數(shù)據(jù)庫課件第10章安全性

第8章安全性安全性概述用戶管理和角色管理權(quán)限管理其他安全問題安全性措施的層次物理層，重要的計(jì)算機(jī)系統(tǒng)必須在物理上受到保護(hù)，以防止入侵者強(qiáng)行進(jìn)入或暗中潛入。人員層，對(duì)用戶的授權(quán)要嚴(yán)格掌握，以減少授權(quán)用戶瀆職、受賄，從而為入侵者提供訪問的機(jī)會(huì)。操作系統(tǒng)層，要進(jìn)入數(shù)據(jù)庫系統(tǒng)，首先要經(jīng)過操作系統(tǒng)，所以如果操作系統(tǒng)的安全性能差，也會(huì)對(duì)數(shù)據(jù)庫造成威脅。網(wǎng)絡(luò)層，由于幾乎所有網(wǎng)絡(luò)上的數(shù)據(jù)庫系統(tǒng)都允許通過終端或網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問，所以網(wǎng)絡(luò)的安全和操作系統(tǒng)的安全一樣重要，網(wǎng)絡(luò)安全了，無疑會(huì)對(duì)數(shù)據(jù)庫的安全提供一個(gè)保障。數(shù)據(jù)庫系統(tǒng)層，數(shù)據(jù)庫系統(tǒng)應(yīng)該有完善的訪問控制機(jī)制，允許查詢和允許修改有嚴(yán)格的界限，盡量保證不出現(xiàn)越權(quán)的操作。數(shù)據(jù)庫管理系統(tǒng)的安全功能安全性控制是數(shù)據(jù)庫管理員（或系統(tǒng)管理員）的一個(gè)重要任務(wù)，他要充分利用數(shù)據(jù)庫管理系統(tǒng)的安全功能，保證數(shù)據(jù)庫和數(shù)據(jù)庫中數(shù)據(jù)的安全。安全系統(tǒng)的核心問題是身份識(shí)別。幾個(gè)概念用戶權(quán)限用戶組角色自主存取控制自主存取控制就是由用戶（如數(shù)據(jù)庫管理員）自主控制對(duì)數(shù)據(jù)庫對(duì)象的操作權(quán)限，哪些用戶可以對(duì)哪些對(duì)象、進(jìn)行哪些操作，完全取決于用戶之間的授權(quán)。任何用戶只要需要，就有可能獲得對(duì)任何對(duì)象的操作權(quán)限。這種存取控制方式非常靈活，但有時(shí)也容易失控。目前大多數(shù)數(shù)據(jù)庫管理系統(tǒng)都支持的是自主存取控制方式。強(qiáng)制存取控制強(qiáng)制存取控制的思路是，為每一個(gè)數(shù)據(jù)庫對(duì)象標(biāo)以一定的密級(jí)（Classificationlevel），對(duì)每一個(gè)用戶都確定一個(gè)許可級(jí)別（Clearancelevel）。如密級(jí)可以分為絕密、機(jī)密、保密、秘密、公開等若干級(jí)別；而用戶可以劃分為一級(jí)用戶（可以操作所有數(shù)據(jù)）、二級(jí)用戶（可以操作除絕密以外的所有數(shù)據(jù)）、三級(jí)用戶等。強(qiáng)制存取控制本質(zhì)上具有分層的特點(diǎn)，通常具有靜態(tài)的、嚴(yán)格的分層結(jié)構(gòu)，與現(xiàn)實(shí)世界的層次管理也相吻合。這種強(qiáng)制存取控制特別適合層次嚴(yán)明的軍方和政府等數(shù)據(jù)管理。SQLServer的身份驗(yàn)證模式SQLServer提供了三種身份驗(yàn)證模式或安全管理模式，即標(biāo)準(zhǔn)模式、集成模式和混合模式。在WindowsNT或Windows2000上使用集成模式或混合模式，在Windows98（或Millennium）上使用標(biāo)準(zhǔn)模式。標(biāo)準(zhǔn)身份驗(yàn)證模式實(shí)際上，一般的數(shù)據(jù)庫管理系統(tǒng)都只提供標(biāo)準(zhǔn)身份驗(yàn)證模式，在這種模式下，由數(shù)據(jù)庫管理系統(tǒng)獨(dú)立來管理自己的數(shù)據(jù)庫安全。數(shù)據(jù)庫管理系統(tǒng)把用戶登錄的ID號(hào)和口令存儲(chǔ)在特定的系統(tǒng)表中，當(dāng)用戶試圖登錄到數(shù)據(jù)庫系統(tǒng)時(shí)，數(shù)據(jù)庫管理系統(tǒng)查詢有效的登錄ID和口令，以決定是否允許用戶登錄。一般的數(shù)據(jù)庫管理系統(tǒng)只有標(biāo)準(zhǔn)登錄模式，所以很多SQLServer的用戶也習(xí)慣使用標(biāo)準(zhǔn)身份驗(yàn)證模式，因?yàn)樗麄兪煜さ卿浐兔艽a功能。對(duì)于連接到Windows客戶端以外的其它客戶端，可能也必須使用標(biāo)準(zhǔn)身份驗(yàn)證。集成身份驗(yàn)證模式集成身份驗(yàn)證模式也稱為Windows身份驗(yàn)證模式，用戶通過WindowsNT或Windows2000（以下簡(jiǎn)稱Windows）的身份驗(yàn)證后則自動(dòng)進(jìn)行SQLServer身份驗(yàn)證。即當(dāng)用戶通過Windows用戶賬戶進(jìn)行連接時(shí)，SQLServer通過回叫Windows以獲得信息，重新驗(yàn)證賬戶名和密碼?；旌仙矸蒡?yàn)證模式混合模式使用戶得以使用Windows身份驗(yàn)證或SQLServer身份驗(yàn)證與SQLServer實(shí)例連接?；旌仙矸蒡?yàn)證模式的登錄決策過程用戶管理和角色管理用戶的分類登錄用戶和數(shù)據(jù)庫用戶用戶管理角色管理SQLServer的預(yù)定義角色用戶的分類系統(tǒng)管理員用戶數(shù)據(jù)庫管理員用戶數(shù)據(jù)庫對(duì)象用戶數(shù)據(jù)庫訪問用戶用戶管理登錄用戶的管理系統(tǒng)管理員的工作建立新的登錄用戶刪除登錄用戶…數(shù)據(jù)庫用戶的管理數(shù)據(jù)庫管理員的工作授權(quán)其他登錄用戶為數(shù)據(jù)庫的用戶取消某個(gè)登錄用戶為數(shù)據(jù)庫的用戶建立新的登錄用戶新建登錄用戶：開始企業(yè)管理器展開服務(wù)器組security右擊Logins新建登錄登錄名和密碼選擇默認(rèn)的數(shù)據(jù)庫單擊服務(wù)器角色bulkadmin數(shù)據(jù)庫訪問選擇可以訪問的數(shù)據(jù)庫刪除登錄用戶：固定服務(wù)器角色及具體權(quán)限Sysadmin全稱SystemAdministrators,可以在SQLServer中執(zhí)行任何活動(dòng)。Serveradmin全稱serveradministrators,可以設(shè)置服務(wù)器范圍的配置選項(xiàng)，關(guān)閉服務(wù)器。Setupadmin全稱setupadministrators,可以管理鏈接服務(wù)器和啟動(dòng)過程。Securityadmin全稱securityadministrators,可以管理登錄和創(chuàng)建數(shù)據(jù)庫的權(quán)限，還可以讀取錯(cuò)誤日志和更改密碼。Processadmin全稱processadministrators,可以管理在SQLserver中運(yùn)行的進(jìn)程Dbcreator全稱databasecreators,可以創(chuàng)建、更改和除去數(shù)據(jù)庫。Diskadmin全稱diskadministrators,可以管理磁盤文件。Bulkadmin全稱bulkinsertadministrators,可以執(zhí)行bulkinsert(大容量插入)語句。數(shù)據(jù)庫的用戶若要訪問SQLServer,首先必須要有一個(gè)適當(dāng)?shù)牡卿泿ぬ?hào)和密碼來登錄到SQLServer，用戶登錄后，并不意味著就能自動(dòng)訪問由SQLServer管理的數(shù)據(jù)庫中的數(shù)據(jù)了注意：登錄帳號(hào)具有對(duì)某個(gè)數(shù)據(jù)庫的訪問權(quán)限，并不代表該登錄帳號(hào)對(duì)該數(shù)據(jù)庫具有存取權(quán)限，如果要對(duì)數(shù)據(jù)庫中的對(duì)象進(jìn)行插入、更新等操作，還需要設(shè)置用戶帳號(hào)的權(quán)限從當(dāng)前數(shù)據(jù)庫中刪除用戶單擊所要操作的數(shù)據(jù)庫用戶右擊要?jiǎng)h除的用戶角色管理用戶組和角色定義角色為用戶指定角色取消用戶的角色刪除角色定義角色sp_addrole[@rolename=]role[,[@ownername=]owner]例：建立一個(gè)新的角色manager;Sp_addrolemanager為用戶指定角色sp_addrolemember[@rolename=]role,

[@membername=]user_account例如:指定用戶zhang為角色manager的成員；Sp_addrolemembermanager,zhang取消用戶的角色sp_droprolemember[@rolename=]role,

[@membername=]user_account例如：取消用戶zhang的manager角色；Sp_droprolemembermanager,zhang刪除角色sp_droprole[@rolename=]role例如：刪除角色managerSp_droprolemanagerSQLServer的預(yù)定義角色public角色系統(tǒng)預(yù)定義角色使用sp_helpsrvrole獲得各種系統(tǒng)管理員角色的描述使用sp_srvrolepermission得到每種系統(tǒng)管理員角色的特定權(quán)限（可以執(zhí)行的命令、系統(tǒng)存儲(chǔ)過程或說明）數(shù)據(jù)庫預(yù)定義角色使用sp_helpdbfixedrole獲得數(shù)據(jù)庫上各種預(yù)定義角色的描述使用sp_dbfixedrolepermission得到每種數(shù)據(jù)庫預(yù)定義角色的特定權(quán)限（可以執(zhí)行的命令、系統(tǒng)存儲(chǔ)過程或說明）public角色public角色是一個(gè)特殊的數(shù)據(jù)庫角色，每個(gè)數(shù)據(jù)庫用戶都是該角色的成員。public角色具有如下特點(diǎn)：public角色自動(dòng)獲得數(shù)據(jù)庫中用戶的所有默認(rèn)權(quán)限；不需要、也無法將用戶指派給public角色，因?yàn)槟J(rèn)情況下所有用戶都屬于該角色；每個(gè)數(shù)據(jù)庫（包括所有系統(tǒng)數(shù)據(jù)庫和所有用戶數(shù)據(jù)庫）都有public角色；不可以刪除public角色。系統(tǒng)預(yù)定義角色sysadmin：具有系統(tǒng)管理員全部權(quán)限的角色。serveradmin：負(fù)責(zé)配置數(shù)據(jù)庫服務(wù)器的設(shè)置。setupadmin：負(fù)責(zé)添加和刪除鏈接的服務(wù)器。securityadmin：負(fù)責(zé)管理服務(wù)器的登錄。processadmin：負(fù)責(zé)管理在SQLServer實(shí)例中運(yùn)行的進(jìn)程。dbcreator：負(fù)責(zé)創(chuàng)建和改變數(shù)據(jù)庫。bulkadmin：可以執(zhí)行BULKINSERT語句（數(shù)據(jù)庫數(shù)據(jù)的裝載）。數(shù)據(jù)庫預(yù)定義角色db_owner：在數(shù)據(jù)庫中有全部權(quán)限，即具有數(shù)據(jù)庫管理員全部權(quán)限的角色。db_accessadmin：負(fù)責(zé)數(shù)據(jù)庫用戶的管理。db_securityadmin：負(fù)責(zé)數(shù)據(jù)庫的安全管理，如負(fù)責(zé)權(quán)限管理、角色和角色成員資格管理等。db_ddladmin：主要負(fù)責(zé)數(shù)據(jù)庫的完整性和一致性檢查及管理。db_backupoperator：主要負(fù)責(zé)數(shù)據(jù)庫的備份。db_datareader：可以查詢數(shù)據(jù)庫中任何用戶表中的所有數(shù)據(jù)。db_datawriter：可以更改數(shù)據(jù)庫中任何用戶表中的所有數(shù)據(jù)。db_denydatareader：不能查詢數(shù)據(jù)庫中任何用戶表中的任何數(shù)據(jù)。db_denydatawriter：不能更改數(shù)據(jù)庫中任何用戶表中的任何數(shù)據(jù)。權(quán)限管理授予權(quán)限授予語句權(quán)限授予對(duì)象權(quán)限查詢授權(quán)收回權(quán)限禁止權(quán)限角色與存取控制授予語句權(quán)限GRANT{ALL|statement_list}TOname_liststatement_list給出授權(quán)的語句列表，可以是：BACKUPDATABASEBACKUPLOGCREATEDATABASECREATEDEFAULT

CREATEFUNCTIONCREATEPROCEDURECREATERULECREATETABLECREATEVIEW系統(tǒng)管理員授予用戶名為zhang的用戶Createdatabase權(quán)限Grantcreatedatabasetozhang數(shù)據(jù)庫管理員zhang將創(chuàng)建表和創(chuàng)建視圖的權(quán)限授予用戶名為wang的用戶Grantcreatetable,createviewtowang授予對(duì)象權(quán)限處理數(shù)據(jù)或執(zhí)行存儲(chǔ)過程時(shí)需要有相應(yīng)對(duì)象的操作或執(zhí)行權(quán)限，這些權(quán)限可以劃分為：SELECT、INSERT、UPDATE和DELETE語句權(quán)限，它們可以應(yīng)用到整個(gè)表或視圖上。SELECT和UPDATE語句權(quán)限，它們可以有選擇性地應(yīng)用到表或視圖中的單個(gè)列上。SELECT權(quán)限，它們可以應(yīng)用到用戶定義函數(shù)。INSERT和DELETE語句權(quán)限，它們會(huì)影響整行，因此只可以應(yīng)用到表或視圖中，而不能應(yīng)用到單個(gè)列上。EXECUTE語句權(quán)限，即執(zhí)行存儲(chǔ)過程和函數(shù)的權(quán)限。授予對(duì)象權(quán)限GRANT

{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}

|ON{table|view}[(column_list)]

|ONstored_procedure

|ONuser_defined_function}TOname_list

[WITHGRANTOPTION][AS{group|role}]例1：將對(duì)student表的查詢權(quán)限授予用戶名為xu,li,wangGrantselectonstudenttoxu,li,wang例2：將對(duì)student表的插入和刪除的權(quán)限授予用戶名為wang的用戶Grantinsert,deleteonstudenttowang例3：將對(duì)student表的age和grade列的修改權(quán)限授予用戶名為wang的用戶Grantupdateonstudent(age,grade)towang例4：將執(zhí)行存儲(chǔ)過程sp_upd_student的權(quán)限授予用戶名為wang的用戶。Grantexecuteonsp_upd_studenttowang查詢授權(quán)使用系統(tǒng)存儲(chǔ)過程sp_helprotect查詢授權(quán)的情況收回權(quán)限收回語句授權(quán)REVOKE{ALL|statement_list}FROMname_list

收回對(duì)象授權(quán)REVOKE[GRANTOPTIONFOR]{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}

|ON{table|view}[(column_list)]

|ONstored_procedure

|ONuser_defined_function}FROMname_list

[CASCADE][AS{group|role}]例如：從用戶名為xu和li的用戶收回對(duì)student表的查詢權(quán)限Revokeselectonstudentfromxu,li禁止權(quán)限禁止語句權(quán)限D(zhuǎn)ENY{ALL|statement_list}TOname_list

禁止對(duì)象權(quán)限D(zhuǎn)ENY

{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}

|ON{table|view}[(column_list)]

|ONstored_procedure

|ONuser_defined_function}TOname_list

[CASCADE]例1：禁止用戶xu使用createtable語句，除非給他顯式授予權(quán)限。Denycreatetabletoxu例2：禁止用戶xu和zhang對(duì)student表進(jìn)行修改(update)和刪除(delete)操作，除非給他們顯式授予權(quán)限。Denyupdate,deleteonstudenttoxu,zhang角色與存取控制系統(tǒng)管理員或數(shù)據(jù)庫管理員可以按層次定義角色，并為角色定義權(quán)限，例如定義角色A、B、C、D和E，角色之間的權(quán)限關(guān)系是A>B>C>D>E；然后為不同級(jí)別的用戶指定不同的角色；從而達(dá)到按層次管理數(shù)據(jù)的目的。其他安全問題數(shù)據(jù)加密審計(jì)

統(tǒng)計(jì)數(shù)據(jù)庫用戶定義的安全性措施數(shù)據(jù)加密數(shù)據(jù)加密標(biāo)準(zhǔn)DES公開密鑰加密體制RSA審計(jì)用戶管理和權(quán)限控制解決了非法用戶不能通過合法途徑接觸數(shù)據(jù)的問題，但是對(duì)合法用戶的使用沒有任何監(jiān)督能力。任何時(shí)候都不能排除有失職和瀆職現(xiàn)象的發(fā)生，為此需要有一種方式可以記錄下對(duì)數(shù)據(jù)庫的所有操作活動(dòng)和軌跡，這種功能稱為審計(jì)（Audit）。系統(tǒng)管理員（或數(shù)據(jù)庫管