c9 数据库的安全性及sql serve安全管理

9.1数据库安全性控制的一般方法9.2SQLServer的安全体系结构

9.3SQLServer数据库安全性管理2/1/2023

数据库的安全性是指保护数据库，以防止不合法的使用造成的数据泄密、更改或破坏。数据库管理系统安全性保护，就是通过种种防范措施以防止用户越权使用数据库。安全保护措施是否有效是衡量数据库系统的主要性能指标之一。2/1/20239.1数据库安全性控制的一般方法9.1.1安全性级别数据库的完整性尽可能的避免对数据库的无意滥用。数据库的安全性尽可能避免对数据库的恶意滥用。为了防止数据库的恶意滥用，可以在下述不同的安全级别上设置各种安全措施。

(1)环境级：对计算机系统的机房和设备加以保护，防止物理破坏。

(2)职员级：对数据库系统工作人员，加强劳动纪律和职业道德教育，并正确的授予其访问数据库的权限。

(3)操作系统级：防止未经授权用户从操作系统层着手访问数据库。

(4)网络级：由于数据库系统允许用户通过网络访问，因此，网络软件内部的安全性对数据库的安全是很重要的。

(5)数据库系统级：检验用户的身份是否合法，检验用户数据库操作权限是否正确。本节主要讨论数据库系统级的安全性问题。2/1/2023

9.1.2数据库安全控制的一般方法数据库系统中一般采用用户标识和鉴别、存取控制、视图以及密码存储等技术进行安全控制。标识与鉴别

用户标识和鉴别是DBMS提供的最外层保护措施。用户每次登录数据库时都要输入用户标识，DBMS进行核对后，对于合法的用户获得进入系统最外层的权限。用户标识和鉴别的方法很多，常用的方法有：身份(Identification)认证用户的身份，是系统管理员为用户定义的用户名（也称为用户标识、用户账号、用户ID），并记录在计算机系统或DBMS中。身份认证，是指系统对输入的用户名与合法用户名对照，鉴别此用户是否为合法用户。若是，则可以进入下一步的核实；否则，不能使用系统。2/1/2023口令(Password)认证用户的口令，是合法用户自己定义的密码。为保密起见，口令由合法用户自己定义并可以随时变更。口令认证是为了进一步对用户核实。通常系统要求用户输入口令，只有口令正确才能进入系统。随机数运算认证随机数认证实际上是非固定口令的认证，即用户的口令每次都是不同的。鉴别时系统提供一个随机数，用户根据预先约定的计算过程或计算函数进行计算，并将计算结果输送到计算机，系统根据用户计算结果判定用户是否合法。例如算法为：“口令=随机数平方的后三位”，出现的随机数是36，则口令是296。2/1/2023存取控制(授权机制)DBMS的存取控制机制是数据库安全的一个重要保证，它确保具有数据库使用权限的用户访问数据库并进行权限范围内的操作，同时令未被授权的用户无法接近数据。存取机制的构成

存取控制机制主要包括两部分：定义用户权限用户权限是指用户对于数据对象能够进行的操作种类。要进行用户权限定义，DBMS必须提供有关定义用户权限的语言，该语言称为数据控制语言DCL。进行权限检查每当用户发出存取数据库的操作请求后，DBMS首先查找数据字典，进行合法权限检查。如果用户的操作请求没有超出其数据操作权限，则准予执行其数据操作；否则，DBMS将拒绝执行此操作。2/1/2023存取机制的类别在自主存取控制方法中，用户对于不同的数据对象可以有不同的存取权限，不同的用户对同一数据对象的存取权限也可以各不相同，用户还可以将自己拥有的存取权限转授给其他用户。在强制存取控制方法中，每一个数据对象被标以一定的密级；每一个用户也被授予某一个级别的许可证。对于任意一个对象，只有具有合法许可证的用户才可以存取。显然，自主存取控制比较灵活，强制存取控制比较严格。2/1/2023

视图机制进行存取权限的控制，不仅可以通过授权来实现，而且还可以通过定义用户的外模式来提供一定的安全保护功能。在关系数据库中，可以为不同的用户定义不同的视图，通过视图机制把要保密的数据对无权操作的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。对视图也可以进行授权。视图机制使系统具有数据安全性、数据逻辑独立性和操作简便等优点。2/1/2023

审计方法审计功能就是把用户对数据库的所有操作自动记录下来放入审计日志(AuditLog)中，一旦发生数据被非法存取，DBA可以利用审计跟踪的信息，重现导致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等。由于任何系统的安全保护措施都不可能无懈可击，蓄意盗窃、破坏数据的人总是想方设法打破控制，因此审计功能在维护数据安全、打击犯罪方面是非常有效的。由于审计通常是很费时间和空间的，因此DBA要根据应用对安全性的要求，灵活打开或关闭审计功能。2/1/2023

数据加密

对高度敏感数据（例如财务、军事、国家机密等数据），除了以上安全性措施外，还应该采用数据加密技术。数据加密是防止数据在存储和传输中失密的有效手段。加密的基本思想是根据一定的算法将原始数据(称为明文)变换为不可直接识别的格式(称为密文)，从而使得不知道解密算法的人无法获得数据的内容。加密方法主要有两种：

替换方法使用密钥将明文中的每一个字符转换为密文中的字符。

置换方法将明文的字符按不同的顺序重新排列。单独使用这两种方法的任意一种都是不够安全的。但是将这两种方法结合起来就能达到相当高的安全程度。2/1/20239.1.3关系数据库标准语言SQL的自主存取控制方法

SQL标准对自主存取控制提供了支持，其DCL主要是GRANT(授权)语句和REVOKE(收权)语句。关系中的用户权限用户权限主要包括数据对象和操作类型两个要素。定义用户的存取权限称为授权。

表9-1不同类型数据对象的操作权限数据对象操作权限表、视图、列(TABLE)SELECT,INSERT,UPDATE,DELETE,ALLPRIVILEGE基本表（TABLE）ALTER,INDEX数据库（DATABASE）CREATETAB表空间（TABLESPACE）USE系统CREATEDBC2/1/2023

SQL的存取控制功能--授权和收权语句授权（GRANT）语句

格式:GRANT权限[ON对象]TO用户[WITHGRANTOPTION]

功能:将指定数据对象的指定权限授予指定的用户。

说明：其中，WITHGRANTOPTION选项的作用是允许获得指定权限的用户把权限再授予其他用户。

【例9.1】把对读者信息表(readers)中的列“姓名”修改、查询表的权限授予用户user1的语句可以写为：

GRANTUPDATE(姓名)，SELECTONTABLEreadersTOuser1；

【例9.2】把对表readers,books,borrowinf的查询、修改、插入和删除等全部权限授予用户user1和用户user2的语句可以写为：

GRANTALLPRIVILIGESONTABLEreaders,books,borrowinfTOuserl，user2；2/1/2023

【例9.3】

把对表books的查询权限授予所有用户。

GRANTSELECTONTABLEbooksTOPUBLIC；

【例9.4】

把在数据库MyDB中建立表的权限授予用户user2。

GRANTCREATETABONDATABASEMyDBTOuser2；

【例9.5】把对表readers的查询权限授予用户user3，并给用户user3有再授予的权限。

GRANTSELECTONTABLEreadersTOuser3WITHGRANTOPTION；

【例9.6】用户user3把查询readers表的权限授予用户user4。

GRANTSELECTONTABLEreadersTOuser4；2/1/2023回收(REVOKE)语句

格式：REVOKE权限[ON对象]FROM用户；

功能：把已经授予指定用户的指定权限收回。

【例9.7】把用户user1修改读者姓名的权限收回。

REVOKEUPDATE(姓名)ONTABLEreadersFROMuserl；

【例9.8】

把用户user3查询readers表的权限收回。

REVOKESELECTONTABLEreadersFROMuser3；2/1/20239.2SQLServer的安全体系结构

9.2.1SQLServer2000的安全体系结构SQLServer2000提供以下4层安全防线：操作系统的安全防线

Windows(WindiwsNT或Windows2000Server等)网络管理员负责建立用户组，设置账号并注册，同时决定不同用户对不同系统资源的访问级别。SQLServer的运行安全防线

SQLServer通过登录账号设置来创建附加安全层。用户只有登录成功，才能与SQLServer建立一次连接。SQLServer数据库的安全防线

SQLServer的特定数据库都有自己的用户和角色，该数据库只能由它的用户或角色访问，其他用户无权访问其数据。SQLServer数据库对象的安全防线

SQLServer可以对权限进行管理。保证合法用户即使进入了数据库也不能有超越权限的数据存取操作，即合法用户必须在自己的权限范围内进行数据操作。2/1/2023

9.2.2SQLServer2000的安全认证模式

SQLServer2000的安全认证模式安全认证是指数据库系统对用户访问数据库系统时所输入的账号和口令进行确认的过程。安全性认证模式是指系统确认用户身份的方式。SQLServer2000有两种安全认证模式，即Windows安全认证模式和SQLServer安全认证模式。Windows安全认证模式

Windows安全认证模式是指SQLServer服务器通过使用Windows网络用户的安全性来控制用户对SQLServer服务器的登录访问。SQLServer的安全认证模式

SQLServer安全认证模式要求用户必须输入有效的SQLServer登录账号及口令。这个登录账号是独立于操作系统的登录账号的，从而可以在一定程度上避免操作系统层上对数据库的非法访问。2/1/2023设置SQLServer2000的安全认证模式使用SQLServer2000企业管理器功能选择需要的安全认证模式，其步骤如下:1)在企业管理器中扩展开SQL服务器组，右击需要设置的SQL服务器，在弹出的菜单中选择【编辑SQLServer注册属性】命令。

2)在弹出的“已注册的SQLServer属性”对话框（见图9-1）的【连接】区域有身份验证的两个单选框。单击【使用Windows身份验证[W]】为选择集成安全认证模式；单击【使用SQLServer身份验证[Q]】则为选择SQLServer2000安全认证模式。2/1/2023图9-1编辑已注册的SQLServer属性对话框2/1/20239.3SQLServer数据库安全性管理

SQLServer的安全性管理包括以下几个方面：数据库系统登录管理、数据库用户管理、数据库系统角色管理以及数据库访问权限的管理。9.3.1数据库系统登录管理登录账号登录账号也称为登录用户或登录名，是服务器级用户访问数据库系统的标识。为了访问SQLServer系统，用户必须提供正确的登录账号，这些登录账号既可以是Windows登录账号，也可以是SQLServer登录账号。2/1/2023查看登录账号使用企业管理器可以创建、查看和管理登录账号。“登录账号”存放在SQL服务器的安全性文件夹中。当进入企业管理器，打开指定的SQL服务器组和SQL服务器，并选择【安全性】文件夹的系列操作后，就会出现如图9-2所示的屏幕窗口。通过该窗口可以看出安全性文件夹包括4个文件夹：登录、服务器角色、连接服务器和远程服务器。单击【登录】可以看到当前数据库服务器的合法登录用户的一些信息。编辑或删除登录账号单击【登录】文件夹，在出现的显示登录账号的窗口中，用鼠标右击需要操作的登录号：选择【属性】便可对该用户已设定内容进行重新编辑；选择【删除】便可删除该登录用户。进行上述操作需要对当前服务器拥有管理登录（SecurityAdministrators）及其以上的权限。2/1/2023图9-2安全性文件夹的屏幕界面2/1/2023图9-3新建登录对话框

2/1/2023

9.3.2数据库用户管理用户账号用户账号是某个数据库的访问标识。在SQLServer的数据库中，对象的全部权限均由用户账号控制。用户账号可以与登录账号相同也可以不想同。数据库用户必须是登录用户。登录用户只有成为数据库用户(或数据库角色)后才能访问数据库。用户账号与具体的数据库有关。在该表中每一行数据表示一个SQLServer用户或SQLServer角色信息。创建数据库的用户称为数据库所有者(dbo)，他具有这个数据库的所有权限。系统管理员sa是他所管理系统的任何数据库的dbo用户。2/1/2023查看用户账号使用企业管理器可以创建、查看和管理数据库用户。每个数据库中都有“用户”文件夹。当进入企业管理器，打开指定的SQL服务器组和SQL服务器，并打开【数据库】文件夹，选定并打开要操作的数据库后，单击【用户】文件夹就会出现如图9-4所示的用户信息窗口。通过该窗口可以看到当前数据库合法用户的一些信息。图9－4查看用户信息窗口2/1/2023创建新的数据库用户创建新的数据库用户有两种方法。在创建登录用户时，指定他作为数据库用户的身份

例如，在图9-3新建登录对话框中，输入登录名称(如user1)，单击【数据库访问】选项卡，在【指定此登录可以访问的数据库[S]】区域的【许可】栏目下指定访问数据库（如MyDb），如图9－5所示，登录用户user1同时也成为数据库MyDb的用户。单独创建数据库用户这种方法适于在创建登录账号时没有创建数据库用户的情况，操作步骤如下：右击【用户】文件夹，在弹出的菜单中选择【新建数据库用户】命令后，会出现图9-6所示新建用户对话框界面，在【登录名】下拉框中选择预创建用户对应的登录名，然后在【用户名】的文本框中键入用户名即可。如图9－6所示。通过此界面也可以设定该数据库用户的权限和角色的成员。2/1/2023图9－5创建登录时指定登录用户同时作为数据库用户界面2/1/2023图9－6单独创建数据库用户对话框2/1/2023编辑或删除数据库用户账号单击【用户】文件夹，在出现的显示用户账号的窗口中，右击需要操作的用户账号，选择【属性】命令，出现该用户的角色和权限窗口，可对该用户已设定内容进行重新编辑；选择【删除】便可删除该数据库用户。进行上述操作需要对当前数据库拥有用户管理及其以上的权限。2/1/2023

9.3.3数据库系统角色管理在SQLServer2000中可以把某些用户设置成某一角色，这些用户称为该角色的成员。当对该角色进行权限设置时，其成员自动继承该角色的权限。

SQLServer中有两种角色，即服务器角色和数据库角色。服务器角色一台计算机可以承担多个SQLServer服务器的管理任务。固定服务器角色是对服务器级用户即登录账号而言的。它是指在登录时授予该登录账号对当前服务器范围内的权限。这类角色可以在服务器上进行相应的管理操作，完全独立于某个具体的数据库。固定服务器角色的信息存储在master数据库的sysxlogins系统表中。SQLServer2000提供了8种固定服务器角色，如图9-7所示。2/1/2023图9-7固定服务器角色

2/1/2023可以使用企业管理器将登录账号添加到某一指定的固定服务器角色作为其成员。步骤如下：登录服务器后，展开【安全性】文件夹，单击【服务器角色】文件夹，则会出现图9-7所示的固定服务器角色窗口，右击某一角色，在弹出的菜单中选择【属性】命令，可以查看该角色的权限，并可以添加某些登录账号作为该角色的成员，也可以将某一登录账号从该角色的成员中删除。注意：

(1)固定服务器角色不能被删除、修改和增加；

(2)固定服务器角色的任何成员都可以将其他的登录账号增加到该服务器角色中。

2/1/2023数据库角色在一个服务器上可以创建多个数据库。数据库角色对应于单个数据库。数据库的角色分为固定数据库角色和用户定义的数据库角色。固定数据库角色是指SQLServer2000为每个数据库提供的固定角色。SQLServer2000允许用户自己定义数据库角色，称为用户定义的数据库角色。固定数据库角色固定数据库角色的信息存储在sysuers系统表中。SQLServer2000提供了10种固定数据库角色，如表9-3所示。

2/1/2023角色描述public维护默认的许可db_owner执行数据库中的任何操作db_accessadmin可以增加或删除数据库用户、组和角色db_addladmin增加、修改或删除数据库对象db_securityadmin执行语句和对象权限管理db_backupoperator备份和恢复数据库db_datareader检索任意表中的数据db_datawriter增加、修改和删除所有表中的数据db_denydatareader不能检索任意一个表中数据db_denydatawriter不能修改任意一个表中的数据表9-3固定数据库角色

2/1/2023可以使用企业管理器查看固定数据库角色，还可以将某些数据库用户添加到固定数据库角色中，使数据库用户成为该角色的成员。也可以将固定数据库角色的成员删除。将用户添加到某一数据库角色的步骤为：打开指定的数据库，单击【角色】文件夹，右击某个固定数据库角色，在出现的菜单中选择【属性】命令，就会出现图9-8所示的数据库角色属性对话框，单击【添加】按钮，则会出现该角色的非成员用户，按提示信息操作可以将他们添加到该角色中；选中某一用户后，单击【删除】按钮可以将此用户从该角色中删除。

注意：(1)SQLServer2000提供的10种固定数据库角色不能被删除和修改。(2)固定数据库角色的成员可以增加其他用户到该角色中。2/1/2023图9-8数据库角色属性对话框

2/1/2023

用户定义的数据库角色在许多情况下，固定数据库角色不能满足要求，需要用户自定义数据库新角色。使用企业管理器创建数据库角色的步骤为：在企业管理器中打开要操作的数据库文件夹，右击【角色】文件夹，并在弹出的菜单中选择【新建数据库角色】命令，则出现新建数据库角色对话框如图9-9所示，按提示回答角色名称等相应信息后，单击【确定】按钮即可。在新建数据库角色对话框中可完成3种操作：在名称栏中输入新角色名；在用户栏中添加或删除角色中的用户；确定数据库角色的类型。用户定义的数据库角色类型有两种：标准角色(StandardRole)和应用程序角色(ApplicationRole)。标准角色用于正常的用户管理，它可以包括成员。而应用程序角色是一种特殊角色，需要指定口令，是一种安全机制。2/1/2023图9-9新增数据库角色对话框图9-10数据库角色权限设置对话框

2/1/2023对用户定义的数据库角色，可以设置或修改其权限。使用企业管理器进行操作的步骤为：打开操作数据库，选中用户定义的数据库角色，右击此角色在弹出的菜单中选择【属性】命令，然后单击【权限】按钮，则会出现当前数据库的全部数据对象以及该角色的权限标记（若对角色设置过权限，也可以仅列出该角色具有权限的数据对象）。如图9－10所示。单击数据库角色权限设置对话框中数据对象访问权限的选择方格有三种状况：

√：授予权限。表示授予当前角色对指定的数据对象的该项操作权限。

×：禁止权限。表示禁止当前角色对指定的数据对象的该项操作权限。

空：撤消权限。表示撤销当前角色对指定的数据对象的该项操作权限。使用企业管理器也可以删除用户定义的数据库角色。步骤为：打开操作数据库，选中用户定义的数据库角色，右击此角色在弹出的菜单中选择【删除】命令即可。2/1/20239.3.4SQLServer权限管理权限的种类

SQLServer2000使用权限来加强系统的安全性，通常权限可以分为三种类型：对象权限、语句权限和隐含权限。对象权限对象权限是用于控制用户对数据库对象执行某些操作的权限。数据库对象通常包括表、视图、存储过程。对象权限是针对数据库对象设置的，它由数据库对象所有者授予、禁止或撤消。语句权限语句权限是用于控制数据库操作或创建数据库中的对象操作的权限。语句权限用于语句本身，它只能由SA或dbo授予、禁止或撤消。语句权限的授予对象一般为数据库角色或数据库用户。

2/1/2023Transact-SQL数据库对象SELECT(查询)表、视图、表和视图中的列UPDATE(修改)表、视图、表的列INSERT(插入)表、视图DELETE(删除)表、视图EXECUTE(调用过程)存储过程DRI(声明参照完整性)表、表中的列表9-4对象权限适用的对象和语句2/1/2023Transact-SQL语句权限说明CREATEDATABASE创建数据库，只能由SA授予SQL服务器用户或角色CREATEDEFAULT创建缺省CREATEPROCEDURE创建存储过程CREATERULE创建规则CREATETABLE创建表CREATEVIEW创建视图BACKUPDATABASE备份数据库

表9-5语句权限适用的语句和权限说明

2/1/2023隐含权限隐含权限指系统预定义而不需要授权就有的权限，包括固定服务器角色成员、固定数据库角色成员、数据库所有者(dbo)和数据库对象所有者(dboo)所拥有的权限。

例如，sysadmin固定服务器角色成员可以在服务器范围内做任何操作，dbo可以对数据库做任何操作，dboo可以对其拥有的数据库对象做任何操作，对他不需要明确的赋予权限。2/1/2023权限的管理对象权限的管理可以通过两种方法实现：一种是通过对象管理它的用户及操作权限，另一种是通过用户管理对应的数据库对象及操作权限。具体使用哪种方法要视管理的方便性来决定。通过对象授予、撒消或禁止对象权限如果一次要为多个用户(角色)授予、撤消或禁止对某一个数据库对象的权限时，应采用通过对象的方法实现。在SQLServer的企业管理器中，实现对象权限管理的操作步骤如下：

1)展开企业管理器窗口，打开【数据库】文件夹，展开要操作的数据库（如MyDb）,右击指定的对象(如readers表)。

2)在弹出的菜单中，选择【所有任务】，在弹出的子菜单中选择【管理权限】命令，此时会出现一个对象权限对话框，如图9-11所示。2/1/2023

图9-11数据库对象权限对话框

2/1/2023

3)对话框的上部，有两个单选框如图9-11所示，可以根据需要选择一个。一般选择【列出全部用户】→【用户定义的数据库角色/public】。

4)对话框的下面是有关数据库用户和角色所对应的权限表。这些权限均以复选框的形式表示。复选框有三种状态：“√”（授予权限）、“×”（禁止权限）、空（撤消权限）。在表中可以对各用户或角色的各种对象操作权限(SELECT、INSERT、UPDATE、DELETE、EXEC和DRI)进行授予、禁止或撤消，单击复选框可改变其状态。

5)完成后单击【确定】按钮。2/1/2023图9-12数据库角色权限属性对话框2/1/2023通过用户或角色授予、撤消或禁止对象权限如果要为一个用户或角色同时授予、撤消或者禁止多个数据库对象的使用权限，则可以通过用户或角色的方法进行。例如要对“MyDb”数据库中的“数据输入”角色进行授权操作，在企业管理器中，通过用户或角色授权(或收权)的操作步骤如下：

1)扩展开SQL服务器和【数据库】文件夹，单击数据库【MyDb】,单击【用户】或【角色】。本例单击【角色】。在窗口中找到要选择的用户或角色，本例为【数据输入】角色，右击该角色，在弹出菜单中选择【属性】命令后，出现如图9-12所示数据库角色属性对话框。

2)在数据库角色属性对话框中，单击【权限】按钮，会出现如图9-13所示的数据库角色权限属性对话框。2/1/2023

图9-13数据库角色权限属性对话框2/1/2023

4)在对话框的权限列表中，对每个对象进行授予、撤消或禁止权限操作。在权限表中，权限SELECT、INSERT、UPDATE等安排在列中，每个对象的操作权用一行表示。在相应的复选框上，如果为“√”则为授权，为“×”则为禁止权限，如果为空白则为撤消权限。单击复选框可改变其状态。

5)完成后，单击【确定】按钮。返回数据库角色属性对话框后，再单击【确定】按钮。

2/1/2023语句权限的管理

SQLServer的企业管理器中还提供了管理语句权限的方法，其操作的具体步骤如下：

1)展开SQL服务器和【数据库】文件夹，右击要操作的数据库文件夹，如【MyDb】数据库，并在弹出菜单中选择【属性】命令，会出现数据库属性对话框。

2)在数据库属性对话框中，选择【权限】选项卡，出现数据库用户及角色的语句权限对话框，如图9-14所示。在对话框的列表栏中，单击表中的各复选框可分别对各用户或角色授予、撤消或禁止数据库的语句操作权限。复选框内的“√”表示授予权限，“×”表示禁止权限，空白表示撤消权限。

3)完成后单击【确定】按钮。

2/1/2023图9-14数据库用户和角色的语句权限对话框2/1/2023使用Transact-SQL语句管理权限

SQLServer2000的安全性管理，不仅可以通过SQLServer的企业管理器的相应操作实现，还可以在查询分析器中通过Transact-SQL语句实现。这里只介绍用Transact-SQL语句实现权限管理，其语句格式与本章9.1.3小节中介绍的标准SQL的类似。授予权限语句-GRANT语句授权

【例9.9】将创建数据库、创建表的权限授予用户user1和user2。

USEMyDb

GRANTCREATETABLETOuser2

通过查看数据库MyDb【属性】的【权限】项，可以看到用户user2拥有创建表的语句权限。2/1/2023对象授权

注意：SQ