第九章数据库安全(2012)

1、数理学院 冯莉第九章第九章 数据库安全数据库安全12安全性概述SQL Server 的安全性34用户管理和角色管理权限管理5架构9.1 安全性概述安全性概述 问题的提出问题的提出 数据库的一大特点是数据可以共享；数据库的一大特点是数据可以共享； 数据共享必然带来数据库的安全性问题；数据共享必然带来数据库的安全性问题； 数据库系统中的数据共享不能是无条件的共享数据库系统中的数据共享不能是无条件的共享; 安全性问题不是数据库系统所独有的安全性问题不是数据库系统所独有的,而是所有而是所有计算机系统都有这个问题计算机系统都有这个问题.9.1 安全性概述安全性概述 什么是数据库的安全性？什么是数据库的安

2、全性？ 保护数据库以防止不合法的使用所造成的数据保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。泄露、更改或破坏。 数据库系统的安全保护措施是否有效是数据库系数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一。统主要的性能指标之一。 什么是计算机系统安全性？什么是计算机系统安全性？ 为计算机系统建立和采取的各种安全保护措施，为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防以保护计算机系统中的硬件、软件及数据，防止因偶然或恶意的原因使系统遭到破坏，数据止因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。遭到更改或泄露等。9.1 安全性

3、概述安全性概述 计算机安全性问题分类计算机安全性问题分类 技术安全：技术安全：指计算机系统中采用具有一定安全性的指计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安硬件、软件来实现对计算机系统及其所存数据的安全保护。全保护。 管理安全：管理安全：由于管理不善导致的计算机设备和数据由于管理不善导致的计算机设备和数据介质的物理破坏、丢失等软硬件意外故障以及场地介质的物理破坏、丢失等软硬件意外故障以及场地的意外事故等安全问题。的意外事故等安全问题。 政策法律类：政策法律类：政府部门建立的有关计算机犯罪、数政府部门建立的有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法

4、令。据安全保密的法律道德准则和政策法规、法令。 （一级一级层层设置）（一级一级层层设置）用户用户DBMSOSDB用户标识用户标识和鉴别和鉴别存取控制存取控制视图、视图、审计审计操作系统操作系统安全保护安全保护 密码保护密码保护9.1 安全性概述安全性概述 计算机系统的安全模型计算机系统的安全模型9.1.1 用户标识与鉴别用户标识与鉴别 系统提供的最外层的安全保护措施。系统提供的最外层的安全保护措施。 具体方法：具体方法： 系统提供一定的方式让用户标识自己的名字或系统提供一定的方式让用户标识自己的名字或身份；身份； 系统内部记录着所有合法用户的标识；系统内部记录着所有合法用户的标识； 每次用户要

5、求进入系统时，由系统核对用户提每次用户要求进入系统时，由系统核对用户提供的身份标识；供的身份标识； 通过鉴定后才提供机器使用权；通过鉴定后才提供机器使用权； 用户标识和鉴定可以重复多次。用户标识和鉴定可以重复多次。9.1.1 用户标识与鉴别用户标识与鉴别 用户名用户名/口令口令 简单易行，容易被人窃取。简单易行，容易被人窃取。 每个用户预先约定好一个计算过程或者函数每个用户预先约定好一个计算过程或者函数： 系统提供一个随机数；系统提供一个随机数； 用户根据自己预先约定的计算过程或者函数进用户根据自己预先约定的计算过程或者函数进行计算；行计算； 系统根据用户计算结果是否正确鉴定用户身份。系统根据

6、用户计算结果是否正确鉴定用户身份。常用方法：常用方法：9.1.2 存取控制存取控制 存取控制机制组成存取控制机制组成 定义存取权限定义存取权限： 为用户定义适当的存取权限，并登记入数据为用户定义适当的存取权限，并登记入数据字典（安全规则或授权规则）字典（安全规则或授权规则） 合法权限检查合法权限检查： 查找数据字典，根据安全规则进行用户合法查找数据字典，根据安全规则进行用户合法权限检查权限检查 用户权限定义和合法权限检查机制一起组成用户权限定义和合法权限检查机制一起组成DBMS的安全子系统。的安全子系统。9.1.2 存取控制存取控制 存取控制方法存取控制方法 自主存取控制自主存取控制(DAC

7、:Discretionary Access Control )： 强制存取控制强制存取控制(MAC : Mandatory Access Control )： 同一用户对于不同的数据对象有不同的存取权限，同一用户对于不同的数据对象有不同的存取权限，不同的用户对同一对象也有不同的权限，用户还可不同的用户对同一对象也有不同的权限，用户还可将其拥有的存取权限转授给其他用户。将其拥有的存取权限转授给其他用户。 每一个数据对象被标以一定的密级，每一个用户每一个数据对象被标以一定的密级，每一个用户也被授予某一个级别的许可证，对于任意一个对象，也被授予某一个级别的许可证，对于任意一个对象，只有具有合法许可证

8、的用户才可以存取。只有具有合法许可证的用户才可以存取。9.1.3 自主存取控制（自主存取控制（DAC）方法）方法 定义存取权限：定义存取权限： 授权：授权：GRANT 收回权限：收回权限：REVORK 检查存取权限：检查存取权限：对于获得上机权后又进一步发对于获得上机权后又进一步发出存取数据库操作的用户：出存取数据库操作的用户：DBMS查找数据字典，根据其存取权限对操查找数据字典，根据其存取权限对操作的合法性进行检查；作的合法性进行检查；若用户的操作请求超出了定义的权限，系统若用户的操作请求超出了定义的权限，系统将拒绝执行此操作。将拒绝执行此操作。9.1.4 强制存取控制（强制存取控制（MAC

9、）方法）方法 强制存取控制强制存取控制(MAC)：指系统为保证更高程度指系统为保证更高程度的安全性，按照的安全性，按照TDI/TCSEC标准中安全策略的要标准中安全策略的要求，所采取的强制存取检查手段。求，所采取的强制存取检查手段。 MAC不是用户能直接感知或进行控制的。不是用户能直接感知或进行控制的。 MAC适用于对数据有严格而固定密级分类的部门：适用于对数据有严格而固定密级分类的部门： 军事部门军事部门 政府部门政府部门9.1.4 强制存取控制（强制存取控制（MAC）方法）方法 主体主体是系统中的活动实体是系统中的活动实体: DBMS所管理的实际用户所管理的实际用户 代表用户的各进程代表用

10、户的各进程 客体客体是系统中的被动实体，是受主体操纵的是系统中的被动实体，是受主体操纵的: 文件、基表、索引文件、基表、索引 、视图、视图 在在MAC中，中，DBMS所管理的全部实体被分为主体所管理的全部实体被分为主体和客体两大类和客体两大类:9.1.4 强制存取控制（强制存取控制（MAC）方法）方法 主体的敏感度标记称为主体的敏感度标记称为许可证级别许可证级别 客体的敏感度标记称为客体的敏感度标记称为密级密级 MAC机制就是通过对比主体的机制就是通过对比主体的Label和客体的和客体的Label，最终确定主体是否能够存取客体。，最终确定主体是否能够存取客体。 敏感度标记敏感度标记（Label

11、Label） 对于主体和客体，对于主体和客体，DBMSDBMS为它们每个实例（值）为它们每个实例（值）指派一个敏感度标记。指派一个敏感度标记。 分成若干级别：分成若干级别： 绝密、机密、可信、公开绝密、机密、可信、公开9.1.4 强制存取控制（强制存取控制（MAC）方法）方法 强制存取控制规则强制存取控制规则 当某一用户（或某一主体）以标记当某一用户（或某一主体）以标记label注册入系统时，注册入系统时，系统要求他对任何客体的存取必须遵循下面两条规则：系统要求他对任何客体的存取必须遵循下面两条规则：（1）仅当主体的许可证级别）仅当主体的许可证级别大于或等于大于或等于客体的密级时，该客体的密级

12、时，该主体才能主体才能读取读取相应的客体；相应的客体；（2）仅当主体的许可证级别）仅当主体的许可证级别等于等于客体的密级时，该主体才客体的密级时，该主体才能能写写相应的客体。相应的客体。修正规则修正规则 (某些系统规定某些系统规定) 主体的许可证级别主体的许可证级别小于等于小于等于客体的密级，主体能客体的密级，主体能写写相应的客体。相应的客体。 表示：用户可为写入的数据对象赋予高于自己的许可证级别的密表示：用户可为写入的数据对象赋予高于自己的许可证级别的密级，但一旦数据被写入，该用户自己也不能再读该数据对象了。级，但一旦数据被写入，该用户自己也不能再读该数据对象了。 共同点共同点：禁止了拥有高

13、许可证级别的主体更新低密级的：禁止了拥有高许可证级别的主体更新低密级的数据对象，防止敏感数据的泄漏。数据对象，防止敏感数据的泄漏。9.1.4 强制存取控制（强制存取控制（MAC）方法）方法 强制存取控制的特点强制存取控制的特点 MAC是对数据本身进行密级标记；是对数据本身进行密级标记； 无论数据如何复制，标记与数据是一个不可分的整体；无论数据如何复制，标记与数据是一个不可分的整体； 只有符合密级标记要求的用户才可以操纵数据；只有符合密级标记要求的用户才可以操纵数据； 提供了更高级别的安全性。提供了更高级别的安全性。MAC与与DAC小结小结 DAC与与MAC共同构成共同构成DBMS的安全机制的安

14、全机制 原因：较高安全性级别提供的安全保护要包含较低级原因：较高安全性级别提供的安全保护要包含较低级别的所有保护。别的所有保护。 先进行先进行DAC检查，通过检查，通过DAC检查的数据对象再由系统进检查的数据对象再由系统进行行MAC检查，只有通过检查，只有通过MAC检查的数据对象方可存取。检查的数据对象方可存取。9.1.5 视图机制视图机制 视图机制把要保密的数据对无权存取这些数据的视图机制把要保密的数据对无权存取这些数据的用户隐藏起来。用户隐藏起来。 视图机制与授权机制配合使用视图机制与授权机制配合使用:即首先用视图机制即首先用视图机制屏蔽掉一部分保密数据；在视图上再进一步定义屏蔽掉一部分保

15、密数据；在视图上再进一步定义存取权限。存取权限。9.1.5 视图机制视图机制例：在配电物资表例：在配电物资表stockstock中如果指定中如果指定U1U1用户只能查看用户只能查看供电局供电局1#1#仓库的物资时，可以先建立供电局仓库的物资时，可以先建立供电局1#1#仓库仓库的配电物资视图，然后在该视图上进一步定义存取的配电物资视图，然后在该视图上进一步定义存取权限。权限。 CREATE VIEW View_Stock1AS SELECT * FROM STOCK WHERE warehouse= 供电局供电局1#仓库仓库; /*先建视图先建视图*/GRANT SELECTON View_St

16、ock1TO U1;9.1.6 审计审计 什么是审计什么是审计? 启用一个专用的审计日志（启用一个专用的审计日志（Audit Log），将），将用户对数据库的所有操作记录在上面；用户对数据库的所有操作记录在上面； 审计功能是一种监视措施，它跟踪记录有关数审计功能是一种监视措施，它跟踪记录有关数据的访问活动据的访问活动 。 DBA可以利用审计日志中的追踪信息，找出非可以利用审计日志中的追踪信息，找出非法存取数据的人、时间和内容。法存取数据的人、时间和内容。 注：审计很费时间和空间，注：审计很费时间和空间，DBA可以根据应用对可以根据应用对安全性的要求，灵活地打开或关闭审计功能。安全性的要求，灵活

17、地打开或关闭审计功能。9.1.7 数据加密数据加密 数据加密数据加密 防止数据库中数据在存储和传输中失密的有防止数据库中数据在存储和传输中失密的有效手段。效手段。 加密的基本思想加密的基本思想 根据一定的算法将原始数据（明文）变换为根据一定的算法将原始数据（明文）变换为不可直接识别的格式（密文），使得不知道不可直接识别的格式（密文），使得不知道解密算法的人无法获知数据的内容。解密算法的人无法获知数据的内容。 加密方法加密方法 替换方法替换方法：使用密钥将明文中的每一个字符转换为密：使用密钥将明文中的每一个字符转换为密文中的一个字符。文中的一个字符。 置换方法置换方法：将明文的字符按不同的顺序重

18、新排列。：将明文的字符按不同的顺序重新排列。 混合方法混合方法：美国：美国1977年制定的官方加密标准：数据加年制定的官方加密标准：数据加密标准（密标准（Data Encryption Standard，简称，简称DES）9.2 SQL Server的安全性的安全性设置设置SQLServer2005SQLServer2005登登录的身份验证模录的身份验证模式的方法：式的方法：-安全性安全性-右击右击“新建新建”-单击单击“登录登录”, ,如图：如图：9.2.1 SQL Server 2005的身份验证模式的身份验证模式1 1、WindowsWindows身份验证模式身份验证模式默认默认( (安

19、全安全) ) 用户通过用户通过Microsoft WindowsMicrosoft Windows用户帐户连接时，用户帐户连接时，SQL ServerSQL Server使用使用WindowsWindows操作系统中的信息验证帐操作系统中的信息验证帐户名和密码。户名和密码。2 2、混合验证模式、混合验证模式 混合验证模式下，当客户端连接到服务器时，既混合验证模式下，当客户端连接到服务器时，既可采取可采取WindowsWindows身份验证，也可采取身份验证，也可采取SQL ServerSQL Server身身份验证。份验证。如果必须选择如果必须选择 混合模式混合模式 并要求使用并要求使用SQL

20、 SQL ServerServer帐户登录，则必须为所有的帐户登录，则必须为所有的SQL ServerSQL Server帐户设帐户设置强密码。置强密码。 9.2.2 SQL Server 2005的安全机制的安全机制SQL ServerSQL Server的安全性主体主要有三个级别的安全性主体主要有三个级别 ：1.1.服务器级别服务器级别 所含的安全对象主要有登录名、固定服务器角色等，所含的安全对象主要有登录名、固定服务器角色等，其中登录名用于登录数据库服务器，而固定服务器角色用其中登录名用于登录数据库服务器，而固定服务器角色用于给登录名赋予相应的服务器权限。于给登录名赋予相应的服务器权限。

21、2. 2. 数据库级别数据库级别 所含的安全对象主要有用户、角色、应用程序角色、所含的安全对象主要有用户、角色、应用程序角色、证书、对称密钥、非对称密钥、程序集、全文目录、证书、对称密钥、非对称密钥、程序集、全文目录、DDLDDL事件、架构等。事件、架构等。3.3.架构级别架构级别 所含的安全对象主要有表、视图、函数、存储过程、所含的安全对象主要有表、视图、函数、存储过程、类型、聚合函数等。系统默认架构为类型、聚合函数等。系统默认架构为dbodbo。 一个数据库使用者，想要登录一个数据库使用者，想要登录SQL ServerSQL Server服务器上的服务器上的数据库，并对数据库中的表执行更新

22、操作，则该使用者必须数据库，并对数据库中的表执行更新操作，则该使用者必须经过下图所示的安全验证：经过下图所示的安全验证： 9.3 用户管理和角色管理用户管理和角色管理 在在SQL Server中，有登录用户和数据库用户两个概念。中，有登录用户和数据库用户两个概念。一个用户需要首先是一个数据库系统的登录用户，然后才可一个用户需要首先是一个数据库系统的登录用户，然后才可以访问某一个具体的数据库。以访问某一个具体的数据库。登录用户登录用户:由系统由系统管理员管理；管理员管理；数据库用户数据库用户:由数由数据库管理员管据库管理员管理。理。1.登录用户的管理登录用户的管理 SQL Server 有两个常

23、用的默认登录名：有两个常用的默认登录名： l sa：系统管理员，拥有操作系统管理员，拥有操作SQL Server系统的所系统的所有权限，该登录名不能被删除。有权限，该登录名不能被删除。l BUILTINAdministrator：SQL Server为每个为每个Windows系统管理员提供的默认用户账户，在系统管理员提供的默认用户账户，在SQL Server中拥有系统和数据库的所有权限。中拥有系统和数据库的所有权限。 9.3.2 用户管理用户管理（1）创建新的）创建新的SQLServer登录用户登录用户CREATE LOGIN login_name WITH PASSWORD=password

24、 , DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language |FROM WINDOWS WITH DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language 9.3.2 用户管理用户管理l 创建创建Windows验证模式登录名验证模式登录名 使用使用FROM子句，子句，WINDOWS关键字指定将登关键字指定将登录名映射到录名映射到Windows登录名。登录名。例例:假设本地计算机名为假设本地计算机名为student_1，S1是一个已经是一个已经创建的创建的Windows用户，创

25、建用户，创建Windows验证模式验证模式下的登录名下的登录名S1，默认数据库是，默认数据库是master： CREATE LOGIN student_1S1 FROM WINDOWS WITH DEFAULT_DATABASE=master9.3.2 用户管理用户管理l 创建创建SQL Server验证模式登录名验证模式登录名 例例:创建创建SQL Server登录名登录名S2，密码为，密码为123456，默认数据库是默认数据库是sample： CREATE LOGIN s2 WITH password=123456, DEFAULT_DATABASE=sample9.3.2 用户管理用户管

26、理(2)删除登录名删除登录名语法格式如下：语法格式如下：DROP LOGIN login_name例：删除例：删除Windows登录名登录名S1： DROP LOGIN student_1S1删除删除SQL Server登录名登录名S2: DROP LOGIN S29.3.2 用户管理用户管理2.数据库用户的管理数据库用户的管理(1)创建数据库用户创建数据库用户CREATE USER user_name FOR | FROM LOGIN login_name | WITHOUT LOGIN WITH DEFAULT_SCHEMA = schema_name 9.3.2 用户管理用户管理例：使用

27、例：使用SQL Server登录名登录名s2（假设已经创建）在（假设已经创建）在Sample数据库中创建数据库用户数据库中创建数据库用户u1，默认架构，默认架构为为dbo：USE sample GOCREATE USER u1 FROM LOGIN s2WITH DEFAULT_SCHEMA =dbo9.3.2 用户管理用户管理9.3.2 用户管理用户管理(2)删除数据库用户删除数据库用户格式如下：格式如下： DROP USER user_name例：删除例：删除sample数据库的用户数据库的用户u1： USE sample GO DROP USER u1 1.定义角色定义角色其格式是：其格

28、式是：CREATE ROLE role_name AUTHORIZATION owner_name例：在例：在sample 数据库中创建角色数据库中创建角色student_role，所有，所有者为者为dbo：USE sampleGOCREATE ROLE student_role AUTHORIZATION dbo9.3.3 角色管理角色管理 数据库角色是被命名的一组与数据库操作相关的权数据库角色是被命名的一组与数据库操作相关的权限，角色是权限的集合。则可用一组具有相同权限的限，角色是权限的集合。则可用一组具有相同权限的用户创建一个角色，以便简化授权的过程。用户创建一个角色，以便简化授权的过程

29、。2. 为用户指定角色为用户指定角色可以将数据库用户指定为数据库角色的成员：可以将数据库用户指定为数据库角色的成员：SP_ADDROLEMEMBER role_name , user_account 例：使用例：使用Windows验证模式的登录名验证模式的登录名students1创建创建sample数据库的用户数据库的用户students1，并将该用户添加到角，并将该用户添加到角色色student_role中：中：USE sample GOCREATE USER students1FROM LOGIN students1SP_ADDROLEMEMBER student_role , stude

30、nts19.3.3 角色管理角色管理3.取消用户的角色取消用户的角色 如果某个用户不再担当某个角色，可以取消如果某个用户不再担当某个角色，可以取消用户的角色，或者说从角色中删除用户。用户的角色，或者说从角色中删除用户。SP_DROPROLEMEMBER role_name , user_name例：取消用户例：取消用户s1的的student_role角色：角色：SP_DROPROLEMEMBER student_role , students19.3.3 角色管理角色管理4.删除角色删除角色 如果当前数据库中的某个角色不再需要，则如果当前数据库中的某个角色不再需要，则可以删除该角色。可以删除该

31、角色。DROP ROLErole_name 例例: DROP ROLE student_role注：不能删除带有成员的角色；也不能删除固定角色及注：不能删除带有成员的角色；也不能删除固定角色及public角色。角色。9.3.4 SQL Server的固定角色的固定角色1.1.固定服务器角色固定服务器角色固定服务器角色固定服务器角色描述描述SYSADMINSYSADMIN系统管理员系统管理员, ,拥有所有操作权限拥有所有操作权限, ,可执行任何活动可执行任何活动. .SERVERADMINSERVERADMIN服务器管理员服务器管理员, ,可以设置服务器范围的配置选项，关闭服务器。可以设置服务器

32、范围的配置选项，关闭服务器。SETUPADMINSETUPADMIN安装程序管理员安装程序管理员, ,可以管理链接服务器和启动过程。可以管理链接服务器和启动过程。SECURITYADMINSECURITYADMIN安全管理员安全管理员, ,可以管理登录和可以管理登录和 CREATE DATABASE CREATE DATABASE 权限，还可以读取权限，还可以读取错误日志和更改密码。错误日志和更改密码。PROCESSADMINPROCESSADMIN进程管理员进程管理员, ,可以管理在可以管理在 SQL Server SQL Server 中运行的进程。中运行的进程。DBCREATORDBCR

33、EATOR数据库创建者数据库创建者, ,可以创建、更改和除去数据库。可以创建、更改和除去数据库。DISKADMINDISKADMIN磁盘管理员磁盘管理员, ,可以管理磁盘文件。可以管理磁盘文件。BULKADMINBULKADMIN块数据操作管理员块数据操作管理员, ,可以执行可以执行 BULK INSERT BULK INSERT 语句。语句。l 可以把登录名添加到固定服务器角色中，使得登录名作为可以把登录名添加到固定服务器角色中，使得登录名作为固定服务器角色的成员继承固定服务器角色的权限。固定服务器角色的成员继承固定服务器角色的权限。 语法如下：语法如下：SP_ADDSRVROLEMEMBE

34、R login, role例：将登录例：将登录JOHN指定为指定为SYSADMIN固定服务器角色的成员，固定服务器角色的成员，则以则以JOHN登录名登录系统的用户将自动拥有系统管理员权登录名登录系统的用户将自动拥有系统管理员权限：限：SP_ADDSRVROLEMEMBER JOHN , SYSADMINl 将固定服务器角色的某个成员删除将固定服务器角色的某个成员删除 。语法如下：语法如下：SP_DROPSRVROLEMEMBER login , role例：从例：从 sysadmin 固定服务器角色中删除登录固定服务器角色中删除登录JOHN。SP_DROPSRVROLEMEMBER JOHN

35、, SYSADMIN9.3.4 SQL Server的固定角色的固定角色 2. 固定数据库角色固定数据库角色固定数据库角色固定数据库角色描述描述DB_OWNER数据库所有者，在数据库中有全部权限。数据库所有者，在数据库中有全部权限。DB_ACCESSADMIN访问权限管理员，可以添加或删除用户访问权限管理员，可以添加或删除用户 ID。DB_SECURITYADMIN安全管理员，可以管理全部权限、对象所有权、角色安全管理员，可以管理全部权限、对象所有权、角色和角色成员资格。和角色成员资格。DB_DDLADMIN数据库对象管理员，可以发出数据库对象管理员，可以发出 ALL DDL，但不能发出，但不

36、能发出 GRANT、REVOKE 或或 DENY 语句。语句。DB_BACKUPOPERATOR数据库备份，可以发出数据库备份，可以发出 DBCC、CHECKPOINT 和和 BACKUP 语句。语句。DB_DATAREADER数据检索操作员，可以选择数据库内任何用户表中的数据检索操作员，可以选择数据库内任何用户表中的所有数据。所有数据。DB_WRITER数据维护操作员，可以更改数据库内任何用户表中的数据维护操作员，可以更改数据库内任何用户表中的所有数据。所有数据。DB_DENYDATAREADER拒绝执行数据检索操作员，不能选择数据库内任何用拒绝执行数据检索操作员，不能选择数据库内任何用户表

37、中的任何数据。户表中的任何数据。DB_DENYDATAWRITER拒绝执行数据维护操作员，不能更改数据库内任何用拒绝执行数据维护操作员，不能更改数据库内任何用户表中的任何数据。户表中的任何数据。3. PUBLIC角色角色 SQL Server有一个特殊的角色即有一个特殊的角色即PUBLIC角角色。色。 PUBLIC角色有两大特点：角色有两大特点： 初始状态时没有权限；初始状态时没有权限； 所有的数据库用户都是它的成员。所有的数据库用户都是它的成员。 9.3.4 SQL Server的固定角色的固定角色注：当为注：当为public角色授权时，实际上是为所有的数据库用户角色授权时，实际上是为所有的

38、数据库用户授权。授权。9.4 权限管理权限管理 对 象常 用 权 限数据库数据库BACKUP DATABASE、BACKUP LOG、CREATE DATABASE、CREATE DEFAULT、CREATE FUNCTION、CREATE PROCEDURE、CREATE RULE、CREATE TABLE、CREATE VIEW 、ALTER TABLE表表SELECT、DELETE、INSERT、UPDATE、REFERENCES视图视图SELECT、DELETE、INSERT、UPDATE、REFERENCES常用数据库对象的权限常用数据库对象的权限 ：9.4.1 授予权限授予权限1.

39、授予语句权限授予语句权限语句授权的命令格式是：语句授权的命令格式是：GRANT ALL | statement ,.n TO account ,.n 例：系统管理员给用户例：系统管理员给用户 Mary 和和 John 授予多个语授予多个语句权限：句权限： GRANT CREATE DATABASE, CREATE TABLE TO Mary, John2.授予对象权限授予对象权限 处理数据或执行存储过程中需要相应对象的处理数据或执行存储过程中需要相应对象的操作或执行权限，这些权限可以划分为：操作或执行权限，这些权限可以划分为： SELECTSELECT、INSERTINSERT、UPDATEU

40、PDATE和和DELETEDELETE语句权限，可以语句权限，可以应用到整个表或视图；应用到整个表或视图； SELECTSELECT和和UPDATEUPDATE语句权限，可以有选择性地应用到语句权限，可以有选择性地应用到表或视图中的某些列上；表或视图中的某些列上； INSERTINSERT和和DELETEDELETE语句权限，会影响整行，因此只可语句权限，会影响整行，因此只可以应用到表或视图中，而不能应用到单个列上。以应用到表或视图中，而不能应用到单个列上。 EXECUTEEXECUTE语句权限，执行存储过程和函数的权限。语句权限，执行存储过程和函数的权限。9.4.1 授予权限授予权限 数据库

41、对象授权的命令格式如下：数据库对象授权的命令格式如下：GRANT ALL PRIVILEGES | permission ,.n ( column ,.n ) ON table | view | ON table | view ( column ,.n ) | ON stored_procedure | extended_procedure | ON user_defined_function TO security_account ,.n WITH GRANT OPTION AS group | role 9.4.1 授予权限授予权限例：在电力工程抢修数据库中：例：在电力工程抢修数据库中：（

42、1）将）将out_stock表的表的SELECT权限授予权限授予public角色。角色。 GRANT SELECT ON out_stock TO public （2）将）将out_stock表的表的INSERT, UPDATE, DELETE权权限授予用户限授予用户 Mary、John。 GRANT INSERT, UPDATE, DELETE ON out_stock TO Mary, John（3）将对表）将对表out_stock的的get_date列的修改权限授予用列的修改权限授予用户户Tom。 GRANT UPDATE (get_date) ON out_stock To Tom9.

43、4.1 授予权限授予权限9.4.1 授予权限授予权限例：把对表例：把对表stock的的insert权限授予用户权限授予用户U1，并允许，并允许将此权限授予其他用户。将此权限授予其他用户。Grant insert On stock To U1With grant option;U1可将此权限授予可将此权限授予U2：Grant insert On stock To U2With grant option;U2可将此权限授予可将此权限授予U3：Grant insert On stock To U3; -U1- U2- U3例例:用户用户 Jean 拥有表拥有表 Plan_Data。Jean 将表将表

44、 Plan_Data 的的 SELECT 权限授予权限授予 Accounting 角色（指定角色（指定 WITH GRANT OPTION 子句）。用户子句）。用户 Jill 是是 Accounting 的成员，他要将的成员，他要将表表 Plan_Data 上的上的 SELECT 权限授予用户权限授予用户 Jack，Jack 不不是是 Accounting 的成员。的成员。 因为对表因为对表 Plan_Data 用用 GRANT 语句授予其他用户语句授予其他用户 SELECT 权限的权限是授予权限的权限是授予 Accounting 角色而不是显式地角色而不是显式地授予授予 Jill，不能因为已

45、授予，不能因为已授予 Accounting 角色中成员该权限，角色中成员该权限，而使而使 Jill 能够授予表的权限。能够授予表的权限。Jill 必须用必须用 AS 子句来获得子句来获得 Accounting 角色的授予权限。角色的授予权限。/* User Jean */GRANT SELECT ON Plan_Data TO Accounting WITH GRANT OPTION/* User Jill */GRANT SELECT ON Plan_Data TO Jack AS Accounting9.4.2 收回权限收回权限收回语句权限的一般格式为：收回语句权限的一般格式为：REVOK

46、E ALL | statement ,.n FROM account ,.n 收回对象权限的命令格式是：收回对象权限的命令格式是：REVOKE GRANT OPTION FOR ALL PRIVILEGES | permission ,.n ( column ,.n ) ON table | view | ON table | view ( column ,.n ) | ON stored_procedure | extended_procedure | ON user_defined_function TO | FROM account ,.n CASCADE AS group | role

47、 9.4.2 收回权限收回权限例：把用户例：把用户U1对表对表stock的的insert权限收回。权限收回。Revoke insert On stock From U1;权限的级联回收：权限的级联回收： 系统将自动收回直接或间接从系统将自动收回直接或间接从U1处获得的对处获得的对Stock表的表的INSERT权限权限: -U1- U2- U3注：若注：若U2和和U3从其他用户处获得对从其他用户处获得对Stock表的表的insert权限，则不会回收。权限，则不会回收。例：例： 废除已授予用户废除已授予用户 Joe 的的 CREATE TABLE 权限：权限：REVOKE CREATE TABLE

48、 FROM Joe例：废除授予多个用户的多个语句权限：例：废除授予多个用户的多个语句权限：REVOKE CREATE TABLE, CREATE DEFAULTFROM Mary, John例：用户例：用户 Mary 是是 Budget 角色的成员，已给该角色授予了角色的成员，已给该角色授予了对对 Budget_Data 表的表的 SELECT 权限。已对权限。已对 Mary 使用使用 DENY 语句以防止语句以防止 Mary 通过授予通过授予 Budget 角色的权限访角色的权限访问问 Budget_Data 表。表。 删除对删除对 Mary 拒绝的权限，并通过适用于拒绝的权限，并通过适用于 Budget 角色的角色的 SELECT 权限，允许权限，允许 Mary 对该表使用对该表使用 SELECT 语句。语句。REVOKE SELECT ON Budget_Data TO Mary9.4.2 收回权限收回权限9.4.3 禁止权限禁止权限禁止语句权限的命令格式如下：禁止语句权限的命令格式如下：DENY ALL | s