实验四数据库安全性技术
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验四数据库安全性技术
【实验目的】
1、理解安全性的概念。
2、在理解用户及相关概念的基础上掌握自主存取控制机制(DAC )。
3、熟悉MS SQL SERVER 的安全性技术。
【实验性质】
综合性实验
【实验导读】
1、安全性概述
数据库的安全性是指保护数据库,防止不合法的使用所造成的数据泄露和破坏。数据库系统中保证数据安全性的主要措施是进行存取控制,即规定不同用户对于不同数据对象所允许执行的操作,并控制各用户只能存取他有权(操作权力)存取的数据。存取控制机制分为自主存取控制(DAC )与强制存取控制(MAC ),主要包括两部分:
一是定义用户权限,并将用户权限登记到数据字典中;二是合法权限检查。
常见数据库的安全性控制技术有:
(1)用户标识与鉴别。
(2)自主存取控制(DAC ):用户对于不同的数据对象有不同的存取权限,不同的用户对同一对象也有不同的权限,而且用户还可将其拥有的存取权限转授给其他用户。因此自主存取控制非常灵活。
(3)强制存取控制(MAC ):每一个数据对象被标以一定的密级,每一个用户也被授予某一个级别的许可证。对于任意一个对象,只有具有合法许可证的用户才可以存取。强制存取控制因此相对比较严格。
(4)视图:进行存取权限控制时我们可以为不同的用户定义不同的视图,把数据对象限制在一定的范围内即通过视图机制把要保密的数据对无权存取的用户隐藏起来,从而自动地对数据提供一定程度的安全保护。视图机制间接地实现了支持存取谓词的用户权限定义。
(5)审计
(6)加密:对于高度敏感性数据,例如财务数据、军事数据、国家机密,除以上安全性措施外,还可以采用数据加密技术。
2、MS SQL Server安全性控制技术
详细内容参阅联机丛书”中管理SQL Server” 一> '安全管理
MS SQL Server的安全性建立在认证和访问许可两种机制上即用户要经过两个安全性阶段:身份验证和授权(权限验证)。身份验证阶段使用登录帐户(login )标识用户并只
验证用户连接MS SQL Server实例的能力。如果身份验证成功,用户即可连接到MS SQL Server实例。然后用户需要访问服务器上数据库的权限,为此需授予每个数据库中映射到用户登录的帐户访问权限。权限验证阶段控制用户在MS SQL Server数据库中所允许进行
的活动。
MS SQL Server的安全模式中包括登陆(login)、数据库用户(user)、权限、角色(role)等。用户(user)与登陆(login)是两个不同的概念,其中所有的数据库用户(user)必须与某一登陆(login )相匹配。MS SQL Server身份验证在两种安全验证模式之一下工作:(1)Windows身份验证模式(Windows身份验证):Windows身份验证模式使用户得以通过Microsoft Windows NT 4.0 或Windows 2000 用户帐户进行连接。
(2)混合模式(Windows身份验证和SQL Server身份验证):混合模式使用户得以使用Windows身份验证或SQL Server身份验证与SQL Server实例连接。
为了灵活起见,一般采用混合模式。设置MS SQL Server认证模式可以用企业管理器”
选择服务器,用右键单击服务器的弹出菜单选择属性”,如图1,点击安全性”页。
图1
3、定义登陆与用户
方法一:图形界面:通过企业管理器”。在选择服务器的安全性”-> 登陆”右键添加新登陆”,输入登录名称logqixin,选择SQL Server身份验证,如图2。
单击数据库访问”页面,注意允许访问数据库“test,”如图3。
图2 图3
此时,企业管理器会自动在数据库qixin 的用户”中添加一个与登陆同名的用户logqixin。这样登陆logqixin与同名用户logqixin (访问数据库qixin )就建立起来了。
如果单独创建某个数据库(如qixin )用户,可在企业管理器”—> 服务器—> 数据库 ->用户”右键单击用户的弹出菜单选择新建数据库用户”,如图4。(注意,在此之前必须先建立一个登陆,然后新建用户与此登陆关联。)
数据库用户雇性一斷建用户寓规
数据库角色咸员览]:
数据库角芭中允许2d
登录名也]:
・
□口□□口□□口db_ownet
db_acc«jadmirr
db_securityadmin
db_ddl^dmiri
db_backupop eratoi
db_datareader
db_dat.aw(itef
db_denydatoreader
db_deriy(±atawriter
student
雇性回…
歴二I 恥肖I 韬助_
图4
方法二:通过系统存储过程
±1
己向'WgqiMirf 攪予歎据库访问权©
口网格1D 消息
图6
4、完成授权/撤销权限。观察授权前后的变化(以表 部门”与用户“logqixin 为例)。
(1)授权
方法一:图形界面,通过企业管理器”— > 服务器— > 数据库”— > 用户” —> “logqixin ->右键所有任务”— > 管理权限”如图7、图8。
(1 )添加登陆,如图5。
图5
(2 )添加用户,如图
。
SQL 杳诲分析番-[查诲一QIH1. qixia. sa — 51
易文件也)编辑⑥ 直询© 工具辽)窗口址\耦肋匹
JDlN
^Jg| x|
茵”色用珀需电tfi 商#4
|[J qi^in
Kin^^A^ogqiKirf
批直询完咸.
r~ ------------ -
QIKI1I &.0)
SA (51) qixin
0:00:00 □行 -!□! x[ 书文件世)编辑⑧ 直询© XM
(X )窗口址)耦助®
-|g| xj
连接:1 「軸
F
^, SQL 直诲分祈番-[查再一QIII¥. ^ixiA^a — 连接:1
行5 1