第07章 安全性课件

第07章安全性北京市高等教育精品教材立项项目数据库系统及应用第七章安全性第07章安全性学习内容

安全性概述用户管理和角色管理权限管理其他安全问题安全性概述

第07章安全性安全性措施的层次

物理层人员层操作系统层网络层数据库系统层第07章安全性数据库管理系统的安全功能

安全性控制是数据库管理员（或系统管理员）的一个重要任务，他要充分利用数据库管理系统的安全功能，保证数据库和数据库中数据的安全。安全系统的核心问题是身份识别。用户权限用户组角色第07章安全性自主存取控制

自主存取控制就是由用户（如数据库管理员）自主控制对数据库对象的操作权限，哪些用户可以对哪些对象、进行哪些操作，完全取决于用户之间的授权。任何用户只要需要，就有可能获得对任何对象的操作权限。这种存取控制方式非常灵活，但有时也容易失控。目前大多数数据库管理系统都支持的是自主存取控制方式。第07章安全性强制存取控制强制存取控制的思路是，为每一个数据库对象标以一定的密级对每一个用户都确定一个许可级别如密级可以分为绝密、机密、保密、秘密、公开等若干级别；而用户可以划分为一级用户（可以操作所有数据）、二级用户（可以操作除绝密以外的所有数据）、三级用户等。强制存取控制本质上具有分层的特点，通常具有静态的、严格的分层结构，与现实世界的层次管理也相吻合。这种强制存取控制特别适合层次严明的军方和政府等数据管理。第07章安全性SQLServer的身份验证模式SQLServer提供了三种身份验证模式或安全管理模式，即标准模式、集成模式和混合模式。在WindowsNT或Windows2000上使用集成模式或混合模式，在Windows98（或Millennium）上使用标准模式。第07章安全性标准身份验证模式实际上，一般的数据库管理系统都只提供标准身份验证模式，在这种模式下，由数据库管理系统独立来管理自己的数据库安全。数据库管理系统把用户登录的ID号和口令存储在特定的系统表中，当用户试图登录到数据库系统时，数据库管理系统查询有效的登录ID和口令，以决定是否允许用户登录。第07章安全性集成身份验证模式集成身份验证模式也称为Windows身份验证模式，用户通过WindowsNT或Windows2000（以下简称Windows）的身份验证后则自动进行SQLServer身份验证。即当用户通过Windows用户账户进行连接时，SQLServer通过回叫Windows以获得信息，重新验证账户名和密码。第07章安全性SQLServer的安全体系图7-1SQLServer安全体系第07章安全性混合身份验证模式混合模式使用户得以使用Windows身份验证或SQLServer身份验证与SQLServer实例连接。

用户管理和角色管理

第07章安全性简介

用户的分类登录用户和数据库用户用户管理角色管理

SQLServer的预定义角色第07章安全性用户的分类系统管理员用户数据库管理员用户数据库对象用户数据库访问用户第07章安全性登录用户和数据库用户图7-1SQLServer安全体系第07章安全性用户管理登录用户的管理:系统管理员的工作建立新的登录用户修改登录密码删除登录用户数据库用户的管理:数据库管理员的工作授权其他登录用户为数据库的用户取消某个登录用户为数据库的用户第07章安全性建立新的登录用户sp_addlogin[@loginname=]login_id[,[@passwd=]passwd][,[@defdb=]defdb][,[@deflanguage=]deflanguage][,[@sid=]sid][,[@encryptopt=]encryption_option]第07章安全性修改登录密码sp_password[[@old=]old_password,]{[@new=]new_password}[,[@loginame=]login]第07章安全性删除登录用户sp_droplogin[@loginame=]login第07章安全性授权登录用户为当前数据库用户sp_grantdbaccess[@loginame=]login[,[@name_in_db=]name_in_db]第07章安全性从当前数据库中删除用户sp_revokedbaccess[@name_in_db=]name第07章安全性角色管理

用户组和角色定义角色为用户指定角色取消用户的角色删除角色权限管理第07章安全性简介

授予权限授予语句权限授予对象权限查询授权收回权限禁止权限角色与存取控制第07章安全性授予语句权限BACKUPDATABASEBACKUPLOGCREATEDATABASECREATEDEFAULTCREATEFUNCTIONCREATEPROCEDURECREATERULECREATETABLECREATEVIEWGRANT{ALL|statement_list}TOname_liststatement_list给出授权的语句列表，可以是：第07章安全性授予对象权限GRANT

{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}

|ON{table|view}[(column_list)]

|ONstored_procedure

|ONuser_defined_function}TOname_list[WITHGRANTOPTION][AS{group|role}]第07章安全性查询授权使用系统存储过程sp_helprotect查询授权的情况第07章安全性收回权限收回语句授权REVOKE{ALL|statement_list}FROMname_list收回对象授权REVOKE[GRANTOPTIONFOR]{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}

|ON{table|view}[(column_list)]

|ONstored_procedure

|ONuser_defined_function}FROMname_list[CASCADE][AS{group|role}]第07章安全性禁止权限禁止语句权限DENY{ALL|statement_list}TOname_list禁止对象权限DENY

{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}

|ON{table|view}[(column_list