需选择域名及域帐户假设选择SQL SERVER验证模式,则需
7、输入登录帐户名、密码及确认密码。单击“效劳器角色:授予该登录用户效劳器范围内的权限;单击“数据库访问:指定该登录用户可以访问的数据库。用户管理 用户是基于数据库的名称,是和登录帐户相关联的。1、登录名和数据库用户名的关系:登录名是访问SQL SERVER的通行证,其本身并不能使用户访问效劳器中的数据库;用户名是登录名在数据库中使用的名称,一个用户名必须和一个登录名相关联;登录帐户和数据库用户是SQL SERVER进行权限管理的两种不同的对象。一个登录帐户可与效劳器上的所有数据库进行关联,产生多个数据库用户,但在一个数据库中只能拥有一个用户;而一个数据库用户只能映射到一个登录帐户。SQL SER
8、VER允许数据库为每个用户对象分配不同的权限,为数据库用户授权的过程也就是为登录对象提供对数据库的访问权限的过程。用T-SQL语句创立、查看、删除数据库用户创立步骤:1创立登录帐户;2将登录帐户映射为数据库中同名的用户。1、在当前数据库中创立用户:sp_grantdbaccess 登录名,当前数据库用户名 例:sp_grantdbaccess abc,abc1注:假设省略用户名,则创立一个和登录名同名的用户名,且一个登录名在同一数据库中只能创立一个用户。2、查看数据库用户:sp_helpuser 用户名 注:省略用户名则查看所有用户信息。3、删除数据库用户格式:sp_revokedbacces
9、s 用户名注:该过程不能删除以下角色,用户:public角色、DBO、数据库中的固定角色;master和tempdb数据库中的guest用户帐户;Windows NT组中的Windows NT用户。例:为刚创立的seu帐号授予访问teach库的权限,即创立数据库用户,用户名称为abcdUse teachGoSp_grantdbaccess seu,abcd注:授予权限后就可利用该帐号登录SQL效劳器了。用企业管理器设置数据库用户“效劳器/“数据库/“目标数据库/“用户,右键菜单中选择“新建数据库用户然后在弹出窗口中进行设置。改变数据库所有权一个数据库只能有一个数据库所有者,其不能被删除,默认情
10、况下,sa帐户映射到库中的用户是dbo,改变所有权步骤:翻开要更改所有权的数据库:更改所有权:sp_changedbowner 登录号注:假设将所有权授予某个登录时,该登录不能在数据库中已存在用户,假设存在则先删除用户后授予所有权。例:将teach的所有权授序seu帐号:use teachGoSp_revokedbaccess abcd 先删除已有用户名gosp_changedbowner seu -授予所有权给seu帐号角色管理 1、定义:角色类似于组,一般将具有相同权限的一群用户群添加为某角色成员,然后给这个角色授予适当的权限。这样该用户群的所有用户就都具有了该角色的权限,而没有必要逐个对
11、每一个用户去授予相同的权限 2、优点:防止大量重复的工作,简化和方便对用户的管理。3、分类:效劳器角色:是效劳器级的一个对象,主要用于对登录名设置其对效劳器的管理权限 数据库角色:是数据库级的一个对象,主要用于对数据库用户设置其对数据库的管理权限注:同一用户可属于多个角色。固定效劳器角色 SQL安装完成后,系统自动创立8个固定的效劳器角色,对于效劳器角色来说,数据库管理员只能完成以下两个操作:添加和删除效劳器角色中的成员,而不能删除效劳预定义的角色。1固定效劳器角色及功能:角色角色功能功能Sysadmin能够执行任何任务能够执行任何任务Securityadmin负负责责系系统统的的安安全全管管
12、理理,能能够够管管理理和和审审核核服服务务器器登录名登录名Serveradmin能够配置服务器的设置能够配置服务器的设置Setupadmin能够安装、复制能够安装、复制Processadmin能够管理能够管理SQL SERVER系统的进程系统的进程Diskadmin能够管理磁盘文件能够管理磁盘文件Dbcreator能够创建和修改数据库能够创建和修改数据库bulkadmin能够执行大容量数据的插入数据操作能够执行大容量数据的插入数据操作查看固定效劳器角色sp_helpsrvrole查看某个固定效劳器角色的权限:sp_srvrolepermission 效劳器角色 2、使用T-SQL命令管理效劳器
13、角色 将登录帐户添加到效劳器角色内,使其成为该角色的成员:sp_addsrvrolemember 登录名,效劳器角色名注:角色设定好后,必须重启方能生效 将某一登录者从某一效劳器角色中删除,使其不再具有该角色权限sp_dropsrvrolemember 登录名,效劳器角色名 例:为seu登录授予固定效劳器角色为sysadmin,成功后再将其从该效劳器角色删除,使其不再具有该角色权限。sp_addsrvrolemember seu,sysadmin-此时用seu重新连接后,可执行SYSADMIN的所有功能。GoSp_dropsrvrolemember seu,sysadminGo-此时只有访问权
14、限数据库角色数据库角色的作用域都只在其对应的数据库内,数据库角色分为固定数据库角色和自定数据库角色一固定数据库角色固定数据库角色的权限由系统固定,用户不能更改,固定数据库角色固定数据库角色功能功能Public维护默认的许可维护默认的许可Db_owner数据库属主,在特定数据库内具有全部权限数据库属主,在特定数据库内具有全部权限Db_accessadmin能够添加、删除数据库用户和角色能够添加、删除数据库用户和角色Db_securityadmin可可以以管管理理全全部部权权限限、对对象象所所有有权权、角角色色和和角角色色成成员员资资格格Db_ddladin能够添加、删除和修改数据库对象能够添加、
15、删除和修改数据库对象Db_backupoperator能够备份和恢复数据库能够备份和恢复数据库Db_datareader能够从任意表中读出数据能够从任意表中读出数据Db_datawriter能够对任意表插入、修改和删除数据能够对任意表插入、修改和删除数据Db_denydatareader不允许从表中读数据不允许从表中读数据Db_denydatawriter不允许改变表中的数据不允许改变表中的数据其中PUBLIC角色是一个特殊的数据库角色,每位数据库用户都是该角色成员,主要负责维护数据库中用户的全部默认许可,不能将用户和组或角色指定为PUBLIC角色。注:数据库角色在数据库级别上被定义,存在于数
16、据库之内,存储在每个数据库sysusers表中固定角色不能被删除、修改和创立固定数据库角色可指定给其他登录帐户。将固定数据库角色指定给其他用户格式:sp_addrolemember 固定数据库角色名,用户名将固定数据库角色指定给其他用户格式步骤:将数据库切换到需要指定角色的目标数据库中;为登录名在该数据库中添加用户;为用户指定固定数据库角色。例:为登录名seu分配固定数据库角色db_datareader第一步:为登录名在数据库中授予用户Sp_grantdbaccess seu,abcd第二步:为该用户分配固定数据库角色Sp_addrolemember db_datareader,abcd将用户
17、从固定数据库角色中删除:sp_droprolemember 固定数据库角色名,用户名 二用户自定义数据库角色 自定义数据角色当打算为某些数据库用户设置相同的权限但预定义的数据库角色不能满足所实际要求的权限时,就通过自定义新数据库角色来满足这一要求,从而使这些用户能够在数据库中实现某一特定功能。1特点:在同一数据数据库中用户或具有多个不同的自定义角色,可任意组合,角色可以进行嵌套,从而实现不同级别的安全性 2分类:标准角色:通过对用户权限等级的认定而将用户划分为不同的用户组,使用户总是相对于一个或多个角色,从而实现管理的安全性。所有的预定义的数据库角色或SQL管理者自定义的某一角色都是标准角色。
18、应用角色:当想让某些用户只能通过特定的应用程序间接地存取数据库中的数据而不是直接地存取数据库数据时就应该考虑使用应用角色。当某一用户使用了应用角色时,它便放弃了已被赋予的所有数据库专有权限,它所拥有的只是应用角色设置的权限。通过应用角色,能以可控制方式来限定用户的语句或对象权限。两者的区别:应用角色不像标准角色那样具有组的含义,因此不能包含成员;当用户在数据库中激活应用角色时,必须提供密码,而标准角色并不受口令保护。应用程序角色默认设置为未激活状态,要由其他标准角色激活后才能使用。用T-SQL语言创立、删除标准角色1、创立标准角色:Sp_addrole 标准角色名2、删除标准角色:Sp_dro
19、prole 标准角色名3、将数据库用户添加至标准角色中:Sp_addrolemember 标准角色名,用户名例:为teach库创立一个名为role1的标准角色,并为帐号seu创立一个用户a1,要求将a1帐号添加至role1角色中。Use teachGoSp_addrole role1GoSp_grantdbaccess seu,a1GoSp_addrolemember role1,a1go用T-SQL语言创立、删除应用角色1、翻开数据库2、创立应用角色:Sp_addapprole 应用角色名,密码3、删除标准角色:Sp_dropapprole 应用角色名4、为应用角色授予权限5、激活应用角色:
20、Sp_setapprole 应用角色名,密码许可管理在SQL Server 中,每个对象都是用户所有的。对象的所有者由用户帐户也称数据库用户标识符标识。当创立对象时,可以访问该对象的惟一用户帐户就是所有者的用户帐户。对于任何想要访问该对象的其他用户,所有者必须给该用户授予访问权限。如果所有者只想让特定的用户访问该对象,可以只给这些特定的用户授予权限。将一个登录帐户映射为数据库中的用户帐户,并将该用户帐户添加到某种数据库角色中。其实都是为了对数据库的访问权限进行设置,以便让各用户进行适合于其工作职能的操作。1、权限的种类在SQL Server 中,权限分为三类:对象权限Object Permis
21、sion;语句权限Statement Permission;隐含权限Implied Permission 对象权限是指用户对数据库中的表、视图、存储过程等对象的操作权限,相当于数据库操作语言DML的语句权限,例如是否允许查询、添加、删除和修改数据等。对象权限的具体内容包括以下3个方面:a.对 于 表 和 视 图:是 否 允 许 执 行 Select、Insert、Update、Delete语句。b.对于表和视图的字段:是否允许执行Select和Update语句。c.对于存储过程:是否允许执行Execute语句。语句权限 相当于数据定义语言DLL的语句权限,这种权限专指是否允许执行以下语句:Cr
22、eate Table Create DefaultCreate Procedure Create RuleCreate View Backup DatabaseBackup Log Create FunctionCreate Database隐含权限 是指由SQL Server 预定义的效劳器角色、数据库所有者dbo和数据库对象所有者dboo所拥有的权限,隐含权限相当于内置权限,并不需要明确地授予这些权限。例如,效劳器角色Sysadmin的成员可在整个效劳器范围内从事任何操作,数据库所有者dbo可对本数据库进行任何操作 2、权限的管理在上述三种权限中,隐含权限是由系统预定义的,这类权限是不需要
23、、也不能够进行设置的。因此,权限的设置实际上就是指对象权限和语句权限的设置。权限可由数据库所有者和角色进行管理。权限管理的内容包括以下权限管理的内容包括以下3 3个方面的内容个方面的内容a.授予权限Grant:即允许某个用户或角色对一个对象执行某种操作或某种语句。b.剥夺权限Revoke:即不允许某个用户或角色对一个对象执行某种操作或某种语句,或者收回曾经授予的某种权限,这与授予权限正好相反。c.拒绝访问Deny:即拒绝某个用户或角色访问某个对象,即使该用户或角色被授予这种权限,或者由于继承而获得这种权限,仍然不允许执行相应的操作 1 1 使用企业管理器管理数据库用户的权限使用企业管理器管理数
24、据库用户的权限a.启动企业管理器,在“树窗格中,展开该用户所在的数据库,单击“用户节点。b.在内容窗格中右击想要设置权限的用户帐户,并从弹出菜单中选择“所有任务/管理权限命令。c.在数据库用户权限管理对话框中,选择以下操作之一:假设要授予用户对某个数据库对象的访问权限,请在对象列表中单击相应的方框,使其中出现 标记。假设要剥夺用户对某个数据库对象的访问权限,请在对象列表中单击相应的方框,使该方框变成空白的。假设要禁止用户对某个数据库对象的访问权限,请在对象列表中单击相应的方框,使其中出现 标记。d.单击“确定或“应用按钮,使所做的设置生效。2 2使用企业管理器管理数据库角色的权限使用企业管理器
25、管理数据库角色的权限a.启动企业管理器,在“树窗格中,展开该角色所在的数据库,单击“角色节点。b.在内容窗格中右击想要设置权限的数据库角色,并从弹出菜单中选择“属性命令。c.在数据库角色属性对话框中,单击“权限按钮。d.出现数据库角色权限管理对话框以后,在对象列表中单击适当的方框,以便授予、剥夺或禁止该角色对某个数据库对象的访问权限。d.单击“确定或“应用按钮,使所做的设置生效。3使用T-SQL语句管理语句的权限 在T-SQL语言中,与权限管理有关的语句有以下三个:Grant语句:用于授予权限;Revoke语句:用于剥夺权限;Deny语句:用于禁止权限 语法为:Grant|Deny ALL|语
26、句名称 ,n TO 用户帐户名称或角色名称 ,n Revoke ALL|语句名称 ,n FROM 用户帐户名称或角色名称 ,n 管理Create Database权限的语句只能在系统数据库master中执行,必须显式授予,而不能通过 GRANT ALL 语句授予。例如:Grant Create Database,Create Table TO Mary,JohnRevoke Create Table,Create Default FROM Mary,JohnDeny Create Database,Create Table TO Mary,John4使用T-SQL语句管理对象的权限Grant|
27、Deny 权限名称 ,n ON 表名称|视图名称|存储过程名称 TO 用户帐户或角色Revoke 权限名称 ,n ON 表名称|视图名称|存储过程名称 FROM 用户帐户 或角色例如:下面的语句首先给Public角色授予Select权限,然后将特定的权限授予用户Mary、John和Tom,使这些用户拥有对authors表的所有权限。USE pubsGOGrant select ON authors TO publicGOGrant Insert,Update,Delete ON authors TO Mary,John,Tom 小结:这里讨论了SQL Server 的安全性管理。SQL Ser
28、ver 的安全机制建立在登录、用户、角色的基础之上。一个用户假设要连接到SQL Server,就必须使用特定的登录帐户标识自己,登录帐户为该用户提供“连接权。一个登录帐户可以在不同的数据库中映射为不同的用户帐户,而且用户帐户在经过授权之后才能获得“访问权,从而允许查看经过授权可以查看的表和视图,允许执行经过授权可以执行的存储过程以及其他管理功能。在SQL Server 中,角色是管理权限的有力工具。将一些用户添加到具体某种权限的角色中,权限在用户成为角色成员时自动生效。9、静夜四无邻,荒居旧业贫。、静夜四无邻,荒居旧业贫。4月月-234月月-23Tuesday,April 18,202310、
29、雨中黄叶树,灯下白头人。、雨中黄叶树,灯下白头人。08:21:3608:21:3608:214/18/2023 8:21:36 AM11、以我独沈久,愧君相见频。、以我独沈久,愧君相见频。4月月-2308:21:3608:21Apr-2318-Apr-2312、故人江海别,几度隔山川。、故人江海别,几度隔山川。08:21:3608:21:3608:21Tuesday,April 18,202313、乍见翻疑梦,相悲各问年。、乍见翻疑梦,相悲各问年。4月月-234月月-2308:21:3608:21:36April 18,202314、他乡生白发,旧国见青山。、他乡生白发,旧国见青山。18 四月
30、四月 20238:21:36 上午上午08:21:364月月-2315、比不了得就不比,得不到的就不要。、比不了得就不比,得不到的就不要。四月四月 238:21 上午上午4月月-2308:21April 18,202316、行动出成果,工作出财富。、行动出成果,工作出财富。2023/4/18 8:21:3608:21:3618 April 202317、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。8:21:36 上午上午8:21 上午上午08:21:364月月-239、没有失败,只有暂时停止成功!。、没有
31、失败,只有暂时停止成功!。4月月-234月月-23Tuesday,April 18,202310、很多事情努力了未必有结果,但是不努力却什么改变也没有。、很多事情努力了未必有结果,但是不努力却什么改变也没有。08:21:3608:21:3608:214/18/2023 8:21:36 AM11、成功就是日复一日那一点点小小努力的积累。、成功就是日复一日那一点点小小努力的积累。4月月-2308:21:3608:21Apr-2318-Apr-2312、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。08:21:3608:21:3608:21
32、Tuesday,April 18,202313、不知香积寺,数里入云峰。、不知香积寺,数里入云峰。4月月-234月月-2308:21:3608:21:36April 18,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。、意志坚强的人能把世界放在手中像泥块一样任意揉捏。18 四月四月 20238:21:36 上午上午08:21:364月月-2315、楚塞三湘接,荆门九派通。、楚塞三湘接,荆门九派通。四月四月 238:21 上午上午4月月-2308:21April 18,202316、少年十五二十时,步行夺得胡马骑。、少年十五二十时,步行夺得胡马骑。2023/4/18 8:21:3
33、608:21:3618 April 202317、空山新雨后,天气晚来秋。、空山新雨后,天气晚来秋。8:21:36 上午上午8:21 上午上午08:21:364月月-239、杨柳散和风,青山澹吾虑。、杨柳散和风,青山澹吾虑。4月月-234月月-23Tuesday,April 18,202310、阅读一切好书如同和过去最杰出的人谈话。、阅读一切好书如同和过去最杰出的人谈话。08:21:3608:21:3608:214/18/2023 8:21:36 AM11、越是没有本领的就越加自命非凡。、越是没有本领的就越加自命非凡。4月月-2308:21:3608:21Apr-2318-Apr-2312、越
34、是无能的人,越喜欢挑剔别人的错儿。、越是无能的人,越喜欢挑剔别人的错儿。08:21:3608:21:3608:21Tuesday,April 18,202313、知人者智,自知者明。胜人者有力,自胜者强。、知人者智,自知者明。胜人者有力,自胜者强。4月月-234月月-2308:21:3608:21:36April 18,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。、意志坚强的人能把世界放在手中像泥块一样任意揉捏。18 四月四月 20238:21:36 上午上午08:21:364月月-2315、最具挑战性的挑战莫过于提升自我。、最具挑战性的挑战莫过于提升自我。四月四月 238:
35、21 上午上午4月月-2308:21April 18,202316、业余生活要有意义,不要越轨。、业余生活要有意义,不要越轨。2023/4/18 8:21:3608:21:3618 April 202317、一个人即使已登上顶峰,也仍要自强不息。、一个人即使已登上顶峰,也仍要自强不息。8:21:36 上午上午8:21 上午上午08:21:364月月-23MOMODA POWERPOINTLoremipsumdolorsitamet,consecteturadipiscingelit.Fusceidurnablandit,eleifendnullaac,fringillapurus.Nullaiaculistemporfelisutcursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉