07数据库的安全性.ppt

第8章 数据库的安全性 1. SQL Server的安全机制 （1） SQL SERVER2005的身份验证模式 设置SQL Server的身份认证模式 （2） SQL SERVER2005的权限验证机制 2. SQL Server2005系统的安全管理 包括用户管理、角色管理和权限管理三方面。 （1）用户管理 指添加、修改、查看、删除用户以及用户授权。包括登录用户管理和数据库用户管理。 （2）权限管理 权限是指用户对服务器可以执行的管理任务、对访问的数据库和对该数据库对象可以执行的相关操作。 权限分三级层次管理：服务器权限、数据库权限、数据库对象权限。 服务器权限：允许执行服务器管理任务，权限被定义在固定服务器角色中。在服务器属性对话框的“权限”页可以为登录用户授予权限。 数据库权限：允许创建、管理数据库对象。在指定数据库的属性对话框中为数据库用户授予权限。 数据库对象权限：对特定的数据库对象（表、视图、存储过程、函数等）的操作权限。主要有6种： SELECT：查询权限 INSERT：插入数据权限 UPDATE：修改权限（必须同时具有SELECT权限） DELETE：删除数据权限 REFERENCE：引用对象的权限 ALTER：更改对象的权限 在具体的数据库对象的属性对话框中的“权限”页面中添加数据库用户，并授予他对该对象的相应操作权限。 数据库的创建者可以查看、添加或删除数据，更改表定义、或控制允许其他用户对表进行操作的权限。 （3）角色管理 角色是对权限的一种集中管理机制，是为了简化对用户权限管理工作而设置的一种对象。 自定义数据库角色： 3. 使用SQL命令进行安全管理 (1)用户管理相关命令可以使用系统存储过程添加、修改、删除登录用户和数据库用户，修改登录密码、修改默认数据库……例1：将Windows用户LEE\public映射到SQL Server登录账户。 exec sp_grantlogin LEE\public 例2：创建SQL Server登录账户lee，密码为111111，默认数据库为“学生管理”。 exec sp_addlogin lee, 111111, 学生管理‘ 例3：为登录账户lee创建数据库用户。 exec sp_grantdbaccess lee 如果没有指定数据库用户名，则默认为与“登录名”相同。 例4：删除数据库用户lee 。 exec sp_revokedbaccess lee (2)权限管理相关命令设置数据库对象权限包括： 授予权限（Grant）：授予用户或角色相应的对象权限。 拒绝权限（Deny）：可用于防止该用户或角色通过 GRANT 获得特定权限 ，包括删除以前授予用户、组或角色的权限，停用从其他角色继承的权限，确保用户、组或角色将来不继承更高级别的组或角色的权限。 废除权限（Revoke）：废除权限是删除已授予的权限，并不妨碍用户、组或角色从更高级别继承已授予的权限。 授予对象权限——GRANT 授予对象权限——举例 授予对象权限——举例 授予对象权限——举例 授予对象权限——举例 废除对象权限——REVOKE ——废除对象权限 ——废除对象权限 ——废除对象权限 ——废除对象权限 ——废除对象权限 一般数据库系统的安全性控制措施 （1）用户标识和鉴别：用用户名或用户标识号标识用户身份，系统鉴别其是否为合法用户。 （2）存取控制：确保合法用户拥有合法权限，防止未被授权用户操作数据。 （3）视图机制 （4）审计 （5）数据加密 一般数据库系统的安全性控制措施 （1）用户标识和鉴别 （2）存取控制 （3）视图机制 小结：数据库系统的安全性控制机制 （1）用户标识和鉴别 （2）存取控制 （3）视图机制 这时，管理员执行以下语句可废除用户Liu的WITH GRANT OPTION权限，以及用户Gao所获得的对Sales表的SELECT权限，但Liu仍具有对Sales表的SELECT权限。 REVOKE GRANT OPTION FOR SELECT ON sales FROM Liu CASCADE 徒姬治隐赢城崇妄癸蔼胯吕叫炼凹挞嗅瓦腋勋猴紊么擂浓位储劈腰烫臂渍07数据库的安全性07数据库的安全性 【例11】设用户Tom执行以下语句对角色Role1进行了授权： GRANT SELECT ON Table1 TO Role1 WITH GRANT OPTION 用户Jerry是角色Role1中的成员，于是Jerry作为角色Role1的成员执行以下授权： GRANT SELECT ON Table1