数据库系统概论第4章数据库安全

1、第第4章章 数据库安全数据库安全4.1 计算机安全性概论计算机安全性概论4.2数据库安全性控制数据库安全性控制9.1计算机安全性概论计算机安全性概论数据库安全数据库安全指保护数据库以防止不合法的使用所指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏造成的数据泄露、更改或破坏.1.计算机系统的三类安全性问题计算机系统的三类安全性问题.计算机系统安全性计算机系统安全性:指为计算机系统建立和采取的各种安指为计算机系统建立和采取的各种安全保护措施全保护措施,以保护计算机系统中的硬件、软件及数据以保护计算机系统中的硬件、软件及数据,防防止其因偶然或恶意的原因使系统遭到破坏止其因偶然或恶意的原因

2、使系统遭到破坏,数据遭到更改数据遭到更改或泄露等或泄露等.计算机系统安全性的分类计算机系统安全性的分类:(1)技术安全技术安全(2)管理安全管理安全(3)政策法律类安全政策法律类安全2.可信计算机系统评测标准可信计算机系统评测标准从四个方面来评测计算机系统的安全性从四个方面来评测计算机系统的安全性: (1)安全策略安全策略 (2)责任责任 (3)保证保证 (4)文档文档计算机系统的安全性等级计算机系统的安全性等级:D级级:最小保护最小保护C1级级:自主安全保护自主安全保护C2级级:受控的存取保护受控的存取保护B1级级:标记安全保护标记安全保护B2级级:结构化保护结构化保护B3级级:安全域安全域

3、A1级级:验证设计验证设计9.2 数据库安全性控制数据库安全性控制用户用户DBMSOSDB用户标识和鉴别用户标识和鉴别存取控制存取控制操作系统安全保护操作系统安全保护数据密码存储数据密码存储图图9.1 计算机系统的安全模型计算机系统的安全模型用户标识与鉴别用户标识与鉴别用户标识与鉴别用户标识与鉴别:是指由系统提供一定的方式让用户标识是指由系统提供一定的方式让用户标识 自己的名字或身份自己的名字或身份.每次用户进入系统时每次用户进入系统时, 由系统进行核对由系统进行核对,通过鉴定后才通过鉴定后才提供使用权提供使用权.常用的用户标识与鉴定方法常用的用户标识与鉴定方法: (1)用户名用户名 (2)口

4、令口令 (3)函数鉴定函数鉴定例例:用户用户A与系统约定的函数为与系统约定的函数为f(x)=x*x+2; 则某次上机则某次上机,若系统提供的随机数为若系统提供的随机数为3,则则A经计算经计算 后回答后回答11,则可进入系统则可进入系统,否则拒绝进入系统否则拒绝进入系统.9.2.2 存取控制存取控制存取控制机制存取控制机制:确保只授权给有资格的用户访问数据库的确保只授权给有资格的用户访问数据库的 权限，同时令所有未被授权的人员无法接近权限，同时令所有未被授权的人员无法接近 数据数据.存取控制机制包括两部分存取控制机制包括两部分: (1) 定义用户权限定义用户权限,并将用户权限登记到数据字典中并将

5、用户权限登记到数据字典中,形成形成 安全规则安全规则. (2)合法权限检查合法权限检查,利用数据字典中的安全规则对用户的利用数据字典中的安全规则对用户的 请求进行检查请求进行检查.两种存取控制机制两种存取控制机制:自主存取控制方法自主存取控制方法(DAC)强制存取控制方法强制存取控制方法(MAC)自主存取控制方法自主存取控制方法(DAC)自主存取控制自主存取控制:用户对于不同的数据对象有不同的存取权限用户对于不同的数据对象有不同的存取权限, 不同的用户对同一对象也有不同的权限不同的用户对同一对象也有不同的权限,而且而且 用户还可以将其拥有的存取权限转授给其他用户还可以将其拥有的存取权限转授给其

6、他 用户用户.SQL的自主存取控制的自主存取控制GrantRevoke用户权限用户权限:结构结构（数据库）（数据库）数据数据(表或视图表或视图)数据数据(属性列属性列)Create databaseSelectInsert,update,deleteAll privilegesSelectInsert,update,deleteAll privileges结构结构（表、视图）（表、视图）Create table,alter tableCreate viewCreate index1.授权授权Grant的语句格式的语句格式: grant . on to . with grant option;例

7、子例子:把查询把查询Student表的权限授给用户表的权限授给用户U1.Grant selecton table studentto u1;例子例子:说明以下语句完成的功能说明以下语句完成的功能. (1) grant all priviliges on table student,course to u2,u3;(2) grant select on table sc to public;(3) grant update(sno),select on table sc to u4;(4)grant insert on table sc to u5; with grant option (5)g

8、rant createtab on database S_C to u6;2.收回权限收回权限revoke的语句格式的语句格式: revoke . on from .;例子例子:把把U4修改学生学号的权限收回修改学生学号的权限收回.Revoke update(sno)on table studentfrom u4;例子例子:说明以下语句完成的功能说明以下语句完成的功能. (1)revoke select on table sc from public;(2)revoke insert on table sc from u5 cascade;3.创建用户创建用户Sp_addlogin 用户名称用

9、户名称, 用户密码用户密码sp_addsrvrolemember 用户名称用户名称,dbcreatorsp_grantdbaccess 用户名称用户名称sp_addrolemember 数据库角色名称数据库角色名称，用户名称用户名称例子：例子： （1）Sp_addlogin zgf, 123 （2）sp_addsrvrolemember zgf,dbcreator （3）在当前数据库）在当前数据库(spj)中执行：中执行： sp_grantdbaccess zgf,zgfspj sp_addrolemember db_owner, zgfspj sp_droprolemember db_own

10、er, zgfspj grant create table to zgfspj grant select on spj to zgfspj revoke select on spj to zgfspj grant create view to public强制存取控制方法强制存取控制方法(MAC)强制存取控制强制存取控制:每一个数据对象被标以一定的密级每一个数据对象被标以一定的密级,每一个每一个 用户也被授予某一个级别的许可证用户也被授予某一个级别的许可证,对于任对于任 意一个对象意一个对象,只有具有合法许可证的用户才只有具有合法许可证的用户才 可以存取可以存取.主体主体:系统中的活动实体系统

11、中的活动实体,包括用户和代表用户的各进程包括用户和代表用户的各进程.客体客体:系统中的被动实体系统中的被动实体,包括文件、基本表、索引、视图包括文件、基本表、索引、视图.主体和客体的敏感度标记主体和客体的敏感度标记:绝密、机密、可信、公开等绝密、机密、可信、公开等.主体的敏感度标记称为许可证级别主体的敏感度标记称为许可证级别.客体的敏感度标记称为密级客体的敏感度标记称为密级.强制存取控制方法强制存取控制方法(MAC):要求许可证级别为要求许可证级别为Label的主体对任何客体存取时必须遵守的主体对任何客体存取时必须遵守以下规则：以下规则： (1)仅当主体的许可证级别大于或等于客体的密级时仅当主

12、体的许可证级别大于或等于客体的密级时,该主该主 体才能读取相应的客体体才能读取相应的客体. (2)仅当主体的许可证级别等于客体的密级时仅当主体的许可证级别等于客体的密级时,该主体才能该主体才能 写相应的客体写相应的客体.例子例子:主体主体A(机密机密)客体客体B(机密机密)客体客体C(绝密绝密)客体客体D(公开公开)R/WRDAC+MAC安全检查示意图安全检查示意图:SQL语法分析语法分析&语义检查语义检查DAC检查检查MAC检查检查安全检查安全检查继续继续检查用检查用户权限户权限检查用户检查用户的许可证的许可证级别和数级别和数据的密级据的密级9.2.5 视图机制视图机制视图机制视图机

13、制:为不同的用户定义不同的视图为不同的用户定义不同的视图,把数据对象限制把数据对象限制 在一定的范围内在一定的范围内,通过视图机制把要保密的数据通过视图机制把要保密的数据 对无权存取的用户隐藏起来对无权存取的用户隐藏起来,对数据提供一定程对数据提供一定程 度的安全保护度的安全保护.例子例子:李勇把查询李勇把查询Student中计算机系学生的权限授予王平中计算机系学生的权限授予王平.(1)建立计算机系学生的视图建立计算机系学生的视图CS-Student. create view CS-Student as select * from student where Sdept=CS;(2)授限授限

14、grant select on CS-Student to 王平王平;9.2.6 审计审计审计审计:把用户对数据库的所有操作自动记录下来放入审计把用户对数据库的所有操作自动记录下来放入审计 日志中日志中,DBA可以利用审计跟踪的信息可以利用审计跟踪的信息,重现导致数重现导致数 据库现有状况的一系列事件据库现有状况的一系列事件,找出非法存取数据的人找出非法存取数据的人 、时间和内容、时间和内容.9.2.7 数据加密数据加密数据加密数据加密:根据一定的算法将原始数据变换为不可直接根据一定的算法将原始数据变换为不可直接 识别的格式识别的格式,从而使得不知道解密算法的人从而使得不知道解密算法的人 无法

15、获知数据的内容无法获知数据的内容.加密方法加密方法:(1)替换方法替换方法(2)置换方法置换方法(3)替换方法替换方法+置换方法置换方法9.3 统计数据库安全性统计数据库安全性1.问题的提出问题的提出 统计数据库统计数据库:用户只能对聚集数据进行访问用户只能对聚集数据进行访问,而不能对单个而不能对单个 数据信息进行访问数据信息进行访问.例子例子: (1)查询所有女高级程序员的人数查询所有女高级程序员的人数. (2)查询所有女高级程序员的工资总额查询所有女高级程序员的工资总额. 如果查询如果查询(1)的结果为的结果为1,则查询则查询(2)的结果就是这位女高级的结果就是这位女高级程序员的工资程序员

16、的工资.2.解决的方法解决的方法规定任何查询至少涉及规定任何查询至少涉及N个以上的记录。个以上的记录。3.问题的提出问题的提出例子例子:如果用户如果用户A想知道用户想知道用户B的工资的工资,则可通过以下查询则可通过以下查询: (1)查询用户查询用户A与与N名职工的总工资名职工的总工资. (2)查询用户查询用户B与与N名职工的总工资名职工的总工资.查询查询(1)的结果为的结果为R查询查询(2)的结果为的结果为S用户用户A已知自己的工资为已知自己的工资为P4.解决的方法解决的方法规定任意两个查询的相交数据项不能超过规定任意两个查询的相交数据项不能超过M个。个。用户用户B的工资为的工资为: S-(R

17、-P)SQL Server的安全控制的安全控制 一、数据库权限的种类及用户的分类一、数据库权限的种类及用户的分类 1.1.权限的种类权限的种类 第一类是对数据库管理系统进行维护的权限第一类是对数据库管理系统进行维护的权限; ; 第二类是对数据库中的对象和数据进行操作的权限第二类是对数据库中的对象和数据进行操作的权限; ; 第一种是对数据库对象的权限，包括创建、删除和修改数第一种是对数据库对象的权限，包括创建、删除和修改数 据库对象；据库对象； 第二种是对数据库数据的操作权，包括对表、视图数据的第二种是对数据库数据的操作权，包括对表、视图数据的 增、删、改、查。增、删、改、查。 2.2.数据库用

18、户的分类数据库用户的分类 数据库中的用户按其操作权限的大小可分为如下三类：数据库中的用户按其操作权限的大小可分为如下三类： （1 1）数据库系统管理员：具有一切权限。）数据库系统管理员：具有一切权限。 （2 2）数据库对象拥有者：对其所拥有的对象具有一切权限。）数据库对象拥有者：对其所拥有的对象具有一切权限。 （3 3）普通用户：只具有对数据库数据的增、删、改、查权。）普通用户：只具有对数据库数据的增、删、改、查权。 二、二、 SQL Server的安全控制的安全控制 一个用户如果要访问一个用户如果要访问SQL ServerSQL Server数据库中的数据，他必须要经数据库中的数据，他必须要

19、经过三个认证过程：过三个认证过程： 第一个认证过程是身份验证，这时用登录账号来标识用户，身第一个认证过程是身份验证，这时用登录账号来标识用户，身份份 验证只验证用户连接到验证只验证用户连接到SQL ServerSQL Server数据库服务器的资格，即数据库服务器的资格，即验证该用户是否具有连接到数据库服务器的验证该用户是否具有连接到数据库服务器的“连接权连接权”。 第二个认证过程是当用户访问数据库时，他必须具有对具体数第二个认证过程是当用户访问数据库时，他必须具有对具体数据库的据库的“访问权访问权”，即验证用户是否是数据库的合法用户。，即验证用户是否是数据库的合法用户。 第三个认证过程是当用

20、户操作数据库中的数据或对象时，他必第三个认证过程是当用户操作数据库中的数据或对象时，他必须具有所要进行的操作的须具有所要进行的操作的“操作权操作权”，即验证用户是否具有操，即验证用户是否具有操作许可。作许可。 SQL ServerSQL Server的用户有两种类型：的用户有两种类型：WindowsWindows授权用户：来自于授权用户：来自于WindowsWindows的用户或组；的用户或组；SQLSQL授权用户：来自于非授权用户：来自于非WindowsWindows的用户，我们也将这种用户称的用户，我们也将这种用户称为为 SQLSQL用户。用户。 SQL ServerSQL Server为

21、不同的用户类型提供有不同的安全认证模式：为不同的用户类型提供有不同的安全认证模式：1.Windows1.Windows身份验证模式身份验证模式 WindowsWindows身份验证模式允许用户身份验证模式允许用户Windows NTWindows NT或或Windows 2000Windows 2000用户连接到用户连接到SQL ServerSQL Server。2.2.混合验证模式混合验证模式 混合验证模式表示混合验证模式表示SQL ServerSQL Server接受接受WindowsWindows授权用户和授权用户和SQLSQL授授权用户。如果不是权用户。如果不是WindowsWindo

22、ws操作系统的用户希望也能使用操作系统的用户希望也能使用SQL SQL ServerServer，则应该选择混合验证模式。，则应该选择混合验证模式。3.3.设置验证模式设置验证模式 在企业管理器中设置在企业管理器中设置SQL ServerSQL Server的身份验证模式的方法为：的身份验证模式的方法为： （1 1）在企业管理器的控制台上，在要设置验证模式的服务器名）在企业管理器的控制台上，在要设置验证模式的服务器名 上单击鼠标右键，然后在弹出的菜单上选择上单击鼠标右键，然后在弹出的菜单上选择“属性属性” 。 （2 2）在窗口中选择）在窗口中选择“安全性安全性”标签页，在窗口的标签页，在窗口的

23、“安全性安全性” 成组框中的成组框中的“身份验证身份验证”部分，有两个选项：部分，有两个选项：“SQL SQL Server Server和和Windows”Windows”以及以及“仅仅Windows”Windows”。前一个选项代。前一个选项代 表混合验证模式，后一个选项代表表混合验证模式，后一个选项代表WindowsWindows验证模式。验证模式。 （3 3）单击）单击“确定确定”按钮。按钮。三、三、管理管理SQL Server登录账号登录账号 内置系统帐号：内置系统帐号：用户创建自己的登录帐号：用户创建自己的登录帐号：l建立登录账号建立登录账号 使用企业管理器建立登录账号的步骤为：使

24、用企业管理器建立登录账号的步骤为：（1 1）展开）展开“安全性安全性”，单击，单击“登录登录”节点。节点。（2 2）右击内容窗格中的空白处，从弹出式菜单中选择）右击内容窗格中的空白处，从弹出式菜单中选择“新建登新建登录录”命令。命令。（3 3）设置如下选项：）设置如下选项：在在“名称名称”文本框中输入登录的账号名。文本框中输入登录的账号名。在在“身份验证身份验证”区域中，有如下两个选择：区域中，有如下两个选择： “WindowsWindows身份验证身份验证”模式模式 “SQL ServerSQL Server身份验证身份验证”模式模式在在“数据库数据库”下拉列表框中选择登录到下拉列表框中选择

25、登录到SQL ServerSQL Server之后默认情之后默认情况下要连接的数据库。况下要连接的数据库。在在“语言语言”列表框中选择显示给用户的信息所使用的默认语言。列表框中选择显示给用户的信息所使用的默认语言。例子例子:添加一个添加一个windows用户用户user; 添加一个添加一个SQL用户用户ss;l修改登录账号的属性修改登录账号的属性 对于已经建立好的对于已经建立好的SQL ServerSQL Server登录账号，还可以对登录账号的登录账号，还可以对登录账号的密码等进行修改。密码等进行修改。 使用企业管理器修改登录密码的步骤为：使用企业管理器修改登录密码的步骤为： 右击想要修改密

26、码的登录账号，从弹出式菜单中选择右击想要修改密码的登录账号，从弹出式菜单中选择“属性属性”命令，可以进行如下更改：命令，可以进行如下更改：l更改密码：在更改密码：在“常规常规”选项卡上，可以在选项卡上，可以在“密码密码”文本框中输入文本框中输入新的密码。新的密码。l更改默认数据库：在更改默认数据库：在“数据库数据库”列表框中选择一个新的数据库。列表框中选择一个新的数据库。l更改显示给用户所使用的语言：在更改显示给用户所使用的语言：在“语言语言”列表框中选择一个新列表框中选择一个新的语言。的语言。l删除登录账号删除登录账号 若不再需要某个登录账号，或者不再允许某个登录账号若不再需要某个登录账号，

27、或者不再允许某个登录账号访问访问SQL ServerSQL Server，则可以将其删除。使用企业管理器删除登，则可以将其删除。使用企业管理器删除登录账号的步骤为：录账号的步骤为：（1 1）在控制台上依次单击）在控制台上依次单击“Microsoft SQL Servers”Microsoft SQL Servers”和和“SQL ServerSQL Server组组”左边的加号，然后单击服务器，展开树形左边的加号，然后单击服务器，展开树形目录。目录。（2 2）展开）展开“安全性安全性”节点，然后单击节点，然后单击“登录登录”节点。节点。（3 3）在右边的内容窗格中，右击想要删除的登录账号，从弹

28、）在右边的内容窗格中，右击想要删除的登录账号，从弹出的菜单中选择出的菜单中选择“删除删除”命令或按命令或按DeleteDelete键。键。（4 4）若确实要删除此登录账号，）若确实要删除此登录账号， 则单击则单击“是是”，否则单击，否则单击“否否”，取消删除操作。，取消删除操作。四、四、 管理数据库用户管理数据库用户 用户具有了登录账号之后，他只能连接到用户具有了登录账号之后，他只能连接到SQL ServerSQL Server服务服务器上，但不具有访问任何用户数据库的能力，只有成为了数器上，但不具有访问任何用户数据库的能力，只有成为了数据库的合法用户后，才能访问此数据库。据库的合法用户后，才

29、能访问此数据库。 l建立数据库用户建立数据库用户 使用企业管理器建立数据库用户的步骤为：使用企业管理器建立数据库用户的步骤为：（1 1）单击要建立数据库用户的数据库节点，右击）单击要建立数据库用户的数据库节点，右击“用户用户”，并，并在弹出的菜单上选择在弹出的菜单上选择“新建数据库用户新建数据库用户”命令。命令。（2 2）在）在“登录名登录名”列表框中选择一个登录账号名。默认时列表框中选择一个登录账号名。默认时“用用户名户名”文本框的内容和用户选择的登录账号一样，用户可以在文本框的内容和用户选择的登录账号一样，用户可以在“用户名用户名”文本框中输入一个新的数据库用户名，也可以采用文本框中输入一

30、个新的数据库用户名，也可以采用与登录账号一样的用户名。与登录账号一样的用户名。（3 3）单击）单击“确定确定”关闭此窗口。关闭此窗口。例子例子: 添加添加SQL用户用户ss为用户数据库为用户数据库st的用户。的用户。每个用户都属于每个用户都属于public角色角色,使用户具有使用户具有一些默认权限一些默认权限.l删除数据库用户删除数据库用户 从当前数据库中删除一个用户，就是去掉了登录账号和数从当前数据库中删除一个用户，就是去掉了登录账号和数据库用户之间的映射关系。删除数据库用户之后，登录账号仍据库用户之间的映射关系。删除数据库用户之后，登录账号仍然存在。然存在。 使用企业管理器删除数据库用户的

31、过程为：使用企业管理器删除数据库用户的过程为： （1 1）在控制台上，展开服务器组以及服务器。）在控制台上，展开服务器组以及服务器。 （2 2）展开）展开“数据库数据库”节点，然后展开要删除用户的数据库。节点，然后展开要删除用户的数据库。 （3 3）单击）单击“用户用户”，然后在右边的内容窗格中右击想要删除的，然后在右边的内容窗格中右击想要删除的数据库用户，从弹出的菜单中选择数据库用户，从弹出的菜单中选择“删除删除”命令。命令。 （4 4）在弹出的确认窗口中，单击）在弹出的确认窗口中，单击“是是”，删除此用户。，删除此用户。思考思考:如果某个登录帐号已是某些数据库的用户如果某个登录帐号已是某些

32、数据库的用户,这个帐这个帐户能删除吗户能删除吗?五、五、 管理权限管理权限 在在SQL Server 2000 中，权限分为三种中，权限分为三种:1对象权限对象权限 对象权限是指用户对数据库中的表、视图等对象的操作权，相当对象权限是指用户对数据库中的表、视图等对象的操作权，相当于数据库操作语言（于数据库操作语言（DML）的语句权限，）的语句权限，2语句权限语句权限 语句权限相当于数据定义语言（语句权限相当于数据定义语言（DDL）的语句权限，这种权限专）的语句权限，这种权限专指是否允许执行下列语句：指是否允许执行下列语句：CREATE TABLE、CREATE VIEW等等与创建数据库对象有关的

33、操作。与创建数据库对象有关的操作。3隐含权限隐含权限 隐含权限是指由隐含权限是指由SQL Server预定义的服务器角色、数据库角色、预定义的服务器角色、数据库角色、数据库拥有者和数据库对象拥有者所具有的权限，隐含权限相当于数据库拥有者和数据库对象拥有者所具有的权限，隐含权限相当于内置权限，不需要再明确地授予这些权限。内置权限，不需要再明确地授予这些权限。权限的管理包含如下三个内容：权限的管理包含如下三个内容：授予权限：允许用户或角色具有某种操作权。授予权限：允许用户或角色具有某种操作权。收回权限：不允许用户或角色具有某种操作权，或者收回曾经授收回权限：不允许用户或角色具有某种操作权，或者收回

34、曾经授 予予 的权限。的权限。拒绝访问：拒绝某用户或角色具有某种操作权，既使用户或角色由拒绝访问：拒绝某用户或角色具有某种操作权，既使用户或角色由 于继承而获得这种操作权，也不允许执行相应的操作。于继承而获得这种操作权，也不允许执行相应的操作。对象权限对象权限语句权限语句权限隐含权限隐含权限1使用企业管理器管理数据库对象权限使用企业管理器管理数据库对象权限（1）展开）展开“数据库数据库”并展开要设置权限的数据库，单击并展开要设置权限的数据库，单击“用户用户” 节点。节点。（2）在内容窗格中右击要设置权限的数据库用户，并从弹出的）在内容窗格中右击要设置权限的数据库用户，并从弹出的菜菜 单中选择单

35、中选择“所有任务所有任务”下的下的“管理权限管理权限”命令。可以进行如命令。可以进行如下设下设 置：置： 授予权限授予权限 拒绝权限拒绝权限 收回权限收回权限例子例子: 为数据库为数据库st用户用户ss添加表添加表student的有关权限。的有关权限。2使用企业管理器管理语句权限使用企业管理器管理语句权限 使用企业管理器管理数据库用户的语句权限的过程为：使用企业管理器管理数据库用户的语句权限的过程为：（1）展开）展开“数据库数据库”，右击要设置语句权限的数据库，并从弹，右击要设置语句权限的数据库，并从弹出出 的菜单中选择的菜单中选择“属性属性”，在弹出的窗口中，选择，在弹出的窗口中，选择“权限

36、权限”选项选项 卡。卡。（2）在要设置的语句权限以及用户所对应的方框中单击鼠标，）在要设置的语句权限以及用户所对应的方框中单击鼠标， 使其中出现相应标记。使其中出现相应标记。例子例子: 为数据库为数据库st用户用户ss添加语句权限。添加语句权限。例子例子:演示拒绝权限演示拒绝权限 、收回权限的区别。、收回权限的区别。3使用使用Transact-SQL语句管理对象权限语句管理对象权限 在在Transact-SQL语句中，用于管理权限的语句有三个：语句中，用于管理权限的语句有三个： GRANT语句：用于授权；语句：用于授权； REVOKE语句：用于收回权限；语句：用于收回权限； DENY语句：用于

37、拒绝权限。语句：用于拒绝权限。管理对象权限的语句的语法格式为：管理对象权限的语句的语法格式为： GRANT | DENY 对象权限名对象权限名 ， ON 表名表名 | 视图名视图名 | 存储过程名存储过程名 TO 数据库用户名数据库用户名 | 用户角色名用户角色名 ， REVOKE 对象权限名对象权限名 ， ON 表名表名 | 视图名视图名 | 存储过程名存储过程名 FROM 数据库用户名数据库用户名 | 用户角色名用户角色名 ， 例例1：为用户：为用户user1授予授予Student表的查询权。表的查询权。 GRANT SELECT ON Student TO user1 例例2：为用户：为用户user1授予授予SC表的查询权和插入权。表的查询权和插入权。 GRANT SELECT，INSERT ON SC TO user1 例例3：收回用户：收回用户user1授予授予Student表的查询权。表的查询权。 REVOKE SELECT ON Student FROM user1 例例4：拒绝用户：拒绝用户user1对对SC表的更改权。表的更改权。 DENY UPDATE ON SC TO user1例子例子: 为数据库为数据库st用户用户ss授予表授予表student的插入权限。的插入权限。4使用使用Transact-SQL语句管理语句权限语句管理语句权限 管理语句权限的语句