数据库系统17-用户和安全性管理.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第 17 讲,用户和安全性管理,一、,SQL Server,安全机制,1 安全性概述,2,安全机制,的四个层次,二、登录管理,1 用企业管理器管理登录,2 用,T-SQL,命令管理登录,三、用户、角色和权限管理,1 用户管理,2 角色管理,3 权限管理,一、,SQL Server,安全机制,1 安全性概述,在开发数据库的时候，经常会担心数据库的,安全性.虽然不必要在数据库设计还未定型时就,开始应用安全性，但是对于数据库项目来说，早,一些开发和实施安全性计划比晚一些要好得多.,与数据库项目的所有其它方面一样，必须对,安全性加以仔细地设计、实施和测试.安全性会,影响到一些过程的执行，在开发项目的代码时必,须对它加以考虑.,对于较小的组织来说，使用具有较少的角色,并将,IT,用户作为,sysadmin,的简单安全计划就,足够了.较大的组织-军队、银行或者研究机构,-将需要更为复杂的安全性计划，设计它时需要,像设计逻辑数据库模式一样仔细.,SQL Server,的安全性模型是经过精心设计的,如果能够全面地理解它，就会发现它既合理又灵,活.其中，保证数据库安全性的主要手段是创建,用户和角色，然后指派权限；而安全策略的主要,工作则是确定数据访问的权利和责任，然后实施,安全计划.,数据库管理系统尽管在企业的,IT,架构中,起着举足轻重的作用，但仍然还是一个运行在,某一特定操作系统平台下的应用软件.这样,SQL Server,的安全机制可以分为如下四个层,次：,（1）客户机操作系统的安全性,（2）,SQL Server,的登录安全性,（3）数据库的使用安全性,（4）数据库对象的使用安全性,每个安全层次就好像一道门，如果门没有,上锁或有开门的钥匙，用户就可通过这道门.,2,安全机制,的四个层次,（1）客户机操作系统的安全性,在用户要使用客户计算机通过网络访问,SQL Server,服务器时，首先要获得客户计算,机操作系统的使用权.即，用户至少要知道客,户端计算机的用户名和密码，以能够使用它.,一般地，在已有网络互联的前提下，用户,要登录的是客户机，然后再通过客户机上安装,的,SQL Server,客户端对服务器端进行访问.,定义操作系统安全性是操作系统管理员和,网络管理员的任务.,SQL Server,采用了集成,Windows,系统网络安全性的机制.,（2）,SQL Server,服务器的安全性,SQL Server,的服务器级安全性建立在控制,服务器登录帐号和口令的基础上.,SQL Server,采用了标准,SQL Server,登录,和集成,Windows,系统登录两种方式.,一旦服务器了解和识别了用户，就可以通,过为他授予固定服务器角色使其具有特定的服,务器管理权限.,如果用户属于,sysadmin,角色，他就具有,了全面访问所有服务器功能、数据库和服务器,上的对象的权限.,（3）数据库的安全性,在用户通过,SQL Server,服务器的安全性,检验以后，将直接面对不同的数据库入口.这,是用户将要接受的第三次安全性检验.,在建立用户登录帐号信息时,SQL Server,会提示用户选择默认的数据库，以后每次登录,后会自动转到这个数据库上.系统缺省的默认,数据库是,master,.最好将默认数据库设置在,具有实际操作意义的数据库上.,在默认情况下，只有数据库的拥有者才可,以访问该数据库的对象.数据库的拥有者可以,分配访问权给别的用户，以便让别的用户也拥,有针对该数据库的访问权利.在,SQL Server,中并不是所有的权利都可以自由转让和分配的.,有一个特殊情况，那就是,Guest,用户.在,安装系统时,Guest,用户加入到,master,、,pubs,、,tempdb,和,Northwind,数据库中，这个,用户帐号主要供那些没有当前,SQL Server,数,据库用户的登录者使用，使他们能够以匿名访,问的方式察看该用户所拥有的数据库中的数据.,（4）数据库对象的安全性,数据库对象的安全性是核查用户权限的最,后一个安全等级.在创建数据库对象的时候，,SQL Server,将自动把对象的拥有权赋予该对象,的创建者.对象的拥有者可以实现对该对象的,完全控制.,在默认情况下，只有数据库的拥有者才可,以在该数据库下进行操作.当一个非数据库的,拥有者的用户想访问数据库里的对象时，必须,事先由数据库的拥有者赋予对该用户对指定对,象的指定操作.,例如，一个用户想访问,mydb,数据库里的,company,表中的信息.则他必须在首先成为数,据库合法用户的前提下，获得由,mydb,数据库,拥有者分配的针对,company,表的访问权限.,一般来说，为了减少管理的开销，在对象,级安全管理上应该在大多数场合赋予数据库用,户以广泛的权限，然后再针对实际情况在某些,敏感的数据上实施具体的访问权限限制.,虽然整个认证过程十分复杂，但是，数据,库管理员管理服务器时，却是一件十分轻松的,事.,二、登录管理,1 用企业管理器管理登录,使用企业管理器可以设置,SQL Server,认证,模式、创建登录帐号、修改和删除登陆帐号.,设置,SQL Server,认证模式,（1）启动企业管理器，选择要设置的服务器;,（2）单击右键，选择,属性,;,（3）在相应的对话框中，选择,安全性,;,（4）进行各项设置;,（5）单击,确定,按钮，即可完成设置工作.,演示,创建登录帐号,（1）启动企业管理器，单击登录服务器左边,的“,+,”图标;,（2）单击,安全性,左边的“,+,”图标;,（3）右键单击,登录,图标,选择,新建登,录,;,（4）进行各项设置;,（5）单击,确定,按钮，即可完成设置工作.,演示,修改和删除登陆帐号的操作类似.,2 用,T-SQL,命令管理登录,对于一些十分熟悉,SQL Server,的编程人,员/数据库管理人员来说，通过查询分析器管理,SQL Server,更方便和快捷.使用查询分析器的,前提是必须熟练掌握相关的,T-SQL,命令.,管理登录的主要,T-SQL,命令如下：,sp_addlogin,创建登录帐号,sp_droplogin,删除登录帐号,sp_password,修改登录用户的密码,sp_defaultdb,修改默认数据库,用,EXEC,调用它们，有的还需要参数.,例如，创建帐户,zhx,，密码：,wanghan,默认数据库为,mydb1：,EXEC,sp_addlogin,zhx,wanghan,mydb1,GO,完成,SQL Server,安装后，系统就建立了,一个特殊帐户,sa,.它拥有服务器和所有的数据,库，因此有最高的管理权限，可以执行服务器,范围内的所有操作.,刚安装完时，,sa,帐户没有密码，这是非,常危险的.要做的第一件事,就是设,sa,的密码.,三、用户、角色和权限管理,1 用户管理,使用企业管理器可以创建数据库用户、查看,用户的权限设置、删除数据库用户（略）.,创建数据库用户,（1）启动企业管理器，单击登录服务器左边,的“,+,”图标，展开,数据库,选项夹；,（2）单击要创建用户帐号的那个,数据库,左边的“,+,”图标;,（3）右键单击,用户,图标,选择,新建数据,库用户,;,（4）进行各项设置;,（5）单击,确定,按钮，即可完成设置工作.,演示,查看用户的权限设置,数据库管理员在日常维护过程中，应经常,检查数据库用户的信息，防止某些非法用户通,过各种方法解密数据库服务器，通过非法创建,数据库用户的方式越权访问数据库的内容.,在,SQL Server,中,利用企业管理器可以,十分直观、方便地查看某数据库中所有的数据,库用户权限设置，使用查询分析器，可以查看,出更多数据库用户设置相关的内容.,利用企业管理器查看用户权限的方法与前,面讲的相似,不再叙述.,2 角色管理,企业管理器可管理服务器角色和数据库角色.,管理服务器角色,对于服务器角色来讲，数据库管理员能做的,操作只有两个：添加或删除服务器角色中的成员,而不能删除服务器预定义的角色（8种）.,（1）启动企业管理器，登录到指定的服务器;,（2）展开,安全性,，单击,服务器角色,;,（3）右键单击相应的服务器角色，在弹出的,菜单中，选择,属性,;,（4）在相应的对话框中，进行设置.,演示,数据库角色有两种：固定数据库角色和用户,自定义的数据库角色.,两种数据库角色的管理都可以用,企业管理器,进行.,SQL Server,中有一个特殊的数据库角色，就,是,public,.所有的数据库用户都属于,public,角色.,它的特点是：,(1)替数据库用户捕获所有的数据库默认权限.,(2)不能将,public,角色分配.,(3),public,角色存在于每一个数据库中.,(4)不能将,public,角色删除.,在所有数据库用户中，特殊用户,dbo,具有最,高的管理权限.作为数据库的拥有者，它也是所,有数据库对象的拥有者，可以在数据库范围内执,行一切操作.,固定的服务器角色,sysadmin,的用户都对应,数据库用户,dbo,，所有由,sysadmin,成员创建的,数据库对象都自动将拥有者设置为,dbo,.,3 权限管理,企业管理器可以管理权限.,注意,：,权限只能授予本数据库的用户，或者获准访,问本数据库的别的数据库的用户.,如果将权限授予了,public,角色，则所有的数,据库里的所有的用户都将默认地获得了该项权限.,如果将权限授予了,guest,用户，则所有可连,接上服务器的用户都将默认地获得了该项权限.,教学调查,1数据库课程的重要性？,2 你认为本课程如何教学会更好？,3 你认为应用数学专业课程设置应怎样改进？,。