一种网络数据库安全体系方案的研究与探讨

1、目 录 TOC o 1-3 h z u HYPERLINK l _Toc137282249 摘要 PAGEREF _Toc137282249 h 1 HYPERLINK l _Toc137282250 关键词 PAGEREF _Toc137282250 h 1 HYPERLINK l _Toc137282251 1引 言 PAGEREF _Toc137282251 h 2 HYPERLINK l _Toc137282252 2网络数据库简介 PAGEREF _Toc137282252 h 2 HYPERLINK l _Toc137282253 网络数据库系统的定义 PAGEREF _Toc13

2、7282253 h 2 HYPERLINK l _Toc137282254 网络数据库的体系结构及其特点 PAGEREF _Toc137282254 h 2 HYPERLINK l _Toc137282255 网络数据库常用系统探讨 PAGEREF _Toc137282255 h 3 HYPERLINK l _Toc137282256 网络数据库的开发 PAGEREF _Toc137282256 h 4 HYPERLINK l _Toc137282257 3网络数据库的平安体系 PAGEREF _Toc137282257 h 4 HYPERLINK l _Toc137282258 网络数据库的

3、平安问题 PAGEREF _Toc137282258 h 4 HYPERLINK l _Toc137282259 网络数据库平安概念 PAGEREF _Toc137282259 h 4 HYPERLINK l _Toc137282260 网络数据库平安问题的重要性 PAGEREF _Toc137282260 h 4 HYPERLINK l _Toc137282261 网络数据库平安隐患的产生 PAGEREF _Toc137282261 h 5 HYPERLINK l _Toc137282262 网络数据库的平安模型 PAGEREF _Toc137282262 h 6 HYPERLINK l _

4、Toc137282263 数据库平安模型 PAGEREF _Toc137282263 h 6 HYPERLINK l _Toc137282264 网路数据库的平安模型 PAGEREF _Toc137282264 h 6 HYPERLINK l _Toc137282265 4网络数据库的平安技术 PAGEREF _Toc137282265 h 7 HYPERLINK l _Toc137282266 Web的访问控制 PAGEREF _Toc137282266 h 7 HYPERLINK l _Toc137282267 用户身份认证 PAGEREF _Toc137282267 h 7 HYPERL

5、INK l _Toc137282268 授权管理 PAGEREF _Toc137282268 h 7 HYPERLINK l _Toc137282269 监视追踪及平安审计 PAGEREF _Toc137282269 h 8 HYPERLINK l _Toc137282270 数据库加密 PAGEREF _Toc137282270 h 8 HYPERLINK l _Toc137282271 备份与故障恢复 PAGEREF _Toc137282271 h 8 HYPERLINK l _Toc137282272 病毒防范技术 PAGEREF _Toc137282272 h 8 HYPERLINK

6、l _Toc137282273 5数据库效劳器的平安策略 PAGEREF _Toc137282273 h 8 HYPERLINK l _Toc137282274 SQL Server的平安性综述 PAGEREF _Toc137282274 h 9 HYPERLINK l _Toc137282275 认证模式 PAGEREF _Toc137282275 h 9 HYPERLINK l _Toc137282276 角色 PAGEREF _Toc137282276 h 9 HYPERLINK l _Toc137282277 权限 PAGEREF _Toc137282277 h 10 HYPERLIN

7、K l _Toc137282278 SQL Server平安认证设置 PAGEREF _Toc137282278 h 10 HYPERLINK l _Toc137282279 6结束语 PAGEREF _Toc137282279 h 12 HYPERLINK l _Toc137282280 致谢 PAGEREF _Toc137282280 h 13 HYPERLINK l _Toc137282281 参考文献 PAGEREF _Toc137282281 h 14 HYPERLINK l _Toc137282282 Abstract PAGEREF _Toc137282282 h 15 HYPE

8、RLINK l _Toc137282283 Key Words PAGEREF _Toc137282283 h 15一种网络数据库平安体系方案的研究与探讨摘 要 随着计算机网络技术的出现和广泛应用，人们获取和共享资源的方式变得越来越便捷、丰富。为了能够在网络中有效地使用、存储和管理网络信息，数据库技术被普遍应用于网络中的各个领域；与此同时网络平安问题也引起越来越多人的高度重视，并日益成为影响数据库平安使用和网络效能的重要问题。网络数据库的平安是一个综合性、系统性的问题，且涉及范围十分广泛。本文主要围绕网络数据库的平安性问题，结合实际探讨相关的平安性技术。关键词 网络数据库系统；平安技术；SQL

9、；认证；权限摘要关键词引 言数据库的重要地位尤其在平安方面的特殊情况直接关系到人们的权利、企业的效益、社会的稳定甚至国家的安危。随着网络的高度普及和广泛应用，使人们对网络数据库的平安性提出了更为严格的要求。针对日益严峻的网络平安问题，人们已经提出许多可以增强网络系统和数据库平安的技术，以努力确保网络资源合理、高效的充分应用。我国网络数据库和信息平安技术起步较晚且有待整体提高和开展，所以如何去认识、分析和防范网络平安问题，是当前我国每一个投身于涉及数据库和网络行业的计算机人所面临的一个迫切问题。本课题就是由此为出发点，希望通过对网络数据库平安问题的各方面研究和探讨，加深人们在网络数据库及信息平安

10、方面的认识，以便提出更加实用有效的网络数据库平安技术。网络数据库简介网络数据库系统的定义数据库技术1所研究的问题是如何高效地获取、处理数据和科学地组织、存储数据。目前为止，数据库技术可以说是计算机处理和储存数据最有效、最成功的技术；而网络技术2那么是共享资源、数据最成功的形式和典范。将数据库技术与计算机网络技术的优势特点结合起来，即构成了当今广泛应用的网络数据库技术。所谓的网络数据库1是指以后台数据库为根底的，配以一定的前台应用程序，通过浏览器完成数据储存、查询等操作的数据库。即在一个网络数据库中，用户利用浏览器作为输入接口，输入对数据库所需要的数据和操作，浏览器将这些数据或事务传送给网站，而

11、网站将会对这些数据或事务进行分析处理，再将操作结果传回给浏览器，并由其转告给用户。网络数据库系统2是指在网络环境下运行的数据库系统，其数据库分散配置在网络的各个节点上，数据库系统的事务被分开处理，为网络用户提供远程数据访问效劳。网络数据库可以实现方便的资源共享，因此网络数据库技术自然成为互联网的核心技术。网络数据库的体系结构及其特点网络数据库系统在经历了集中式、基于客户机/效劳器(C/S，Client/Server)模式3、基于浏览器/效劳器(B/S，Browse/Server)模式3这三个历史阶段之后，其系统的分工更明确、针对性更强。随着Internet因特网和Web技术的开展，基于浏览器/

12、效劳器B/S模式的数据库系统逐渐取代上一代基于C/S模式数据库系统。基于B/S数据库系统由一个用作用户界面的Web浏览器、一个用作信息存储的数据库效劳器、一个连接浏览器和数据库效劳器的Web效劳器组成。在下列图所示的这个三层结构系统中，每层都支持应用程序的一个独立局部：浏览器完成描述逻辑；Web效劳器完成业务处理逻辑；数据库效劳器完成数据的检索、存储且负责管理优化同时并发数据的存取。客户机只需安装一个Web浏览器和支持库如Internet Explorer和动态链接库，用户通过Web页上显示的表格与数据库进行各种交互操作，例如读取页、单击链接、在列表框SQL请求数据结果HTTP请求HTML页面

13、浏览器客户端Web数据库效劳器数据库效劳器数据库图2.1 基于B/S数据库系统中进行选择及查询、输入数据域等。效劳器端监听并处理客户机的请求，将结果以文本、表格、图像等多媒体方式通过HTML超文本链接标示语言，Hyper Text Mark-up Language格式在客户机的Web页上显示。在处理事务的过程中，每一个浏览器只向其Web效劳器发出一个请求，这样大大减少了网络通讯量和资源竞争。综上所述，网络数据库系统具有以下的技术特点： eq oac(,1)强大的效劳器来完成复杂的数据库存取和数据计算等任务，客户端只需做一些简单的浏览和显示操作。大大降低了对客户端的软硬件要求，降低了投资和使用本

14、钱。 eq oac(,2)建立在因特网和基于Web模式的网络数据库系统具备了良好的系统开放性。拓宽了传统数据库应用的功能，更好的适合基于Internet时代的需要。 eq oac(,3)系统的维护及升级方便简单、运行效率较高。系统维护人员只需将时间精力花费在Web效劳器和数据库效劳器上，用户也只需通过浏览器向效劳器发出请求，不必涉及具体细节即可得到所需。 eq oac(,4)能够较充分的利用用户的原有数据资源和应用程序，用户使用方便、利于操作。 eq oac(,5)数据库效劳器的平安策略6能力增强，为用户数据的完整性提供了一个有力的保证。网络数据库常用系统探讨目前在网络中常使用到的网络数据库系

15、统主要有Microsoft微软公司的SQL Server 2000和Oracle(甲骨文)公司的Oracle 10i这两种。本文主要向大家介绍在中小企业应用中占有广泛市场，性价比高、操作简单方便的Microsoft SQL Server 2000。作为高性能的关系数据库管理系统，SQL Server 2000是一个基于结构化查询语言4SQL：Structured Query Language的新一代企业级数据库系统，它具有对Web的强大支持、对扩展标记语言XML，Extensible Mark-up Language的支持、综合分析效劳、便捷的数据库管理、增强的可靠性和伸缩性等特性。特别是在平

16、安方面，SQL Server 2000支持基于Kerberos一种对效劳请求进行分布计算的平安认证方法的平安账号代理。Kerberos是Microsoft Windows 2000微软公司操作系统中支持的一种平安标准，而其平安账号代理是一种可以连接到多个效劳器，且可以根据每一个效劳器的变化重新获取初始客户认证资格的能力。在SQL Server 2000关系数据库引擎的支持下，XML数据可在关系表中进行存储，且能在查询后以XML格式将有关结构返回。XML支持简化的后端系统集成，并实现了跨过防火墙6的无缝数据传输。用户可使用HTTP超文本传输协议，Hypertext Transfer Protoc

17、ol协议来访问SQL Server 2000，以实现面向SQL Server 2000数据库的平安Web连接和无须额外编程的OLAP联机分析处理，Online Analytical Processing多维数据集。在SQL Server 2000中使用XML语言可实现在松散耦合系统之间交换数据，从浏览器通过防火墙方便、平安地访问数据，并对有格式文档执行快速全文检索。主要功能：有较完备的Web功能；联机分析处理效劳；数据挖掘；增强的全文检索能力；较强的分布式处理能力；增强的平安控制体制；对市场的快速反响能力；索引视图等等。网络数据库的开发目前在Windows环境下访问Web数据库的技术主要有：

18、eq oac(,1)公共网关接口12 (CGI, Common Gateway Interface)； eq oac(,2)应用程序接口12 (API, Application Programming Interface)； eq oac(,3)先进数据库连接器3 (ADC, Advance Database Connector)； eq oac(,4)动态效劳器页面3 (ASP, Active Server Page)； eq oac(,5)Java效劳器页面3 (JSP, Java Server Pages)。在此主要介绍目前较流行的动态效劳器页面技术：ASP是微软公司推出的一种用于取代C

19、GI的技术，具有编程灵活、简洁、性能高的特点，利于处理动态网页和Web数据库的开发，是目前最为流行的开放式Web效劳器应用程序开发技术。使用ASP技术可以将HTML语言、脚本语言和Active控件组合在一起，产生动态、交互、高效率的基于Web的应用程序；并能访问效劳器端的文件系统、连接数据库；开发嵌入ActiveX、COM部件对象模型，Component Object Model组件和Java Applet的基于数据库的应用。ASP技术为建立显示动态生成内容的Web页面提供了一个快速、简便的方法。网络数据库的平安体系计算机网络的广泛普及使网络数据库在电子商务11、电子政务等领域的应用得到高速开

20、展，但数据信息量的不断增加，网络应用层面的不断扩展深入，大量用户的实时共享等网络问题的出现，使在开放的网络环境中如何保证网络信息系统平安成为一个关键性的重要问题。作为互联网的核心技术，网络数据库的平安性那么是涉及到网络信息管理系统各个方面的全局性问题，是保证整个系统平安的关键。网络数据库的平安问题网络数据库平安概念网络数据库的平安性2Database Security是指网络数据库中为保护数据而具备的防御能力，以防止对数据未经授权的修改、泄漏和破坏。目前面临着两大类平安问题：第一类是自我维护，即如何保障在数据库系统遇到用户误操作、单一站点及网络故障等问题发生时，系统能否从故障中恢复并继续可靠运

21、行，防止数据库数据信息的丧失；第二类是抵御攻击，即在数据库受到网络中各种人为攻击和非法入侵7时，仍能保证数据库中数据信息的保密性和可靠性。以上两类平安问题皆可能导致网络数据库系统的运转中断，数据丧失，甚至系统崩溃。所以为了保证数据的平安性可靠性，网络数据库管理系统必须提供数据保护功能，设法防止网络数据库系统遭到破坏，并在遭到破坏后尽可能地快速恢复。网络数据库平安问题的重要性网络数据库的平安首先对数据库中的数据平安有直接影响。作为网络信息管理系统的核心，数据库效劳器上往往保存着大多数企业、组织及政府部门的重要电子数据，这些各种敏感的金融资产资料、商业交易记录、战略市场方案等数据直接关系到在Web

22、效劳器上的电子商务、电子政务的正常运作甚至其开展命运。因此网路数据平安就显得尤其重要，其平安性直接与维护时间、系统可靠性和完整性、数据事务完整性和保密性、客户信任密切相关。其次网络数据库还会直接影响到数据库效劳器，甚至整个网络的平安。由目前的关系数据库系统9特点得知，网络攻击入侵者易于从特定的效劳器端口躲开操作系统的平安检测机制与数据库进行直接连接；还可以通过默认账号和密码对数据库各级资源进行访问，甚至通过少数威胁着网络平安底层的数据库平安漏洞对操作系统进行指令操作，从而取得操作系统的用户权限；同时在其操作系统中开启后门、安放监听程序，从而对整个域内的机器平安造成严重威胁，甚至控制整个网络造成

23、极大的危害。网络数据库平安隐患的产生目前网络数据库系统主要的平安隐患有以下两个方面：网络攻击者通过网络对数据库进行各种方式的攻击Internet的高速开展使TCP/IP协议7传输控制/网络通讯协定，Transmission Control Protocol/Internet Protocol成为事实上的网络协议标准，TCP/IP协议的开放性在一定程度上促进了网络数据库的开展。但是在开放的网络环境中，网络协议、操作系统存在着多方面的漏洞，使在网络上的各种攻击方式成为网络数据库系统平安的主要隐患。其主要攻击手段有以下几种方式： eq oac(,1)截获(interception) 8 攻击者在网络

24、信道上窃取客户数据库效劳器或效劳器数据库效劳器间的报文数据。 eq oac(,2)重发(retransmission) 2攻击者将窃取的报文重发给客户或效劳器，以扰乱系统的正常运行。 eq oac(,3)篡改(modification) 8 攻击者成心篡改网络上的通信报文。 eq oac(,4)伪造(fabrication) 8攻击者假冒客户或数据库效劳器，来扰乱网络数据库的正常运行，甚至非法访问数据。 eq oac(,5)中断(interruption) 8攻击者有意中断客户数据库效劳器或效劳器数据库效劳器之间的数据通信。 eq oac(,6)越权(ultra authority) 2攻击者

25、虽然是合法用户，但却利用访问控制漏洞越权访问非授权的数据。网络攻击者往往在以上过程中结合破译工具实施更有效的攻击。数据库系统自身的平安漏洞6 eq oac(,1)网络攻击者可以任意执行系统指令，从而得到操作系统的管理权限。 eq oac(,2)数据库所采取的平安检查措施级别远低于操作系统和网络的平安检查措施级别。 eq oac(,3)数据库管理配置不当、技术方案不合理。 eq oac(,4)软件和管理风险；审核机制应用不合理。网络数据库的平安模型数据库平安模型图3.1 数据库平安模型标识用户操作系统OS授权控制数据库管理系统DBMS数据加密数据库DB数据库通过设立多层的平安关卡保护，来提高数据

26、库的平安性。当用户进入计算机系统时，操作系统首先鉴别用户的身份，在合法进入计算机系统后，数据库管理系统4 (DBMS：Database Management System)对用户的权限进行存储控制，只允许用户执行与自身权限相符的操作。数据库对数据进行加密，只有用户掌握数据库的密钥7才能使用数据库中的数据。其平安模型如下列图3.1所示：网路数据库的平安模型完整的数据库平安体系包括： eq oac(,1)保护：用户标识鉴别、数据加密、对数据的授权和访问控制、采用视图隐藏局部数据。 eq oac(,2)检测：设立日志对数据库的使用情况进行监视。 eq oac(,3)响应：保证数据库在发现隐患后能够及

27、时采取措施的响应机制。 eq oac(,4)恢复：数据库的故障恢复能力。目前主要有以下三种网络平安模型2：根本的存取控制模型根本的存取控制模型由主体集合(Subject Set)、客体集合(Object Set)、规定主体允许对客体进行的存取操作集合这三局部组成。主体是指要求存取数据库的某个用户或用户组、用户启动的进程和效劳，常用S来表示；客体是指要求保护的数据对象，常用O表示；存取操作即如读、写、更新、删除等操作，常用T表示。式3.2 数据库访问矩阵实现对数据库的所有访问控制一般用矩阵来表示(如下式3.2)。对于任意一个用，都存在相应的一个，P为存取权限函数。矩阵行表示主体对所有客体的操作权

28、限，矩阵的列表示客体允许主体可进行的操作权限。在主体访问客体之前，访问机制需检查，来决定是否可以进行访问和哪些访问。根本的存取控制模型用统一的方法来处理所有系统内的客体平安问题。当用户提出访问资源的请求时，需对存取控制矩阵完全扫描一遍，那么要消耗一定的时间，尽量通过用户组等措施减少用户数量来减少扫描代价。扩展的存取控制模型根本的存取控制矩阵只可以满足与名字有关，但不能满足与内容有关的访问控制策略。所以需扩展这个模型，用四元组(S,O,T,P)来表示访问规那么，增加可表示条件的谓词P，当P为真时，主体S才能对有关联的客体O进行操作T。扩展的存取控制矩阵模型能有效地控制主体对客体的存取，但不能控制

29、主体如何使用该客体，出现信息流控制问题。多级平安模型为了防止发生信息的非授权泄漏，往往采用多级平安模型。此模型对信息进行访问和流动控制，为所有的主体和客体指定一个平安级别，如绝密级、机密级、秘密级、无密级。不同平安级别的主体对不同级别的客体访问是在强制的平安策略下实现的。多级平安模型考虑了保密系统的状态，将平安级别按照从高到低的原那么进行排序，并规定一个平安级别要控制另一个平安级别须满足这两个条件：密级或许可级大于等于另一个密级或许可级；分类级别包含另一个的分类级别。网络数据库的平安技术Web的访问控制用户使用客户端通过浏览器对其网络数据库进行访问操作时，客户端程序先将自身信息传送给Web效劳

30、器，等效劳器经解析获得IP地址和客户域名后，便开始验证决定该客户能否有权访问。但当效劳器端无法确定其真正客户域名时，可能会误将信息发送给其他用户，随即就可能出现平安漏洞。所以尽可能地以非特权用户配置、运行效劳器，合理利用访问控制机制；使用效劳器镜像，不把敏感的文件放在对外开放的辅系统上；检查HTTP效劳器所用的脚本、Applet、CGI程序，以防外部客户有时机触发内部执行命令。用户身份认证网络数据库系统为保证数据在网络传输时不被未授权用户访问，常利用用户认证机制7来控制用户的登陆、访问等权利。通常包含以下两方面： eq oac(,1)进行用户的用户名、口令、账号信息的识别和检验。对所传送的用户

31、名和口令进行一定的加密，保证在客户和效劳器之间的平安性，防止用户信息被窃听、干扰。当出现非法用户通过用户口令进行入侵时，认证系统应当及时反响、发出警报信息，对此用户的相关信息加以记录存档。 eq oac(,2)由于在互联网环境下用户容易绕过登陆界面和用户口令验证，来对数据库平安直接构成威胁，那么一般利用ASP Session和HTTP headers信息来进行更深层的身份验证。授权管理只有经过身份认证的用户才能在其权限范围内访问数据库，授权管理控制的严密重要性直接影响着整个网络数据库系统的平安性。以下两种方式是较常用的权限控制： eq oac(,1)目录级平安访问控制：允许控制用户对目录、文件

32、等信息的访问。在目录一级指定的权限范围内，用户对文件和子目录及以下的文件和子目录权限起效。访问权限常分为：系统管理员、读权限、写权限、创立权限、删除权限、修改权限、文件查找权限、存取控制权限。多种访问权限的有效搭配能够有效的控制用户对效劳器的资源访问，增强了网络及效劳器的平安性。 eq oac(,2)属性平安访问控制：允许用户给予目录、文件等指定访问属性的权限控制。在结合访问范围权限的根底上设置更深层具体操作的属性控制，加强了访问权限的整体平安性。如向指定文件的读、写、删除、查看、执行、共享等权限，属性平安访问控制对防止目录文件的误操作起到了良好作用。监视追踪及平安审计日志6系统是网络数据监视

33、追踪的主要手段之一，完整的日志系统具有综合性数据记录功能和自动分类检索能力，而且还包括用户的操作信息及网络中数据接发的正确性、有效性的检测结果，以便用于网络的平安分析、预防入侵，提高网络的平安性。平安审计6是指通过一定的策略，利用分析记录和历史操作时间发现系统的漏洞，来改良系统性能和平安。通过完善的平安审计制度，就可及时提供系统运行中发生的可疑现象，帮助系统管理员分析发现入侵行为或系统的隐患和漏洞。数据库加密数据加密技术7是网络平安中十分有效的技术之一，加密数据库中的重要数据可以保护网络数据库系统内的数据、文件和控制信息，以实现数据网上传输和存储的平安，防止数据的泄漏。加密常用方法：链路加密，

34、其目的是保护网络节点间的链路信息平安；端点加密，其目的是保护源端用户到目的端用户的数据；节点加密，其目的是保护源节点到目的节点间的传输链路。数据加密是将明文加密成密文，在查询时将密文从中取出解密得到明文信息，但是在数据库系统中当检索出符合要求的记录时，要求能够尽快地解密使用，由于不可能为了一次查询就将整个数据库全部解密一次，所以数据库的加密要求具有它自身的特殊性。目前主要的网络数据库系统的平安加密系统常由对称密码算法6和非对称密码算法6结合使用，对称密码算法负责信息加密，非对称密码算法负责身份鉴别、数字签名、密钥分发。备份与故障恢复网络数据库中最珍贵的自然而然是数据信息，当系统出现故障无法正常

35、运行甚至瘫痪时，尽快的恢复数据是至关重要的任务。数据库系统无论是出现物理故障还是逻辑故障，都需要根据其程度采取不同的恢复措施，对其备份13要求也不相同。一般结合软硬件方案采用两种备份方式：逻辑备份，将数据库的记录读取写入到一个文件中；物理备份，通过脱机和联机对数据库的内容进行完整的转储拷贝。病毒防范技术病毒的特性使其成为影响网络数据库平安的重要因素之一。常见的有计算机病毒(computer virus)、计算机蠕虫(computer worm)、特洛伊木马(Trojan horse)、逻辑炸弹(logic bomb) 6。一般可通过系统内存中的监控程序预防判断病毒是否存在，利用杀毒软件对效劳器

36、的文件扫描检测，设置网络目录和文件的访问权限等手段对网络数据库进行保护。网络数据库的平安性与计算机的平安性是紧密相关的，涉及计算机系统及网络本身的技术、管理问题。包括计算机平安理论策略、计算机平安管理评价、计算机平安产品、计算机犯罪与侦查、计算机平安法律、计算机平安监察等方面。数据库效劳器的平安策略本章结合SQL Server 2000的平安性机制对数据库效劳器中关于用户认证及权限访问的平安性技术进行研究探讨。SQL Server的平安性综述SQL Server 的平安体系结构主要提供了两层平安管理控制：用户认证(Authentication)和用户权限(Permission) 1。其平安级别

37、分为四层如下列图5.1所示，只有满足上一层系统的平安性要求之后，才能获得访问下一层的权限。客户机效劳器数据库数据库对象用户图5.1 SQL Server平安等级操作系统级平安操作系统级平安SQL Server系统级平安操作系统级平安数据库级平安数据库对象级平安认证模式用户通过登录账户完成身份验证来获取对SQL Server的访问权，其具有两种平安模式：Windows认证模式和与SQL Server认证结合的混合平安模式1。 eq oac(,1)Windows认证模式是SQL Server与操作系统集成的平安模式。由于SQL Server数据库系统的运行平台通常是基于NT构架的Windows效劳

38、器平台，即可利用其网络操作系统自身所具备的账号管理、登录认证机制，通过Windows认证连接SQL Server。其优点是：提供更多的账号策略；允许多个Windows NT用户同时被授权访问SQL Server；用户只用提供一个用户名和口令给Windows NT和SQL Server。 eq oac(,2)混合平安模式下可以把Windows NT的账号和SQL Server账号混合一起使用。即需要用户成为SQL Server效劳器和数据库的用户成员，并提供登录账号来获得访问权限。其优点是：支持更大范围的用户，如非Windows NT用户等网络混合客户组；创立了更高的平安层次；应用程序可以使用单

39、个SQL Server登录口令。角色角色1是用来实现集中管理数据库或效劳器的权限，通过角色可以为不同用户赋予相同权限并对所有用户权限进行统一的设置更改，一般分为效劳器角色和数据库角色。效劳器角色是指根据管理任务之间的相对重要性等级来把具有SQL Server管理职能的用户划分为不同的用户组，每一组所具有管理SQL Server的权限都已被预定义。效劳器角色适用在效劳器范围内且其权限不能被修改。数据库角色可以为某一个或一组用户授予不同级别的管理、访问数据库或对象的权限，这些权限是数据库专有的且可使一个用户具有属于同一数据库的多个角色。SQL Server提供了两种个性的数据库角色：固定数据库角色

40、和用户自定义数据库角色。权限权限1是允许具有相应数据访问权限的用户能够登录SQL Server并访问数据，其平安账号所属角色被授予的权限决定了该用户能够对哪些数据库对象执行哪些操作及能够访问哪些数据。一般包括以下两种类型：对象权限Object Permission即数据库拥有将数据库对象的访问权授予其他用户的权限。针对表、视图、存储的过程决定是否能对不同类型的对象支持不同的操作。语句权限Statement Permission指用户是否具有权限来执行某一条T-SQL语句4Transact-SQL。这些语句通常是一些具有管理性的操作，如创立数据库表、存储过程。SQL Server平安认证设置本节

41、结合一个使用SQL Server 2000作为数据库效劳器的基于B/S模式的学生管理系统，对其平安认证进行简单的举例探讨。SQL Server 2000中登录名、用户名、账号代表着各自不同的含义。登录名4Login name是指能够访问SQL Server效劳器的合法用户名称；用户名4User name是指能够访问SQL Server特定数据库的合法用户名称；账号是指能够访问SQL Server的Windows NT账号。选择登录模式图5.2 SQL Server效劳器属性通过对以上三个名词和SQL Server平安模式的介绍，可以得知SQL Server的登录认证可分为两个阶段：对SQL S

42、erver效劳器的登录认证和对SQL Server中所要访问的每个数据库的登录认证。主要配置步骤如下： eq oac(,1)选择完要进行认证模式设置的效劳器后，在SQL Server效劳器属性对话框中的平安性选项卡内选择认证模式和审核级别如右图5.2；指定该用户登录后的默认数据库输入登录名图5.3 登录属性-新建登录 eq oac(,2)然后在展开的平安性目录中，选择新建登录的SQL Server登录属性-新建登录对话框，在常规栏中进行登录选择设置如右图5.3；指定数据库能够许可的用户指定该数据库的角色许可图5.4 登录属性-数据库访问 eq oac(,3)仍在此对话框内，选择数据库访问栏，对

43、已登录用户进行数据库访问权限许可和角色的设置如右图5.4； eq oac(,4)在所要登录效劳器内的数据库中，找到并展开要登录的school数据库，在数据库用户属性对话框中，点击权限对该用户在此数据库内的权限进行选择设置如下列图5.5。图5.5 数据库用户属性该数据库用户对此指定的数据库内各个权限的设置结束语本文主要针对目前流行的网络数据库的平安理论和平安技术进行一定介绍，并结合一个使用SQL Server 2000作为数据库效劳器的基于B/S模式的学生管理系统，对网络数据库平安技术中用户认证与权限这方面的问题进行了研究与探讨。网络数据库的平安性问题是一个综合性、系统性的问题，其涉及的范围十分

44、广泛，所以对网络数据库的系统设计需要结合实际层层设防，绝不能将其孤立起来考虑。网络平安的任何防范措施都是相对的，只能根据具体的应用对象不断地改良完善其平安手段，权衡其平安要求和花费代价来选择适当的平安策略，才能保证系统正常稳定的运行。由于网络数据库及网络平安技术所涉及领域的范围之广和层次之深，所应用的平安技术更新之快，加上作者本身的水平有限，文中的疏忽错误和不妥之处再所难免，恳请各位老师和同学批评指正。致谢毕业论文是对大学四年学习生活的一个综合性检验，是一次结合所学知识对动手能力的全面提高。在准备和撰写论文的这段时间里，我真诚地感谢帮助关心过我的老师和同学们，特别是我的导师蒋天发教授，假设没有

45、蒋老师的悉心指导和耐心帮助，我是无法学到这么多东西并顺利完成我的毕业论文。蒋老师严谨的治学态度、广阔的思路、对科学的敏锐洞察力、诲人不倦的导师风范、忘我奋进的工作精神深深地影响着我，使我在专业知识、科研能力、实践经验方面受益匪浅。参考文献 HYPERLINK javascript:LinkSearch(AUTHOR,逯燕玲) 逯燕玲， HYPERLINK javascript:LinkSearch(AUTHOR,戴红) 戴红， HYPERLINK javascript:LinkSearch(AUTHOR,梁磊) 梁磊. 网络数据库技术M. 北京：电子工业出版社，2004，4.李陶深. 网络数据

46、库M. 重庆：重庆大学出版社，2004，8.邱慧宁，邱海帆，魏泉. 网络数据库技术根底M. 北京：冶金工业出版社，2004，9.李春葆，曾平. 数据库原理与应用：基于SQL Sever 2000M. 北京：清华大学出版社，2005，10.赵杰、李涛、朱慧. SQL Server 2000数据库管理、设计与实现教程M. 北京：清华大学出版社，2003.Laet, G.D. 张耀疆，李磊译. 网络平安根底M. 北京：人民邮电出版社，2006,1.Kaeo, M. 吴中福等译. 网络平安性设计M. 北京：人民邮电出版社，2005,9.谢希仁. 计算机网络M. 北京：电子工业出版社，2003,6.萨师

47、煊，王珊. 数据库系统概论M. 北京：高等教育出版社，2000,2.周珊珊，程良伦. 网络数据库的平安及性能优化J. 计算机与现代化，20061：48-50吕锋，刘晓东，吴胜，赵士威等. 基于Web的网络数据库平安系统研究J. 武汉工业学院学报，2003,222：43-45张晓晓. 基于Web的数据库系统网络平安策略研究J.中国科技信息，200512：133董福贵，王金铭，王秀清，赵景林. 大型网络数据库- SQL Server的平安策略J. 东北电力学院学报，1998,183：118-123郑涛，蒋卫华，张博. 基于网络的数据库平安研究J. 航空计算技术，2004,344：73-75Paul

48、 Morrison. Database Security J. Network Security，2003,20036：11-12Zaki, M. Sobh, Tarek S. A cooperative agent-based model for active security systems J. Journal of Network and Computer Applications，2004,274：201-220Liao, I-En. Lee, Cheng-Chi. Hwang, Min-Shiang. A password authentication scheme over in

49、secure networks J. Journal of Computer and System Sciences，2006,724：727-740A Project in the Security System of Network DatabaseStudent: Zhang yifan College: Computer Science Supervisor: Jiang tianfaAbstract Along with computer network technology appearance and widespread application, the ways that p

50、eople gain and share resource become more and more convenient and abundant. In order to use, store and manage network messages effectively in the network, the database technology is applied in each field of the network in general. At the same time the online security problem causes peoples great att

51、ention, and it becomes a big problem which influences the safe handling of database and the network efficiency day by day. The network database security is a comprehensive, systematic problem, and the range involved is very extensive. This article mainly revolves the security issue of network databa

52、se, and combines with practice to discuss the security technology related.Key Words Network Database System；Safety Technique； SQL； Authentication；PermissionAbstractKey Words中南民族大学本科毕业论文专家评阅书学 院计算机科学学院年 级2002级专 业计算机科学与技术学生姓名张一帆学 号02071399指导教师蒋天发论文题目一种网络数据库平安体系方案的研究与探讨本课题的选取具有一定的实用性，对毕业生将来从事数据库和网络平安技术

53、方面的工作具有一定的帮助。本课题论述了网络数据库平安背景、现状、开展趋势和所存在的问题，讨论了网络数据库平安的概念、特点和常用技术，提出了自己的看法。从论文可以看出， 该生能够恰当的选取资料，很好的掌握有关网络数据库平安技术的根本理论知识。论文层次清楚，结构清晰，语言较流畅，格式标准。如能完善课题，更进一步的分析网络数据库平安体系的现状，提出自己的具体解决方案，论文将更加恰当。论文符合辩论要求，评定优秀。评阅专家签名： ，工作单位： ， 专家职称： 2006年 月 日中南民族大学本科毕业论文设计量化评分标准 (自然科学类) 学生姓名： 张一帆 指导教师： 蒋天发 年级和专业：2002级计算机科

54、学与技术 指标最高分评分要素评分选题10选题来自生产实践第一线或学科前沿，有重要的理论意义和实用价值，富有创新性9文献综述10有较完善的文献综述，能全面地反映该学科及相关领域的开展状况，归纳总结正确9论文表达的技术水平与实际能力20设计合理，理论分析与计算正确，实验数据正确，有较强的实际动手能力19论文表达作者研究成果与专业知识20对研究的问题能较深刻分析或者有独到见解，成果突出，反映出作者很好地掌握了有关根底理论与专业知识18写作与总结提炼能力30论文结构严谨，逻辑严密，论述层次清晰，语言流畅，表达准确，重点突出，论文完全符合标准化要求，书写工整或用计算机打印成文28辩论情况10能简明扼要地阐述论文的主要内容，能准确流利地答复各种问题9总 分92注：本评分标准适用于自然科学类各专业；总分总分值为100分，成绩参考标准为：优秀100X90；良好90X80；中等80X70；及格70X60；不及格X60；中南民族大学本科毕业论文辩论情况记载表论文题目： 一种网络数据库平安体系方案的研究与探讨 学院、专业： 计算机科学学院、计算机科学与技术 学生姓名： 张一帆 指导教师： 蒋天发 辩论时间： 2006、6、3 记录： 毛腾跃 答辩小组成员姓名专业