第5章 项目数据库安全管理

1、制作：荆州职业技术学院 彭岚第五章第五章 项目数据库安全项目数据库安全管理管理制作：荆州职业技术学院 彭岚本章目标本章目标1学习目标了解SQL Server服务器安全特性； 掌握数据库安全性管理掌握数据库角色管理；掌握数据库权限管理； 2. 学习要点用户的种类及其创建方法；角色的种类及使用方法；权限的种类及操作方法；数据库安全性数据库安全性 保护数据库中的各种数据，以防止保护数据库中的各种数据，以防止因非法使用而造成数据的泄密和破坏。因非法使用而造成数据的泄密和破坏。简单的说就是保护数据库以防止不合法简单的说就是保护数据库以防止不合法的使用所造成的数据泄露。的使用所造成的数据泄露。 制作：荆州

2、职业技术学院 彭岚5.1.1 SQL Server 2008安全管理新特性SQL Server 2008 提供了丰富的安全特性，用于保护数据和网络资源。它的安装更轻松、更安全，除了最基本的特性之外，其他特性都不是默认安装的，即便安装了也处于未启用的状态。SQL Server提供了丰富的服务器配置工具，特别值得关注的就是 SQL Server Surface Area Configuration Tool，它的身份验证特性得到了增强， SQL Server 更加紧密地与Windows身份验证相集成，并保护弱口令或陈旧的口令。有了细粒度授权、SQL Server Agent 代理和执行上下文，在经

3、过验证之后，授权和控制用户可以采取的操作将更加灵活。元数据也更加安全，因为系统元数据视图仅返回关于用户有权以某种形式使用的对象的信息。在数据库级别，加密提供了最后一道安全防线，而用户与架构的分离使得用户的管理更加轻松。制作：荆州职业技术学院 彭岚5.1.2 SQL Server 2008安全性机制服务器级别的安全机制 这个级别的安全性主要通过登录帐户进行控制，要想访问一个数据库服务器 ，必须拥有一个登录帐户。登录帐户可以是Windows账户或组，也可以是SQL Server的登录账户。登录账户可以属于相应的服务器角色。至于角色，可以理解为权限的组合。数据库级别的安全机制 这个级别的安全性主要通

4、过用户帐户进行控制，要想访问一个数据库，必须拥有该数据库的一个用户账户身份。用户账户是通过登录账户进行映射的，可以属于固定的数据库角色或自定义数据库角色。数据对象级别的安全机制 这个级别的安全性通过设置数据对象的访问权限进行控制。如果是使用图形界面管理工具，可以在表上右击，选择“属性”|“权限”选项，然后启用相应的权限复选框即可。制作：荆州职业技术学院 彭岚5.1.3 SQL Server 2008安全主体主体级别主体对象Windows级别Windows域登录、Windows本地登录、Windows组SQL Server级别服务器角色、SQL Server登录SQL Server登录映射为非对

5、称密钥SQL Server登录映射为证书SQL Server登录映射为Windows登录数据库级别数据库用户、应用程序角色、数据库角色、公共数据库角色数据库映射为非对称密钥数据库映射为证书数据库映射为Windows登录制作：荆州职业技术学院 彭岚5.2.1管理SQL Server服务器安全性内容包括：内容包括： 确认用户帐号是否有效；确认用户帐号是否有效； 能否访问系统；能否访问系统； 能访问系统的哪些数据。能访问系统的哪些数据。 制作：荆州职业技术学院 彭岚 身份验证是指当用户访问系统时，系身份验证是指当用户访问系统时，系统对该用户的账号和口令的确认过程。统对该用户的账号和口令的确认过程。S

6、QL SERVER能识别两种类型的身份：能识别两种类型的身份： WINDOWS身份；身份； SQL SERVER身份身份。 用户和客户机在连接用户和客户机在连接SQL时，可任选其时，可任选其一。一。 制作：荆州职业技术学院 彭岚 1、WINDOWS身份：身份： 在使用Windows身份验证模式时，可以使用Windows域中有效的用户和组账户来进行身份验证。这种模式下，域用户不需要独立的SQL Server用户账户和密码就可以访问数据库。 2、SQL SERVER身份：身份： 由由SQL SERVER系统管理员定义系统管理员定义SQL 的登录帐号和密码，用户连接时必须提的登录帐号和密码，用户连接

7、时必须提供帐号和口令。供帐号和口令。制作：荆州职业技术学院 彭岚 1、WINDOWS身份验证方式：身份验证方式： 在使用Windows身份验证模式时，可以使用Windows域中有效的用户和组账户来进行身份验证。这种模式下，域用户不需要独立的SQL Server用户账户和密码就可以访问数据库。WindowsWindows身份验证模式有以下主要优点：身份验证模式有以下主要优点：数据库管理员的工作可以集中在管理数据库上面，而不是管理用户账户。对用户账户的管理可以交给Windows去完成。Windows有更强的用户账户管理工具。可以设置账户锁定、密码期限等。如果不通过定制来扩展SQL Server，S

8、QL Server则不具备这些功能。Windows的组策略支持多个用户同时被授权访问SQL Server。521身份验证模式身份验证模式制作：荆州职业技术学院 彭岚登录过程：登录过程：制作：荆州职业技术学院 彭岚2、混合安全模式、混合安全模式 功 能 ： 指 用 户 登 录 时 ， 其 身 份 由功 能 ： 指 用 户 登 录 时 ， 其 身 份 由WINDOWS NT和和SQL SERVER共同认共同认证。证。 适用对象：适合用于外界用户访问数据适用对象：适合用于外界用户访问数据库或不能登录到库或不能登录到WINDOWS域时使用。域时使用。 制作：荆州职业技术学院 彭岚登录过程：登录过程：制

9、作：荆州职业技术学院 彭岚混合模式身份验证的优点如下：混合模式身份验证的优点如下：l允许SQL Server支持那些需要进行SQL Server身份验证的旧版应用程序和由第三方提供的应用程序。l允许SQL Server支持具有混合操作系统的环境，在这种环境中并不是所有用户均由Windows域进行验证。l允许用户从未知的或不可信的域进行连接。例如，既定客户使用指定的SQL Server登录名进行连接以接收其订单状态的应用程序。l允许SQL Server支持基于Web的应用程序，在这些应用程序中用户可创建自己的标识。l允许软件开发人员通过使用基于已知的预设SQL Server登录名的复杂权限层次结

10、构来分发应用程序。制作：荆州职业技术学院 彭岚3配置身份验证模式配置身份验证模式制作：荆州职业技术学院 彭岚5.2.2管理登录帐号管理登录帐号服务器登录有两种情况：l可用使用域账号登录使用域账号登录，域账号可用是域或本地用户账号、本地组账户或通用的和全局的域组账户；l可用通过指定唯一的登录指定唯一的登录ID和密码来创建和密码来创建SQL Server 2008登录登录，默认登录包括本地管理员组、本地管理员、sa、Network Service和SYSTEM。制作：荆州职业技术学院 彭岚默认登录帐号l系统管理员组系统管理员组 SQL Server 2008中管理员组在数据库服务器上属于本地组。这

11、个组的成员通常包括本地管理员用户账户和任何设置为管理员本地系统的其他用户。在SQL Server 2008中，此组默认授予sysadmin服务器角色。l管理员用户账户管理员用户账户 管理员在SQL Server 2008服务器上的本地用户账户。该账户提供对本地系统的管理权限，主要在安装系统时使用它。如果计算机是Windows域的一部分，管理员账户通常也有域范围的权限。在SQL Server 2008中，这个账户默认授予sysadmin服务器角色。lSa登录登录 是SQL Server系统管理员的账户。而在SQL Server 2008中采用了新的集成和扩展的安全模式，sa不再是必需的，提供此登

12、录账户主要是为了针对以前SQL Server版本的向后兼容性。与其他管理员登录一样，sa默认授予sysadmin服务器角色。在默认安装SQL Server 2008的时候，sa账户没有被指派密码。lNetwork Service和和SYSTEM登录登录 它是SQL Server 2008服务器上内置的本地账户，而是否创建这些账户的服务器登录，依赖于服务器的配置。例如，如果已经将服务器配置为报表服务器，此时将有一个NETWORK SERVICE的登录账户，这个登录将是mester、msdb、ReportServer和ReportServerTempDB数据库的特殊数据库角色RSExceRole的

13、成员。制作：荆州职业技术学院 彭岚登录帐号的创建制作：荆州职业技术学院 彭岚5.2.3管理用户 用户名在特定的数据库内创建，并关联一个登录名（当一个用户创建时，必须关联一个登录名）。通过授权给用户来指定用户可以访问的数据库对象的权限。制作：荆州职业技术学院 彭岚用户的创建用户的创建(一一)制作：荆州职业技术学院 彭岚用户的创建用户的创建(二二)制作：荆州职业技术学院 彭岚用户的创建用户的创建(三三)制作：荆州职业技术学院 彭岚登录名和数据库用户名的关系：登录名和数据库用户名的关系： 登录名是访问登录名是访问SQL SERVERSQL SERVER的通行证，其本身并不能证的通行证，其本身并不能证

14、用户访问服务器中的数据库；用户名是登录名在数据用户访问服务器中的数据库；用户名是登录名在数据库中使用的名称，一个用户名必须和一个登录名相关库中使用的名称，一个用户名必须和一个登录名相关联；联； 登录帐户和数据库用户是登录帐户和数据库用户是SQL SERVERSQL SERVER进行权限管理的进行权限管理的两种不同的对象。两种不同的对象。 一个登录帐户可与服务器上的所有数据库进行关联，一个登录帐户可与服务器上的所有数据库进行关联，产生多个数据库用户产生多个数据库用户, ,但在一个数据库中只能拥有一个但在一个数据库中只能拥有一个用户；用户； 而一个数据库用户只能映射到一个登录帐户。而一个数据库用户

15、只能映射到一个登录帐户。 SQL SERVERSQL SERVER允许数据库为每个用户对象分配不同的权允许数据库为每个用户对象分配不同的权限，为数据库用户授权的过程也就是为登录对象提供限，为数据库用户授权的过程也就是为登录对象提供对数据库的访问权限的过程。对数据库的访问权限的过程。制作：荆州职业技术学院 彭岚改变数据库所有权改变数据库所有权 一个数据库只能有一个数据库所有者，其不能一个数据库只能有一个数据库所有者，其不能被删除，默认情况下，被删除，默认情况下，sasa帐户映射到库中的用帐户映射到库中的用户是户是dbodbo，改变所有权步骤：，改变所有权步骤： 打开要更改所有权的数据库：打开要更

16、改所有权的数据库： 更改所有权：更改所有权：sp_changedbowner sp_changedbowner 登录号登录号注：若将所有权授予某个登录时，该登录不能在注：若将所有权授予某个登录时，该登录不能在数据库中已存在用户，若存在则先删除用户后数据库中已存在用户，若存在则先删除用户后授予所有权授予所有权。制作：荆州职业技术学院 彭岚 例：将例：将cpmscpms的所有权授序的所有权授序login2login2帐号：帐号：use cpmsGoSp_revokedbaccess abcd 先删除已有用户名先删除已有用户名gogosp_changedbowner login2 -授予所有权给授予

17、所有权给LOGIN2帐号帐号制作：荆州职业技术学院 彭岚53管理角色 1 1、定义：角色类似于组，一般将具有相、定义：角色类似于组，一般将具有相同权限的一群用户群添加为某角色成员，同权限的一群用户群添加为某角色成员，然后给这个角色授予适当的权限。这样然后给这个角色授予适当的权限。这样该用户群的所有用户就都具有了该角色该用户群的所有用户就都具有了该角色的权限，而没有必要逐个对每一个用户的权限，而没有必要逐个对每一个用户去授予相同的权限去授予相同的权限 2、优点：避免大量重复的工作，简化和、优点：避免大量重复的工作，简化和方便对用户的管理。方便对用户的管理。 制作：荆州职业技术学院 彭岚3 3、分

18、类：、分类： 服务器角色服务器角色：是服务器级的一个对象，：是服务器级的一个对象，主要用于对登录名设置其对服务器的管主要用于对登录名设置其对服务器的管理权限理权限 数据库角色数据库角色：是数据库级的一个对象，主：是数据库级的一个对象，主要用于对数据库用户设置其对数据库的要用于对数据库用户设置其对数据库的管理权限管理权限 注：同一用户可属于多个角色。注：同一用户可属于多个角色。 制作：荆州职业技术学院 彭岚5.3.1固定服务器角色固定服务器角色 SQL安装完成后，系统自动创建安装完成后，系统自动创建8个固个固定的服务器角色，对于服务器角色来说，定的服务器角色，对于服务器角色来说，数据库管理员只能

19、完成以下两个操作：数据库管理员只能完成以下两个操作：添加和删除服务器角色中的成员，而不添加和删除服务器角色中的成员，而不能删除服务预定义的角色。能删除服务预定义的角色。 制作：荆州职业技术学院 彭岚固定服务器角色及功能（一）：固定服务器角色及功能（一）：sysadmin 这个服务器角色的成员有权在SQL Server 2008中执行任何任务。不熟悉SQL Server 2008的用户可能会意外地造成严重问题，所以给这个角色批派用户时应该特别小心。通常情况下，这个角色仅适合数据库管理员（DBA）。securityadmin 这个服务器角色的成员将管理登录名及其属性。他们可以GRANT、DENY和

20、REVOKE服务器级权限。也可以GRANT、DENY和REVOKE数据库级权限。另外，他们可以重置SQL Server 2008登录名的密码。serveradmin 这个服务器角色的成员可以更改服务器范围的配置选项和关闭服务器。比如SQL Server 2008可以使用多大内存或者关闭服务器，这个角色可以减轻管理员的一些管理负担。setupadmin 这个服务器角色的成员可以添加和删除链接服务器，并且也可以执行某些系统存储过程。 制作：荆州职业技术学院 彭岚固定服务器角色及功能（二）：固定服务器角色及功能（二）：lprocessadmin SQL Server 2008能够多任务化，也就是说，

21、他可以通过执行多个进程做多件事件。例如，SQL Server 2008可以生成一个进程用于向高速缓存写数据，同时生成另一个进程用于从高速缓存中读取数据。这个角色的成员可以结束（在SQL Server 2008中称为删除）进程。ldiskadmin 这个服务器角色用于管理磁盘文件，比台镜像数据库和添加备份设备。这适合于助理DBA。ldbcreator 这个服务器角色的成员可以创建、更改、删除和还原任何数据库。这不仅是适合助理DBA的角色，也可能是个适合开发人员的角色。lbulkadmin 这个服务器角色的成员可以运行BULK INSERT语句。这条语句允许他们从文本文件中将数据导入到SQL Se

22、rver 2008数据库中。 制作：荆州职业技术学院 彭岚系统存储过程对固定服务器角色的操作功能类型说明sp_helpsrvrole元数据返回服务器级角色的列表sp_helpsrvrolemember元数据返回有关服务器级角色成员的信息sp_srvrolepermission元数据显示服务器级角色的权限IS_SRVROLEMEMBER元数据指示SQL Server登录名是否为指定服务器级角色的成员sys.server_role_members元数据为每个服务器级角色的每个成员返回一行sp_addsrvrolemember命令将登录名添加为某个服务器级角色的成员sp_dropsrvrolemem

23、ber命令从 服 务 器 级 角 色 中 删 除 S Q L Server登录名或者Windows用户或者组制作：荆州职业技术学院 彭岚管理服务器角色( 一)制作：荆州职业技术学院 彭岚管理服务器角色（二）制作：荆州职业技术学院 彭岚5.3.2固定数据库角色 固定数据库角色存在于每个数据库中，在数据库级别提供管理特权分组。管理员可将任何有效的数据库用户添加为固定数据库角色成员。每个成员都获得应用于固定数据库角色的权限。用户不能增加、修改和删除固定数据库角色。制作：荆州职业技术学院 彭岚固定数据库角色db_owner 进行所有数据库角色的活动，以及数据库中的其他维护和配置活动。该角色的权限跨越所

24、有其他的固定数据库角色。db_accessadmin 这些用户有权通过添加或者删除用户来指定谁可以访问数据库。db_securityadmin 这个数据库角色的成员可以修改角色成员身份和管理权限。db_ddladmin 这个数据库角色的成员可以在数据库中运行任何数据定义语言(DDL)命令。这个角色允许他们创建、修改或者删除数据库对象，而不必浏览里面的数据。db_backupoperator 这个数据库角色的成员可以备份该数据库。db_datareader 这个数据库角色的成员可以读取所有用户表中的所有数据。db_datawriter 这个数据库角色的成员可以在所有用户表中添加、删除或者更改数据

25、。db_denydatareader 这个服务器角色的成员不能读取数据库内用户表中的任何数据，但可以执行架构修改（比如在表中添加列）。db_denydatawriter 这个服务器角色的成员不能添加、修改或者删除数据库内用户表中的任何数据。制作：荆州职业技术学院 彭岚固定数据库角色的操作代码功能功能类型类型说明说明sp_helpdbfixedrole元数据返回固定数据库角色的列表sp_dbfixedrolepermission元数据显示固定数据库角色的权限sp_helprole元数据返回当前数据库中有关角色的信息sp_helprolemember元数据返回有关当前数据库中某个角色的成员的信息s

26、ys.database_role_members元数据为每个数据库角色的每个成员返回一行IS_MEMBER元数据指示当前用户是否为指定Microsoft Windows组或者Microsoft SQL Server数据库角色的成员CREATE ROLE命令在当前数据库中创建新的数据库角色ALTER ROLE命令更改数据库角色的名称DROP ROLE命令从数据库中删除角色sp_addrole命令在当前数据库中创建新的数据库角色sp_droprole命令从当前数据库中删除数据库角色sp_addrolemember命令为当前数据库中的数据库角色添加数据库用户、数据库角色、Windows登录名或者Wi

27、ndows组sp_droprolemember命令从当前数据库的SQL Server角色中删除安全账户制作：荆州职业技术学院 彭岚5.3.3应用程序角色 应用程序角色是一个数据库主体，他使应用程序能够用其自身的、类似用户的特权来运行。使用应用程序角色，可以只允许通过特定应用程序连接的用户访问特定数据。与数据库角色不同的是，应用程序角色默认情况下不包含任何成员，而且不活动。制作：荆州职业技术学院 彭岚应用程序角色的创建制作：荆州职业技术学院 彭岚应用程序角色和固定数据库角色的区别 应用程序角色不包含任何成员。不能将Windows组、用户和角色添加到应用程序角色。 当应用程序角色被激活以后，这次服

28、务器连接将暂时失去所有应用于登录账户、数据库用户等的权限，而只拥有与应用程序相关的权限。在断开本次连接以后，应用程序失去作用。 默认情况下，应用程序角色非活动，需要密码激活。 应用程序角色不使用标准权限。制作：荆州职业技术学院 彭岚5.3.4用户自定义角色 自定义数据角色当打算为某些数据库用户设置自定义数据角色当打算为某些数据库用户设置相同的权限但预定义的数据库角色不能满足所相同的权限但预定义的数据库角色不能满足所实际要求的权限时，就通过自定义新数据库角实际要求的权限时，就通过自定义新数据库角色来满足这一要求，从而使这些用户能够在数色来满足这一要求，从而使这些用户能够在数据库中实现某一特定功能

29、。据库中实现某一特定功能。制作：荆州职业技术学院 彭岚用户自定义角色的创建（一）制作：荆州职业技术学院 彭岚用户自定义角色的创建（二）制作：荆州职业技术学院 彭岚用户自定义角色的创建（三）制作：荆州职业技术学院 彭岚54管理权限 数据库权限指明用户获得哪些数据库对象的使用权，以及用户能够对这些对象执行何种操作。用户在数据库中拥有的权限取决于以下两方面的因素： 用户账户的数据库权限 用户所在角色的类型制作：荆州职业技术学院 彭岚权限的种类权限的种类 在在SQL Server SQL Server 中，权限分为三类：中，权限分为三类： 对象权限对象权限（Object PermissionObjec

30、t Permission）；）； 语句权限语句权限（Statement Permission Statement Permission ）；）； 隐含权限隐含权限（Implied Permission ） 制作：荆州职业技术学院 彭岚5.4.1对象权限 是指用户对数据库中的表、视图、存储过程等是指用户对数据库中的表、视图、存储过程等对象的操作权限，相当于数据库操作语言对象的操作权限，相当于数据库操作语言（DMLDML）的语句权限，例如是否允许查询、添）的语句权限，例如是否允许查询、添加、删除和修改数据等。对象权限的具体内容加、删除和修改数据等。对象权限的具体内容包括以下包括以下3 3个方面：个

31、方面： a.a.对于表和视图：是否允许执行对于表和视图：是否允许执行SelectSelect、InsertInsert、UpdateUpdate、DeleteDelete语句。语句。 b.b.对于表和视图的字段：是否允许执行对于表和视图的字段：是否允许执行SelectSelect和和UpdateUpdate语句。语句。 c.对于存储过程：是否允许执行对于存储过程：是否允许执行Execute语句。语句。 下一页上一页总目录本次课目录制作：荆州职业技术学院 彭岚5.4.2语句权限语句权限 相当于数据定义语言（相当于数据定义语言（DLLDLL）的语句权限，这）的语句权限，这种权限专指是否允许执行下列

32、语句：种权限专指是否允许执行下列语句： Create Table Create DefaultCreate Table Create Default Create Procedure Create RuleCreate Procedure Create Rule Create View Backup DatabaseCreate View Backup Database Backup LogBackup Log制作：荆州职业技术学院 彭岚5.4.3隐含权限隐含权限 是指由是指由SQL Server SQL Server 预定义的服务器角预定义的服务器角色、数据库所有者（色、数据库所有者（dbo

33、dbo）和数据库对象）和数据库对象所有者（所有者（dboodboo）所拥有的权限，隐含权）所拥有的权限，隐含权限相当于内置权限，并不需要明确地授限相当于内置权限，并不需要明确地授予这些权限。予这些权限。 例如，服务器角色例如，服务器角色Sysadmin的成员可在的成员可在整个服务器范围内从事任何操作，数据整个服务器范围内从事任何操作，数据库所有者库所有者dbo可对本数据库进行任何操作可对本数据库进行任何操作 制作：荆州职业技术学院 彭岚2 2、权限的管理、权限的管理 在上述三种权限中，隐含权限是由系统在上述三种权限中，隐含权限是由系统预定义的，这类权限是不需要、也不能预定义的，这类权限是不需要

34、、也不能够进行设置的。因此，权限的设置实际够进行设置的。因此，权限的设置实际上就是指上就是指对象权限和语句权限的设置对象权限和语句权限的设置。权限可由数据库所有者和角色进行管理。权限可由数据库所有者和角色进行管理。 制作：荆州职业技术学院 彭岚权限管理的内容包括以下权限管理的内容包括以下3 3个方面的内容个方面的内容 a.a.授予权限（授予权限（GrantGrant）：）：即允许某个用户或角即允许某个用户或角色对一个对象执行某种操作或某种语句。色对一个对象执行某种操作或某种语句。 b.b.剥夺权限（剥夺权限（RevokeRevoke）：）：即不允许某个用户或即不允许某个用户或角色对一个对象执行

35、某种操作或某种语句，或角色对一个对象执行某种操作或某种语句，或者收回曾经授予的某种权限，这与授予权限正者收回曾经授予的某种权限，这与授予权限正好相反。好相反。 c.拒绝访问（拒绝访问（Deny）：）：即拒绝某个用户或角色即拒绝某个用户或角色访问某个对象，即使该用户或角色被授予这种访问某个对象，即使该用户或角色被授予这种权限，或者由于继承而获得这种权限，仍然不权限，或者由于继承而获得这种权限，仍然不允许执行相应的操作允许执行相应的操作 制作：荆州职业技术学院 彭岚3 3）使用）使用T-SQLT-SQL语句管理语句的权限语句管理语句的权限 在在T-SQLT-SQL语言中，与权限管理有关的语语言中，与权限管理有关的语句有以下三个：句有以下三个： Grant语句：用于授予权限语句：用于授予权限； Revoke语句：用于剥夺权限语句：用于剥夺权限； Deny语句：用于禁止权限语句：用于禁止权限 制作：荆州职业技术学院 彭岚