数据库的安全管理

第14章数据库的安全管理教学内容1、SQLServer的安全机制2、登录账号管理3、数据库用户管理4、角色管理5、权限管理第14章数据库的安全管理教学目的与要求了解SQLServer的安全机制与身份验证模式；理解登录账号与数据库用户的区别；了解服务器角色与数据库角色；掌握语句权限与对象权限的管理；第14章数据库的安全管理重点身份验证模式；登录账号、数据库用户；对象权限、语句权限；难点GRANT、REVOKE、DENY1、SQLServer的安全机制SQLServer的安全性是建立在身份验证和访问许可两种安全机制上的；身份验证用来确定登录SQLServer的用户的登录账号和密码是否正确，以此来验证其是否具有连接SQLServer的权限通过身份验证并不代表其能够访问SQLServer中的数据库对象访问许可用来指定登录用户可以使用的数据库对象（如表、视图、存储过程、函数等）以及可以对这些对象执行的操作1、SQLServer的安全机制SQLServer的安全机制主要包括三个等级服务器级别的安全性主要通过登录账号进行控制，要想访问一个数据库服务器，必须拥有一个登录账号，登录账号可以是windows账号或组，也可以是SQLServer的登录账号；登录账号可以属于相应的服务器角色；数据库级别的安全性主要通过数据库用户进行控制，要想访问一个数据库，必须拥有该数据库的一个用户，数据库用户是通过登录账号进行映射的，可以属于固定的数据库角色或自定义的数据库角色；数据对象级别的安全性通过设置数据对象的访问权限进行控制的；1、SQLServer的安全机制SQLServer的安全机制主要包括三个等级1、SQLServer的安全机制两种身份验证模式两种身份验证模式：Windows身份验证和混合验证（即Windows验证或SQLServer验证）Windows身份验证使用Windows操作系统的安全机制验证用户身份，只要用户能够通过Windows用户账号验证，即可连接到SQLServer而不再进行身份验证混合验证对于可信任连接用户(由Windows验证)，系统直接采用Windows的身份验证机制否则采用SQLServer身份验证模式，用户在连接SQLServer时必须提供登录名和密码，这些登陆信息存储在系统表syslogins中，与Windows的登陆帐号无关1、SQLServer的安全机制身份验证模式设置2、登录账号管理登录账号是服务器级用户访问数据库系统的标识为了访问SQLServer系统，用户必须提供正确的登录账号，这些登录账号既可以是Windows登录账号，也可以是SQLServer登录账号，但它必须是符合标识符规则的惟一名字登录账号的信息是系统信息，存储在master数据库的sysxlogins系统表中，用户如需要有关登录账号的信息可以到该表中查询2、登录录账号管管理查看登录录账号2、登录录账号管管理---使用用SSMS管理理登录账账号添加一个个WindowsNT用户或用用户组例1：增加windows用户“WTQ-PC\Test”2、登录录账号管管理---使用用SSMS管理理登录账账号添加一个个WindowsNT用户或用用户组例1(续)：增加windows用户“WTQ-PC\Test”2、登录录账号管管理---使用用SSMS管理理登录账账号添加一个个WindowsNT用户或用用户组例1(续)：增加windows用户“WTQ-PC\Test”2、登录录账号管管理---使用用SSMS管理理登录账账号添加一个个SQLServer用户例2：增加SQLServer用户，用用户名sql，密码pwd2、登录录账号管管理---使用用SSMS管理理登录账账号添加一个个SQLServer用户例2(续)：增加SQLServer用户，用用户名sql，密码pwd2、登录录账号管管理---使用用SSMS管理理登录账账号修改登录录账号例3：修改登登录账号号“sql”的属性性2、登录录账号管管理---使用用SSMS管理理登录账账号修改登录录账号例3(续)：修改登登录账号号“sql”的属性性2、登录录账号管管理---使用用SSMS管理理登录账账号修改登录录账号例3(续)：修改登登录账号号“sql”的属性性2、登录账账号管理---使用用SSMS管理登录录账号修改登录账账号例3(续)：修改登录录账号“sql”的属性2、登录账账号管理---使用用SSMS管理登录录账号修改登录账账号例3(续)：修改登录录账号“sql”的属性2、登录账账号管理---使用用SSMS管理登录录账号删除登录账账号例4：删除登录录账号“WTQ-PC\Test”2、登录账账号管理---使用用T-SQL命令管管理登录账账号添加一个WindowsNT用户或用户户组例5：增加windows用户“WTQ-PC\Test”，默认数数据库为DBS2、登录账账号管理---使用用T-SQL命令管管理登录账账号添加一个SQLServer用户例6：增加SQLServer用户，用户户名sql，密码pwd，默认数据据库为DBS2、登录账账号管理---使用用T-SQL命令管管理登录账账号修改登录账账号例7：修改登录录账号“sql”的属性2、登录账账号管理---使用用T-SQL命令管管理登录账账号删除登录账账号例8：删除Windows登录账号““WTQ-PC\Test”例9：删除SQLServer登录账号““sql”3、数据库库用户管理理数据库用户户登录账号登登录成功后后，如果想想要操作数数据库，必必须有一个个数据库用用户账号，，然后为这这个数据库库用户设置置某种角色色，才能进进行相应的的操作；数据库用户户可以与登登录账号相相同，也可可以不相同同；每个登录帐帐号在一个个数据库中中只能有一一个用户帐帐号，但每每个登录帐帐号可以在在不同的数数据库中各各有一个用用户帐号。。如果在新新建登录帐帐号过程中中，指定它它对某个数数据库具有有存取权限限，则在该该数据库中中将自动创创建一个与与该登录帐帐号同名的的用户帐号号；3、数据库库用户管理理登录账号与与数据库用用户的区别别一个合法的的登录账号号只表明该该账号通过过了NT认证或SQLServer认证，但不不能表明其其可以对数数据库数据据和数据对对象进行某某种或某些些操作只有当其同同时拥有了了数据库用用户账号后后，才能够够访问相应应的数据库库一个登录账账号总是与与一个或多多个数据库库用户账号号（这些账账号必须分分别存在相相异的数据据库中）相相对应，这这样才可以以访问数据据库例如，登录录账号sa自动与每一一个数据库库用户dbo相关联3、数据库库用户管理理创建数据库库用户例10：在数据库库DBS中创建数据据库用户3、数据库库用户管理理创建数据库库用户例10(续)：在数据库库DBS中创建数据据库用户3、数据库库用户管理理创建数据库库用户例10(续)：在数据库库DBS中创建数据据库用户3、数据库库用户管理理修改数据库库用户例11：修改数据据库DBS中数据库用用户sql3、数据库库用户管理理删除数据库库用户例12：删除数据据库DBS中数据库用用户sql4、角色管管理利用角色，，SQLServer管理者可以以将某些用用户设置为为某一角色色，这样只只对角色进进行权限设设置便可实实现对所有有用户权限限的设置，，大大减少少了管理员员的工作量量；“角色”类类似于MicrosoftWindows操作系统中中的“组””SQLServer中有两种角角色固有服务器器角色数据库角色色固有数据库库角色应用程序角角色4、角色管管理---固有服务务器角色服务器级角角色也称为为“固定服务器器角色”，因为用用户不能删删除，也不不能创建新新的服务器器级角色；；服务器级角角色的权限限作用域为为服务器范范围。可以向服务务器级角色色中添加SQLServer登录名、Windows帐户和Windows组。固定服服务器角色色的每个成成员都可以以向其所属属角色添加加其他登录录名。4、角色管管理---固有服务务器角色4、角色管管理---固有服务务器角色sysadmin：可以在服服务器上执执行任何活活动；Serveradmin：可以更改服服务器范围围的配置选选项和关闭闭服务器securityadmin：可以管理理登录名及及其属性；；processadmin：可以终止止在SQLServer实例中运行行的进程setupadmin：可以添加加和删除链链接服务器器；bulkadmin：可以运行行BULKINSERT语句；diskadmin：用用于于管管理理磁磁盘盘文文件件；；dbcreator：可可以以创创建建、、更更改改、、删删除除和和还还原原任任何何数数据据库库；；每个个SQLServer登录录名名都都属属于于public服务务器器角角色色；；4、、角角色色管管理理---固固有有数数据据库库角角色色固定定数数据据库库角角色色是在在数数据据库库级级别别定定义义的的，，并并且且存存在在于于每每个个数数据据库库中中；；一个个数数据据库库角角色色只只在在其其所所在在的的数数据据库库中中有有效效，，对对其其他他数数据据库库无无效效；；可以以向向数数据据库库级级角角色色中中添添加加任任何何数数据据库库帐帐户户和和其其他他SQLServer角色色；；用户户不不能能删删除除固固有有的的数数据据库库角角色色；；4、、角角色色管管理理---固固定定数数据据库库角角色色4、、角角色色管管理理---固固定定数数据据库库角角色色db_owner：可可以以执执行行数数据据库库的的所所有有配配置置和和维维护护活活动动，，还还可可以以删删除除数数据据库库；；db_securityadmin：可可以以修修改改角角色色成成员员身身份份和和管管理理权权限限；；db_accessadmin：可可以以为为Windows登录录名名、、Windows组和SQLServer登录名添加或或删除数据库库访问权限；；db_backupoperator：可以备份数数据库；db_ddladmin：可以在数据据库中运行任任何数据定义义语言(DDL)命令db_datawriter：可以在所有有用户表中添添加、删除或或更改数据；；db_datareader：可以从所有有用户表中读读取所有数据据；db_denydatawriter：不能添加、、修改或删除除数据库内用用户表中的任任何数据；db_denydatareader：不能读取数数据库内用户户表中的任何何数据；每个数据库用用户都属于public数据库角色；；4、角色管理理---应用用程序角色应用程序角色色是一种比较特特殊的由用户户定义的数据据库角色如果想让某些些用户只能通通过特定的应应用程序间接接地存取数据据库中的数据据，而不是直直接地存取数数据库数据时时，就应该考考虑使用应用用程序角色；；应用程序角色色默认情况下下不包含任何何成员，且且是非活动的的必须为应用程程序角色设计计一个密码以以激活它；5、权限管理理许可（权限））用来指定授授权用户可以以使用的数据据库对象和这这些授权用户户可以对这些些数据库对象象执行的操作作；在SQLServer中包括三种类类型的许可：：对象许可、语句许可和隐含许可；5、权限管理理---对象象许可表示对特定的的数据库对象象，即表、视视图、字段和和存储过程的的操作许可；；它决定了能对对表、视图、、存储过程等等执行哪些操操作（如UPDATE、DELETE、INSERT、EXECUTE）；如果用户想要要对某一对象象进行操作，，其必须具有有相应的操作作的权限；例如，当用户户要成功修改改表中数据时时，则前提条条件是已被授授予表的UPDATE权限；5、权限管理理---对象象许可例13：为数据库DBS中的用户sql授予对Student表的select、insert权限，拒绝update、delete权限5、权限管理理---语句句许可指定用户是否否具有权限来来执行某一语语句，这些语语句通常是一一些具有管理理性的操作，，如创建数据据库、表、存存储过程等；；还包括备份数数据库和事务务日志的权限限；5、权限管理理---语句句许可例14：为数据库DBS中的用户sql授予备份数数据库的权权限，拒绝绝创建表的的权限5、权限管管理---隐含许可可系统自行预预定义而不不需要授权权就有的权权限，包括括固定服务务器角色、、固定数据据库角色和和数据库对对象所有者者所拥有的的权限；例如：服务务器角色sysadmin的成员可以以在整个服服务器范围围内从事任任何操作，，数据库拥拥有者db_owner被授予了对对其所创建建的数据库库的一切权权限；5、权限管管理---使用T-SQL语语句管理权权限GRANT授予权限DENY拒绝权限REVOKE撤销权限5、权限管管理---使用T-SQL语语句管理权权限例15：将查询Student表的权限授授予用户sql例16：将Student表全部操作作权限授予予用户sql例17：将SC表的查询权权限授予所所有用户例18：将查询Student表和修改Sname的权限授予予用户sql5、权限管管理---使用T-SQL语语句管理权权限例19：将对SC表的插入权权限授予用用户sql，允许sql再将此权限限授予给其其他用户例20：将数据库库DBS中创建表的的权限授予予用户sql5、权限管管理---使用T-SQL语语句管理权权限例21：撤销用户户sql对Student表中Sname列的修改权权限例22：撤销所有有用户对SC表的查询权权限例23：撤销用户户sql对SC表的插入权权限，同时时撤销其授授予其他用用户的权限限5、权限管管理---使用T-SQL语语句管理权权限例24：拒绝用户户sql对Course表的SELECT权限例25：拒绝用户户sql对存储过程程usp_Test的Execute权限9、静夜四四无邻，，荒居旧旧业贫。。。12月-2212月-22Thursday,December29,202210、雨中中黄叶叶树，，灯下下白头头人。。。13:55:1913:55:1913:5512/29/20221:55:19PM11、以我独沈久久，愧君相见见频。。12月-2213:55:1913:55Dec-2229-Dec-2212、故人江海海别，几度度隔山川。。。13:55:1913:55:1913:55Thursday,December29,202213、乍见见翻疑疑梦，，相悲悲各问问年。。。12月月-2212月月-2213:55:1913:55:19December29,202214、他乡生生白发，，旧国见见青山。。。29十十二月20221:55:20下午午13:55:2012月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月221:55下午午12月-2213:55December29,202216、行动出出成果，，工作出出财富。。。2022/12/2913:55:2013:55:2029December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。1:55:20下下午午1:55下下午午13:55:2012月月-229、没有失败败，只有暂暂时停止成成功！。12月-2212月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。13:55:2013:55:2013:5512/29/20221:55:20PM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。。。。12月月-2213:55:2013:55Dec-2229-Dec-2212、世间成事事，不求其其绝对圆满满，留一份份不足，可可得无限完完美。。13:55:2013:55:2013:55Thursday,December29,202213、不知知香积积寺，，数里里入云云峰。。。12月月-2212月月-2213:55:2013:55:20December29,202214、意志坚强的的人能把世界界放在手中像像泥块一样任任意揉捏。29十二月月20221:55:20下午13:55:2012月-2215、楚塞三三湘接，，荆门九九派通。。。。十二月221:55下午午12月-2213:55December29,202216、少年十五二二十时，步行行夺得胡马骑骑。。2022/12/2913:55:2013:55:2029December202217、空山山新雨雨后，，天气气晚