SQL+Server+2008基础教程+(3).ppt

2020年6月11日，第一页，第三章安全管理，本章重点概述本章内容，2020年6月11日，第二页，本章概述，安全是数据库管理系统的重要特征。能否提供全面、完善、有效、灵活的安全机制往往是衡量分布式数据库管理系统成熟度的重要标志，也是用户选择合适数据库产品的重要判断指标。MicrosoftSQLServer2008系统提供了一种全面的保护数据安全的机制，例如角色、模式、用户和权限，以便有效地控制系统访问和数据访问。本章全面介绍MicrosoftSQLServer2008系统的安全管理。2020年6月11日，第3页，本章要点，了解数据库安全问题与安全机制之间的关系管理和维护登录名SQLServer系统的密码策略固定服务器角色的特征和管理管理数据库用户管理和维护模式权限类型和权限管理系统中内置的加密机制，2020年6月11日，第4页，本章内容， 3.1概述3.2管理登录名3.3固定服务器角色3.4数据库用户管理架构3.5管理架构3.6数据库角色3.7管理应用程序角色3.8管理权限3.9SQLServer2008内置的加密机制3.10 SQLServerManagementStudio工具3.11使用摘要、3.1概述、安全性是所有数据库管理系统的重要特征。 理解安全问题是了解数据库管理系统安全机制的前提。下面结合MicrosoftSQLServer2008系统的安全特性，分析安全问题与安全机制之间的关系。2020年6月11日，第5页，登录系统，第一个安全问题：如何确保用户登录数据库系统时只有合法用户才能登录系统？这是最基本的安全问题之一，是数据库管理系统提供的基本功能。在MicrosoftSQLServer2008系统中，通过身份验证模式和主体解决此问题。2020年6月11日，第6页，验证模式，MicrosoftSQLServer2008系统验证客户端和服务器之间的连接的方式。MicrosoftSQLServer2008系统提供两种身份验证模式：Windows身份验证模式和混合模式。在Windows身份验证模式下，当用户通过MicrosoftWindows用户帐户连接时，SQLServer使用Windows操作系统中的信息验证帐户名和密码。Windows身份验证模式使用Kerberos安全协议来验证强密码的复杂性，从而提供强制密码策略、帐户锁定支持和密码过期支持。在混合模式下，客户端连接到服务器时，可以同时进行Windows验证或SQLServer验证。设置为混合模式后，用户可以使用Windows身份验证SQLServer身份验证连接。2020年6月11日，第7页，主体是可以请求系统资源的实体，组合过程。例如，数据库用户是根据自己的权限在数据库中执行操作和使用相应数据的主体。MicrosoftSQLServer2008系统中有多个不同的主机，不同主体之间的关系是典型的分层关系，不同层次的主体在系统中的影响范围不同。位于较高水平的主体，其范围较大。等级结构较低的主体其范围较小。2020年6月11日，第8页，操作，第二个安全问题：用户登录系统时可以执行的操作、要使用的对象和资源是什么？这也是在MicrosoftSQLServer2008系统中通过设置安全对象和权限解决的基本安全问题。2020年6月11日，第9页，主体和安全对象的结构图，2020年6月11日，第10页，所有，第三个安全问题：数据库的对象属于谁？如果用户拥有，删除用户时该如何处理该对象拥有的对象？数据库对象是否可以是没有所有者的“孤立对象”？在MicrosoftSQLServer2008系统中，此问题可以通过用户和模式拆离来解决。，包括2020年6月11日，第11页，数据库对象、模式和用户之间的关系图，2020年6月11日，第12页，管理3.2登录名，生成登录名，设置密码策略，查看登录名信息，修改和删除登录名。以下是对登录名管理的说明。sa是默认SQLServer登录名，具有操作SQLServer系统的所有权限。无法删除此登录名。如果MicrosoftSQLServer系统以混合模式安装，则必须为sa指定密码。2020年6月11日，第13页，生成登录名，在MicrosoftSQLServer2008系统上，可以通过Transact-SQL语句和microsoftsql servermanagementstudio工具执行很多任务。以下是使用Transact-SQL语句创建登录名的主要说明。创建登录名时，可以将Windows登录名映射到SQLServer系统，也可以创建SQLServer登录名。2020年6月11日，第14页，使用Windows登录名创建登录名，2020年6月11日，第15页，使用主数据库创建登录名，2020年6月11日，第16页创建SQLServer登录名，2020年6月11日密码到期策略指示如何管理密码使用期限。创建SQLServer登录名时，密码到期策略会提醒用户及时更改旧密码和登录名，并防止使用过期的密码。2020年6月11日，第18页，关键字，使用CREATELOGIN语句创建SQLServer登录名时，要实施上述密码策略，请执行HASHED，MUST_CHANGE，CHECK_EXPIRATION，CHECK，2020年6月11日，第19页，hahed关键字，hahed关键字用于描述如何处理密码的散列运算。使用CREATELOGIN语句创建SQLServer登录名时，如果在PASSWORD关键字后使用HASHED关键字，则在将HASHED关键字存储为数据库中的密码字符串之前，会执行散列操作。如果在PASSWORD关键字后不使用HASHED关键字，则密码字符串已经是经过散列运算的字符串，因此在保存到数据库之前，不会再执行散列操作。2020年6月11日，第20页，其他关键字，MUST_CHANGE关键字指示第一次使用新登录名时提示用户输入新密码。CHECK_EXPIRATION关键字指示是否为该登录名实施密码到期策略。CHECK_PLICY关键字表示对该登录名强制实施Windows密码策略。2020年6月11日，第21页，使用密码策略创建SQLServer登录名，2020年6月11日，第22页，维护登录名，创建登录名后，可以根据需要修改或禁用登录名的名称、密码、密码策略、默认数据库等信息，或删除不需要的登录名。2020年6月11日，第23页，使用ALTERLOGIN修改登录名，2020年6月11日，第24页，修改Rudolf登录名的密码，2020年6月11日，第25页，禁用和启用登录名，2020年6月11日固定服务器角色已经具有执行指定任务的权限，并且可以通过将其他登录名作为成员添加到固定服务器角色来继承固定服务器角色的权限。下面首先介绍MicrosoftSQLServer2008系统提供的固定服务器角色的特征，然后分析如何处理登录名和固定服务器角色之间的关系。2020年6月11日，第27页，固定服务器角色的特征，固定服务器角色也是已经拥有执行指定任务权限的服务器级别主体。MicrosoftSQLServer2008系统提供9个固定服务器角色，包括库存和功能说明，如表3-1所示。、2020年6月11日、28页、固定服务器角色、2020年6月11日、29页、固定服务器角色和登录名、MicrosoftSQLServer系统可以将登录名添加到固定服务器角色，从而使登录名继承固定服务器角色作为固定服务器角色成员的权限。对于登录名，可以检查是否为固定服务器角色的成员。用户可以使用存储过程(如sp_addsrvrolemember、sp _ helpsrvrolememeber和sp_dropsrvrolemember)和IS_SRVROLEMEMBER函数对固定服务器角色和登录名之间的关系执行操作如果您希望指定的登录名成为固定服务器角色的成员，则可以在2020年6月11日第30页上使用sp _ addsrvrollemember存储过程执行此操作。Sp_addsrvrolemember存储过程的语法如下：sp _ addsrvrememberlogin _ name，role _ name，2020年6月11日，第31页，向sysadmin角色添加成员，2020年6月11日，第32页，sp要确定指定的登录名是否为固定服务器角色的成员，请使用IS_SRVROLEMEMBER函数。此函数的返回值1表示当前用户的登录名为成员。如果返回0，则表示不是成员。否则，表示指定的固定服务器角色名称无效。是表示登录名当前不是固定服务器角色的成员，但作为系统的登录名存在。如果要删除2020年6月11日，第33页sp _ drop srvrrollemember固定服务器角色的一个成员，则可以使用sp _ drop srvrollemember存储过程。删除固定服务器角色的登录名成员。但是，这意味着您当前不是固定服务器角色的成员，但以系统的登录名存在。2020年6月11日，第34页，3.4数据库用户管理，数据库用户是数据库级别的主体，是登录名称到数据库的映射，是在数据库中执行操作和活动的行为者。在MicrosoftSQLServer2008系统中，数据库用户不能直接拥有数据库对象(例如表、视图等)，而是通过模式拥有。管理数据库用户包括创建用户、查看用户信息、修改用户和删除用户。您可以在2020年6月11日，35页上创建用户，并使用CREATEUSER语句在指定数据库中创建用户。由于登录名映射到数据库，因此用户必须在创建用户时指定登录名。2020年6月11日，第36页，创建登录名的数据库用户，2020年6月11日，第37页，创建具有默认方案的数据库用户，2020年6月11日，第38页，查看和dbo，如果要查看有关数据库用户的信息，请浏览sys.database _此目录视图包含有关数据库用户的名称、ID、类型、基本方案、创建日期和上次修改日期的信息。Dbo是数据库的默认用户。安装SQLServer系统后，dbo用户将自动存在。Dbo用户具有在数据库中工作的全部权限。默认情况下，每个数据库中具有相应sa登录名的用户是dbo用户。2020年6月11日，第39页，启用来宾用户，2020年6月11日，第40页，用户维护，可以使用alter guest语句修改用户。修改用户有两个方面。首先，您可以修改用户名。其次，您可以修改用户的默认模式。修改用户名与删除和重新生成用户不同。修改用户名只是名称的更改，不是用户对登录名的响应关系的更改，也不是用户对模式关系的更改。2020年6月11日，第41页，可以修改用户名，2020年6月11日，第42页，可以修改和删除，也可以使用ALTERUSER语句修改指定用户的默认方案。此时，可以使用WITHDEFAULT_SCHEMA子句。如果不再需要某个用户，可以使用DROPUSER语句从数据库中删除该用户。2020年6月11日，第43页，3.5管理体系结构，它是形成单个命名空间的数据库实体的集合。模式是数据库级别的安全对象，是MicrosoftSQLServer2008系统强调的特征，是数据库对象的容器。管理方案包括创建方案、查看有关方案的信息、修改方案和删除方案。您可以在2020年6月11日44页面建立纲要、使用CREATESCHEMA叙述句建立纲要，以及建立纲要拥有的表格和视观表，并设定这些物件的权限。以下说明如何建立纲要：2020年6月11日，第45页，创建简单方案，2020年6月11日，第46页，创建具有明确所有者的方案，2020年6月11日，第47页，创建方案时同时创建表，2020年6月11日，第48页，创建方案此视图包含数据库中方案的名称、方案的标识符和方案所有者的标识符等信息。2020年6月11日，第50页，修改和删除方案，修改方案意味着将对象从一个方案移植到另一个方案。您可以使用ALTERSCHEMA叙述句来完成纲要修改。要更改对象本身的结构，请注意必须对该对象使用ALTER语句。2020年6月11日，第51页，旧对象的方案，2020年6月11日，第52页，删除方案，2020年6月11日，第53页，3.6数据库角色，数据库角色是数据库级别的主体和数据库用户的集合。数据库用户是数据库角色的成员，可以继承数据库角色的权限。数据库管理员可以管理角色的权限，从而管理数据库用户的权