SQLServer安全性管理PPT课件

1、SQLServer安全性管理第第1717章章 SQL Server 2008SQL Server 2008安全性管理安全性管理SQL ServerSQL Server包含各种精确的可配置的安全功能。使用包含各种精确的可配置的安全功能。使用这些功能，管理员可实施针对其所处环境的特定安全风险优这些功能，管理员可实施针对其所处环境的特定安全风险优化的深度防御。通过本章内容，读者应掌握有关化的深度防御。通过本章内容，读者应掌握有关SQL ServerSQL Server数据库引擎的安全信息。数据库引擎的安全信息。SQLServer安全性管理17.1 SQL Server 200817.1 SQL Se

2、rver 2008安全性安全性SQL Server 2008SQL Server 2008具有了最新的安全技术，以保证数据具有了最新的安全技术，以保证数据的安全。微软公司利用自己的安全。微软公司利用自己WindowsWindows操作系统产品的安全性操作系统产品的安全性设置，将设置，将SQL ServerSQL Server的安全性建构在其上，并且增加了专门的安全性建构在其上，并且增加了专门的数据安全管理等级。这些机制保证了数据库的访问层次与的数据安全管理等级。这些机制保证了数据库的访问层次与数据安全数据安全。SQLServer安全性管理17.1.1 SQL Server 200817.1.1

3、 SQL Server 2008安全性简介安全性简介数据库的安全性是指保护数据库，以防止不合法的使数据库的安全性是指保护数据库，以防止不合法的使用所造成的数据泄露、更改或破坏。系统安全保护措施用所造成的数据泄露、更改或破坏。系统安全保护措施是否有效是数据库系统的主要指标之一。数据库的安全是否有效是数据库系统的主要指标之一。数据库的安全性和计算机系统的安全性，包括操作系统、网络系统的性和计算机系统的安全性，包括操作系统、网络系统的安全性，是紧密联系、相互支持的。安全性，是紧密联系、相互支持的。对于数据库管理来说，保护数据不受内部和外部侵害对于数据库管理来说，保护数据不受内部和外部侵害是一项重要的

4、工作。是一项重要的工作。SQL ServerSQL Server正日益广泛地应用于各正日益广泛地应用于各种场合，作为种场合，作为SQL ServerSQL Server的数据库系统管理员，需要深的数据库系统管理员，需要深入理解入理解SQL ServerSQL Server的安全性控制策略，以实现安全管理的安全性控制策略，以实现安全管理的目标。的目标。SQLServer安全性管理17.1.2 SQL Server 200817.1.2 SQL Server 2008安全管理等级安全管理等级合理有效的数据库安全机制既可以保证被授权用户能合理有效的数据库安全机制既可以保证被授权用户能够方便地访问数据

5、库中的数据，又能够防止非法用户的够方便地访问数据库中的数据，又能够防止非法用户的入侵。入侵。SQL Server 2008SQL Server 2008提供了一套设计完善、操作简单提供了一套设计完善、操作简单的安全管理机制。的安全管理机制。SQL Server 2008SQL Server 2008的安全机制可以分为的安全机制可以分为以下以下4 4个等级。个等级。l 客户端操作系统登录的安全性。客户端操作系统登录的安全性。l SQL ServerSQL Server登录的安全性。登录的安全性。l 数据库访问的安全性。数据库访问的安全性。l 数据库对象使用的安全性。数据库对象使用的安全性。每个安

6、全等级就好像一道门，如果门没有上锁，或者每个安全等级就好像一道门，如果门没有上锁，或者用户拥有开门的钥匙，则用户可以通过这道门达到下一用户拥有开门的钥匙，则用户可以通过这道门达到下一个安全等级，如果通过了所有的门，则用户就可以实现个安全等级，如果通过了所有的门，则用户就可以实现对数据库的访问了。对数据库的访问了。SQLServer安全性管理17.2 SQL Server 200817.2 SQL Server 2008验证模式验证模式 SQL Server SQL Server安全策略是通过系统的身份验证实现的。身安全策略是通过系统的身份验证实现的。身份验证是指当用户访问系统时，系统对该用户的

7、账号和口令的份验证是指当用户访问系统时，系统对该用户的账号和口令的确认过程。身份验证的内容包括确认用户的账号是否有效、能确认过程。身份验证的内容包括确认用户的账号是否有效、能否访问系统、能访问系统的哪些数据等。否访问系统、能访问系统的哪些数据等。 身份验证模式是指系统确认用户的方式。身份验证模式是指系统确认用户的方式。SQL ServerSQL Server系系统是基于统是基于WindowsWindows操作系统的，这样操作系统的，这样SQL ServerSQL Server的安全系统可的安全系统可以通过两种方式实现：以通过两种方式实现：SQL ServerSQL Server和和Window

8、sWindows结合使用以及只结合使用以及只使用使用WindowsWindows。WindowsWindows系统用户能否访问系统用户能否访问SQL ServerSQL Server系统，取系统，取决于决于SQL ServerSQL Server系统身份验证方式的设置。系统身份验证方式的设置。SQLServer安全性管理17.2.1 Windows17.2.1 Windows身份验证身份验证 Windows Windows 身份验证模式只允许使用身份验证模式只允许使用WindowsWindows身份验证身份验证方式。此时，用户无法以方式。此时，用户无法以SQL ServerSQL Server

9、的登录账号登录服务器的登录账号登录服务器。它要求用户登录到。它要求用户登录到WindowsWindows系统，当用户访问系统，当用户访问SQL ServerSQL Server时，不用再次登录。虽然用户仍会被提示登录，但时，不用再次登录。虽然用户仍会被提示登录，但SQL SQL ServerServer的用户名会自动从用户网络登录的用户名会自动从用户网络登录IDID中提取。中提取。Windows Windows 身份验证模式最适用于只在部门访问数据库的情况。与身份验证模式最适用于只在部门访问数据库的情况。与SQL SQL ServerServer身份验证方式相比，身份验证方式相比，Window

10、sWindows身份验证方式具有下列身份验证方式具有下列优点：提供了更多的功能，如安全确认和口令加密、审核、优点：提供了更多的功能，如安全确认和口令加密、审核、口令失效、最小口令长度和账号锁定；通过增加单个登录账口令失效、最小口令长度和账号锁定；通过增加单个登录账号，允许在号，允许在SQL ServerSQL Server系统中增加用户组；允许用户迅速访系统中增加用户组；允许用户迅速访问问SQL ServerSQL Server系统，而不必使用另一个登录账号和口令。系统，而不必使用另一个登录账号和口令。SQLServer安全性管理17.2.2 17.2.2 混合模式混合模式 混合身份验证模式既

11、允许使用混合身份验证模式既允许使用WindowsWindows身份验证方式，又身份验证方式，又允许使用允许使用SQL ServerSQL Server身份验证方式。它使用户既可以登录身份验证方式。它使用户既可以登录SQL SQL ServerServer，也可用，也可用WindowsWindows的集成登录。的集成登录。 集成登录只能在用命名管道连接客户机服务器时使用。集成登录只能在用命名管道连接客户机服务器时使用。当使用混合模式时，无论是使用当使用混合模式时，无论是使用WindowsWindows身份验证方式的用户，身份验证方式的用户，还是使用还是使用SQL ServerSQL Server

12、身份验证方式的用户，都可以连接到身份验证方式的用户，都可以连接到SQL SQL ServerServer系统上。也就是说，身份验证模式是对服务器来说的，系统上。也就是说，身份验证模式是对服务器来说的，而身份验证方式是对客户端计算机来说的。而身份验证方式是对客户端计算机来说的。SQLServer安全性管理17.3 17.3 管理管理SQL Server 2008SQL Server 2008登录登录使用合法的用户名与密码可以登录使用合法的用户名与密码可以登录SQL Server 2008SQL Server 2008进进行操作。用户分为行操作。用户分为WindowsWindows用户与用户与SQ

13、L ServerSQL Server用户。下面用户。下面将分别讲解这两类用户的创建过程。将分别讲解这两类用户的创建过程。SQLServer安全性管理17.3.1 17.3.1 创建创建SQL ServerSQL Server登录登录 下面主要讲解在下面主要讲解在SQL Server Management StudioSQL Server Management Studio中创建登录中创建登录的操作步骤。假设要在的操作步骤。假设要在SQL ServerSQL Server系统中新加一个名为系统中新加一个名为TeacherTeacher的用的用户，操作步骤如下。户，操作步骤如下。 （1 1）启动并

14、登录启动并登录SQL Server Management StudioSQL Server Management Studio，在【对，在【对象资源管理器】面板中展开【安全性】分支。象资源管理器】面板中展开【安全性】分支。 （2 2）右击【登录名】分支，在弹出的快捷菜单中选择【新建右击【登录名】分支，在弹出的快捷菜单中选择【新建登录名】命令，弹出【登录名登录名】命令，弹出【登录名- -新建】对话框。新建】对话框。 （3 3）在【登录名】文本框中输入在【登录名】文本框中输入“TeacherTeacher”，点选【，点选【SQL SQL ServerServer身份验证】单选按钮，在【密码】与【确

15、认密码】文本框中输身份验证】单选按钮，在【密码】与【确认密码】文本框中输入入“TeacherTeacher”。这里为了便于讲解，采用了与用户名相同的密码，。这里为了便于讲解，采用了与用户名相同的密码，读者在实际使用时要注意，这样会降低安全性。在【默认数据库】下读者在实际使用时要注意，这样会降低安全性。在【默认数据库】下拉列表框中选择【拉列表框中选择【StudentManStudentMan】选项，也就是当新建的用户登录，所】选项，也就是当新建的用户登录，所有的默认操作都将是针对数据库有的默认操作都将是针对数据库StudentManStudentMan的。的。SQLServer安全性管理17.3

16、.2 删除删除SQL Server登录登录 当一个用户不再需要具有数据库操作的权限时，在安当一个用户不再需要具有数据库操作的权限时，在安全管理上要进行用户的删除操作。下面以删除用户全管理上要进行用户的删除操作。下面以删除用户TeacherTeacher为例，讲解在为例，讲解在SQL ServerSQL Server中删除用户登录的操作步骤。中删除用户登录的操作步骤。 （1 1）启动并登录启动并登录SQL Server Management StudioSQL Server Management Studio，在【对象资源管理器】面板中展开【安全性】在【对象资源管理器】面板中展开【安全性】| |

17、【登录名】【登录名】分支，右击用户名【分支，右击用户名【TeacherTeacher】，在弹出的快捷菜单中选择】，在弹出的快捷菜单中选择【删除】命令，弹出【删除对象】对话框。【删除】命令，弹出【删除对象】对话框。 （2 2）单击【确定】按钮，这个用户就删除了，此时单击【确定】按钮，这个用户就删除了，此时会弹出一个删除登录名提示框。会弹出一个删除登录名提示框。 （3 3）如果要彻底删除用户，还要展开【数据库】如果要彻底删除用户，还要展开【数据库】| |【StudentManStudentMan】| |【安全性】【安全性】| |【用户】分支，右击【用户】分支，右击【TeacherTeacher】，

18、弹出【删除对象】对话框。单击【确定】按钮】，弹出【删除对象】对话框。单击【确定】按钮，登录名将彻底从系统中删除。，登录名将彻底从系统中删除。SQLServer安全性管理17.3.3 17.3.3 创建创建WindowsWindows登录登录 创建创建WindowsWindows登录与创建登录与创建SQL ServerSQL Server登录有一处不同登录有一处不同，就是先要在，就是先要在WindowsWindows操作系统中进行用户添加操作，然后操作系统中进行用户添加操作，然后才能在才能在SQL ServerSQL Server中创建登录。下面就以创建用户中创建登录。下面就以创建用户Teach

19、erTeacher为例，讲解在为例，讲解在SQL ServerSQL Server中创建中创建WindowsWindows登录的操作步骤。登录的操作步骤。 SQLServer安全性管理17.3.4 17.3.4 删除删除WindowsWindows登录登录 当一个用户不再具有数据库操作的权限时，在安全管当一个用户不再具有数据库操作的权限时，在安全管理上要进行用户的删除操作。删除理上要进行用户的删除操作。删除WindowsWindows登录名的操作步登录名的操作步骤如下。骤如下。 （1 1）启动并登录启动并登录SQL Server Management StudioSQL Server Mana

20、gement Studio，在，在【对象资源管理器】面板中展开【安全性】【对象资源管理器】面板中展开【安全性】| |【登录名】分【登录名】分支，右击【支，右击【ADMIN-5513078C3TeacherADMIN-5513078C3Teacher】，在弹出的快捷菜】，在弹出的快捷菜单中选择【删除】命令，弹出【删除对象】对话框。单中选择【删除】命令，弹出【删除对象】对话框。 （2 2）单击【确定】按钮，这个用户就删除了，此时会单击【确定】按钮，这个用户就删除了，此时会弹出一个删除登录名提示框。弹出一个删除登录名提示框。 （3 3） 如果要彻底删除用户，还要展开【数据库】如果要彻底删除用户，还要

21、展开【数据库】| |【StudentManStudentMan】| |【安全性】【安全性】| |【用户】分支，右击【用户】分支，右击【ADMIN-ADMIN-5513078C3Teacher5513078C3Teacher】，将弹出【删除对象】对话框。单击】，将弹出【删除对象】对话框。单击【确定】按钮，登录名将彻底从系统中删除。【确定】按钮，登录名将彻底从系统中删除。SQLServer安全性管理17.4 17.4 权限权限 在数据库内部，在数据库内部，SQL ServerSQL Server提供的权限作为访问提供的权限作为访问权设置的最后一道关卡。一个登录者若要对某个数据库权设置的最后一道关卡

22、。一个登录者若要对某个数据库进行修改或访问，必须具有相应的权限。这种权限涉及进行修改或访问，必须具有相应的权限。这种权限涉及服务器级与数据库级的操作。权限既可以直接获得，也服务器级与数据库级的操作。权限既可以直接获得，也可以通过成为角色成员而继承角色的权限。权限的管理可以通过成为角色成员而继承角色的权限。权限的管理操作包括授予、拒绝和废除。操作包括授予、拒绝和废除。SQLServer安全性管理17.4.1 17.4.1 权限类型权限类型 权限有权限有3 3种类型，分别是对象权限、语句权限、隐种类型，分别是对象权限、语句权限、隐含权限。含权限。SQLServer安全性管理17.4.2 17.4.

23、2 为用户设置权限为用户设置权限 下面以登录名下面以登录名TeacherTeacher为例，讲解在为例，讲解在SQL Server SQL Server Management StudioManagement Studio中进行用户权限设置的操作步骤。中进行用户权限设置的操作步骤。SQLServer安全性管理17.4.3 17.4.3 使用登录名登录使用登录名登录 权限设置完成后，为了使新建的用户权限设置完成后，为了使新建的用户TeacherTeacher能登能登录录SQL Server 2008SQL Server 2008并进行操作，下面还需要进行进一步并进行操作，下面还需要进行进一步的设

24、置操作，操作步骤如下。的设置操作，操作步骤如下。SQLServer安全性管理17.5 17.5 角色角色 角色是为了方便用户权限管理而设计的对象。当一个角色是为了方便用户权限管理而设计的对象。当一个用户进行权限设置时，使用上节所述的方式很直观和方便。用户进行权限设置时，使用上节所述的方式很直观和方便。可是实际工作中往往是有大量用户进行管理操作，此时通过可是实际工作中往往是有大量用户进行管理操作，此时通过角色就可以快速解决问题。角色就可以快速解决问题。SQLServer安全性管理17.5.1 17.5.1 角色简介角色简介 各个角色是对应不同权限的，各个角色是对应不同权限的，SQL Server

25、SQL Server中有很中有很多权限，可以把这些权限组合或单独赋予各个角色，从多权限，可以把这些权限组合或单独赋予各个角色，从而使不同角色的用户权限不同。而使不同角色的用户权限不同。 为了便于管理数据库中的权限，为了便于管理数据库中的权限，SQL ServerSQL Server提供提供了若干角色，这些角色是用于分组其他主体的安全主体了若干角色，这些角色是用于分组其他主体的安全主体，类似于，类似于Microsoft WindowsMicrosoft Windows操作系统中的组。数据库级操作系统中的组。数据库级角色的权限作用域为数据库范围。角色的权限作用域为数据库范围。 SQL Server

26、 SQL Server中有两种类型的角色：服务器角色和中有两种类型的角色：服务器角色和数据库角色。就如同一般企业管理中的角色，经理一级数据库角色。就如同一般企业管理中的角色，经理一级可以查看员工档案、财务报表等，而普通员工只能查看可以查看员工档案、财务报表等，而普通员工只能查看自己的档案以及个人工资情况等。服务器角色主要管理自己的档案以及个人工资情况等。服务器角色主要管理SQL ServerSQL Server的操作，而数据库角色主要针对数据库中对的操作，而数据库角色主要针对数据库中对象的权限操作。象的权限操作。SQLServer安全性管理17.5.2 17.5.2 服务器角色服务器角色服务器

27、角色是指根据服务器角色是指根据SQL ServerSQL Server的管理任务以及这些的管理任务以及这些任务相对的重要性等级，把具有任务相对的重要性等级，把具有SQL ServerSQL Server管理职能的用户管理职能的用户划分为不同的角色来管理划分为不同的角色来管理SQL ServerSQL Server的权限。服务器角色适的权限。服务器角色适用于服务器范围内，其权限不能被修改，也不允许用户创建用于服务器范围内，其权限不能被修改，也不允许用户创建服务器角色。服务器角色。SQLServer安全性管理17.5.3 17.5.3 将用户设为服务器角色将用户设为服务器角色 下面以新建的用户下面

28、以新建的用户TeacherTeacher为例，讲解为用户设置服为例，讲解为用户设置服务器角色的操作步骤。务器角色的操作步骤。 （1 1）启动并登录启动并登录SQL Server Management StudioSQL Server Management Studio，在【对象资源管理器】面板中展开【安全性】在【对象资源管理器】面板中展开【安全性】| |【登录名】【登录名】分支，右击【分支，右击【TeacherTeacher】，在弹出的快捷菜单中选择【属性】，在弹出的快捷菜单中选择【属性】命令，弹出【登录属性】对话框。】命令，弹出【登录属性】对话框。 （2 2）选择【服务器角色】页，在【服务器

29、角色】列表选择【服务器角色】页，在【服务器角色】列表中勾选角色【中勾选角色【dbcreaterdbcreater】前的复选框，使登录名】前的复选框，使登录名TeacherTeacher具具有管理数据库的角色，然后单击【确定】按钮保存设置。有管理数据库的角色，然后单击【确定】按钮保存设置。 （3 3）以登录名以登录名TeacherTeacher登录，可以进行创建、更改、登录，可以进行创建、更改、删除和还原任何数据库的操作。删除和还原任何数据库的操作。SQLServer安全性管理17.5.4 17.5.4 数据库角色数据库角色 数据库角色是对数据库对象操作的权限的集合。在数据库角色是对数据库对象操

30、作的权限的集合。在SQL ServerSQL Server中，数据库角色可以新建，也可以使用已存在中，数据库角色可以新建，也可以使用已存在的数据库角色。数据库角色能为某一用户或一组用户授予的数据库角色。数据库角色能为某一用户或一组用户授予不同级别的管理、访问数据库或数据库对象的权限，这些不同级别的管理、访问数据库或数据库对象的权限，这些权限是权限是SQL ServerSQL Server数据库专有的。数据库专有的。SQLServer安全性管理17.5.5 17.5.5 将用户设为数据库角色将用户设为数据库角色 这里就以新建的用户这里就以新建的用户TeacherTeacher为例，讲解为用户设置

31、为例，讲解为用户设置数据库角色的操作步骤。数据库角色的操作步骤。 （1 1）启动并登录启动并登录SQL Server Management StudioSQL Server Management Studio，在【对象资源管理器】面板中展开【数据库】在【对象资源管理器】面板中展开【数据库】| |【StudentManStudentMan】| |【安全性】【安全性】| |【用户】分支，右击【用户】分支，右击【TeacherTeacher】，在弹出的快捷菜单中选择【属性】命令，弹出【数据】，在弹出的快捷菜单中选择【属性】命令，弹出【数据库用户】对话框。库用户】对话框。 （2 2）在【数据库角色成员身份】列表中勾选角色在【数据库角色成员身份】列表中勾选角色db_datareaderdb_datareader前的复选框，使登录名前的复选框，使登录名TeacherTeacher具有读取数具有读取数据表的角色，然后单击【确定】按钮保存设置。据表的角色，然后单击【确定】按钮保存设置。 （3 3） 以登录名以登录名TeacherTeacher登录，将可以访问原来并不登录，将可以访问原来并不能查询的能查询的ScoreInfoScoreInfo表。这表明对于表。这表明对于TeacherTeacher授予了授予了db_datareaderdb_datare