数据库安全性控制

PPT文档演模板
数据库安全性控制
PPT文档演模板
数据库安全性控制
8.2.3 数据库用户管理
2．设置数据库用户账号的权限
在创建数据库用户账号时,“数据库用户属性”对话框中“登录名”右侧的“权 限”按钮是灰色的，表示不能在创建数据库用户账号的同时设置其权限。但可 以在创建数据库用户账号后再通过其属性对话框来设置权限。
登录账号属于服务器层面的，本身并不能让用户访问服务器中的数据库。登 录用户要想访问数据库，应先把他加入到数据库中使他成为数据库用户，即 在数据库中有一个关联的数据库用户账号，数据库用户账号可以与用户账号 同名也可以不同名。 如果登录账号在数据库中不存在对应的数据库用户账号，若数据库中存在 Guest账号，则登录用户可以使用Guest账号访问数据库。登录账号对应的数 据库用户账号的数据库访问权限决定了用户在数据库中可以进行哪些操作。
用户获得对数据库的访问权限以后，就可以存取数据库了。
PPT文档演模板
数据库安全性控制
8.2.2 服务器登录账号的管理
1．查看登录账号
可使用企业管理器查看登录账号，方法是在企业管理器中，展开相应的SQL Server服务器节点，再展开其下的“安全性”节点，单击其下的“登录”图 标，在右侧的“内容显示”窗口中将显示出系统创建的默认登录账户以及已 建立的其他登录账户 。
PPT文档演模板
数据库安全性控制
8.2.3 数据库用户管理
1．创建数据库用户账号
【例8-20】为Pubs数据库创建一个数据库用户账号，账号名为 “CollegeMISAdmPubs”，角色为public、db_datareader和db_datawriter。
（1）在企业管理器中，展开SQL Server服务器下的“数据库”节点，展开 Pubs数据库，在其下的“用户”图标上单击右键，在出现的快捷菜单中选择 “新建数据库用户”菜单项，将会出现“数据库用户属性”对话框。
sa：SQL Server系统管理员登录账号，该账号拥有最高的管理权限，可以执 行服务器范围内的所有操作。通常SQL Server管理员也是Windows NT或 Windows Server 2000的管理员。
PPT文档演模板
数据库安全性控制
8.2.2 服务器登录账号的管理
2．创建登录账号
【例8-19】为SQL Server服务器创建一个登录账号，账号名为 CollegeMISAdm，密码为tah980808，只能访问CollegeMIS数据库。该登录 账号的服务器角色为Database Creator。
n 使用SQL语句创建两种模式下的登录帐户
q 添加WINDOWS登录帐户
EXEC sp_grantlogin ‘windows域名\域帐户’
EXq E添C加SEQXLE登C录帐sp户_addlogin ‘帐户名’，‘密 码’
PPT文档演模板
数据库安全性控制
创建登录账户
添加Windows登录帐户 //windows用户为S01,SDXY表示域
演示：创建数据库用户
PPT文档演模板
数据库安全性控制
8.2.1 SQL Server的安全机制
2．权限验证
当用户通过身份验证登录到SQL Server服务器上后，还必须经过权限验证以 决定他能访问的数据库及对访问的数据库所允许执行的操作。
为了对数据库中的对象设置安全权限，每个数据库都要求设置单独的用户账 号。因此在SQL Server中，账号有两种：登录账号和数据库用户账号。
如是本机，SDXY为计算机名 EXEC sp_grantlogin ‘SDXY\S01’ 添加SQL登录帐户 //登录名为zhangsan,密码为1234 EXEC sp_addlogin ‘zhangsan’, ’1234’ GO
演示：创建登录帐户
PPT文档演模板
数据库安全性控制
创建数据库用户
n 创建了登录帐户，只能登录到SQL Server系统，但还不能访问某个数 据库。如果希望访问某个数据库，必须要成为该数据库的一个用户。
n 创建数据库用户需要调用系统存储过程sp_grantdbaccess
EXEC sp_grantdbaccess ‘登录帐户’，‘数据库用户’
n 在empDB中添加两个用户
USE empDB -- S01DBUser为数据库用户名 EXEC sp_grantdbaccess ‘SDXY\S01’，‘S01DBUser’ EXEC sp_grantdbaccess ‘zhangsan’，‘zhangsanDBUser’
每个登录账号在一个数据库中只能有一个用户账号，但每个登录 账号可以在不同的数据库中各有一个用户账号。登录账号具有对某个 数据库的访问权限，并不表示该登录账号对该数据库具有存取的权限， 如果要对数据库对象进行插入、更新、删除等操作，还需要设置用户 账号的权限。
需注意的是除master和tempdb数据库中的guest用户账号不能删 除外，其他数据库中的guest用户账号都可以删除。
服务器角色是负责管理与维护SQL Server的登录账号组，一般应指定管理服务 器的登录账号属于哪个服务器角色。SQL Server在安装过程中定义几个固定的 服务器角色
PPT文档演模板
数据库安全性控制
PPT文档演模板
数据库安全性控制
8.2.2 服务器登录账号的管理
3．登录账号属性修改
在企业管理器中，展开至SQL Server服务器的“安全性”节点，单击其下的 “登录”图标，在右侧的“内容显示”窗口中将显示出所有的登录账号。在 相应登录账号上单击右键，在出现的快捷菜单中选择“属性”菜单项，将会 出现 “SQL Server登录属性”对话框，在该对话框中可以对登录账号的属性 进行修改，修改完成后按“确定”按钮即可。
q SQL身份验证：适合于非windows平台的用户或Internet用户， 需要提供帐户和密码
q Windows身份验证：适合于windows平台用户，不需要提供 密码，和windows集成验证
n 登录帐户相应有两种:：SQL 帐户和Windows帐户
PPT文档演模板
数据库安全性控制
创建登录账户
所谓数据库的安全性：是指保护数据以防止因不合法 的使用而造成数据的泄密和破坏。为保证数据库的安全性， 需要采取一定的安全保护措施。
PPT文档演模板
数据库安全性控制
SQL Server的安全模型
DB1
数据表1 数据表2
增删 改查
增删 改查
DB2
数据表1 数据表2
增删 改查
增删 改查
DB3
数据表1 数据表2
PPT文档演模板
数据库安全性控制
8.2.3 数据库用户管理
SQL Server系统安装后，master、tempdb、msdb等默认数据 库包含两个数据库用户账号：dbo和guest。任何一个登录账号都可 以通过它的guest用户账号来存取相应的数据库。但在在SQL Server 中新建一个数据库时，默认只有dbo用户账号而没有guest用户账号。 因此要让其他的登录账号具有访问新建的数据库的权限，必须使登录 账号关联一个新建的数据库的用户账户。
（3）单击“服务器角色”页标签，选中服务器角色为“Database Creator”
（4）“数据库访问”页设置。
（5）再次输入确认密码。
PPT文档演模板
Baidu Nhomakorabea
数据库安全性控制
8.2.2 服务器登录账号的管理
2．创建登录账号
角色(Role)是一组具有相同权限的用户所构成的组，在SQL Server中可分为服务 器角色与数据库角色。
如果采用的是Windows NT Server操作系统，将会有三个默认账号，含义如下：
BUILTIN\Administrators：凡是Windows NT Server/2000中的 Administrators组的账号都允许作为SQL Server登录账号使用。
域名\Administrator：允许Windows NT Server的Administrator账号作为 SQL Server登 录账号使用。
（3）单击“确定”按钮，即可为pubs数据库创建了一个数据库用户，用户名为 “CollegeMISAdmPubs”。
PPT文档演模板
数据库安全性控制
8.2.3 数据库用户管理
数据库角色：
和登录账号类似，用户账号也可以分成组，称为数据库角色 (Database Roles)。在实际应用中，可以建立一个角色来代表机 构中一类拥有相同权限的工作人员，然后给这个角色授予适当的权 限。在SQL Server中，数据库角色可分为两种：标准角色和应用 程序角色。标准角色是由数据库用户或其他的数据库角色所组成的 组，组中的每个数据库用户或角色称为成员，应用程序角色不包括 任何成员，主要用来控制应用程序存取数据库。在创建一个数据库 时，系统默认创建10个固定的标准角色。
数据库安全性控制
PPT文档演模板
2020/11/21
数据库安全性控制
8.2 数据库的安全性控制 8.2.1 SQL Server的安全机制 8.2.2 服务器登录帐号的管理 8.2.3 数据库用户管理 8.2.4 管理权限
PPT文档演模板
数据库安全性控制
8.2 数据库的安全性管理
一个机构建立数据库的目的是为了数据库中的数据能 够被机构中的用户共享访问，但数据库中的数据不能被破 坏，重要数据（如银行账号的密码）也只能由具有特殊权 力的人员访问，因此数据库系统必须能够预防来自机构内 部或外部的人对数据的故意破坏或窃取。可见，安全性是 数据库设计的重要组成部分。
（2）在“数据库用户属性”对话框中的“登录名”后面的下拉式列表框中选取 “CollegeMISAdm”登录名，用户名自动变为“CollegeMISAdm”，把该名称改 为“CollegeMISAdmPubs”（若不修改，则数据库用户账号和登录账号名称一 致）。选取数据库角色为public、db_datareader和db_datawriter 。
在企业管理器，展开“服务器组”节点，在其中的某个SQL Server服务 器上单击鼠标右键，在弹出的快捷菜单中选择“编辑SQL Server注册属性” 菜单项，将会打开 “已注册的SQL Server属性”对话框。在该对话框中可以 设置身份验证模式。
PPT文档演模板
数据库安全性控制
登录方式
n 登录验证有两种方式：
（1）在企业管理器中，依次展开至本地服务器（TAHSJ）下的“安全性”节点， 在其下的“登录”图标上单击右键，在出现的快捷菜单中选择“新建登录”菜单 项，将会出现“SQL Server登录属性——新建登录”对话框。 （2）在该对话框“常规”页，输入登录名称为“CollegeMISAdm”，选中 “SQL Server身份验证”单选钮并输入密码，在“数据库”后面的下拉式列 表框中选择“CollegeMIS”数据库
4．删除登录账号
在企业管理器中，展开至SQL Server服务器的“安全性”节点，单击其下的 “登录”图标，在右侧的“内容显示”窗口中将显示出所有的登录账号。在相应 登录账号上单击右键，在出现的快捷菜单中选择“删除”菜单项（或选中相应登 录账号，直接按Delete键），在出现的“确认”对话框中单击“是”按钮即可。
例如，若要暂时禁止一个使用Windows身份验证的登录账户连接到SQL Server，只需在“SQL Server登录属性”对话框中，选择“常规”页，然后 选取“拒绝访问”复选框即可。若要暂时禁止一个使用SQL Server身份验证 的登录账号连接到SQL Server，只需要修改该账户的登录密码，当允许该账 户登录时，再把密码改回即可。
增删 改查
增删 改查
数据库用户
数据库用户
数据库用户
PPT文档演模板
登录帐号
SQLserver三层安全管理
数据库安全性控制
8.2.1 SQL Server的安全机制
SQL Server 2000的安全机制包括身份验证和权限验 证两个方面 。
1．SQL Server的身份验证模式
用户要想访问SQL Server数据库中的数据，必须以合法身份登录到SQL Server服务器上，SQL Server或者操作系统对用户的身份进行验证，这一阶 段称为身份验证阶段（Authentication）。SQL Server身份验证有两种模式： Windows身份验证模式和混合身份验证模式。