my数据库安全性知识总结与习题.pdf
3页
数据库安全管理可采用的方法如:存取加密;使用用户身份验证,限制操作权、提高系统的可靠性和数据备份等一、首先先了解一下计算机系统的安全控制模型:我们只讨论其中的与数据库相关的身份验证和用户权限管理等技术;二、接着了解数据库权限的种类及用户的分类(1)权限的种类: 一类是维护数据库管理系统的权限,一类是操作数据库中对象和数据的权限,这类权限又分两种:一种是操作数据库对象的权限,包括创建、删除和修改数据库对象;另一种是操作数据库数据的权限,包括对表、视图数据的增、删、改、查操作 2)数据库用户分类:①数据库系统管理员:具有数据库中全部权限;②数据库对象拥有者: 创建数据库对象的用户,对其拥有的对象具有一切权限;③普通用户:具有增删改查数据库数据的权限;⊙为简化对用户操作权限的管理,可以将具有相同权限的一组用户组织在一起,这组用户在数据库中称为“角色”三、 SQL Server 的安全控制一个用户访问SQL Server 数据库中数据须经过三个认证过程:(1)身份验证:验证用户是否具有连接到SQL Server 数据库服务器的资格,即验证该用户是否具有连接到数据库服务器的“连接权 ” 2)访问权:验证用户是否是数据库的合法用户;(3)操作权:验证用户是否具有操作数据库中数据或对象的许可权。
操作权又分为三种:对象权限、语句权限和隐含权限1.连接权——首先来看SQL Server 的身份验证SQL Server 的用户分为两种:windows 授权用户(来自于windows 的用户和组)和SQL 授权用户( SQL 用户) ;SQL Server 为不同的用户提供不同的安全认证模式:(1)windows 身份验证:用户必须先登录到windows 中, SQL Server 通过 windows来获得用户信息,并对用户名和密码进行重新验证;对windows98 等个人操作系统不能使用windows 身份验证,只能使用混合身份验证;(2)混合验证模式:表示SQL Server 接受 Windows 授权用户和SQL 授权用户不是 Windows 操作系统的用户登录SQL Server 时应该选择该模式实践一:设置验证模式(在企业管理器中服务器/属性)实践二:登录帐户管理(建立、修改、删除,在企业管理器中安全性/登录中设置)2.访问权——登录后需要对数据库具有访问权,才能够访问某个数据库用户DBAP DBMS 操作系统数据库身份验证操作权控制文件操作控制加 密 存 储与冗余实践三:设置访问权(新建登录时设置或建立数据库用户)。
3.操作权——操作数据库对象的权限(一) SQL Server 权限的种类(1)对象权限:用户对数据库中的表、视图等对象的操作权,相当于数据操作语言 (DML )的语句权限,如增删改查等2)语句权限:相当于数据定义语言(DDL )的语句权限,这种权限限制是否允许执行 create table、create view 等与创建数据库对象有关的操作3)隐含权限:相当于内置权限,指由SQL Server 预定义的服务器角色、数据库角色、数据库拥有者和数据库对象拥有者等所具有的权限,不需要明确授予二)权限的管理(1)授予权限:允许用户或角色具有某种操作权;(2)收回权限:不允许用户或角色具有某种操作权,或者收回曾经授予的权限;(3)拒绝访问:拒绝用户或角色具有某种操作权;即使用户或角色由于继承而获得这种操作权,也不允许该用户执行相应操作实践四:管理对象权限(企业管理器/数据库 /某用户 /所有任务 /管理权限)管理语句权限(企业管理器/数据库 /属性 /权限)实践五: sa 授予 userA 对 book 表的 select 权限, userA 可以进行查询, 但是当系统管理员拒绝了userA 对 book 表的 select权限,则userA 无法进行查询。
三)使用Transact-SQL 语句管理对象权限和语句权限(1)GRANT 语句:用于授权授予用户对象权限:GRANT 对象权限名ON 表名TO 数据库用户名授予用户对象权限:GRANT 语句权限名TO 数据库用户名(2)REVOKE 语句:用于收回权限收回用户对象权限:REVOKE 对象权限名ON 表名FROM 数据库用户名收回用户对象权限:REVOKE 语句权限名FROM 数据库用户名(3)DENY 语句:用于拒绝权限拒绝用户对象权限:DENY 对象权限名ON 表名TO 数据库用户名拒绝用户对象权限:DENY 语句权限名TO 数据库用户名四、角色——一组具有相同权限的用户称为角色习题:1.今有两个关系模式:职工(职工号,姓名,年龄,职务,工资,部门号)部门(部门号,名称,经理名,地址,号)请用 SQL 的 GRANT 和 REVOKE 语句(加上视图机制)完成以下授权定义或存取控制功能:1)用户王明对两个表有SELECT 权力;2)用户李勇对两个表有INSERT 和 DELETE 权力;3)每个职工只对自己的记录有SELECT 权力;4)用户刘星对职工表有SELECT 权力,对工资字段具有更新权力;5)用户张心具有修改这两张表的结构和权力;6)用户周平具有对两个表所有权力(读、插、改、删数据),并具有给其它用户授权的权力;7)用户杨兰具有从每个部门职工中SELECT 最高工资、最低工资,平均工资的权力,他不能查看每个人的工资。
8)撤销以上各用户所授予的权力2. 在将一个数据库中的数据导入到另一个数据库中已建立好的表中时,如果在选择数据源时使用用户A操作,在选择目的时使用B操作,那么A和 B分别需要什么权限?。
