人文社科SQLServer的安全体系结构93S

9.1数据库平安性控制的一般方法9.2SQLServer的平安体系结构9.3SQLServer数据库平安性管理2/6/2025数据库的平安性是指保护数据库，以防止不合法的使用造成的数据泄密、更改或破坏。数据库管理系统平安性保护，就是通过种种防范措施以防止用户越权使用数据库。平安保护措施是否有效是衡量数据库系统的主要性能指标之一。2/6/20259.1数据库平安性控制的一般方法9.1.1平安性级别数据库的完整性尽可能的防止对数据库的无意滥用。数据库的平安性尽可能防止对数据库的恶意滥用。为了防止数据库的恶意滥用，可以在下述不同的平安级别上设置各种平安措施。(1)环境级：对计算机系统的机房和设备加以保护，防止物理破坏。(2)职员级：对数据库系统工作人员，加强劳动纪律和职业道德教育，并正确的授予其访问数据库的权限。(3)操作系统级：防止未经授权用户从操作系统层着手访问数据库。(4)网络级：由于数据库系统允许用户通过网络访问，因此，网络软件内部的平安性对数据库的平安是很重要的。(5)数据库系统级：检验用户的身份是否合法，检验用户数据库操作权限是否正确。本节主要讨论数据库系统级的平安性问题。2/6/20252/6/2025口令(Password)认证用户的口令，是合法用户自己定义的密码。为保密起见，口令由合法用户自己定义并可以随时变更。口令认证是为了进一步对用户核实。通常系统要求用户输入口令，只有口令正确才能进入系统。随机数运算认证随机数认证实际上是非固定口令的认证，即用户的口令每次都是不同的。鉴别时系统提供一个随机数，用户根据预先约定的计算过程或计算函数进行计算，并将计算结果输送到计算机，系统根据用户计算结果判定用户是否合法。例如算法为：“口令=随机数平方的后三位〞，出现的随机数是36，那么口令是296。2/6/2025存取控制(授权机制)DBMS的存取控制机制是数据库平安的一个重要保证，它确保具有数据库使用权限的用户访问数据库并进行权限范围内的操作，同时令未被授权的用户无法接近数据。存取机制的构成存取控制机制主要包括两局部：定义用户权限用户权限是指用户对于数据对象能够进行的操作种类。要进行用户权限定义，DBMS必须提供有关定义用户权限的语言，该语言称为数据控制语言DCL。进行权限检查每当用户发出存取数据库的操作请求后，DBMS首先查找数据字典，进行合法权限检查。如果用户的操作请求没有超出其数据操作权限，那么准予执行其数据操作；否那么，DBMS将拒绝执行此操作。2/6/2025存取机制的类别在自主存取控制方法中，用户对于不同的数据对象可以有不同的存取权限，不同的用户对同一数据对象的存取权限也可以各不相同，用户还可以将自己拥有的存取权限转授给其他用户。在强制存取控制方法中，每一个数据对象被标以一定的密级；每一个用户也被授予某一个级别的许可证。对于任意一个对象，只有具有合法许可证的用户才可以存取。显然，自主存取控制比较灵活，强制存取控制比较严格。2/6/2025视图机制进行存取权限的控制，不仅可以通过授权来实现，而且还可以通过定义用户的外模式来提供一定的平安保护功能。在关系数据库中，可以为不同的用户定义不同的视图，通过视图机制把要保密的数据对无权操作的用户隐藏起来，从而自动地对数据提供一定程度的平安保护。对视图也可以进行授权。视图机制使系统具有数据平安性、数据逻辑独立性和操作简便等优点。2/6/20252/6/20252/6/20259.1.3关系数据库标准语言SQL的自主存取控制方法SQL标准对自主存取控制提供了支持，其DCL主要是GRANT(授权)语句和REVOKE(收权)语句。关系中的用户权限用户权限主要包括数据对象和操作类型两个要素。定义用户的存取权限称为授权。

表9-1不同类型数据对象的操作权限数据对象操作权限表、视图、列(TABLE)SELECT,INSERT,UPDATE,DELETE,ALLPRIVILEGE基本表（TABLE）ALTER,INDEX数据库（DATABASE）CREATETAB表空间（TABLESPACE）USE系统CREATEDBC2/6/2025SQL的存取控制功能--授权和收权语句授权〔GRANT〕语句格式:GRANT权限[ON对象]TO用户[WITHGRANTOPTION]功能:将指定数据对象的指定权限授予指定的用户。说明：其中，WITHGRANTOPTION选项的作用是允许获得指定权限的用户把权限再授予其他用户。【例9.1】把对读者信息表(readers)中的列“姓名〞修改、查询表的权限授予用户user1的语句可以写为：GRANTUPDATE(姓名)，SELECTONTABLEreadersTOuser1；【例9.2】把对表readers,books,borrowinf的查询、修改、插入和删除等全部权限授予用户user1和用户user2的语句可以写为：GRANTALLPRIVILIGESONTABLEreaders,books,borrowinfTOuserl，user2；2/6/2025

【例9.3】把对表books的查询权限授予所有用户。

GRANTSELECTONTABLEbooksTOPUBLIC；

【例9.4】把在数据库MyDB中建立表的权限授予用户user2。

GRANTCREATETABONDATABASEMyDBTOuser2；

【例9.5】把对表readers的查询权限授予用户user3，并给用户user3有再授予的权限。

GRANTSELECTONTABLEreadersTOuser3WITHGRANTOPTION；

【例9.6】用户user3把查询readers表的权限授予用户user4。

GRANTSELECTONTABLEreadersTOuser4；2/6/2025回收(REVOKE)语句

格式：REVOKE权限[ON对象]FROM用户；

功能：把已经授予指定用户的指定权限收回。

【例9.7】把用户user1修改读者姓名的权限收回。

REVOKEUPDATE(姓名)ONTABLEreadersFROMuserl；

【例9.8】把用户user3查询readers表的权限收回。

REVOKESELECTONTABLEreadersFROMuser3；2/6/20259.2SQLServer的平安体系结构9.2.1SQLServer2000的平安体系结构SQLServer2000提供以下4层平安防线：操作系统的平安防线Windows(WindiwsNT或Windows2000Server等)网络管理员负责建立用户组，设置账号并注册，同时决定不同用户对不同系统资源的访问级别。SQLServer的运行平安防线SQLServer通过登录账号设置来创立附加平安层。用户只有登录成功，才能与SQLServer建立一次连接。SQLServer数据库的平安防线SQLServer的特定数据库都有自己的用户和角色，该数据库只能由它的用户或角色访问，其他用户无权访问其数据。SQLServer数据库对象的平安防线SQLServer可以对权限进行管理。保证合法用户即使进入了数据库也不能有超越权限的数据存取操作，即合法用户必须在自己的权限范围内进行数据操作。2/6/20259.2.2SQLServer2000的平安认证模式SQLServer2000的平安认证模式平安认证是指数据库系统对用户访问数据库系统时所输入的账号和口令进行确认的过程。平安性认证模式是指系统确认用户身份的方式。SQLServer2000有两种平安认证模式，即Windows平安认证模式和SQLServer平安认证模式。Windows平安认证模式Windows平安认证模式是指SQLServer效劳器通过使用Windows网络用户的平安性来控制用户对SQLServer效劳器的登录访问。SQLServer的平安认证模式SQLServer平安认证模式要求用户必须输入有效的SQLServer登录账号及口令。这个登录账号是独立于操作系统的登录账号的，从而可以在一定程度上防止操作系统层上对数据库的非法访问。2/6/2025设置SQLServer2000的平安认证模式使用SQLServer2000企业管理器功能选择需要的平安认证模式，其步骤如下:1)在企业管理器中扩展开SQL效劳器组，右击需要设置的SQL效劳器，在弹出的菜单中选择【编辑SQLServer注册属性】命令。2)在弹出的“已注册的SQLServer属性〞对话框〔见图9-1〕的【连接】区域有身份验证的两个单项选择框。单击【使用Windows身份验证[W]】为选择集成平安认证模式；单击【使用SQLServer身份验证[Q]】那么为选择SQLServer2000平安认证模式。2/6/2025图9-1编辑已注册的SQLServer属性对话框2/6/20259.3SQLServer数据库平安性管理SQLServer的平安性管理包括以下几个方面：数据库系统登录管理、数据库用户管理、数据库系统角色管理以及数据库访问权限的管理。9.3.1数据库系统登录管理登录账号登录账号也称为登录用户或登录名，是效劳器级用户访问数据库系统的标识。为了访问SQLServer系统，用户必须提供正确的登录账号，这些登录账号既可以是Windows登录账号，也可以是SQLServer登录账号。2/6/2025查看登录账号使用企业管理器可以创立、查看和管理登录账号。“登录账号〞存放在SQL效劳器的平安性文件夹中。当进入企业管理器，翻开指定的SQL效劳器组和SQL效劳器，并选择【平安性】文件夹的系列操作后，就会出现如图9-2所示的屏幕窗口。通过该窗口可以看出平安性文件夹包括4个文件夹：登录、效劳器角色、连接效劳器和远程效劳器。单击【登录】可以看到当前数据库效劳器的合法登录用户的一些信息。编辑或删除登录账号单击【登录】文件夹，在出现的显示登录账号的窗口中，用鼠标右击需要操作的登录号：选择【属性】便可对该用户已设定内容进行重新编辑；选择【删除】便可删除该登录用户。进行上述操作需要对当前效劳器拥有管理登录〔SecurityAdministrators〕及其以上的权限。2/6/2025图9-2平安性文件夹的屏幕界面2/6/2025图9-3新建登录对话框

2/6/20259.3.2数据库用户管理用户账号用户账号是某个数据库的访问标识。在SQLServer的数据库中，对象的全部权限均由用户账号控制。用户账号可以与登录账号相同也可以不想同。数据库用户必须是登录用户。登录用户只有成为数据库用户(或数据库角色)后才能访问数据库。用户账号与具体的数据库有关。在该表中每一行数据表示一个SQLServer用户或SQLServer角色信息。创立数据库的用户称为数据库所有者(dbo)，他具有这个数据库的所有权限。创立数据库对象的用户称为数据库对象的所有者(dbo)，他具有该对象的所有权限。系统管理员sa是他所管理系统的任何数据库的dbo用户。2/6/2025查看用户账号使用企业管理器可以创立、查看和管理数据库用户。每个数据库中都有“用户〞文件夹。当进入企业管理器，翻开指定的SQL效劳器组和SQL效劳器，并翻开【数据库】文件夹，选定并翻开要操作的数据库后，单击【用户】文件夹就会出现如图9-4所示的用户信息窗口。通过该窗口可以看到当前数据库合法用户的一些信息。图9－4查看用户信息窗口2/6/2025创立新的数据库用户创立新的数据库用户有两种方法。在创立登录用户时，指定他作为数据库用户的身份例如，在图9-3新建登录对话框中，输入登录名称(如user1)，单击【数据库访问】选项卡，在【指定此登录可以访问的数据库[S]】区域的【许可】栏目下指定访问数据库〔如MyDb〕，如图9－5所示，登录用户user1同时也成为数据库MyDb的用户。单独创立数据库用户这种方法适于在创立登录账号时没有创立数据库用户的情况，操作步骤如下：右击【用户】文件夹，在弹出的菜单中选择【新建数据库用户】命令后，会出现图9-6所示新建用户对话框界面，在【登录名】下拉框中选择预创立用户对应的登录名，然后在【用户名】的文本框中键入用户名即可。如图9－6所示。通过此界面也可以设定该数据库用户的权限和角色的成员。2/6/2025图9－5创立登录时指定登录用户同时作为数据库用户界面2/6/2025图9－6单独创立数据库用户对话框2/6/2025编辑或删除数据库用户账号单击【用户】文件夹，在出现的显示用户账号的窗口中，右击需要操作的用户账号，选择【属性】命令，出现该用户的角色和权限窗口，可对该用户已设定内容进行重新编辑；选择【删除】便可删除该数据库用户。进行上述操作需要对当前数据库拥有用户管理及其以上的权限。2/6/20259.3.3数据库系统角色管理在SQLServer2000中可以把某些用户设置成某一角色，这些用户称为该角色的成员。当对该角色进行权限设置时，其成员自动继承该角色的权限。SQLServer中有两种角色，即效劳器角色和数据库角色。效劳器角色一台计算机可以承担多个SQLServer效劳器的管理任务。固定效劳器角色是对效劳器级用户即登录账号而言的。它是指在登录时授予该登录账号对当前效劳器范围内的权限。这类角色可以在效劳器上进行相应的管理操作，完全独立于某个具体的数据库。固定效劳器角色的信息存储在master数据库的sysxlogins系统表中。SQLServer2000提供了8种固定效劳器角色，如图9-7所示。2/6/2025图9-7固定效劳器角色2/6/2025可以使用企业管理器将登录账号添加到某一指定的固定效劳器角色作为其成员。步骤如下：登录效劳器后，展开【平安性】文件夹，单击【效劳器角色】文件夹，那么会出现图9-7所示的固定效劳器角色窗口，右击某一角色，在弹出的菜单中选择【属性】命令，可以查看该角色的权限，并可以添加某些登录账号作为该角色的成员，也可以将某一登录账号从该角色的成员中删除。注意：(1)固定效劳器角色不能被删除、修改和增加；(2)固定效劳器角色的任何成员都可以将其他的登录账号增加到该效劳器角色中。2/6/2025数据库角色在一个效劳器上可以创立多个数据库。数据库角色对应于单个数据库。数据库的角色分为固定数据库角色和用户定义的数据库角色。固定数据库角色是指SQLServer2000为每个数据库提供的固定角色。SQLServer2000允许用户自己定义数据库角色，称为用户定义的数据库角色。固定数据库角色固定数据库角色的信息存储在sysuers系统表中。SQLServer2000提供了10种固定数据库角色，如表9-3所示。2/6/2025角色描述public维护默认的许可db_owner执行数据库中的任何操作db_accessadmin可以增加或删除数据库用户、组和角色db_addladmin增加、修改或删除数据库对象db_securityadmin执行语句和对象权限管理db_backupoperator备份和恢复数据库db_datareader检索任意表中的数据db_datawriter增加、修改和删除所有表中的数据db_denydatareader不能检索任意一个表中数据db_denydatawriter不能修改任意一个表中的数据表9-3固定数据库角色

2/6/2025可以使用企业管理器查看固定数据库角色，还可以将某些数据库用户添加到固定数据库角色中，使数据库用户成为该角色的成员。也可以将固定数据库角色的成员删除。将用户添加到某一数据库角色的步骤为：翻开指定的数据库，单击【角色】文件夹，右击某个固定数据库角色，在出现的菜单中选择【属性】命令，就会出现图9-8所示的数据库角色属性对话框，单击【添加】按钮，那么会出现该角色的非成员用户，按提示信息操作可以将他们添加到该角色中；选中某一用户后，单击【删除】按钮可以将此用户从该角色中删除。注意：(1)SQLServer2000提供的10种固定数据库角色不能被删除和修改。(2)固定数据库角色的成员可以增加其他用户到该角色中。2/6/2025图9-8数据库角色属性对话框

2/6/2025用户定义的数据库角色在许多情况下，固定数据库角色不能满足要求，需要用户自定义数据库新角色。使用企业管理器创立数据库角色的步骤为：在企业管理器中翻开要操作的数据库文件夹，右击【角色】文件夹，并在弹出的菜单中选择【新建数据库角色】命令，那么出现新建数据库角色对话框如图9-9所示，按提示答复角色名称等相应信息后，单击【确定】按钮即可。在新建数据库角色对话框中可完成3种操作：在名称栏中输入新角色名；在用户栏中添加或删除角色中的用户；确定数据库角色的类型。用户定义的数据库角色类型有两种：标准角色(StandardRole)和应用程序角色(ApplicationRole)。标准角色用于正常的用户管理，它可以包括成员。而应用程序角色是一种特殊角色，需要指定口令，是一种平安机制。2/6/2025图9-9新增数据库角色对话框图9-10数据库角色权限设置对话框

2/6/2025对用户定义的数据库角色，可以设置或修改其权限。使用企业管理器进行操作的步骤为：翻开操作数据库，选中用户定义的数据库角色，右击此角色在弹出的菜单中选择【属性】命令，然后单击【权限】按钮，那么会出现当前数据库的全部数据对象以及该角色的权限标记〔假设对角色设置过权限，也可以仅列出该角色具有权限的数据对象〕。如图9－10所示。单击数据库角色权限设置对话框中数据对象访问权限的选择方格有三种状况：√：授予权限。表示授予当前角色对指定的数据对象的该项操作权限。×：禁止权限。表示禁止当前角色对指定的数据对象的该项操作权限。空：撤消权限。表示撤销当前角色对指定的数据对象的该项操作权限。使用企业管理器也可以删除用户定义的数据库角色。步骤为：翻开操作数据库，选中用户定义的数据库角色，右击此角色在弹出的菜单中选择【删除】命令即可。2/6/20259.3.4SQLServer权限管理权限的种类SQLServer2000使用权限来加强系统的平安性，通常权限可以分为三种类型：对象权限、语句权限和隐含权限。对象权限对象权限是用于控制用户对数据库对象执行某些操作的权限。数据库对象通常包括表、视图、存储过程。对象权限是针对数据库对象设置的，它由数据库对象所有者授予、禁止或撤消。语句权限语句权限是用于控制数据库操作或创立数据库中的对象操作的权限。语句权限用于语句本身，它只能由SA或dbo授予、禁止或撤消。语句权限的授予对象一般为数据库角色或数据库用户。

2/6/2025Transact-SQL数据库对象SELECT(查询)表、视图、表和视图中的列UPDATE(修改)表、视图、表的列INSERT(插入)表、视图DELETE(删除)表、视图EXECUTE(调用过程)存储过程DRI(声明参照完整性)表、表中的列表9-4对象权限适用的对象和语句2/6/2025Transact-SQL语句权限说明CREATEDATABASE创建数据库，只能由SA授予SQL服务器用户或角色CREATEDEFAULT创建缺省CREATEPROCEDURE创建存储过程CREATERULE创建规则CREATETABLE创建表CREATEVIEW创建视图BACKUPDATABASE备份数据库

表9-5语句权限适用的语句和权限说明

2/6/2025隐含权限隐含权限指系统预定义而不需要授权就有的权限，包括固定效劳器角色成员、固定数据库角色成员、数据库所有者(dbo)和数据库对象所有者(dboo)所拥有的权限。例如，sysadmin固定效劳器角色成员可以在效劳器范围内做任何操作，dbo可以对数据库做任何操作，dboo可以对其拥有的数据库对象做任何操作，对他不需要明确的赋予权限。2/6/2025权限的管理对象权限的管理可以通过两种方法实现：一种是通过对象管理它的用户及操作权限，另一种是通过用户管理对应的数据库对象及操作权限。具体使用哪种方法要视管理的方便性来决定。通过对象授予、撒消或禁止对象权限如果一次要为多个用户(角色)授予、撤消或禁止对某一个数据库对象的权限时，应采用通过对象的方法实现。在SQLServer的企业管理器中，实现对象权限管理的操作步骤如下：1)展开企业管理器窗口，翻开【数据库】文件夹，展开要操作的数据库〔如MyDb〕,右击指定的对象(如readers表)。2)在弹出的菜单中，选择【所有任务】，在弹出的子菜单中选择【管理权限】命令，此时会出现一个对象权限对话框，如图9-11所示。2/6/2025

图9-11数据库对象权限对话框

2/6/20253)对话框的上部，有两个单项选择框如图9-11所示，可以根据需要选择一个。一般选择【列出全部用户】→【用户定义的数据库角色/public】。4)对话框的下面是有关数据库用户和角色所对应的权限表。这些权限均以复选框的形式表示。复选框有三种状态：“√〞〔授予权限〕、“×〞〔禁止权限〕、空〔撤消权限〕。在表中可以对各用户或角色的各种对象操作权限(SELECT、INSERT、UPDATE、DELETE、EXEC和DRI)进行授予、禁止或撤消，单击复选框可改变其状态。5)完成后单击【确定】按钮。2/6/2025图9-12数据库角色权限属性对话框2/6/2025通过用户或角色授予、撤消或禁止对象权限如果要为一个用户或角色同时授予、撤消或者禁止多个数据库对象的使用权限，那么可以通过用户或角色的方法进行。例如要对“MyDb〞数据库中的“数据输入〞角色进行授权操作，在企业管理器中，通过用户或角色授权(或收权)的操作步骤如下：1)扩展开SQL效劳器和【数据库】文件夹，单击数据库【MyDb】,单击【用户】或【角色】。本例单击【角色】。在窗口中找到要选择的用户或角色，本例为【数据输入】角色，右击该角色，在弹出菜单中选择【属性】命令后，出现如图9-12所示数据库角色属性对话框。2)在数据库角色属性对话框中，单击【权限】按钮，会出现如图9-13所示的数据库角色权限属性对话框。2/6/2025

图9-13数据库角色权限属性对话框2/6/20254)在对话框的权限列表中，对每个对象进行授予、撤消或禁止权限操作。在权限表中，权限SELECT、INSERT、UPDATE等安排在列中，每个对象的操作权用一行表示。在相应的复选框上，如果为“√〞那么为授权，为“×〞那么为禁止权限，如果为空白那么为撤消权限。单击复选框可改变其状态。5)完成后，单击【确定】按钮。返回数据库角色属性对话框后，再单击【确定】按钮。2/6/2025语句权限的管理SQLServer的企业管理器中还提供了管理语句权限的方法，其操作的具体步骤如下：1)展开SQL效劳器和【数据库】文件夹，右击要操作的数据库文件夹，如【MyDb】数据库，并在弹出菜单中选择【属性】命令，会出现数据库属性对话框。2)在数据库属性对话框中，选择【权限】选项卡，出现数据库用户及角色的语句权限对话框，如图9-14所示。在对话框的列表栏中，单击表中的各复选框可分别对各用户或角色授予、撤消或禁止数据库的语句操作权限。复选框内的“√〞表示授予权限，“×〞表示禁止权限，空白表示撤消权限。3)完成后单击【确定】按钮。

2/6/2025图9-14数据库用户和角色的语句权限对话框2/6/2025使用Transact-SQL语句管理权限SQLServer2000的平安性管理，不仅可以通过SQLServer的企业管理器的相应操作实现，还可以在查询分析器中通过Transact-SQL语句实现。这里只介绍用Transact-SQL语句实现权限管理，其语句格式与本章9.1.3小节中介绍的标准SQL的类似。授予权限语句-GRANT语句授权【例9.9】将创立数据库、创立表的权限授予用户user1和user2。USEMyDbGRANTCREATETABLETOuser2通过查看数据库MyDb【属性】的【权限】项，可以看到用户user2拥有创立表的语句权限。2/6/2025对象授权注意：SQLServer与标准SQL的不同是省去了对象类型，直接写对象名称即可。【例9.10】授予角色public对表