數據庫安全性控制.ppt

第 8 章,第8章 SQL Server 2005數據庫控制與維護,數據庫應用教程,8.2.1 SQL Server的安全機制,8.2.2 服務器登錄帳號的管理,8.2.3 數據庫用戶管理,8.2 數據庫的安全性控制,8.2.4 管理權限,8.2 數據庫的安全性管理,一個機構建立數據庫的目的是為了數據庫中的數據能夠被機構中的用戶共享訪問，但數據庫中的數據不能被破壞，重要數據（如銀行賬號的密碼）也只能由具有特殊權力的人員訪問，因此數據庫系統必須能夠預防來自機構內部或外部的人對數據的故意破壞或竊取?？梢姡踩允菙祿煸O計的重要組成部分。,所謂數據庫的安全性：是指保護數據以防止因不合法的使用而造成數據的泄密和破壞。為保證數據庫的安全性，需要采取一定的安全保護措施。,SQL Server的安全模型,增刪 改查,增刪 改查,增刪 改查,增刪 改查,增刪 改查,增刪 改查,數據庫用戶,數據庫用戶,數據庫用戶,登錄帳號,SQLserver三層安全管理,數據表1 數據表2,DB1,數據表1 數據表2,DB2,數據表1 數據表2,DB3,8.2.1 SQL Server的安全機制,SQL Server 2000的安全機制包括身份驗證和權限驗證兩個方面 。,1SQL Server的身份驗證模式,用戶要想訪問SQL Server數據庫中的數據，必須以合法身份登錄到SQL Server服務器上，SQL Server或者操作系統對用戶的身份進行驗證，這一階段稱為身份驗證階段（Authentication）。SQL Server身份驗證有兩種模式：Windows身份驗證模式和混合身份驗證模式。,在企業(yè)管理器，展開“服務器組”節(jié)點，在其中的某個SQL Server服務器上單擊鼠標右鍵，在彈出的快捷菜單中選擇“編輯SQL Server注冊屬性”菜單項，將會打開 “已注冊的SQL Server屬性”對話框。在該對話框中可以設置身份驗證模式。,登錄方式,登錄驗證有兩種方式： SQL身份驗證：適合于非windows平臺的用戶或Internet用戶， 需要提供帳戶和密碼 Windows身份驗證：適合于windows平臺用戶，不需要提供密碼，和windows集成驗證 登錄帳戶相應有兩種:：SQL 帳戶和Windows帳戶,創(chuàng)建登錄賬戶,使用SQL語句創(chuàng)建兩種模式下的登錄帳戶 添加WINDOWS登錄帳戶 添加SQL登錄帳戶,EXEC sp_grantlogin windows域名域帳戶,EXEC EXEC sp_addlogin 帳戶名，密碼,創(chuàng)建登錄賬戶,添加Windows登錄帳戶 /windows用戶為S01,SDXY表示域 如是本機，SDXY為計算機名 EXEC sp_grantlogin SDXYS01 添加SQL登錄帳戶 /登錄名為zhangsan,密碼為1234 EXEC sp_addlogin zhangsan, 1234 GO,演示：創(chuàng)建登錄帳戶,創(chuàng)建數據庫用戶,創(chuàng)建了登錄帳戶，只能登錄到SQL Server系統，但還不能訪問某個數據庫。如果希望訪問某個數據庫，必須要成為該數據庫的一個用戶。 創(chuàng)建數據庫用戶需要調用系統存儲過程sp_grantdbaccess 在empDB中添加兩個用戶,EXEC sp_grantdbaccess 登錄帳戶，數據庫用戶,USE empDB - S01DBUser為數據庫用戶名 EXEC sp_grantdbaccess SDXYS01，S01DBUser EXEC sp_grantdbaccess zhangsan，zhangsanDBUser,演示：創(chuàng)建數據庫用戶,8.2.1 SQL Server的安全機制,2權限驗證,當用戶通過身份驗證登錄到SQL Server服務器上后，還必須經過權限驗證以決定他能訪問的數據庫及對訪問的數據庫所允許執(zhí)行的操作。,為了對數據庫中的對象設置安全權限，每個數據庫都要求設置單獨的用戶賬號。因此在SQL Server中，賬號有兩種：登錄賬號和數據庫用戶賬號。,登錄賬號屬于服務器層面的，本身并不能讓用戶訪問服務器中的數據庫。登錄用戶要想訪問數據庫，應先把他加入到數據庫中使他成為數據庫用戶，即在數據庫中有一個關聯的數據庫用戶賬號，數據庫用戶賬號可以與用戶賬號同名也可以不同名。,如果登錄賬號在數據庫中不存在對應的數據庫用戶賬號，若數據庫中存在Guest賬號，則登錄用戶可以使用Guest賬號訪問數據庫。登錄賬號對應的數據庫用戶賬號的數據庫訪問權限決定了用戶在數據庫中可以進行哪些操作。,用戶獲得對數據庫的訪問權限以后，就可以存取數據庫了。,8.2.2 服務器登錄賬號的管理,1查看登錄賬號,可使用企業(yè)管理器查看登錄賬號，方法是在企業(yè)管理器中，展開相應的SQL Server服務器節(jié)點，再展開其下的“安全性”節(jié)點，單擊其下的“登錄”圖標，在右側的“內容顯示”窗口中將顯示出系統創(chuàng)建的默認登錄賬戶以及已建立的其他登錄賬戶 。,如果采用的是Windows NT Server操作系統，將會有三個默認賬號，含義如下：,BUILTINAdministrators：凡是Windows NT Server/2000中的Administrators組的賬號都允許作為SQL Server登錄賬號使用。,域名Administrator：允許Windows NT Server的Administrator賬號作為SQL Server登 錄賬號使用。,sa：SQL Server系統管理員登錄賬號，該賬號擁有最高的管理權限，可以執(zhí)行服務器范圍內的所有操作。通常SQL Server管理員也是Windows NT或Windows Server 2000的管理員。,8.2.2 服務器登錄賬號的管理,2創(chuàng)建登錄賬號,【例8-19】為SQL Server服務器創(chuàng)建一個登錄賬號，賬號名為CollegeMISAdm，密碼為tah980808，只能訪問CollegeMIS數據庫。該登錄賬號的服務器角色為Database Creator。,（1）在企業(yè)管理器中，依次展開至本地服務器（TAHSJ）下的“安全性”節(jié)點，在其下的“登錄”圖標上單擊右鍵，在出現的快捷菜單中選擇“新建登錄”菜單項，將會出現“SQL Server登錄屬性新建登錄”對話框。,（2）在該對話框“常規(guī)”頁，輸入登錄名稱為“CollegeMISAdm”，選中“SQL Server身份驗證”單選鈕并輸入密碼，在“數據庫”后面的下拉式列表框中選擇“CollegeMIS”數據庫,（3）單擊“服務器角色”頁標簽，選中服務器角色為“Database Creator”,（4）“數據庫訪問”頁設置。,（5）再次輸入確認密碼。,8.2.2 服務器登錄賬號的管理,2創(chuàng)建登錄賬號,角色(Role)是一組具有相同權限的用戶所構成的組，在SQL Server中可分為服務器角色與數據庫角色。,服務器角色是負責管理與維護SQL Server的登錄賬號組，一般應指定管理服務器的登錄賬號屬于哪個服務器角色。SQL Server在安裝過程中定義幾個固定的服務器角色,8.2.2 服務器登錄賬號的管理,3登錄賬號屬性修改,在企業(yè)管理器中，展開至SQL Server服務器的“安全性”節(jié)點，單擊其下的“登錄”圖標，在右側的“內容顯示”窗口中將顯示出所有的登錄賬號。在相應登錄賬號上單擊右鍵，在出現的快捷菜單中選擇“屬性”菜單項，將會出現 “SQL Server登錄屬性”對話框，在該對話框中可以對登錄賬號的屬性進行修改，修改完成后按“確定”按鈕即可。,例如，若要暫時禁止一個使用Windows身份驗證的登錄賬戶連接到SQL Server，只需在“SQL Server登錄屬性”對話框中，選擇“常規(guī)”頁，然后選取“拒絕訪問”復選框即可。若要暫時禁止一個使用SQL Server身份驗證的登錄賬號連接到SQL Server，只需要修改該賬戶的登錄密碼，當允許該賬戶登錄時，再把密碼改回即可。,在企業(yè)管理器中，展開至SQL Server服務器的“安全性”節(jié)點，單擊其下的“登錄”圖標，在右側的“內容顯示”窗口中將顯示出所有的登錄賬號。在相應登錄賬號上單擊右鍵，在出現的快捷菜單中選擇“刪除”菜單項（或選中相應登錄賬號，直接按Delete鍵），在出現的“確認”對話框中單擊“是”按鈕即可。,4刪除登錄賬號,8.2.3 數據庫用戶管理,SQL Server系統安裝后，master、tempdb、msdb等默認數據庫包含兩個數據庫用戶賬號：dbo和guest。任何一個登錄賬號都可以通過它的guest用戶賬號來存取相應的數據庫。但在在SQL Server中新建一個數據庫時，默認只有dbo用戶賬號而沒有guest用戶賬號。因此要讓其他的登錄賬號具有訪問新建的數據庫的權限，必須使登錄賬號關聯一個新建的數據庫的用戶賬戶。,每個登錄賬號在一個數據庫中只能有一個用戶賬號，但每個登錄賬號可以在不同的數據庫中各有一個用戶賬號。登錄賬號具有對某個數據庫的訪問權限，并不表示該登錄賬號對該數據庫具有存取的權限，如果要對數據庫對象進行插入、更新、刪除等操作，還需要設置用戶賬號的權限。,需注意的是除master和tempdb數據庫中的guest用戶賬號不能刪除外，其他數據庫中的guest用戶賬號都可以刪除。,8.2.3 數據庫用戶管理,1創(chuàng)建數據庫用戶賬號,【例8-20】為Pubs數據庫創(chuàng)建一個數據庫用戶賬號，賬號名為“CollegeMISAdmPubs”，角色為public、db_datareader和db_datawriter。,（1）在企業(yè)管理器中，展開SQL Server服務器下的“數據庫”節(jié)點，展開Pubs數據庫，在其下的“用戶”圖標上單擊右鍵，在出現的快捷菜單中選擇“新建數據庫用戶”菜單項，將會出現“數據庫用戶屬性”對話框。,（2）在“數據庫用戶屬性”對話框中的“登錄名”后面的下拉式列表框中選取“CollegeMISAdm”登錄名，用戶名自動變?yōu)椤癈ollegeMISAdm”，把該名稱改為“CollegeMISAdmPubs”（若不修改，則數據庫用戶賬號和登錄賬號名稱一致）。選取數據庫角色為public、db_datareader和db_datawriter 。,（3）單擊“確定”按鈕，即可為pubs數據庫創(chuàng)建了一個數據庫用戶，用戶名為“CollegeMISAdmPubs”。,8.2.3 數據庫用戶管理,數據庫角色：,和登錄賬號類似，用戶賬號也可以分成組，稱為數據庫角色(Database Roles)。在實際應用中，可以建立一個角色來代表機構中一類擁有相同權限的工作人員，然后給這個角色授予適當的權限。在SQL Server中，數據庫角色可分為兩種：標準角色和應用程序角色。標準角色是由數據庫用戶或其他的數據庫角色所組成的組，組中的每個數據庫用戶或角色稱為成員，應用程序角色不包括任何成員，主要用來控制應用程序存取數據庫。在創(chuàng)建一個數據庫時，系統默認創(chuàng)建10個固定的標準角色。,8.2.3 數據庫用戶管理,2設置數據庫用戶賬號的權限,在創(chuàng)建數據庫用戶賬號時,“數據庫用戶屬性”對話框中“登錄名”右側的“權限”按鈕是灰色的，表示不能在創(chuàng)建數據庫用戶賬號的同時設置其權限。但可以在創(chuàng)建數據庫用戶賬號后再通過其屬性對話框來設置權限。,例：為CollegeMIS數據庫的數據庫用戶賬號CollegeMISAdm設置用戶權限。,起始步驟：在企業(yè)管理器中，展開至CollegeMIS數據庫，單擊“用戶”圖標，在右側的內容顯示窗口中將顯示出該數據庫的所有用戶賬號。在“CollegeMISAdm”用戶賬號上單擊右鍵，在出現的快捷菜單中選擇“屬性”菜單項，將會出現 “數據庫用戶屬性”對話框。,8.2.3 數據庫用戶管理,2設置數據庫用戶賬號的權限,授予權限、禁止權限和撤消權限的含義如下。,授予權限。即允許某個用戶或角色對一個對象執(zhí)行某種操作或某種語句。,拒絕訪問。即拒絕某個用戶或角色訪問某個對象。即使該用戶或角色被授予這種權限，或者由于繼承而獲得這種權限，仍然不允許執(zhí)行相應的操作。,撤消權限。即不允許某個用戶或角色對一個對象執(zhí)行某種操作或某種語句。不允許與拒絕是不同的，不允許執(zhí)行某操作時，可以通過加入角色來獲得允許權；而拒絕執(zhí)行某操作時，就無法再通過角色來獲得允許權了。三種權限沖突時，拒絕訪問權限起作用。撤消用戶的某一權限，并不代表能夠禁止用戶使用這一權限，因為用戶可能通過其他角色繼承了這一權限。,3刪除數據庫用戶賬號,通過企業(yè)管理器來實現。,8.2.4 管理權限,權限是指用戶對數據庫中的對象具有使用和操作的權力，用戶對數據庫所能執(zhí)行的操作是由其具有的權限決定的。,1權限的種類,在SQL Server 2000中，權限分為三類：對象權限、語句權限和隱含權限。,（1）對象權限。對象權限是指用戶對數據庫中的表、視圖、存儲過程等對象的操作權限，如是否允許查詢、添加、刪除、修改數據、執(zhí)行存儲過程等。,（2）語句權限。語句權限是指用戶是否具有執(zhí)行某種語句的權力，這些語句主要包括一些數據定義語句，如創(chuàng)建數據庫、表、存儲過程等的語句。,(3)隱含權限。隱含權限是指由SQL Server預定義的服務器角色、數據庫所有者(dbo)和數據庫對象所有者所擁有的權限，隱含權限相當于內置權限，并不需要明確地授予這些權限。例如，服務器角色sysadmin的成員可以在整個服務器范圍內從事任何操作，數據庫所有者(dbo)可以對本數據庫進行任何操作。,8.2.4 管理權限,1權限管理,權限管理的主要任務是管理對象權限和語句權限，包括權限的賦予、拒絕和撤消。,角色和用戶的權限可能是通過企業(yè)管理器和授權語句授予得到的，也可能是通過角色繼承得來的。,數據庫用戶繼承它所屬角色的權限，并且可以通過企業(yè)管理器和授權語句對權限進行擴展或拒絕。但只要用戶繼承的角色或用戶本身授予的權限對某一權限是拒絕的，則該權限就是拒絕的。,如果用戶分屬于不同的角色，他擁有的權限是各個角色的并集，但對某一權限有一個是拒絕的，則用戶的該權限就是拒絕的。在權限管理中遵循拒絕優(yōu)先的原則。,8.2.4 管理權限,1權限管理,（1）使用企業(yè)管理器管理語句權限,在企業(yè)管理器中，展開“數據庫”節(jié)點，在要設置權限的數據庫（如CollegeMIS）上單擊右鍵，在出現的快捷菜單中選擇“屬性”菜單項，將會出現相應數據庫的“屬性”對話框。,單擊“權限”頁標簽，在該頁可以對各數據庫用戶或角色的語句權限進行設置。,8.2.4 管理權限,1權限管理,（2）使用企業(yè)管理器管理對象權限,在企業(yè)管理器中，展開“數據庫”節(jié)點，選中要授予權限的對象（表、視圖、存儲過程等）并在其上單擊右鍵，在出現的快捷菜單中選擇“屬性”菜單項，將會出現相應對象的“屬性”對話框。,在該對象的“屬性”對話框中，一般均有一個“權限”按鈕，單擊它在出現的對話框中可以對各數據庫用戶或角色的對象權限進行設置。,8.3.1 數據庫備份概述,8.3.2 數據庫還原模式,8.3.3 備份設備管理,8.3 數據庫的備份與還原,8.3.4 數據庫備份與還原操作,8.3 數據庫的備份與還原,數據庫中的數據應該是可靠的、正確的，但計算機系統的故障（如：硬件故障、軟件故障、網絡故障、進程故障和系統故障等）是不可避免的，這些故障的出現將影響數據庫系統的正常運行，影響數據庫中數據的正確性，甚至破壞數據庫，使數據庫中的數據全部或部分丟失。因此需對數據庫進行備份，以便在發(fā)生故障時能夠利用數據庫備份對數據庫進行還原。,8.3.1 數據庫備份概述,1備份內容,在SQL Server中數據庫需備份的內容可分為系統數據庫、用戶數據庫和事務日志3部分。,系統數據庫主要包括master、msdb、distribution和model數據庫，它們記錄了重要的系統信息，一旦損壞就可能使 SQL Server 2000系統無法正常運行，必須完全備份。在便在系統發(fā)生故障時能夠利用它們的備份還原整個系統。但不可能也沒有必要對系統數據庫tempdb進行備份 。,用戶數據庫是機構重要的信息資源，根據其重要性可分為關鍵數據和非關鍵數據。對于關鍵數據，一旦損壞，不易甚至不能重新建立，必須進行完全備份。,事務日志記錄了用戶對數據的各種事務操作，平時系統會自動管理和維護所有的數據庫事務日志文件。相對于數據庫備份，事務日志備份所需要的時間較少，但還原需要的時間比較長。,注意：在SQL Server 2000中，固定服務器角色sysadmin和固定數據庫角色db_owner、db_backupoperator可以做備份操作，但可以通過授權允許其他角色執(zhí)行數據庫備份操作。,8.3.1 數據庫備份概述,2備份設備,數據庫備份前，必須選擇備份設備。備份設備是用來存儲備份數據的存儲介質，可以是硬盤、磁帶或命名管道（邏輯通道）。SQL Server允許將本地主機硬盤和遠程主機的硬盤作為備份設備，備份設備在硬盤中是以文件的方式存儲的。SQL Server只允許使用本地主機的磁帶機作為備份設備而不允許使用遠程主機上的磁帶機作為備份設備。,SQL Server使用物理設備名稱或邏輯設備名稱來標識備份設備。物理設備名稱是操作系統用來標識備份設備的名稱，邏輯設備名稱是用來標識物理備份設備的別名或公用名稱，邏輯設備名稱有助于記憶和書寫 。,使用邏輯設備名稱標識的備份設備稱為永久備份設備，其名稱永久地存儲在SQL Server的系統設備表中，可以多次使用。使用物理設備名稱標識的備份設備稱為臨時備份設備，其名稱沒有記錄在系統設備表中，只能使用一次。,8.3.1 數據庫備份概述,3備份時機,對于系統數據庫，只要執(zhí)行某些語句或存儲過程導致SQL Server對系統數據庫進行了修改，就需要備份。,對于用戶數據庫，如果用戶或程序對之執(zhí)行了添加數據、修改數據、刪除數據、創(chuàng)建索引等操作，則應該對用戶數據庫進行備份。如果清除了事務日志，也應該備份數據庫。,8.3.1 數據庫備份概述,4備份類型,SQL Server 2000支持4種基本類型的備份：完全備份(Full Backup)、事務日志備份(Transaction Log Backup)、差異備份(Differential Database Backup)以及文件和文件組備份(File and File Group Backup)。,（1）完全備份。完全備份將備份整個數據庫，包括用戶表、系統表、索引、視圖和存儲過程等所有數據庫對象。適用于數據更新緩慢的數據庫。由于這種類型的備份不僅速度較慢，而且將占用大量磁盤空間，所以通常將其安排在晚間整個數據庫系統的事務運行數目相對較少時進行，以避免對用戶的影響和提高數據庫備份的速度。,（2）事務日志備份。事務日志備份是指對數據庫發(fā)生的事務進行備份，包括從上次進行事務日志備份、差異備份和完全備份之后，所有已經完成的事務。事務日志備份通常用在數據庫變化較為頻繁或不允許在最近一次數據庫備份之后發(fā)生數據丟失或損壞的情況。,事務日志備份需要的磁盤空間和備份時間都比數據庫備份少得多，正是由于這個優(yōu)點，所以在備份時常采用這樣的策略，即每天進行一次數據庫備份，而以一個或幾個小時的頻率備份事務日志。這樣就可以將數據庫還原到任意一個創(chuàng)建事務日志備份的時刻。,使用事務日志對數據庫進行還原操作比較麻煩，它不但需要有一個數據庫的完全備份，而且對事務日志備份還需要按一定的順序進行還原。,（3）差異備份。差異備份只記錄自上次完全備份后發(fā)生更改的數據，差異備份一般會比完全備份占用更少的空間。與完全備份相比，差異備份的數據量較小，備份和還原所用的時間較短。通過增加差異備份的備份次數，可以降低丟失數據的風險，但是它無法像事務日志備份那樣提供到失敗點的無數據損失備份。,在實際應用中一般經常綜合使用完全備份、差異備份和事務日志備份，以最大限度地減少數據庫還原時間以及降低數據損失數量。例如對于一個數據經常變化的數據庫，可采用以下的備份方案：,有規(guī)律地進行數據庫的完全備份，例如每天夜里零點進行備份。,較小的時間間隔進行差異備份，例如每個小時進行一次。,在相臨的兩次差異備份之間進行事務日志備份，可以每5分鐘或10分鐘進行一次。,當數據庫發(fā)生故障時，若想數據庫能還原到數據庫失敗的那一時刻，這時應該采用下面的方法：,如果能夠訪問數據庫事務日志文件，則應備份當前正處于活動狀態(tài)的事務日志。,還原最近一次完全備份。,還原最近一次差異備份。,按順序還原自差異備份以來進行的事務日志備份。,注意：若數據庫失敗時，無法備份當前數據庫正在進行的事務，則只能把數據庫還原到最近一次事務日志備份的狀態(tài)，而不是數據庫的失敗點。此時可通過其它的手段來使數據庫還原到失敗點，如每筆業(yè)務打印的單據或填寫的表格等。,（4）文件和文件組備份。當數據庫非常龐大時，可執(zhí)行數據庫文件或文件組備份。這種備份策略使用戶只還原已損壞的文件或文件組，而不用還原數據庫的其余部分。文件和文件組備份通常和事務日志備份聯合起來使用，文件和文件組備份后還要進行事務日志備份，以反映文件或文件組備份后的數據變化。,8.3.2 數據庫還原模式,數據庫還原是和數據庫備份相對應的操作，它是將數據庫備份重新加載到系統中的過程。數據庫還原可以創(chuàng)建備份完成時數據庫中存在的相關文件，但是備份以后的所有數據庫修改都將丟失。,SQL Server提供了3種數據庫還原模式：簡單還原（Simple Recovery）、完全還原（Full Recovery）、大容量日志記錄還原（Bulk-Logged Recovery）。,8.3.2 數據庫還原模式,1. 簡單還原模式,簡單還原模式可以將數據庫還原到上次備份處，但是無法將數據庫還原到故障點或待定的即時點。它常用于還原最新的數據庫的完全備份和差