數據庫的安全管理2023/10/8數據庫的安全管理數據庫的安全管理2023/10/7數據庫的安全管理1第14章數據庫的安全管理教學目的與要求了解SQLServer的安全機制與身份驗證模式；理解登錄賬號與數據庫用戶的區別；了解服務器角色與數據庫角色；掌握語句權限與對象權限的管理；數據庫的安全管理第14章數據庫的安全管理教學目的與要求數據庫的安全管理2第14章數據庫的安全管理重點身份驗證模式；登錄賬號、數據庫用戶；對象權限、語句權限；難點GRANT、REVOKE、DENY數據庫的安全管理第14章數據庫的安全管理重點數據庫的安全管理31、SQLServer的安全機制SQLServer的安全性是建立在身份驗證和訪問許可兩種安全機制上的；身份驗證用來確定登錄SQLServer的用戶的登錄賬號和密碼是否正確，以此來驗證其是否具有連接SQLServer的權限通過身份驗證并不代表其能夠訪問SQLServer中的數據庫對象訪問許可用來指定登錄用戶可以使用的數據庫對象（如表、視圖、存儲過程、函數等）以及可以對這些對象執行的操作數據庫的安全管理1、SQLServer的安全機制SQLServer的安全41、SQLServer的安全機制SQLServer的安全機制主要包括三個等級服務器級別的安全性主要通過登錄賬號進行控制，要想訪問一個數據庫服務器，必須擁有一個登錄賬號，登錄賬號可以是windows賬號或組，也可以是SQLServer的登錄賬號；登錄賬號可以屬于相應的服務器角色；數據庫級別的安全性主要通過數據庫用戶進行控制，要想訪問一個數據庫，必須擁有該數據庫的一個用戶，數據庫用戶是通過登錄賬號進行映射的，可以屬于固定的數據庫角色或自定義的數據庫角色；數據對象級別的安全性通過設置數據對象的訪問權限進行控制的；數據庫的安全管理1、SQLServer的安全機制SQLServer的安51、SQLServer的安全機制SQLServer的安全機制主要包括三個等級數據庫的安全管理1、SQLServer的安全機制SQLServer的安61、SQLServer的安全機制兩種身份驗證模式兩種身份驗證模式：Windows身份驗證和混合驗證（即Windows驗證或SQLServer驗證）Windows身份驗證使用Windows操作系統的安全機制驗證用戶身份，只要用戶能夠通過Windows用戶賬號驗證，即可連接到SQLServer而不再進行身份驗證混合驗證對于可信任連接用戶(由Windows驗證)，系統直接采用Windows的身份驗證機制否則采用SQLServer身份驗證模式，用戶在連接SQLServer時必須提供登錄名和密碼，這些登陸信息存儲在系統表syslogins中，與Windows的登陸帳號無關數據庫的安全管理1、SQLServer的安全機制兩種身份驗證模式數據庫的安71、SQLServer的安全機制身份驗證模式設置數據庫的安全管理1、SQLServer的安全機制身份驗證模式設置數據庫的安82、登錄賬號管理登錄賬號是服務器級用戶訪問數據庫系統的標識為了訪問SQLServer系統，用戶必須提供正確的登錄賬號，這些登錄賬號既可以是Windows登錄賬號，也可以是SQLServer登錄賬號，但它必須是符合標識符規則的惟一名字登錄賬號的信息是系統信息，存儲在master數據庫的sysxlogins系統表中，用戶如需要有關登錄賬號的信息可以到該表中查詢數據庫的安全管理2、登錄賬號管理登錄賬號數據庫的安全管理92、登錄賬號管理查看登錄賬號數據庫的安全管理2、登錄賬號管理查看登錄賬號數據庫的安全管理102、登錄賬號管理---使用SSMS管理登錄賬號添加一個WindowsNT用戶或用戶組例1：增加windows用戶“WTQ-PC\Test”數據庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號添加一個Win112、登錄賬號管理---使用SSMS管理登錄賬號添加一個WindowsNT用戶或用戶組例1(續)：增加windows用戶“WTQ-PC\Test”數據庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號添加一個Win122、登錄賬號管理---使用SSMS管理登錄賬號添加一個WindowsNT用戶或用戶組例1(續)：增加windows用戶“WTQ-PC\Test”數據庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號添加一個Win132、登錄賬號管理---使用SSMS管理登錄賬號添加一個SQLServer用戶例2：增加SQLServer用戶，用戶名sql，密碼pwd數據庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號添加一個SQL142、登錄賬號管理---使用SSMS管理登錄賬號添加一個SQLServer用戶例2(續)：增加SQLServer用戶，用戶名sql，密碼pwd數據庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號添加一個SQL152、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號例3：修改登錄賬號“sql”的屬性數據庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號數162、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號例3(續)：修改登錄賬號“sql”的屬性數據庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號數172、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號例3(續)：修改登錄賬號“sql”的屬性數據庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號數182、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號例3(續)：修改登錄賬號“sql”的屬性數據庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號數192、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號例3(續)：修改登錄賬號“sql”的屬性數據庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號修改登錄賬號數202、登錄賬號管理---使用SSMS管理登錄賬號刪除登錄賬號例4：刪除登錄賬號“WTQ-PC\Test”數據庫的安全管理2、登錄賬號管理---使用SSMS管理登錄賬號刪除登錄賬號數212、登錄賬號管理---使用T-SQL命令管理登錄賬號添加一個WindowsNT用戶或用戶組例5：增加windows用戶“WTQ-PC\Test”，默認數據庫為DBS數據庫的安全管理2、登錄賬號管理---使用T-SQL命令管理登錄賬號添加一個222、登錄賬號管理---使用T-SQL命令管理登錄賬號添加一個SQLServer用戶例6：增加SQLServer用戶，用戶名sql，密碼pwd，默認數據庫為DBS數據庫的安全管理2、登錄賬號管理---使用T-SQL命令管理登錄賬號添加一個232、登錄賬號管理---使用T-SQL命令管理登錄賬號修改登錄賬號例7：修改登錄賬號“sql”的屬性數據庫的安全管理2、登錄賬號管理---使用T-SQL命令管理登錄賬號修改登錄242、登錄賬號管理---使用T-SQL命令管理登錄賬號刪除登錄賬號例8：刪除Windows登錄賬號“WTQ-PC\Test”例9：刪除SQLServer登錄賬號“sql”數據庫的安全管理2、登錄賬號管理---使用T-SQL命令管理登錄賬號刪除登錄253、數據庫用戶管理數據庫用戶登錄賬號登錄成功后，如果想要操作數據庫，必須有一個數據庫用戶賬號，然后為這個數據庫用戶設置某種角色，才能進行相應的操作；數據庫用戶可以與登錄賬號相同，也可以不相同；每個登錄帳號在一個數據庫中只能有一個用戶帳號，但每個登錄帳號可以在不同的數據庫中各有一個用戶帳號。如果在新建登錄帳號過程中，指定它對某個數據庫具有存取權限，則在該數據庫中將自動創建一個與該登錄帳號同名的用戶帳號；數據庫的安全管理3、數據庫用戶管理數據庫用戶數據庫的安全管理263、數據庫用戶管理登錄賬號與數據庫用戶的區別一個合法的登錄賬號只表明該賬號通過了NT認證或SQLServer認證，但不能表明其可以對數據庫數據和數據對象進行某種或某些操作只有當其同時擁有了數據庫用戶賬號后，才能夠訪問相應的數據庫一個登錄賬號總是與一個或多個數據庫用戶賬號（這些賬號必須分別存在相異的數據庫中）相對應，這樣才可以訪問數據庫例如，登錄賬號sa自動與每一個數據庫用戶dbo相關聯數據庫的安全管理3、數據庫用戶管理登錄賬號與數據庫用戶的區別數據庫的安全管理273、數據庫用戶管理創建數據庫用戶例10：在數據庫DBS中創建數據庫用戶數據庫的安全管理3、數據庫用戶管理創建數據庫用戶數據庫的安全管理283、數據庫用戶管理創建數據庫用戶例10(續)：在數據庫DBS中創建數據庫用戶數據庫的安全管理3、數據庫用戶管理創建數據庫用戶數據庫的安全管理293、數據庫用戶管理創建數據庫用戶例10(續)：在數據庫DBS中創建數據庫用戶數據庫的安全管理3、數據庫用戶管理創建數據庫用戶數據庫的安全管理303、數據庫用戶管理修改數據庫用戶例11：修改數據庫DBS中數據庫用戶sql數據庫的安全管理3、數據庫用戶管理修改數據庫用戶數據庫的安全管理313、數據庫用戶管理刪除數據庫用戶例12：刪除數據庫DBS中數據庫用戶sql數據庫的安全管理3、數據庫用戶管理刪除數據庫用戶數據庫的安全管理324、角色管理利用角色，SQLServer管理者可以將某些用戶設置為某一角色，這樣只對角色進行權限設置便可實現對所有用戶權限的設置，大大減少了管理員的工作量；“角色”類似于MicrosoftWindows操作系統中的“組”SQLServer中有兩種角色固有服務器角色數據庫角色固有數據庫角色應用程序角色數據庫的安全管理4、角色管理利用角色，SQLServer管理者可以將某些334、角色管理---固有服務器角色服務器級角色也稱為“固定服務器角色”，因為用戶不能刪除，也不能創建新的服務器級角色；服務器級角色的權限作用域為服務器范圍。可以向服務器級角色中添加SQLServer登錄名、Windows帳戶和Windows組。固定服務器角色的每個成員都可以向其所屬角色添加其他登錄名。數據庫的安全管理4、角色管理---固有服務器角色服務器級角色也稱為“固定服務344、角色管理---固有服務器角色數據庫的安全管理4、角色管理---固有服務器角色數據庫的安全管理354、角色管理---固有服務器角色sysadmin：可以在服務器上執行任何活動；Serveradmin：可以更改服務器范圍的配置選項和關閉服務器securityadmin：可以管理登錄名及其屬性；processadmin：可以終止在SQLServer實例中運行的進程setupadmin：可以添加和刪除鏈接服務器；bulkadmin：可以運行BULKINSERT語句；diskadmin：用于管理磁盤文件；dbcreator：可以創建、更改、刪除和還原任何數據庫；每個SQLServer登錄名都屬于public服務器角色；數據庫的安全管理4、角色管理---固有服務器角色sysadmin：可以在服364、角色管理---固有數據庫角色固定數據庫角色是在數據庫級別定義的，并且存在于每個數據庫中；一個數據庫角色只在其所在的數據庫中有效，對其他數據庫無效；可以向數據庫級角色中添加任何數據庫帳戶和其他SQLServer角色；用戶不能刪除固有的數據庫角色；數據庫的安全管理4、角色管理---固有數據庫角色固定數據庫角色是在數據庫級別374、角色管理---固定數據庫角色數據庫的安全管理4、角色管理---固定數據庫角色數據庫的安全管理384、角色管理---固定數據庫角色db_owner：可以執行數據庫的所有配置和維護活動，還可以刪除數據庫；db_securityadmin：可以修改角色成員身份和管理權限；db_accessadmin：可以為Windows登錄名、Windows組和SQLServer登錄名添加或刪除數據庫訪問權限；db_backupoperator：可以備份數據庫；db_ddladmin：可以在數據庫中運行任何數據定義語言(DDL)命令db_datawriter：可以在所有用戶表中添加、刪除或更改數據；db_datareader：可以從所有用戶表中讀取所有數據；db_denydatawriter：不能添加、修改或刪除數據庫內用戶表中的任何數據；db_denydatareader：不能讀取數據庫內用戶表中的任何數據；每個數據庫用戶都屬于public數據庫角色；數據庫的安全管理4、角色管理---固定數據庫角色db_owner：可以執行394、角色管理---應用程序角色應用程序角色是一種比較特殊的由用戶定義的數據庫角色如果想讓某些用戶只能通過特定的應用程序間接地存取數據庫中的數據，而不是直接地存取數據庫數據時，就應該考慮使用應用程序角色；應用程序角色默認情況下不包含任何成員，且是非活動的必須為應用程序角色設計一個密碼以激活它；數據庫的安全管理4、角色管理---應用程序角色應用程序角色是一種比較特殊的由405、權限管理許可（權限）用來指定授權用戶可以使用的數據庫對象和這些授權用戶可以對這些數據庫對象執行的操作；在SQLServer中包括三種類型的許可：對象許可、語句許可和隱含許可；數據庫的安全管理5、權限管理許可（權限）用來指定授權用戶可以使用的數據庫對象415、權限管理---對象許可表示對特定的數據庫對象，即表、視圖、字段和存儲過程的操作許可；它決定了能對表、視圖、存儲過程等執行哪些操作（如UPDATE、DELETE、INSERT、EXECUTE）；如果用戶想要對某一對象進行操作，其必須具有相應的操作的權限；例如，當用戶要成功修改表中數據時，則前提條件是已被授予表的UPDATE權限；數據庫的安全管理5、權限管理---對象許可表示對特定的數據庫對象，即表、視圖425、權限管理---對象許可例13：為數據庫DBS中的用戶sql授予對Student表的select、insert權限，拒絕update、delete權限數據庫的安全管理5、權限管理---對象許可例13：為數據庫DBS中的用戶sq435、權限管理---語句許可指定用戶是否具有權限來執行某一語句，這些語句通常是一些具有管理性的操作，如創建數據庫、表、存儲過程等；還包括備份數據庫和事務日志的權限；數據庫的安全管理5、權限管理---語句許可指定用戶是否具有權限來執行某一語句445、權限管理---語句許可例14：為數據庫DBS中的用戶sql授予備份數據庫的權限，拒絕創建表的權限數據庫的安全管理5、權限管理---語句許可例14：為數據庫DBS中的用戶sq455、權限管理---隱含許可系統自行預定義而不需要授權就有的權限，包括固定服務器角色、固定數據庫角色和數據庫對象所有者所擁有的權限；例如：服務器角色sysadmin的成員可以在整個