数据库管理系统的安全功能-.ppt
《数据库管理系统的安全功能-.ppt》由会员分享,可在线阅读,更多相关《数据库管理系统的安全功能-.ppt(107页珍藏版)》请在咨信网上搜索。
1、第第7章章安全性安全性1第第7章章安全性安全性安全性概述安全性概述SQLServer的安全控制的安全控制其他安全其他安全问题问题27.1安全性概述安全性概述37.1.1安全性措施的安全性措施的层次次物理物理层人人员层操作系操作系统层网网络层数据数据库系系统层47.1.2数据数据库管理系管理系统的安全功能的安全功能安全性控制是数据安全性控制是数据库管理管理员(或系(或系统管理管理员)的一个重要)的一个重要任任务,他要充分利用数据,他要充分利用数据库管理系管理系统的安全功能,保的安全功能,保证数数据据库和数据和数据库中数据的安全。中数据的安全。数据数据库关系管理系关系管理系统的安全功能可以划分的安
2、全功能可以划分为用用户管理管理和和数数据据库操作操作权限管理限管理两部分。两部分。安全系安全系统的核心的核心问题是是身份身份识别。几个概念几个概念用用户权限限用用户组角色角色57.1.3自主存取控制与自主存取控制与强制存取控制制存取控制对数据数据库对象的操作象的操作权限或存取控制分限或存取控制分为自主存取控制自主存取控制强制存取控制制存取控制6自主存取控制自主存取控制自主存取控制就是由用自主存取控制就是由用户户(如数据(如数据库库管理管理员员)自主控制)自主控制对对数据数据库对库对象的操作象的操作权权限,限,哪些用哪些用户户可以可以对对哪些哪些对对象、象、进进行哪些操作,行哪些操作,完全取决于
3、用完全取决于用户户之之间间的授的授权权。目前大多数数据目前大多数数据库库管理系管理系统统都支持的是自都支持的是自主存取控制方式。主存取控制方式。7强制存取控制制存取控制强制存取控制的思路是,制存取控制的思路是,为每一个数据每一个数据库对象象标以一定的以一定的密密级(Classificationlevel),),对每一个用每一个用户都确定一个都确定一个许可可级别(Clearancelevel)。)。如密如密级可以分可以分为绝密、机密、机密、保密、秘密、公开等若干密、保密、秘密、公开等若干级别;而用;而用户可以划分可以划分为一一级用用户(可以操作所有数据)、二(可以操作所有数据)、二级用用户(可以
4、操作除(可以操作除绝密以外的所有数据)、三密以外的所有数据)、三级用用户等。等。强制存取控制本制存取控制本质上具有分上具有分层的特点,通常具有静的特点,通常具有静态的、的、严格的分格的分层结构,与构,与现实世界的世界的层次管理也相吻合。次管理也相吻合。这种种强制存取控制特制存取控制特别适合适合层次次严明的明的军方和政府等数据管理。方和政府等数据管理。87.2SQLServer的安全控制的安全控制SQLServer2005SQLServer的的认证过程程管理管理SQLServer的登的登录帐户管理数据管理数据库用用户管理管理权限限角色角色97.2.1SQLServer的的认证过程程连接接权认证访
5、问权认证操作操作权认证SQlServer服服务器器系系统数据数据库操作操作权认证用用户数据数据库1用用户数据数据库2访问权认证用用户数据数据库2连接接权认证登登录帐户A10SQLServer的的认证过程程连接接权认证管理管理SQLServer的登的登录帐户访问权认证管理数据管理数据库用用户操作操作权认证管理管理权限限117.2.2管理管理SQLServer的登的登录帐户功能功能登登录帐户来源来源三种身份三种身份验证模式模式连接接权认证步步骤图用用户的分的分类登登录帐户的管理的管理121.功能功能功能:用于功能:用于连接接权认证SQlServer服服务器器连接接权认证登登录帐户A登登录帐户名?名
6、?密密码?132登登录帐户的来源的来源登登录帐户主要来源主要来源Windows授授权用用户:来源于来源于Windows的用的用户或或组;SQL授授权用用户:来源于非来源于非Windows的用的用户,我,我们将将这种用种用户称称为SQL用用户。143三种身份三种身份验证模式模式三种身份三种身份验证模式模式标准模式(也称准模式(也称为SQLServer登登录模式)模式)Windows身份身份验证模式模式混合混合验证模式模式15身份身份验证模式模式标准模式准模式Windows身份身份验证模式模式混合模式混合模式16标准身份准身份验证模式模式在在这种种模模式式下下,由由数数据据库管管理理系系统独独立立
7、来来管管理理自己的数据自己的数据库安全。安全。数数据据库管管理理系系统把把用用户登登录的的ID号号和和口口令令存存储在在特特定定的的系系统表表中中,当当用用户试图登登录到到数数据据库系系统时,数数据据库管管理理系系统查询有有效效的的登登录ID和和口令,以决定是否允口令,以决定是否允许用用户登登录。17身份身份验证模式模式标准模式准模式Windows身份身份验证模式模式混合模式混合模式18Windows身份身份验证模式模式集成身份集成身份验证模式也称模式也称为Windows身份身份验证模式,模式,用用户通通过WindowsNT或或Windows2000(以下以下简称称Windows)的身份的身份
8、验证后后则自自动进行行SQLServer身份身份验证。即当用。即当用户通通过Windows用用户账户进行行连接接时,SQLServer通通过回叫回叫Windows以以获得信息,重新得信息,重新验证账户名和密名和密码。19SQLServer的安全体系的安全体系图7-1 SQL Server安全体系20身份身份验证模式模式标准模式准模式集成模式集成模式混合模式混合模式21混合身份混合身份验证模式模式混合模式使用混合模式使用户户得以使用得以使用Windows身份身份验证验证或或SQLServer身份身份验证验证与与SQLServer实实例例连连接接。22混合身份混合身份验证模式的登模式的登录决策决策
9、过程程23使用客使用客户应用程序用程序连接到接到SQLServer身份身份验证模式?模式?混合模式混合模式SQLServer登登录连接接吗?WindowsNT身份身份验证模式模式WindowsNT账户连接接吗?NONO有效登有效登录?Yes密密码正确?正确?Yes连接接许可?可?YesSQLServer接受接受连接接YesYesNOSQLServer拒拒绝连接接NOSQLServer拒拒绝连接接NO4连接接权认证步步骤图245用用户的分的分类系系统管理管理员用用户数据数据库管理管理员用用户数据数据库对象用象用户数据数据库访问用用户25建立新的登建立新的登录帐户sp_addloginloginn
10、ame=login_id-登登录名称名称,passwd=passwd-登登录密密码,defdb=defdb-默默认数据数据库,deflanguage=deflanguage-默默认语言言,sid=sid-安全安全标识号号,encryptopt=encryption_option-密密码是否加密是否加密Sql Server 2005Sql Server 2005里提供了里提供了Create loginCreate login语句句CREATELOGINlogin_nameWITH|FROM26例:建立登例:建立登录帐户建立登建立登录帐户manager、test1sp_addloginmanage
11、r,123sp_addlogintest1,123操作操作员:系:系统管理管理员27例:建立登例:建立登录帐户建立登建立登录帐户test1Create login test1Create login test1With passwordWith password=12328修改登修改登录密密码sp_passwordold=old_password,-旧登旧登录密密码new=new_password-新登新登录密密码,loginame=login-登登录名称名称或或ALTERLOGINlogin_name|WITH,.操作操作员:该登登录账户29删除登除登录帐户sp_droploginlogin
12、ame=login-登登录名称名称或或DROPLOGINlogin_name操作操作员:系:系统管理管理员306管理管理SQLServer的登的登录帐户(1)建立新的登)建立新的登录帐户“LoginUser”系系统管理管理员身份身份Sp_addloginLoginUser,abc已已创建新登建新登录316管理管理SQLServer的登的登录帐户登登录帐户名名登登录帐户密密码 (2)以登)以登录帐户LoginUser的身份来登的身份来登录LoginUser*326管理管理SQLServer的登的登录帐户SQlServer服服务器器系系统数据数据库学生学生库(用(用户数据数据库)用用户数据数据库2
13、连接接权认证LoginUser访问权认证?337.2SQLServer的的认证过程程连接接权认证管理管理SQLServer的登的登录帐户访问权认证管理数据管理数据库用用户操作操作权认证管理管理权限限347.2.3 管理数据管理数据库用用户功能功能数据数据库库用用户户的管理的管理351.功能功能SQlServer服服务器器系系统数据数据库学生学生库(用(用户数据数据库)用用户数据数据库2访问权认证连接接权认证LoginUserLoginUser的数据的数据库用用户学生学生库(用(用户数据数据库)要要访问哪个数据哪个数据库,就必,就必须在此数据在此数据库下建立与下建立与帐户相相对应的数据的数据库用
14、用户36授授权登登录用用户为当前数据当前数据库用用户sp_grantdbaccessloginame=login,name_in_db=name_in_db或或CREATEUSERuser_nameFOR|FROMLOGINlogin_name|CERTIFICATEcert_name|ASYMMETRICKEYasym_key_name|WITHOUTLOGINschema_name37授授权某登某登录用用户为数据数据库用用户CREATELOGINtest3withpassword123Use订货管理管理CREATEUSERtest3userforlogintest3操作操作员:系:系统管理
15、管理员383.管理数据管理数据库用用户登登录帐户数据数据库用用户映射映射39从当前数据从当前数据库中中删除用除用户sp_revokedbaccessname_in_db=name或或DROPUSERuser_name操作操作员:系:系统管理管理员403.管理数据管理数据库用用户(1 1)在)在“学生学生库”下,下,为登登录帐户“LoginUser”LoginUser”建建立数据立数据库用用户“DbUser”DbUser”Sp_grantdbaccessLoginUser,DbUser已向已向LoginUser授予数据授予数据库访问权413.管理数据管理数据库用用户(2)以登)以登录帐户Logi
16、nUser的身份来登的身份来登录LoginUser*423.管理数据管理数据库用用户(3)访问学生学生库433.管理数据管理数据库用用户(4)查询“学生学生库”中的中的“学生表学生表”的全部的全部信息信息思考思考能否能否对“学生学生”库进行操作?行操作?为什么?什么?44SQlServer服服务器器系系统数据数据库用用户数据数据库2访问权认证连接接权认证LoginUserDBUser学生学生库(用(用户数据数据库)无操作无操作权LoginUser?3.管理数据管理数据库用用户查询?添加数据?添加数据?45SQLServer的的认证过程程连接接权认证管理管理SQLServer的登的登录帐户访问权
17、认证管理数据管理数据库用用户操作操作权认证管理管理权限限467.2.4权限管理限管理授予授予权限限授予授予语句句权限限授予授予对象象权限限隐含含授授权收回收回权限限禁止禁止权限限471授予授予权限限授予授予语句句权限限GRANTALL|statement_listTOname_liststatement_list给出授出授权的的语句列表,可以是:句列表,可以是:BACKUPDATABASEBACKUPLOGCREATEDATABASECREATEDEFAULTCREATEFUNCTIONCREATEPROCEDURECREATERULECREATETABLECREATEVIEWwP159481
18、授予授予权限限授予授予权限限授予授予语句句权限限授予授予对象象权限限查询授授权收回收回权限限禁止禁止权限限角色与存取控制角色与存取控制491授予授予权限限授予授予对象象权限限处理数据或理数据或执行存行存储过程程时需要有相需要有相应对象的操作或象的操作或执行行权限,限,这些些权限可以划分限可以划分为:SELECT、INSERT、UPDATE和和DELETE语句句权限,限,它它们可以可以应用到整个表或用到整个表或视图上。上。SELECT和和UPDATE语句句权限,它限,它们可以有可以有选择性地性地应用到表或用到表或视图中的中的单个列上。个列上。INSERT和和DELETE语句句权限,它限,它们会影
19、响整行,因此会影响整行,因此只可以只可以应用到表或用到表或视图中,而不能中,而不能应用到用到单个列上。个列上。EXECUTE语句句权限,即限,即执行存行存储过程和函数的程和函数的权限。限。501授予授予权限限授予授予对象象权限限GRANTALLPRIVILEGES|permission_list(column_list)ONtable|view|ONtable|view(column_list)|ONstored_procedure|ONuser_defined_function TOname_list WITHGRANTOPTIONASgroup|role P160161511授予授予权限限
20、授予授予权限限授予授予语句句权限限授予授予对象象权限限查询授授权收回收回权限限禁止禁止权限限角色与存取控制角色与存取控制521授予授予权限限查询授授权使用系使用系统存存储过程程sp_helprotect查询授授权的的情况情况531授予授予权限限(1)授予)授予DbUser用用户对学生表的学生表的查询权grantselecton学生表学生表toDbUser命令已命令已经成功完成成功完成541授予授予权限限(2)以登)以登录帐户LoginUser的身份来登的身份来登录LoginUser*551授予授予权限限(3)查询“学生学生库”中的中的“学生表学生表”的全部的全部信息信息561授予授予权限限SQ
21、lServer服服务器器系系统数据数据库用用户数据数据库2访问权认证连接接权认证LoginUserDBUser学生学生库(用(用户数据数据库)查询成成功功577.2.4权限管理限管理授予授予权限限授予授予语句句权限限授予授予对象象权限限查询授授权收回收回权限限禁止禁止权限限582收回收回权限限收回收回语句授句授权REVOKEALL|statement_listFROMname_list收回收回对象授象授权REVOKEGRANTOPTIONFORALLPRIVILEGES|permission_list(column_list)ONtable|view|ONtable|view(column_l
22、ist)|ONstored_procedure|ONuser_defined_function FROMname_listCASCADEASgroup|role wP161162597.2.4权限管理限管理授予授予权限限授予授予语句句权限限授予授予对象象权限限查询授授权收回收回权限限禁止禁止权限限603禁止禁止权限限禁止禁止语句句权限限DENYALL|statement_listTOname_list禁止禁止对象象权限限DENYALLPRIVILEGES|permission_list(column_list)ONtable|view|ONtable|view(column_list)|ONs
23、tored_procedure|ONuser_defined_function TOname_list CASCADE61举例例1、用、用sa登登录sqlserver,建立登,建立登录用用户test1Create login test1Create login test1With passwordWith password=1232、用、用test1登登录到到sqlserver,访问订货管理数据管理数据库Use订货管理管理3、用、用sa登登录sqlserver,指定用,指定用户test1可以可以访问当前数据当前数据库(订货管理管理)Use订货管理管理CREATEUSERDB1forlogint
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据库 管理 系统 安全 功能
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。