BENET3.0第二学期课程-SQL应用与性能优化.ppt

BENET3.0第二学期课程,SQL应用与性能优化,2,课程目标,通过设置数据库权限、加固数据库系统安全、发现数据库漏洞等手段保证数据信息的安全可靠性掌握SQL高级查询,满足企业复杂查询的要求通过索引和执行计划分析提高数据库的查询性能能够使用监视工具及时发现数据库性能瓶径并合理优化具备备份还原数据库的能力，保证公司信息安全满足企业在异构环境中进行数据转换的需求，并能利用所学知识完成企业级数据库的维护,3,课程结构,BENET3.0第二学期课程,第一章数据库安全管理,理论部分,5,技能展示,了解SQLServer2005安全新特性掌握SQLServer2005身份验证模式的配置掌握创建SQLServer2005登录账户的方法掌握使用架构和角色分配用户权限的方法掌握数据库对象设置权限的方法会使用数据库审核功能掌握目前数据库常见漏洞及解决方案,6,本章结构,数据库安全管理,管理数据库安全,管理数据库对象,数据库访问审核,SQLServer安全机制,创建和更改登录帐户,数据库用户,数据库角色,SQLServer验证模式,屏蔽SQLServer常见漏洞,管理服务器安全,服务器角色,权限,为表授权,为数据库授权,7,SQLServer2005安全机制,客户机安全机制,网络传输安全机制,服务器安全机制,数据库安全机制,数据库对象的安全机制,8,Windows身份验证模式SQLServer和Windows身份验证模式,身份验证模式,9,建立登录帐户,Windows登陆,SQLServer登陆,强密码策略,下次登陆更改密码,10,服务器角色2-1,什么是服务器角色执行服务器级管理操作的用户权限的集合是系统内置的不能创建服务器角色每个角色有一定的权限登录帐户可以添加到服务器角色,11,服务器角色2-2,12,添加登录帐户到服务器角色,服务器角色,13,数据库用户,访问数据库需要在那个数据库上建立数据库用户从登录中映射特殊用户Dboguest,14,固定数据库角色,数据库角色,用户定义数据库角色当一组用户需要在SQLServer中执行一些指定的活动,而固定数据库角色无法满足要求时,可以创建用户定义数据库角色,一组SQLServer预定义的数据库角色Public角色维护数据库的默认用户权限所有用户、角色或组默认的属于Public角色不能被删除,15,数据库用户帐户和角色,SQLServer指定登录用户和角色,数据库用户,数据库角色,Windows2000组用户,SQLServer验证信任连接,SQLServer验证用户名和口令,SQLServer,或,SQLServer登录帐户,16,添加数据库角色成员,例如：添加数据库用户Tom和Frank到Develop角色,角色名称,角色的成员,添加成员,17,小结,请思考：请说出SQLServer2005的安全机制是如何划分的?SQLServer2005服务器级别共有几种身份验证模式,分别应用的场景是什么？请分别说出SQLServer2005中的服务器角色、数据库角色的作用？并列举出Sysadmin、Ddo在SQLServer2005中的作用?,18,管理权限,管理权限授予(GRANT)拒绝权限(DENY)全部不选择(回收权限)转授权限(WITHGRANT),19,权限的例子,20,为表授权,例如，在Benet数据库中授予用户TESTSQLSQLadmin在Accountbill表如下权限SelectInsertUpdateDelete,21,为数据库授权,例如，为了便于数据库应用开发和管理，要在Tariffsmall数据库中授予Develop数据库角色如下权限：建表更改用户,22,数据库访问审核,审核帮助跟踪系统中未经授权的用户行为并阻止这种行为.是整个计算机运算与控制的核心SQLServer2005通过以下方式提供审核Windows安全日志SQLProfiler触发器,23,设置数据库审核,开启常规数据库审核功能设置c2级别的数据库审核功能,仅记录失败的登陆,仅记录成功的登陆,同时记录成功和失败的登陆,“确定”完成设置,24,设置C2级别数据库审核,C2模式是一个政府的安全等级，它保证系统能够保护资源并具有足够的审核能力.C2模式允许我们监视对所有数据库实体的所有访问企图C2级别审核会保存大量的信息到日志中，容易导致数据库停止服务，在使用时一定要谨慎,启用C2审核跟踪,“确定”完成设置,在“安装SQLServer程序目录MSSQLData”目录下生成一个audittraceXXXX的文件，详细记录了任何访问对象的信息,25,小结,请思考：常见数据库访问审核有几类？分别是什么？如何为数据库设置访问审核？,26,屏蔽数据库常见漏洞,修改SA密码删除或禁用不必要的账户删除危险的存储过程关闭不必要的网络连接和功能配合防火墙过滤指定端口访问禁用不必要的协议加密数据定期安装补丁,27,修改SA密码,SA是SQLServer默认的超级管理员，所以一定要确保SA密码安全性。在大多数安全系统中,弱管理员密码是最关键漏洞,修改SA密码,“确定”完成设置,28,删除不必要的用户禁用不必要的用户,删除不必要的帐户,删除不必要用用户,禁用不必要用用户,29,SQLServer数据加密概述对于传递的数据信息进行加密保证数据安全性对SQLServer表信息实施加密创建证书建立测试用表使用加密函数测试数据提取加密的数据解密加密后的数据,加密数据,30,本章结构,数据库安全管理,管理数据库安全,管理数据库对象,数据库访问审核,SQLServer安全机制,创建和更改登录帐户,数据库用户,数据库角色,SQLServer验证模式,屏蔽SQLServer常见漏洞,管理服务器安全,服务器角色,权限,为表授权,为数据库授权,BENET3.0第二学期课程,第一章数据库安全管理,上机部分,32,实验案例1：创建管理登录账户,需求描述电信公司服务器的默认实例中已经建立了一个数据库Tariffsmall，用来存储通话计费信息.现在需要加强数据库的安全.(通过分配权限的方式)用户所在组和对应的数据如表:创建账户HRApp和HRAppAdmin负责对数据库的访问和管理HRApp成员可以查询任何表数据ReceptionEmployees组成员操作Accountbill表(查询、插入)将用户frank插入到数据库角色中获得相关权限,33,实验案例1：创建管理登录账户,实现思路：设置正确的身份验证模式创建正确的Windows用户、组以及SQL用户按要求，将用户加入不同的角色中（服务器或数据库角色）按要求为不同的用户、组指定权限验证加入不同角色的用户、组和赋予不同权限的用户或组的实施效果,34,实验案例1：创建管理登录账户,学员练习：将数据库服务器验证模式改为”SQL和Windows验证”新建Windows用户和组、以及SQL账户。并加入到服务器角色中给用户HRAppAdmin分配修改账户HRApp密码的权限，并验证效果建立数据库用户映射Windows登录账号将数据库用户分别映射到Windows和SQL账户添加用户到数据库角色，并分别验证权限和设置策略添加组用户到数据库角色，并验证权限建立用户定义数据库角色并赋权限，由用户验证权限,40分钟完成,35,实验案例2：设置数据库访问审核,需求描述电信公司最近发现经常有非法用户登录公司的SQLServer2005数据库服务器，为了增加安全性，管理员启用了数据库的审核功能,需要记录用户成功或失败的登录信息。记录用户一次成功的数据库登录信息记录用户一次失败的数据库登录信息,36,实验案例2：设置数据库访问审核,实现思路打开数据库的审核功能使用正确的用户名和密码进行一次登录使用错误的用户名或密码进行一次登录检查数据库审核记录的结果,37,实验案例2：设置数据库访问审核,学员练习：在SQLServer2005系统管理器中打开服务器的属性在“属性”页面中找到“安全”选项设置审核选项为“登录成功或失败都审核”使用账户执行一次正确的和一次错误的登录验证设置审核后的结果,15分钟完成,38,实验案例3：关闭危险的存储过程,需求描述SQLServer2005中的存储过程在提高了工作效率的同时也大大降低了数据库系统的安全性，为了保证Benet公司数据库的绝对安全，要求关闭危险的存储过程要求管理员关闭xp_cmdshell存储过程，避免用户在数据库服务器上执行操作系统命令,39,实验案例3：关闭危险的存储过程,实现思路开启xp_cmdshell功能通过数据库默认的存储过程执行危险的操作关闭xp_cmdshell的存储过程再次利用xp_cmdshell执行危险操作并验证效果,40,实验案例3：关闭危险的存储过程,学员练习：使用SAC（外围应用配置器）打开xp_cmdshell功能执行以下代码，给出结果描述：execxp_cmdshellmkdird:tempsexecxp_cmdshellnetsharet=d:temps/unlimited执行以下代码，给出结果描述：execxp_cmdshellnetsharet/delete关闭xp_cmdshell功能,15分钟完成,41,实验案例4：修改SA密码增强安全性,需求描述电信公司为了保证SQLServer2005数据库系统的绝对安全性，要求具有特权的用户都要妥善保管自己的密码，特别是作为超级用户的SA.但用户SA在数据库安装好后并没有指定任何