安全管理PPT课件

精品课件 1 数据库原理与应用教程 第2版 人民邮电出版社 2 第10章安全管理 10 1安全控制10 2SQLServer的安全控制10 3管理登录账户10 4管理数据库用户10 5管理权限10 6角色 3 10 1安全控制 安全控制 在数据库应用系统的不同层次提供对有意损害行为的安全防范 1 安全控制模型2 数据库用户分类 4 1 安全控制模型 5 2 数据库用户的分类 系统管理员在数据库服务器上具有全部的权限对象拥有者创建数据库对象的用户 对其所拥有的对象具有全部的权限 普通用户只具有对数据库数据的查询 插入 删除和修改的权限 6 10 2SQLServer的安全控制 第一个是验证用户连接到SQLServer数据库服务器的资格 第二个是验证用户是否是数据库的合法用户 第三个是验证用户是否具有操作许可 7 SQLServer登录账户来源和认证模式 1 登录账户来源Windows授权用户SQL授权用户2 安全认证模式Windows身份验证模式混合身份验证模式 8 Windows身份验证模式 允许Windows操作系统用户连接到SQLServer 当使用Windows身份验证模式时 用户必须先登录到Windows操作系统中 然后再登录到SQLServer 一般推荐使用Windows验证模式 这种安全模式能够与Windows操作系统的安全系统集成 以提供更多的安全功能 9 混合模式 允许Windows授权用户和SQL授权用户登录到SQLServer数据库服务器 如果希望非Windows操作系统的用户也能登录到SQLServer数据库服务器上 则应选择混合身份验证模式 在混合身份验证模式下选择使用SQL授权用户登录 必须提供登录名和密码两部分内容 10 设置身份验证模式 可根据实际应用情况设置身份验证模式 步骤 在SSMS的 对象资源管理器 中 在要设置身份验证模式的实例上右击鼠标 从弹出的菜单中选择 属性 命令 在 服务器属性 窗口左边的 选择页 上 单击 安全性 选项 11 设置身份验证模式窗口 12 10 3管理登录账户 10 3 1建立登录账户10 3 2删除登录账户 13 10 3 2建立登录账户 在SSMS的 对象资源管理器 中 依次展开 安全性 登录名 节点 在 登录名 节点上右击鼠标 在弹出的菜单中选择 新建登录名 命令 进入新建登录窗口 14 新建登录窗口 15 建立登录账户的T SQL语句 CREATELOGINlogin name WITH FROM WINDOWS WITH PASSWORD password MUST CHANGE DEFAULT DATABASE database DEFAULT LANGUAGE language DEFAULT DATABASE database DEFAULT LANGUAGE language 16 示例 例1 创建SQLServer身份验证的登录账户 登录名为 SQL User2 密码为 a1b2c3XY CREATELOGINSQL User2WITHPASSWORD a1b2c3XY 例2 创建Windows身份验证的登录账户 从Windows域账户创建 HYJ Win User2 登录账户 CREATELOGIN HYJ Win User2 FROMWINDOWS例3 创建SQLServer身份验证的登录账户 登录名为 SQL User3 密码为 AD4h9fcdhx32MOP 要求该登录账户首次连接服务器时必须更改密码 CREATELOGINSQL User3WITHPASSWORD AD4h9fcdhx32MOP MUST CHANGE 17 10 3 4删除登录账户 在SSMS的 对象资源管理器 中 依次展开 安全性 登录名 节点 在要删除的登录账户 NewUser 上右击鼠标 从弹出的菜单中选择 删除 命令 在弹出 删除对象 窗口 在此窗口中单击 确定 按钮 18 登录账户的T SQL语句 DROPLOGINlogin name例4 删除SQL User2登录账户 DROPLOGINSQL User2注意 不能删除正在使用的登录账户 也不能删除拥有任何数据库和服务器级别对象的登录账户 19 10 4管理数据库用户 10 4 1建立数据库用户10 4 2删除数据库用户 20 10 4 1建立数据库用户 在SSMS工具的 对象资源管理器 中 展开要建立数据库用户的数据库 展开 安全性 节点 在其下的 用户 节点上右击鼠标 在弹出的菜单上选择 新建用户 命令 进入 数据库用户 新建 窗口 21 新建数据库用户窗口 22 建立数据库用户的T SQL语句 CREATEUSERuser name FOR FROM LOGINlogin name 注意 如果省略FORLOGIN 则新的数据库用户将被映射到同名的SQLServer登录名 23 示例 例1 让SQL User2登录账户成为students数据库中的用户 并且用户名同登录名 CREATEUSERSQL User2例2 本示例首先创建名为SQL JWC且具有密码的SQLServer身份验证的服务器登录名 然后创建与此登录账户对应的数据库用户JWC CREATELOGINSQL JWCWITHPASSWORD jKJl3 nN09jsK84 CREATEUSERJWCFORLOGINSQL JWC 24 特别说明 服务器登录账户与数据库用户是两个完全不同的概念 具有登录账户的用户可以登录到SQLServer实例上 而且只局限在实例上进行操作 数据库用户是登录账户以什么样的身份在数据库中进行操作 是登录账户在具体数据库中的映射 这个映射名 数据库用户名 可以和登录名一样 也可以不一样 25 10 4 2删除数据库用户 展开要删除用户的数据库 再展开该数据库下的 安全性 用户 节点 在要删除的用户名上右击鼠标 在弹出的菜单上选择 删除 命令 26 删除数据库用户的T SQL语句 DROPUSERuser name例3 删除SQL User2用户 DROPUSERSQL User2注意 不能删除拥有对象的用户 27 10 5管理权限 10 5 1权限的种类10 5 2权限的管理 28 10 5 1SQLServer权限种类 对象创建权用户创建数据库中表 视图等对象的权限 数据操作权对数据库中数据的操作权限 一般是指对表 视图中的数据进行查询 增加 删除和修改的权限 隐含权限指由SQLServer预定义的服务器角色 数据库角色 数据库拥有者和数据库对象拥有者所具有的权限 隐含权限相当于内置权限 不需要再明确地授予这些权限 29 常用对象权限 DELETE INSERT UPDATE和SELECT 具有对表和视图数据进行删除 插入 更改和查询的权限 其中UPDATE和SELECT可以对表或视图的单个列进行授权 EXECUTE 具有执行存储过程的权限 30 常用语句权限 CRAETETABLE 创建表的权限 CREATEVIEW 创建视图的权限 CREATEPROCEDURE 创建存储过程的权限 CREATEDATABASE 创建数据库的权限 BACKUPDATABASE和BACKUPLOG 备份数据库和备份日志的权限 31 10 5 2权限的管理 授予权限 授予用户或角色具有某种操作权 收回权限 收回 或撤消 曾经授予给用户或角色的权限 拒绝权限 拒绝某用户或角色具有某种操作权限 一旦拒绝了用户的某个权限 则用户从任何地方都不能获得该权限 32 用SSMS管理数据操作权限 在SSMS工具的 对象资源管理器 中 依次展开某数据库下的 安全性 用户 在某用户上右击鼠标 在弹出菜单中选择 属性 命令 弹出 数据库用户 窗口 在此窗口中 单击左边 选择页 中的 安全对象 选项 33 对用户授权的窗口1 34 对用户授权的窗口2 35 使用T SQL语句管理数据操作权限 GRANT 授予权限 REVOKE 收回权限 DENY 拒绝权限 36 1 管理对象权限 授权语句GRANT对象权限名 ON 表名 视图名 存储过程名 TO 数据库用户名 用户角色名 收权语句REVOKE对象权限名 ON 表名 视图名 存储过程名 FROM 数据库用户名 用户角色名 拒绝语句DENY对象权限名 ON 表名 视图名 存储过程名 TO 数据库用户名 用户角色名 37 对象权限内容 对表和视图主要INSERT DELETE UPDATE SELECT对存储过程EXECUTE 38 示例 例1 为用户user1授予Student表的查询权 GRANTSELECTONStudentTOuser1例2 为用户user1授予SC表的查询和插入权 GRANTSELECT INSERTONSCTOuser1例3 收回用户user1对Student表的查询权 REVOKESELECTONStudentFROMuser1例4 拒绝user1用户具有SC表的更改权 DENYUPDATEONSCTOuser1 39 2 管理语句权限 授权语句GRANT语句权限名 TO 数据库用户名 用户角色名 收权语句REVOKE语句权限名 FROM 数据库用户名 用户角色名 拒绝语句DENY语句权限名 TO 数据库用户名 用户角色名 40 示例 例5 授予user1具有创建数据库表的权限 GRANTCREATETABLETOuser1例6 授予user1和user2具有创建数据库表和视图的权限 GRANTCREATETABLE CREATEVIEWTOuser1 user2例7 收回授予user1创建数据库表的权限 REVOKECREATETABLEFROMuser1例8 拒绝user1创建视图的权限 DENYCREATEVIEWTOuser1 41 10 6角色 为便于对用户及权限的管理 可以将一组具有相同权限的用户组织在一起 这一组具有相同权限的用户就称为角色 Role SQLServer2008中 角色分为 固定的服务器角色固定的数据库角色用户自定义的角色 42 固定的服务器角色 43 说明 SQLServer2008新添加了一个服务器角色public 在服务器上创建的每个登录账户都自动是public服务器角色的成员 而且都将具有服务器权限 不要为服务器角色public进行授权 44 为固定的服务器角色添加成员 在SSMS的对象资源管理器中 依次展开 安全性 登录名 节点 在某登录名上右击鼠标 在弹出的菜单中选择 属性 命令 进入 登录属性 窗口 45 用T SQL语句实现 在固定的服务器角色中添加成员用系统存储过程sp addsrvrolemember sp addsrvrolemember loginame login rolename role loginame login 要添加到固定服务器角色中的登录名 rolename role 要添加到的固定服务器角色的名称 默认值为NULL 46 示例 例1 将Windows身份验证的HYJ Win User1登录名添加到sysadmin角色中 EXECsp addsrvrolemember HYJ Win User1 sysadmin 例2 将SQLServer身份验证的SQL User2登录名添加到dbcreator角色中 EXECsp addsrvrolemember SQL User2 dbcreator 47 删除固定的服务器角色成员 使用sp dropsrvrolemember系统存储过程 sp dropsrvrolemember loginame login rolename role 例3 从dbcreator角色中删除SQL User2 EXECsp dropsrvrolemember SQL User2 dbcreator 48 10 6 2固定的数据库角色 49 说明 在固定的数据库角色中也有一个public角色 每个数据库用户都自动属于public数据库角色 用户可以为数据库public角色授予数据库中的操作权限 50 为固定的数据库角色添加成员 在SSMS的 对象资源管理器 中 依次展开某数据库 安全性 用户 节点 在某用上右击鼠标 在弹出的菜单中选择 属性 命令 弹出 数据库用户 属性窗口 51 用T SQL语句实现 在数据库角色中添加成员用系统存储过程sp addrolemember sp addrolemember rolename role membername security account rolename role 当前数据库中的数据库角色名 无默认值 membername security account 要添加到角色中的数据库用户名 无默认值 52 示例 例4 将Windows用户HYJ Win User1添加到db datareader角色中 EXECsp addrolemember db datareader HYJ Win User1 例5 将SQL User2添加到db datawriter角色中 EXECsp addrolemember db datawriter SQL User2 53 删除数据库角色的成员 使用sp droprolemember系统存储过程 sp droprolemember rolename role membername security account rolename role 将从中删除成员的数据库角色名 没有默认值 role必须存在于当前数据库中 membername security account 被删除的用户名 无默认值 54 示例 例6 在students数据库中 删除db datawriter角色中的SQL User2成员 EXECsp droprolemember db datawriter SQL User2 55 10 6 3用户自定义的角色 用户自定义的角色属于数据库一级的角色 用户可以根据实际的工作职能情况定义自己的一系列角色 并给每个角色授予合适的权限 用户自定义角色的成员可以是数据库的用户 也可以是用户定义的角色 56 建立用户自定义的角色 在 对象资源管理器 中依次展开某数据库 安全性 角色 在 角色 上右击鼠标 在弹出菜单中选择 新建 新建数据库角色 命令 57 用T S