第章-数据库的安全管理.ppt

第章-数据库的安全管理.ppt

《第章-数据库的安全管理.ppt》由会员分享，可在线阅读，更多相关《第章-数据库的安全管理.ppt（67页珍藏版）》请在冰豆网上搜索。

数据库原理与应用教程数据库原理与应用教程SQLServer第第1212章章数据库安全管理数据库安全管理第第12章章数据库安全管理数据库安全管理安安全全性性对对于于任任何何数数据据库库管管理理系系统统来来说说都都是是至至关关重重要要的的，数数据据库库的的安安全全性性是是指指保保护护数数据据库库以以防防止止因因不不合合法法用用户户的的访访问问而而造造成成数数据据的的泄泄密密或或破破坏坏。

SQLServer2008提提供供有有效效的的数数据据访访问问安安全全机机制制，在在数数据据库库管管理理系系统统中中，用用检检查查口口令令等等手手段段来来检检查查用用户户身身份份，从从而而保保证证只只有有合合法法的的用用户户才才能能进进入入数数据据库库系系统统。

当当用用户户对对数数据据库库执执行行操操作作时时，系系统统自自动动检检查查用用户户是是否有权限进行这些操作。

否有权限进行这些操作。

第第12章章数据库安全管理数据库安全管理对对于于系系统统管管理理员员、数数据据库库编编程程人人员员，甚甚至至对对于于每每个个用用户户来来说说，数数据据库库系系统统的的安安全全性性都都是是至至关关重重要要的的。

本本章章首首先先介介绍绍SQLServer的的三三层层安安全全性性机机制制，然然后后重重点点介介绍绍两两种种验验证证模模式式及及其其设设置置，服服务务器器登登录录账账号号的的创创建建方方法法，数数据据库库用用户户的的创创建建方方法法以以及及角角色色和和权权限限设设置置、管理和使用等。

管理和使用等。

第第12章章数据库安全管理数据库安全管理12.112.1身份验证身份验证身份验证身份验证当用户使用当用户使用当用户使用当用户使用SQLServer2008SQLServer2008时，需要经过两个安时，需要经过两个安时，需要经过两个安时，需要经过两个安全性阶段，身份验证阶段和权限认证阶段。

全性阶段，身份验证阶段和权限认证阶段。

全性阶段，身份验证阶段和权限认证阶段。

全性阶段，身份验证阶段和权限认证阶段。

身份验证阶段，用户在身份验证阶段，用户在身份验证阶段，用户在身份验证阶段，用户在SQLServer2008SQLServer2008上获得对上获得对上获得对上获得对任何数据库的访问权限之前，必须登录到任何数据库的访问权限之前，必须登录到任何数据库的访问权限之前，必须登录到任何数据库的访问权限之前，必须登录到SQLSQLServer2008Server2008上，并且被认为是合法的。

上，并且被认为是合法的。

上，并且被认为是合法的。

上，并且被认为是合法的。

SQLSQLServer2008Server2008或者或者或者或者WindowsWindows对用户进行验证。

如果对用户进行验证。

如果对用户进行验证。

如果对用户进行验证。

如果验证通过，用户就可以连接到验证通过，用户就可以连接到验证通过，用户就可以连接到验证通过，用户就可以连接到SQLServer2008SQLServer2008服服服服务器上。

否则，服务器将拒绝用户登录，从而保证务器上。

否则，服务器将拒绝用户登录，从而保证务器上。

否则，服务器将拒绝用户登录，从而保证务器上。

否则，服务器将拒绝用户登录，从而保证了系统的安全性。

了系统的安全性。

了系统的安全性。

了系统的安全性。

第第12章章数据库安全管理数据库安全管理用用户户验验证证通通过过后后，登登录录到到SQLServer2008服服务务器器上上，需需要要检检测测用用户户是是否否有有访访问问服服务务器器数数据据的的权权限限，为为此此需需要要授授予予每每个个数数据据库库中中映映射射到到用用户户登登录录的的账账户户访访问问权权限限，权权限限认认证证可可以控制用户对数据库进行操作。

以控制用户对数据库进行操作。

第第12章章数据库安全管理数据库安全管理12.1.1SQLServer的身份验证模式的身份验证模式身份验证模式用来确认登录身份验证模式用来确认登录SQLServer用户的登录账号和密码的正确性，验证其是用户的登录账号和密码的正确性，验证其是否具有连接否具有连接SQLServer的权限。

的权限。

在身份验证阶段，在身份验证阶段，SQLServer和和Windows是组合在一起的，因此是组合在一起的，因此SQLServer提供了两种确认用户的验证模式：

提供了两种确认用户的验证模式：

Windows验证和混合验证模式。

验证和混合验证模式。

第第12章章数据库安全管理数据库安全管理1.Windows1.Windows验证模式验证模式验证模式验证模式SQLServer2008SQLServer2008数据库系统通常运行在数据库系统通常运行在数据库系统通常运行在数据库系统通常运行在WindowsWindows服务器平台上，服务器平台上，服务器平台上，服务器平台上，WindowsWindows本身具备管理登录、验证本身具备管理登录、验证本身具备管理登录、验证本身具备管理登录、验证用户合法性的能力，因此用户合法性的能力，因此用户合法性的能力，因此用户合法性的能力，因此WindowsWindows验证模式利用这验证模式利用这验证模式利用这验证模式利用这一用户安全性和账号管理的机制，允许一用户安全性和账号管理的机制，允许一用户安全性和账号管理的机制，允许一用户安全性和账号管理的机制，允许SQLServerSQLServer使用使用使用使用WindowsWindows操作系统的安全机制来验证用户身份，操作系统的安全机制来验证用户身份，操作系统的安全机制来验证用户身份，操作系统的安全机制来验证用户身份，在这种模式下，只要用户能够通过在这种模式下，只要用户能够通过在这种模式下，只要用户能够通过在这种模式下，只要用户能够通过WindowsWindows的用户的用户的用户的用户身份验证，即可连接到身份验证，即可连接到身份验证，即可连接到身份验证，即可连接到SQLServer2008SQLServer2008服务器上，服务器上，服务器上，服务器上，而而而而SQLServerSQLServer本身不需要管理一套登录数据。

本身不需要管理一套登录数据。

本身不需要管理一套登录数据。

本身不需要管理一套登录数据。

第第12章章数据库安全管理数据库安全管理在在在在WindowsWindows验证模式下，验证模式下，验证模式下，验证模式下，SQLServerSQLServer检测当前使检测当前使检测当前使检测当前使用用用用WindowsWindows的用户账户，并在系统注册表中查找该的用户账户，并在系统注册表中查找该的用户账户，并在系统注册表中查找该的用户账户，并在系统注册表中查找该用户，以确定该用户是否有权限登录。

这种验证模用户，以确定该用户是否有权限登录。

这种验证模用户，以确定该用户是否有权限登录。

这种验证模用户，以确定该用户是否有权限登录。

这种验证模式只适用于能够有效身份验证的式只适用于能够有效身份验证的式只适用于能够有效身份验证的式只适用于能够有效身份验证的WindowsWindows操作系统，操作系统，操作系统，操作系统，在其他的操作系统下无法使用。

在其他的操作系统下无法使用。

在其他的操作系统下无法使用。

在其他的操作系统下无法使用。

SQLServerSQLServer的登录安全性直接集成到的登录安全性直接集成到的登录安全性直接集成到的登录安全性直接集成到WindowsWindows的的的的安全上，可以利用安全上，可以利用安全上，可以利用安全上，可以利用WindowsWindows的安全特性，例如安全的安全特性，例如安全的安全特性，例如安全的安全特性，例如安全验证和密码加密、审核、密码过期、最短密码长度，验证和密码加密、审核、密码过期、最短密码长度，验证和密码加密、审核、密码过期、最短密码长度，验证和密码加密、审核、密码过期、最短密码长度，以及在多次登录请求无效后锁定账号。

以及在多次登录请求无效后锁定账号。

以及在多次登录请求无效后锁定账号。

以及在多次登录请求无效后锁定账号。

第第12章章数据库安全管理数据库安全管理Windows验证模式有以下主要优点：

验证模式有以下主要优点：

（1）数据库管理员的工作可以集中在管理数数据库管理员的工作可以集中在管理数据库上，而不是管理用户账户。

对用户账户据库上，而不是管理用户账户。

对用户账户的管理可以交给的管理可以交给Windows去完成。

去完成。

（2）Windows有着更强的用户账户管理工有着更强的用户账户管理工具。

可以设置账户锁定、密码期限等。

如果具。

可以设置账户锁定、密码期限等。

如果不是通过定制来扩展不是通过定制来扩展SQLServer，SQLServer是不具备这些功能的。

是不具备这些功能的。

（3）Windows的组策略支持多个用户同时的组策略支持多个用户同时被授权访问被授权访问SQLServer。

第第12章章数据库安全管理数据库安全管理22混合验证模式混合验证模式混合验证模式混合验证模式混合身份验证模式使用户可以使用混合身份验证模式使用户可以使用混合身份验证模式使用户可以使用混合身份验证模式使用户可以使用WindowsWindows身份验身份验身份验身份验证或证或证或证或SQLServerSQLServer身份验证与身份验证与身份验证与身份验证与SQLServer2008SQLServer2008服务服务服务服务器连接。

它将区分用户账号在器连接。

它将区分用户账号在器连接。

它将区分用户账号在器连接。

它将区分用户账号在WindowsWindows操作系统下操作系统下操作系统下操作系统下是否可信，对于可信的连接用户系统，直接采用是否可信，对于可信的连接用户系统，直接采用是否可信，对于可信的连接用户系统，直接采用是否可信，对于可信的连接用户系统，直接采用WindowsWindows身份验证模式，否则，身份验证模式，否则，身份验证模式，否则，身份验证模式，否则，SQLServer2008SQLServer2008会通过账户的存在性和密码的匹配性自行进行验证。

会通过账户的存在性和密码的匹配性自行进行验证。

会通过账户的存在性和密码的匹配性自行进行验证。

会通过账户的存在性和密码的匹配性自行进行验证。

例如，允许某些非可信的例如，允许某些非可信的例如，允许某些非可信的例如，允许某些非可信的WindowsWindows用户连接用户连接用户连接用户连接SQLSQLServer2008Server2008服务器，它通过检查是否已设置服务器，它通过检查是否已设置服务器，它通过检查是否已设置服务器，它通过检查是否已设置SQLSQLServer2008Server2008登录账户以及输入的密码是否与设置的登录账户以及输入的密码是否与设置的登录账户以及输入的密码是否与设置的登录账户以及输入的密码是否与设置的相符来进行验证，如果相符来进行验证，如果相符来进行验证，如果相符来进行验证，如果SQLServer2008SQLServer2008服务器未服务器未服务器未服务器未设置登录信息，则身份验证失败，而且用户会收到设置登录信息，则身份验证失败，而且用户会收到设置登录信息，则身份验证失败，而且用户会收到设置登录信息，则身份验证失败，而且用户会收到错误提示信息。

错误提示信息。

错误提示信息。

错误提示信息。

第第12章章数据库安全管理数据库安全管理混混混混合合合合验验验验证证证证模模模模式式式式允允允允许许许许以以以以SQLSQLServerServer验验验验证证证证模模模模式式式式或或或或者者者者WindowsWindows验验验验证证证证模模模模式式式式来来来来进进进进行行行行验验验验证证证证，使使使使用用用用哪哪哪哪个个个个模模模模式式式式取取取取决决决决于于于于最最最最初初初初通通通通信信信信时时时时使使使使用用用用的的的的网网网网络络络络库库库库，如如如如果果果果一一一一个个个个用用用用户户户户使使使使用用用用TCP/IP