SQL数据库安全管理.ppt

数据库原理与应用,第12章数据库与基本表的创建和管理,12.1安全控制12.2SQLServer的安全控制12.3管理SQLServer登录帐户12.4管理数据库用户12.5管理权限12.6角色,12.1安全控制,安全控制：在数据库应用系统的不同层次提供对有意损害行为的安全防范。1.安全控制模型2.数据库权限的种类及用户分类,1.安全控制模型,2.数据库权限的种类及用户的分类,权限的种类系统维护权操作权数据库对象权限：创建、修改、删除数据操作权：增、删、改、查用户的分类系统管理员对象拥有者普通用户,12.2SQLServer的安全控制,三个认证过程第一个是验证用户连接到SQLServer数据库服务器的资格。第二个是验证用户是否是数据库的合法用户。第三个是验证用户是否具有操作许可。,SQLServer用户来源和认证模式,1用户来源Windows授权用户SQL授权用户2认证模式混合模式WindowsOnly授权模式3.设置安全验证模式使用企业管理器,12.3管理SQLServer登录帐户,12.3.1建立登录帐户12.3.2修改登录帐户的属性12.3.3删除登录帐户,12.3.1建立登录帐户,展开“安全性”，单击“登录”节点。右击内容窗格中的空白处，从弹出式菜单中选择“新建登录”命令。,12.3.2修改登录帐户的属性,展开“安全性”，单击“登录”节点。在右边的内容窗格中，右击想要修改密码的登录帐户，从弹出的菜单中选择“属性”命令。可以进行如下更改：更改密码更改默认数据库更改显示给用户所使用的语言,12.3.3删除登录帐户,展开“安全性”节点，单击“登录”节点。在右边的内容窗格中，右击想要删除的登录帐户，从弹出的菜单中选择“删除”命令或按Delete键。,12.4管理数据库用户,12.4.1建立数据库用户12.4.2删除数据库用户,12.4.1建立数据库用户,单击要建立数据库用户的数据库节点，右击“用户”，在弹出的菜单上选择“新建数据库用户”命令。,12.4.2删除数据库用户,展开要删除用户的数据库。单击“用户”，然后在右边的内容窗格中右击想要删除的数据库用户，从弹出的菜单中选择“删除”命令。,12.5管理权限,12.5.1SQLServer权限种类12.5.2权限的管理,12.5.1SQLServer权限种类,对象权限是指用户对数据库中的表、视图等对象中数据的操作权。语句权限相当于数据定义语言（DDL）的语句权限，这种权限专指是否允许执行：CREATETABLE、CREATEVIEW等与创建数据库对象有关的操作。隐含权限指由SQLServer预定义的服务器角色、数据库角色、数据库拥有者和数据库对象拥有者所具有的权限。,12.5.2权限的管理,授予权限：允许用户或角色具有某种操作权。收回权限：不允许用户或角色具有某种操作权，或者收回曾经授予的权限。拒绝权限：拒绝某用户或角色具有某种操作权，既使用户或角色由于继承而获得这种操作权，也不允许执行相应的操作。,使用企业管理器管理数据库用户权限,展开“数据库”节点并展开要设置权限的数据库，单击“用户”节点。在内容窗格中右击要设置权限的数据库用户，从弹出的菜单中选择“所有任务”下的“管理权限”命令。,授予权限,拒绝权限,收回权限,使用企业管理器管理语句权限,展开“数据库”，右击要设置语句权限的数据库，从弹出的菜单中选择“属性”，在弹出的窗口中，选择“权限”标签页。,使用Transact-SQL语句管理对象权限,GRANT：授予权限；REVOKE：收回权限；DENY：拒绝权限。,语法格式,授权语句GRANT对象权限名，ON表名|视图名|存储过程名TO数据库用户名|用户角色名，收权语句REVOKE对象权限名，ON表名|视图名|存储过程名FROM数据库用户名|用户角色名，拒绝语句DENY对象权限名，ON表名|视图名|存储过程名TO数据库用户名|用户角色名，,示例,例1为用户user1授予Student表的查询权。GRANTSELECTONStudentTOuser1例2为用户user1授予SC表的查询权和插入权。GRANTSELECT，INSERTONSCTOuser1例3收回用户user1对Student表的查询权。REVOKESELECTONStudentFROMuser1例4拒绝user1用户具有SC表的更改权。DENYUPDATEONSCTOuser1,使用Transact-SQL语句管理语句权限,授权语句GRANT语句权限名，TO数据库用户名|用户角色名，收权语句REVOKE语句权限名，FROM数据库用户名|用户角色名，拒绝语句DENY语句权限名，TO数据库用户名|用户角色名，,示例,例1授予user1具有创建数据库表的权限。GRANTCREATETABLETOuser1例2授予user1和user2具有创建数据库表和视图的权限。GRANTCREATETABLE,CREATEVIEWTOuser1,user2例3收回授予user1创建数据库表的权限。REVOKECREATETABLEFROMuser1例4拒绝user1创建视图的权限。DENYCREATEVIEWTOuser1,12.6角色,为便于对用户及权限的管理，可以将一组具有相同权限的用户组织在一起，这一组具有相同权限的用户就称为角色（Role）。SQLServer2000中，角色分为：固定的服务器角色固定的数据库角色用户自定义的角色,固定的服务器角色,添加固定的服务器角色的成员,展开“安全性”节点，单击“服务器角色”，在右边的内容窗格中，在要添加成员的固定的服务器角色上右击鼠标，在弹出的菜单中选择“属性”命令。单击“添加”按钮。,删除固定的服务器角色成员,选择要删除的登录帐户，单击“删除”按钮。,固定的数据库角色,添加固定的数据库角色的成员,展开“数据库”节点，展开要操作的数据库，单击“角色”，右击右边内容窗格中要添加成员的数据库角色在弹出的菜单中选择“属性”命令。单击“添加”。,删除数据库角色的成员,选择要删除的用户，单击“删除”按钮。,12.6.3用户自定义的角色,用户自定义的角色属于数据库一级的角色。用户可以根据实际的工作职能情况定义自己的一系列角色，并给每个角色授予合适的权限。用户自定义的角色的成员可以是数据库的用户，也可以是用户定义的角色。,建立用户自定义的角色,展开“数据库”，并展开要添加用户自定义角色的数据库。右击“角色”节点，选择“新建