sql 2005教程 第19章 安全管理.pptVIP

第19章 安全管理 SQL Server 2005包含许多可配置安全功能。通过这些功能，用户可根据所需定制自己的安全策略，以实现安全防御。本章讲述SQL Server 2005数据库产品的安全机制，以及一般的安全管理措施。 19.1 SQL Server安全性机制 SQL Server 2005数据库提供了系统安全体系，理解SQL Server的安全性机制，首先要了解主体、安全对象等概念。同时，新版本的数据库SQL Server2005数据库将用户与架构进行了分离，这是新的安全特性。 19.1.1 主体 主体是可以请求SQL Server资源的个体、组和过程。主体也有层次结构，如表19.1所示。主体的影响范围取决于主体定义的范围（Windows、服务器或数据库）、主体是否不可分、或者是否是一个集合。 19.1.2 安全对象 SQL Server 2005数据库引擎管理着可以通过权限进行保护的实体的分层集合。这些实体称为“安全对象”。安全对象是SQL Server数据库所能够访问的资源。安全对象的嵌套层次结构如表19.2所示。安全对象范围有服务器、数据库和架构。 19.1.3 权限层次结构 SQL Server 2005数据库中，主体对安全对象的访问权限，是分层进行的。权限的层次结构如图19.3所示。可以对服务器和数据库的访问主体（如用户角色等），授予访问权限。这些访问权限是分层继承的——即在上层授予的权限，被下一级的对象默认继承使用。例如：对登录授予的服务器管理权限，将被指向它的用户所继承。 19.1.4 查询权限 用户可以使用fn_my_permissions查询用户的有效权限，该函数一般用于返回调用方对服务器的有效权限的列表。 19.2 服务器范围的安全管理 SQL Server和Windows操作系统进行紧密的集成，其安全性基于Windows安全体系，SQL Server可以在两种不同的身份验证模式下操作。 19.2.1 SQL Server验证模式 SQL Server服务器进行身份验证是SQL Server 2005数据库在服务器范围内的安全保障，服务器身份验证有两种模式，包括“Windows身份验证模式”、“SQL Server和Windows身份验证模式”。（具体内容请参照书。） 19.2.2 使用密码策略 在Windows操作系统环境下运行SQL Server 2005时，可以使用Windows密码策略机制。SQL Server 2005可以将Windows Server 2003中使用的复杂性策略、过期策略应用于SQL Server内部使用的密码。（具体内容请参照书。） 19.2.3 服务器范围的角色 SQL Server安全体系结构中包括了一些含有特定隐含权限的角色，在服务器范围内，有固定服务器角色。固定服务器角色在其作用域内属于服务器范围。固定服务器角色的每个成员，都可以向其所属角色添加其它登录名。（具体内容请参照书。） 19.2.4 管理登录名 登录名即为可以访问SQL Server数据库的帐户，建立登录名可以通过SQL Server Management Studio图形工具，也可以使用T-SQL生成。（具体内容请参照书。） 19.2.5 管理凭据 凭据是包含连接到SQL Server之外的资源所需的身份验证信息的记录。（具体内容请参照书。） 19.3 数据库范围的安全管理 数据库范围的安全管理是以数据库级别的主体为基础管理的，最重要的数据库范围的主体是数据库用户，SQL Server通过用户对数据库对象进行操作。 19.3.1 管理用户 用户和登录不同，登录允许访问SQL Server系统，而用户是访问某个特定的数据库的主体。数据库用户可以和已有的登录进行映射。用户是对数据库而言，而登录是针对SQL Server而言的。一个登录可以映射多个数据库用户，一个数据库用户只能与一个登录相映射。（具体内容请参照书。） 19.3.2 特殊用户 SQL Server 2005数据库有几个特殊用户，包括dbo用户、guest用户。这些用户具有特殊的属性，不同于一般定义的用户。（具体内容请参照书。） 19.3.3 数据库范围的角色 当多个用户需要在某个特定的数据库中执行类似的动作时，可以向该数据库中添加一个角色。数据库角色代表了可以访问相同数据库对象的一组数据库用户。数据库范围内分为三种角色。 （1）固定数据库角色 （2）用户定义的数据库角色。 （3）public角色。 19.4 用户架构分离 用户与架构分离是SQL Server 2005数据库，在安全体系中最重要的改进。架构是SQL Server 2005数据库新的数据对象。 19.4.1 理解架构 架构是形成单个命名空间的数