数据库安全管理策略
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
以下是SQL可信奈计算的具体计算机基础知识目标
产品的设计与测试阶段减少潜在平安问题
通过提供工具和指挥手册的方式协助用户对正在使用的系统进行维护,漏洞检测。攻击防御,系统恢复和维护
通过文档和定期交流。将最近的平安信息告知客户协助他维护 SqL 平安性和完整性。
还引进了平安改进和新的平安特性。分为以下的几个范围。
1 控制用户对服务器的访问
2 禁止服务和限制服务配置
3 减少新特性遭受攻击的外表积
SQL 平安机制
1 客户机的平安机制
2 网络传输的平安机制
3 服务器的平安机制
4 数据库的平安机制
5 收据对象的平安机制
网络传输的平安一般采用收据的加密和解密技术实现,但加密的 SQL 会使网络速度变慢。所以对安全行不高的网络一般都不采用加密技术。
任何能够登录到服务器的账号密码都对应着一个默认的工作数据库。 SQL 对数据库级权限管理采用的数据库用户的概念
用户通过前面的四道防线后才能访问数据库中的数据对象,对数据对象能够做什么样的访问称为访问权限。
罕见的访问权限包括数据的查询,更新。插入和删除。
设置数据库权限
SQL 平安性是建立在认证和访问许可两种机制之上,
其中认证是指用来确定登录 SQL 用户的登录账号和密码是否正确。以此来验证其是否具有连接 SQL 权限。用户登录数据库的合法身份有两种: Window 用户或组, SQL 登录账户。设置数据库的访问权限
1 SQL 验证模式
Window 身份的验证模式最安全
最适用于只在部门访问数据库情况
通过 Window 用户账号连接 SQL 服务器。 Window 用户或组被映射到 SQL 登录账户,用户只要通过 Window 认证就可以连接到 SQL 而 SQL 自身没有必要管理一套登录数据。
混合验证模式:SQL和 Window 身份验证模式
允许用户使用 Window 身份验证或 SQL 身份验证进行连接
注意:当 SQL 实例在 98 上运行时,必需使用混合模式。因为 98 不支持 Window 身份认证,
当修改了身份认证模式之后,一定要重新启动 SQL 服务
Window 身份的验证模式相对于SQL身份验证模式有以下的优势
用户访问 SQL 时速度更快。不用输入用户名和密码。
可以利用 Window 系统自身工具和安全策略进行账户管理。平安方面更加有效,时微软推荐的身份验证模式
提供了更多的功能。例如平安确认和口令加密。审核。口令失败。最小口令长度和账号的锁定。
首先启动 SqlServ 服务连接
设置身份验证模式
服务器上属性
完成后需要重新启动服务
设置登陆账号
默认的 SQL 使用 Windows 身份验证模式, SQL 登录账号无法登录。只能建立 SQL 登录账户之后才干使用 SQL 账户登录、如果需要利用创建的SQL账户登录。需要将身份验证模式改为混合模式
注意:不管使用哪种身份验证方式。系统管理员的登录账户 SA 密码都不能为空,建议修改sA 用户名。
注意:如果需要创建 Window 登录账户。一定要保证系统中已经创建了这个系统账户。
可以利用 Window 系统自身工具和安全策略进行账户管理。平安方面更加有效,时微软推荐的身份验证模式
提供了更多的功能。例如平安确认和口令加密。审核。口令失败。最小口令长度和账号的锁定。
首先启动 SqlServ 服务连接
设置身份验证模式
服务器上属性
完成后需要重新启动服务
设置登陆账号
默认的 SQL 使用 Windows 身份验证模式, SQL 登录账号无法登录。只能建立 SQL 登录账户之后才干使用 SQL 账户登录、如果需要利用创建的SQL账户登录。需要将身份验证模式改为混合模式
注意:不管使用哪种身份验证方式。系统管理员的登录账户 SA 密码都不能为空,建议修改sA 用户名。
注意:如果需要创建 Window 登录账户。一定要保证系统中已经创建了这个系统账户。
密码战略包括
强制实施密码战略
强制密吗过期
用户在下策登录时必须更改密码
首先启动 SqlServ 服务连接
设置身份验证模式
服务器上属性
完成后需要重新启动服务
设置登陆账号
默认的 SQL 使用 Windows 身份验证模式, SQL 登录账号无法登录。只能建立 SQL 登录账户之后才干使用 SQL 账户登录、如果需要利用创建的SQL账户登录。需要将身份验证模式改为混合模式
注意:不管使用哪种身份验证方式。系统管理员的登录账户 SA 密码都不能为空,建议修改
sA 用户名。
注意:如果需要创建 Window 登录账户。一定要保证系统中已经创建了这个系统账户。
密码战略包括
强制实施密码战略
强制密吗过期
用户在下策登录时必须更改密码
注意: SQL 这里的密码战略是由操作系统安全性保证的如果需要实施强制密码战略。一定要保证域或本地策略已经启用了强密码策略。
服务器角色的概念
角色划分了服务器角色与数据库角色
服务器角色也称做固定服务器角色是执行服务器级管理操作的权限的集合。这些角色是内置在系统中的常用管理功能计算机基础知识。使管理员可以很方便的给用户授予权限,作用域整个的服务器,而不是单独的那个数据库、
不能创建服务器角色、每个角色有一定的权限、登录账户可以添加到服务器角色
登录名
指派登录账户到服务器角色中时,应注意以下的几点
不能添加,修改和删除服务器角色
任何已经被指派到服务器角色的登录账户可以添加其他登录账户到这个角色
可以使用对象资源管理器来从服务器角色中去除登录账户
设置数据库的访问权限
数据库用户概述域创建
数据库用户是映射到登录账户上的
当一个登录账户对应到一个 Window 组时。可以建立一个数据库用户映射到这个登录账户。以使 Window 组的成员可以访问数据库。此外,还可以为这个 Windows 组的成员单独建立用户,而不用在新建登录账户。
建立一个数据库用户
验证新建地数据库用户特殊用户
特殊用户时数据库预定义的 SQL 中有两个特殊的用户: DBO 和 Guest
DBO 数据库的所有者。对该数据库具有所有权限,默认情况下。具有固定服务器角色Sysadmin 成员都自动映射到所有数据库的 DBO 用户上, DBO 不能被删除,每个数据库都有自己的 DBO 用户,
Guest 来宾用户,同样不能被删除,不需要映射任何登录账户。同时他可以代表任何登录账户,只要一个登录账户连接到服务器。那么他对任何数据库都是一个 Guest 用户。当数据库中有 Guest 用户的时候。就表示任何连接到服务器的登录账户都可以访该数据库。
如果在 model 数据库中启用了 Guest 账户。以后所有新建数据库默认情况都会启用 Guest 账户。
注意: Guest 账户默认的情况下是被禁用的
Mater 和 tempdb 不能禁用 Guest 账户操作的但是被限制了许可和权限。
数据库角色
数据库用户账号对该数据库所具有的权限由该账户所属的数据库角色决定,
SQL 提供了两类数据库角色固定数据库角色和用户定义数据库角色
固定数据库角色
一组 SQl 预定义的数据库角色。具有数据库级别的管理权力。用以完成常用的数据库任务。Public 角色是特殊的固定数据库角色