《SQLServer配套资料（第3版）》-模块10 数据库的安全管理

重庆航天职业技术学院数据库应用（SQLServer）/detail/235897295第10章数据库的安全管理能根据数据库安全需求设置SQLServer登录身份验证模式。能根据数据库安全需求创建SQLServer登录名和数据库用户。能根据数据库安全需求进行权限管理和角色管理。能根据数据库安全选择合理的恢复机制。第10章数据库的安全管理任务设计：10.1数据库安全性控制10.2SQLServer登录管理10.3用户管理10.4权限管理10.5角色管理10.6管理架构10.7数据库的备份与还原10.8任务训练第10章数据库的安全管理10.1任务1：数据库安全性控制理解数据库安全性机制1掌握SQLServer的身份验证模式2任务目标：10.1任务1：数据库安全性控制数据的安全性管理是数据库服务器应实现的重要功能之一。数据的安全性是指保护数据以防止不合法的使用而造成数据的泄密和破坏。SQLServer2019数据库采用了复杂的安全包含措施，其安全管理体现在对用户登录进行身份验证，对用户的操作进行权限管理。10.1.1SQLServer的安全性机制数据对象访问权限数据库访问权限SQLServer服务器系统操作权限数据库对象级（家中事物）数据库级（具体用户）SQLServer级（进入楼栋）操作系统级（进入小区）10.1.2SQLServer的身份验证模式

Windows身份验证模式

来自于Windows的用户账号或组SQLServer身份验证混合身份验证模式

SQLServer内部创建的SQLServer登录账户

10.1.3设置身份验证模式在第一安装SQLServer或者使用SQLServer连接服务器时，需要指定验证模式。对于已经指定验证模式的SQLServer服务器，在SQLServer中还可以进行修改。使用SSMS设置或改变验证模式的步骤如下：（1）启动SSMS并连接到目标服务器，在【对象资源管理器】窗口中，用右键单击目标服务器节点，在弹出的快捷菜单中选择“属性”命令，如图11-2所示。（2）在【服务器属性-CYP】窗口，选择左侧“选择页”列表框中的“安全性”，打开“安全性”页，如图11-3所示。（3）在“服务器身份验证”选项区域中选择需要的验证模式。用户还可以在“登录审核”选项区域中设置需要的审核方式。审核方式取决于安全性的要求，系统提供的四种审核级别的含义如下。“无”：不使用登录审核。“仅限是不的登录”：记录所有的失败登录。“仅限成功的登录”：记录所有的成功登录。“失败和成功的登录”：记录所有的登录。提示：在设置了身份验证模式后，需要打开SQLServer配置管理器将SQLServer服务重新启动后，配置更改才会生效。（4）单击“确定”按钮，完成登录验证模式的设置。提示：在设置了身份验证模式后，需要打开SQLServer配置管理器将SQLServer服务重新启动后，配置更改才会生效。10.2任务2：SQLServer登录管理理解登录名的作用1掌握创建登录名的两种方法2任务目标：10.2任务2：SQLServer登录管理10.2.1为Windows授权用户创建登录名10.2.2为SQLServer授权用户创建登录名10.2.3修改和删除登录名SQLServer登录管理（详见P246）10.3任务3：用户管理理解登录名与数据库用户名之间的关系1掌握用户管理的方法2任务目标：10.3任务3：用户管理能够登录到SQLServer，并不表明一定可以访问数据库，登录用户只有成为数据库用户后才能访问数据库。在一个数据库中，用户账号唯一标识一个一个用户，用户对数据库的访问权限以及对数据库对象的所有关系都是通过用户账号来控制的。一般来说，登录账号和用户账号相同方便操作，登录账号和用户账号也可不同，而且同一个登录账号可以关联多个用户账号。每个登录账号在一个数据库中只能有一个用户账号。管理员可以对SQLServer2019中的数据库用户账号进行创建、修改和删除。10.3任务3：用户管理10.3.1创建数据库用户用户管理（详见P247）10.3.2修改和删除数据库用户10.4任务4：权限管理任务目标：理解权限的概念1掌握常用的权限管理方法2掌握最基本的T-SQL语句管理权限310.4任务4：权限管理10.4.1权限概述服务器权限允许数据库管理员执行管理任务。这些权限定义在固定服务器角色（FixedServerRoles）中，这些固定服务器角色可以分配给登录用户。但这些角色是不能修改的，详细介绍参见10.5节。数据库权限用于控制对数据库对象的访问和语句执行。在SQLServer中，数据库权限分为数据库对象权限和数据库语句权限。对权限的管理包含以下3个内容。授予权限（GRANT）：允许用户或角色具有某种权利。回收权限（DENY）：删除以前数据库内的用户授予或拒绝的权限。拒绝权限（REVOKE）：拒绝给当前数据内的安全账户授予权限并防止安全账户通过其组或角色成员继承权限，可以理解为取消操作。10.4任务4：权限管理10.4.2数据库对象权限（详见P249）数据库对象权限是授予数据库用户对数据库中的表、视图和存储过程等对象的操作权，相当于数据库操作语言的语句权限。对于表和视图，拥有者可以授予用户对于表的INSERT、UPDATE、DELETE和SELECT权限，对于列的SELECT和UPDATE权限，对于外码的引用REFERENCES权限以及对于存储过程的执行EXEXUTE权限。10.4.3数据库语句权限（详见P252）数据库对象权限使用户能够访问存在于数据库中的对象，除了数据库对象权限外，还可以为用户分配数据库语句权限。10.5任务5：角色管理理解角色的概念1掌握管理角色的方法2任务目标：10.5任务5：角色管理

角色是一种权限机制。SQLServer管理员可以将某些用户设置为某一角色，这样只对角色进行权限设置便可实现多个用户权限的设置，从而便于管理。角色用来将很多权限分配给各个用户这一复杂任务的管理。10.5.1服务器级角色（详见P256）10.5.2数据库角色（详见P257）10.6任务6：管理架构理解架构的概念1掌握管理架构的方法2任务目标：10.6任务6：管理架构架构（Schema）是指包含表、视图、存储过程等的容器。它位于数据库内部，而数据库位于服务器内部。这些实体就像嵌套框放置在一起，服务器是最外面的框，而架构是最里面的框。SQLServer对象完整的标识符包含4个部分：服务器、数据库、架构、对象。10.6.1架构概述数据库架构是一个独立于数据库用户的非重复命名空间，可以在数据库中创建和更改架构，并且可以授予用户访问架构的权限。任何用户都可以拥有架构，但是一个架构只能有一个拥有者，架构的所有权可以转移。如果没有定义DEFAULT_SCHEMA，则所创建的数据库用户将“dbo”作为默认架构。例如，在创建表“student”时没有指定架构，那么系统默认该表的架构是“dbo”，在表名前自动加上dbo，标识为“dbo.student”。这就是我们经常看到所创建和引用的数据库对象通常加有前缀“dbo”的原因。10.6任务6：管理架构10.6.2创建架构（详见P257）创建架构的基本语法格式如下：CREATESCHEMA架构名AUTHORIZATION拥有者{CREATETABLE|CREATEVIEW|权限语句}……其中，拥有者是数据库用户或角色。10.6.3修改和删除架构（详见P258）10.7任务7：数据库的备份与还原理解备份与还原的概念1掌握备份与还原的方法2任务目标：10.7任务7：数据库的备份与还原理解备份与还原的概念1掌握备份与还原的方法2任务目标：10.7任务7：数据库的备份与还原

在数据库应用环境中，计算机系统的各种软硬件故障、人为破坏及用户误

操作等不可避免的导致数据丢失。为了有效防止数据丢失，保障数据的安全性，尽快恢复系统正常工作并把损失降到最低，应该为系统创建备份并提供相应的备份和还原策略。10.7任务7：数据库的备份与还原10.7.1