第07章SQLSERVER安全.doc

第7章 SQL Server安全管理 数据库及服务器的安全管理功能，是DBMS必备的重要组成部分。SQL Server作为大型数据库服务器，提供了强大的安全管理功能。 7.1 SQL Server安全管理概述 国际标准化组织（ISO）将信息安全定义为：为数据处理系统建立和采取的技术与管理方面的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。 数据库是整个计算机信息系统的组成部分，因此其安全实现是整个计算机系统安全实现的重要组成部分。数据库的安全性是指保护数据库，以防止不合法的使用造成的数据泄密、更改或破坏。安全保护措施是否有效是衡量数据库系统的主要性能指标之一。 7.1.1 信息安全基础概述 典型的数据库系统安全模型如图7.1所示。 图7.1 数据库系统典型安全模型 其中，数据库以文件的形式保存在外存上。操作系统（OS）管理计算机上所有资源，因此第一层的安全保障由操作系统提供。由于对数据库的操作访问都必须通过DBMS，因此，DBMS要提供对数据库的访问控制。 在信息系统中，被访问操作的对象称之为客体（Object），发起访问或操作客体的活动实体称为主体（Subject）。主体和客体是相对的，如系统内代表用户进行数据操作的程序或进程是主体。但该程序是由一个用户发起执行的，这里用户是主体，程序是客体。因此，一般的主体也是客体。 在实用的信息系统中，安全管理的核心思想是用户身份识别、权限管理和数据加密。 1．用户身份识别 用户身份识别是所有安全系统都要解决的问题，其目的是阻止非法用户进入系统内部。在计算机系统中，首先由操作系统实施，以识别是否为计算机的合法用户。而对于数据库而言，对于计算机的合法用户，还要确认其是否数据库系统的合法用户。 用户身份识别实际上也是一种访问控制，它是对系统外部的一种控制。 通常用户身份由两个部分组成：用户身份识别符和用户身份验证信息。前者是非机密的，而后者只能由合法的用户掌握，是秘密的，不能被他人窃取和伪造。 对用户身份识别有多种方法，目前比较实用的有以下几类。 ① 根据用户知道的信息验证身份。如借助口令（Password）验证。这是目前应用最广泛的身份验证方法，简单易行。其中防止口令泄露是这一方法中的关键问题。口令一般是由字母、数字、特殊字符等组成的具有一定长度的字符串，基本设置原则包括：用户容易记忆；难于被别人猜中或发现；抗分析能力强；限制使用期限，可经常更换。 另外，可通过提问进行验证。系统存储初次定义用户时提出的一系列问题及用户回答的答案。以后每当该用户访问系统时，系统提问，并根据他回答的情况来认定其身份。 ② 根据用户拥有的实物验证身份。如目前广泛使用的磁卡、IC卡、U-Key等。 ③ 根据用户的生理或行为特征验证身份。如指纹、视网膜、声音等。 2. 访问控制模型 DBMS的访问控制机制实现权限的授予与管理，是数据库安全的一个重要保证。为了从整体上维护系统的安全，访问控制应遵循最小特权原则，即用户和代表用户的进程只应拥有完成其职责的最小的访问权限集合，系统不应给用户超过执行任务所需权限以外的特权。访问控制技术是数据库安全系统中的核心技术。 访问控制机制主要包括两部分，定义权限和权限检查。权限是指用户对于数据对象能够进行的操作种类。权限检查是指检查是否允许主体对客体的访问。 从一般安全理论上讲，常见的访问控制模型包括如下三类。 自主访问控制（DAC，Discretionary Access Control）。 强制访问控制（MAC，Mandatory Access Control）。 基于角色访问控制（RBAC，Role-Based Access Control）。 DAC是一种通用访问控制策略。其思想是，每个对象都有所有者，用户只有事先获得所有者的相应授权，才能访问该对象，否则拒绝其访问。对象所有者有权制定该对象的保护策略。根据所有者管理对象权限的程度，可以分为3类。第1类严格的自主访问控制策略，所有者不允许其他用户代理管理权，即只有所有者才可以授予或收回对象权限。第2类自由的自主访问控制策略，所有者可以授予或收回对象权限，也可以将对象管理权让其他用户代理，甚至还可以传递代理，不过所有权不能转让。第3类策略是对象的所有权可以转让的自主访问控制策略，如某系统删除了某个用户，但保留该用户创建的对象，这时将对象所有权转让给其他用户。用户自主访问控制的主要缺点是较难控制已被赋予出去的访问权限，这使得自主访问控制易遭受特洛伊木马的恶意攻击。 MAC将所有权限都由系统集中管理。在MAC中，每一个数据对象被标以一定的安全级别；每一个用户也被授予某一个级别的安全许可。用户在操作访问数据只有具有合法许可的才可以访问操作数据。一般情况下一般用户或程序不能改变系统授权状