實(shí)驗(yàn)四數(shù)據(jù)庫安全

實(shí)驗(yàn)四 數(shù)據(jù)庫的安全一．實(shí)驗(yàn)?zāi)康?．掌握SQLServer中數(shù)據(jù)庫安全性管理的策略與方法。二．實(shí)驗(yàn)內(nèi)容數(shù)據(jù)庫的安全主要包括幾個(gè)方面的內(nèi)容： 安全模式,SQLServer服務(wù)器安全,SQLServer登錄帳號(hào),角色,SQLServer用戶和許可等內(nèi)容.安全模式包括如下內(nèi)容:安全規(guī)劃:選擇安全的形式:指選擇用戶登錄的登錄認(rèn)證方式.1．認(rèn)證模式認(rèn)證是指當(dāng)用戶訪問數(shù)據(jù)庫系統(tǒng)時(shí)，系統(tǒng)對(duì)該用戶的帳戶和口令的確認(rèn)過程。SQLServer可以識(shí)別兩種類型的登錄認(rèn)證機(jī)制。SQLServer認(rèn)證機(jī)制WindowsNT認(rèn)證機(jī)制當(dāng)使用SQLServer認(rèn)證機(jī)制時(shí)，SQLServer系統(tǒng)管理員定義SQLServer的登錄帳戶和口令。當(dāng)用戶連接SQLServer時(shí)，必須提供登錄帳戶和口令。當(dāng)使用WindowsNT認(rèn)證機(jī)制時(shí)，由Server系統(tǒng)的訪問。這時(shí)用戶不必提供接到系統(tǒng)上，但是，在該用戶連接之前，

WindowsNT帳戶控制用戶對(duì)SQLSQLServer的登錄帳戶和口令就能連SQLServer系統(tǒng)管理員必須將WindowsNT帳戶定義為SQLServer的有效登錄帳戶（請(qǐng)參考WindowsNT帳戶管理方法）。用戶可以使用SQLServer企業(yè)管理器來設(shè)置服務(wù)器的認(rèn)證模式。設(shè)置方法參見實(shí)驗(yàn)一。2．登錄管理登錄帳戶是基于SQLServer服務(wù)器使用的用戶名，可控制用戶對(duì)數(shù)據(jù)庫服務(wù)器的訪問。在SQLServer中有一個(gè)特殊的登錄帳戶：sa，是系統(tǒng)管理員的簡稱，它在SQLServer系統(tǒng)和所有數(shù)據(jù)庫中有全部的權(quán)限，不能被刪除。設(shè)置sa帳號(hào)密碼:單擊相應(yīng)服務(wù)器屬下的“Login”;右單擊右窗格的用戶名,選擇“屬性”.增加登錄帳戶的兩種方法：一是：從WindowsNT組和用戶中創(chuàng)建登錄帳戶和創(chuàng)建新的SQLServer登錄帳戶（參考WindowsNT帳戶管理方法）。二是：使用SQLServer企業(yè)管理器創(chuàng)建登錄帳戶，方法如下：在SQLServer企業(yè)管理器選擇一服務(wù)器，選擇“安全性”文件夾，在“安全性”文件夾中，右擊“登錄”，選擇“新建登錄”，則出現(xiàn)如下窗口：在常規(guī)選項(xiàng)卡中輸入登錄名和口令；在服務(wù)器角色選項(xiàng)卡中選擇相應(yīng)服務(wù)器角色復(fù)選框；在數(shù)據(jù)庫訪問選項(xiàng)卡中選擇要訪問的數(shù)據(jù)庫及指定該帳戶所屬的數(shù)據(jù)庫角色。最后按[確定]即可。用剛建立的登錄帳戶登錄服務(wù)器：先右擊服務(wù)器，選擇斷開，再右擊服務(wù)器，選擇連接。按提示輸入帳戶名和口令即可登錄。如果選擇連接時(shí)不提示輸入帳戶/口令，可選擇強(qiáng)制用戶登錄時(shí)驗(yàn)證帳戶和口令（參見5.）配置安全角色角色：SQLServer2000服務(wù)器操作和數(shù)據(jù)庫訪問許可的管理單位，角色可以把各個(gè)用戶匯集成一個(gè)單元，以便進(jìn)行許可管理。SQLServer提供了用于通常管理工作的預(yù)定義服務(wù)器角色、和數(shù)據(jù)庫角色，以簡化對(duì)某一個(gè)用戶授予一些管理許可的工作。可在建立登錄帳戶時(shí)設(shè)置。系統(tǒng)管理員給適當(dāng)用戶分配相應(yīng)的角色是的關(guān)鍵之一.

SQLServer

服務(wù)器和數(shù)據(jù)庫安全SQLServer2000服務(wù)器系統(tǒng)管理員或數(shù)據(jù)庫所有者在設(shè)置數(shù)據(jù)庫訪問許可時(shí),應(yīng)先創(chuàng)建新的角色并將訪問許可集中授予角色,然后再將需要擁有這一許可權(quán)限的用戶加入到角色中,加入到角色中的所有用戶自動(dòng)具有角色所擁有的訪問許可權(quán)限.常用固定服務(wù)角色如下角色 許可系統(tǒng)管理員(systemadministrator) 執(zhí)行任意活動(dòng)數(shù)據(jù)庫創(chuàng)建者 (databasecreator) 創(chuàng)建和修改數(shù)據(jù)庫磁盤管理員(diskadministrator) 管理磁盤文件進(jìn)程管理員(processadministrator) 管理系統(tǒng)進(jìn)程安全管理員(securityadministrator) 管理和審核服務(wù)器登錄服務(wù)器管理員 (serveradministrator) 配置服務(wù)器端設(shè)置安裝管理員(setupadministrator) 安裝復(fù)制固定的數(shù)據(jù)庫角色及許可常用固定數(shù)據(jù)庫角色及其許可角色 許可Public 維護(hù)全部默認(rèn)的許可Db_owner 執(zhí)行任何數(shù)據(jù)庫角色的操作Db_accessadmin 增加或者刪除數(shù)據(jù)庫用戶、組和角色Db_ddladmin 增加、修改或者刪除數(shù)據(jù)庫對(duì)象Db_securityadmin 執(zhí)行語句和對(duì)象許可Db_backupoperator 備份和恢復(fù)數(shù)據(jù)庫Db_datareader 讀取任意表中的數(shù)據(jù)Db_datawriter 增加、修改或者刪除全部表中的數(shù)據(jù)Db_denydatareader 不能讀取任一個(gè)表中的數(shù)據(jù)Db_denydatawriter 不能修改任一個(gè)表中的數(shù)據(jù)創(chuàng)建角色方法:用戶只能創(chuàng)建數(shù)據(jù)庫角色,只在其所在的數(shù)據(jù)庫中有效,對(duì)其他數(shù)據(jù)庫無效.右單擊“角色”授權(quán)：授予用戶，用戶組以及角色某種或某些許可權(quán)限，權(quán)限：一種對(duì)數(shù)據(jù)庫對(duì)象的操作權(quán)力。用戶登錄到SQLServer服務(wù)器后，其所充當(dāng)?shù)慕巧陀脩舻脑S可，就決定了它們對(duì)數(shù)據(jù)庫對(duì)象所能執(zhí)行的操作。創(chuàng)建應(yīng)用程序角色:標(biāo)準(zhǔn)角色可在SQLServer某些方面EnterpriseManager窗口中操作數(shù)據(jù)庫,也可以通過應(yīng)用程序使用數(shù)據(jù)庫;應(yīng)用程序角色:僅可以通過應(yīng)用程序訪問數(shù)據(jù)庫的角色;創(chuàng)建應(yīng)用角色后，授權(quán)方法跟標(biāo)準(zhǔn)角色授權(quán)方法一樣。添加角色到固有角色，角色就具有相應(yīng)固有角色所具有的授權(quán)。方法：右鍵單擊需將角色添加到其屬下的固有角色?！皩傩浴?--按“add”.創(chuàng)建SQLServer用戶方法：右鍵單擊需將創(chuàng)建角色的數(shù)據(jù)庫屬下的的“user”.SQLServer用戶只能用于訪問數(shù)據(jù)庫，不能用于登錄4．許可管理許可的種類：對(duì)象許可，數(shù)據(jù)庫許可和固有角色的隱含許可在SQLSERVER系統(tǒng)中，把權(quán)利定義為許可，通過實(shí)行許可管理，維護(hù)數(shù)據(jù)的有序流動(dòng)?？稍谟脩魴?quán)限中設(shè)定。設(shè)置對(duì)象許可的方法：右鍵單擊需設(shè)置許可的對(duì)象（以數(shù)據(jù)表為例）-----“屬性”---permissions設(shè)置語句許可的方法：右鍵單擊需設(shè)置語句許可的數(shù)據(jù)庫名“屬性”---單擊“permissions”選項(xiàng)卡授權(quán)5．強(qiáng)制用戶登錄時(shí)驗(yàn)證用戶名及口令右擊服務(wù)器，選擇“編輯SQLServer注冊(cè)屬性”，如下圖所示：選擇“總是提示輸入登錄名和密碼”，再重新登錄即可。實(shí)驗(yàn)完成規(guī)劃實(shí)施某部門SQLServer安全策略具體要求如下：部門總監(jiān)（1人）：作為系統(tǒng)管理人員，允許任何操作。服務(wù)器登錄安全管理員（1人）：可設(shè)置和管理用戶登錄帳號(hào)，授權(quán)訪問訂單數(shù)據(jù)庫。數(shù)據(jù)庫維護(hù)人員（1人）：可