數(shù)據(jù)庫系統(tǒng)概論第4章數(shù)據(jù)庫安全_第1頁
數(shù)據(jù)庫系統(tǒng)概論第4章數(shù)據(jù)庫安全_第2頁
數(shù)據(jù)庫系統(tǒng)概論第4章數(shù)據(jù)庫安全_第3頁
數(shù)據(jù)庫系統(tǒng)概論第4章數(shù)據(jù)庫安全_第4頁
數(shù)據(jù)庫系統(tǒng)概論第4章數(shù)據(jù)庫安全_第5頁
已閱讀5頁,還剩47頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、第第4章章 數(shù)據(jù)庫安全數(shù)據(jù)庫安全4.1 計(jì)算機(jī)安全性概論計(jì)算機(jī)安全性概論4.2數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制9.1計(jì)算機(jī)安全性概論計(jì)算機(jī)安全性概論數(shù)據(jù)庫安全數(shù)據(jù)庫安全指保護(hù)數(shù)據(jù)庫以防止不合法的使用所指保護(hù)數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞造成的數(shù)據(jù)泄露、更改或破壞.1.計(jì)算機(jī)系統(tǒng)的三類安全性問題計(jì)算機(jī)系統(tǒng)的三類安全性問題.計(jì)算機(jī)系統(tǒng)安全性計(jì)算機(jī)系統(tǒng)安全性:指為計(jì)算機(jī)系統(tǒng)建立和采取的各種安指為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施全保護(hù)措施,以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù),防防止其因偶然或惡意的原因使系統(tǒng)遭到破壞止其因偶然或惡意的原因

2、使系統(tǒng)遭到破壞,數(shù)據(jù)遭到更改數(shù)據(jù)遭到更改或泄露等或泄露等.計(jì)算機(jī)系統(tǒng)安全性的分類計(jì)算機(jī)系統(tǒng)安全性的分類:(1)技術(shù)安全技術(shù)安全(2)管理安全管理安全(3)政策法律類安全政策法律類安全2.可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)從四個(gè)方面來評測計(jì)算機(jī)系統(tǒng)的安全性從四個(gè)方面來評測計(jì)算機(jī)系統(tǒng)的安全性: (1)安全策略安全策略 (2)責(zé)任責(zé)任 (3)保證保證 (4)文檔文檔計(jì)算機(jī)系統(tǒng)的安全性等級計(jì)算機(jī)系統(tǒng)的安全性等級:D級級:最小保護(hù)最小保護(hù)C1級級:自主安全保護(hù)自主安全保護(hù)C2級級:受控的存取保護(hù)受控的存取保護(hù)B1級級:標(biāo)記安全保護(hù)標(biāo)記安全保護(hù)B2級級:結(jié)構(gòu)化保護(hù)結(jié)構(gòu)化保護(hù)B3級級:安全域安全域

3、A1級級:驗(yàn)證設(shè)計(jì)驗(yàn)證設(shè)計(jì)9.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制用戶用戶DBMSOSDB用戶標(biāo)識和鑒別用戶標(biāo)識和鑒別存取控制存取控制操作系統(tǒng)安全保護(hù)操作系統(tǒng)安全保護(hù)數(shù)據(jù)密碼存儲數(shù)據(jù)密碼存儲圖圖9.1 計(jì)算機(jī)系統(tǒng)的安全模型計(jì)算機(jī)系統(tǒng)的安全模型用戶標(biāo)識與鑒別用戶標(biāo)識與鑒別用戶標(biāo)識與鑒別用戶標(biāo)識與鑒別:是指由系統(tǒng)提供一定的方式讓用戶標(biāo)識是指由系統(tǒng)提供一定的方式讓用戶標(biāo)識 自己的名字或身份自己的名字或身份.每次用戶進(jìn)入系統(tǒng)時(shí)每次用戶進(jìn)入系統(tǒng)時(shí), 由系統(tǒng)進(jìn)行核對由系統(tǒng)進(jìn)行核對,通過鑒定后才通過鑒定后才提供使用權(quán)提供使用權(quán).常用的用戶標(biāo)識與鑒定方法常用的用戶標(biāo)識與鑒定方法: (1)用戶名用戶名 (2)口

4、令口令 (3)函數(shù)鑒定函數(shù)鑒定例例:用戶用戶A與系統(tǒng)約定的函數(shù)為與系統(tǒng)約定的函數(shù)為f(x)=x*x+2; 則某次上機(jī)則某次上機(jī),若系統(tǒng)提供的隨機(jī)數(shù)為若系統(tǒng)提供的隨機(jī)數(shù)為3,則則A經(jīng)計(jì)算經(jīng)計(jì)算 后回答后回答11,則可進(jìn)入系統(tǒng)則可進(jìn)入系統(tǒng),否則拒絕進(jìn)入系統(tǒng)否則拒絕進(jìn)入系統(tǒng).9.2.2 存取控制存取控制存取控制機(jī)制存取控制機(jī)制:確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的 權(quán)限,同時(shí)令所有未被授權(quán)的人員無法接近權(quán)限,同時(shí)令所有未被授權(quán)的人員無法接近 數(shù)據(jù)數(shù)據(jù).存取控制機(jī)制包括兩部分存取控制機(jī)制包括兩部分: (1) 定義用戶權(quán)限定義用戶權(quán)限,并將用戶權(quán)限登記到數(shù)據(jù)字典中并將

5、用戶權(quán)限登記到數(shù)據(jù)字典中,形成形成 安全規(guī)則安全規(guī)則. (2)合法權(quán)限檢查合法權(quán)限檢查,利用數(shù)據(jù)字典中的安全規(guī)則對用戶的利用數(shù)據(jù)字典中的安全規(guī)則對用戶的 請求進(jìn)行檢查請求進(jìn)行檢查.兩種存取控制機(jī)制兩種存取控制機(jī)制:自主存取控制方法自主存取控制方法(DAC)強(qiáng)制存取控制方法強(qiáng)制存取控制方法(MAC)自主存取控制方法自主存取控制方法(DAC)自主存取控制自主存取控制:用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限, 不同的用戶對同一對象也有不同的權(quán)限不同的用戶對同一對象也有不同的權(quán)限,而且而且 用戶還可以將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶還可以將其擁有的存取權(quán)限轉(zhuǎn)授給其

6、他 用戶用戶.SQL的自主存取控制的自主存取控制GrantRevoke用戶權(quán)限用戶權(quán)限:結(jié)構(gòu)結(jié)構(gòu)(數(shù)據(jù)庫)(數(shù)據(jù)庫)數(shù)據(jù)數(shù)據(jù)(表或視圖表或視圖)數(shù)據(jù)數(shù)據(jù)(屬性列屬性列)Create databaseSelectInsert,update,deleteAll privilegesSelectInsert,update,deleteAll privileges結(jié)構(gòu)結(jié)構(gòu)(表、視圖)(表、視圖)Create table,alter tableCreate viewCreate index1.授權(quán)授權(quán)Grant的語句格式的語句格式: grant . on to . with grant option;例

7、子例子:把查詢把查詢Student表的權(quán)限授給用戶表的權(quán)限授給用戶U1.Grant selecton table studentto u1;例子例子:說明以下語句完成的功能說明以下語句完成的功能. (1) grant all priviliges on table student,course to u2,u3;(2) grant select on table sc to public;(3) grant update(sno),select on table sc to u4;(4)grant insert on table sc to u5; with grant option (5)g

8、rant createtab on database S_C to u6;2.收回權(quán)限收回權(quán)限r(nóng)evoke的語句格式的語句格式: revoke . on from .;例子例子:把把U4修改學(xué)生學(xué)號的權(quán)限收回修改學(xué)生學(xué)號的權(quán)限收回.Revoke update(sno)on table studentfrom u4;例子例子:說明以下語句完成的功能說明以下語句完成的功能. (1)revoke select on table sc from public;(2)revoke insert on table sc from u5 cascade;3.創(chuàng)建用戶創(chuàng)建用戶Sp_addlogin 用戶名稱用

9、戶名稱, 用戶密碼用戶密碼sp_addsrvrolemember 用戶名稱用戶名稱,dbcreatorsp_grantdbaccess 用戶名稱用戶名稱sp_addrolemember 數(shù)據(jù)庫角色名稱數(shù)據(jù)庫角色名稱,用戶名稱用戶名稱例子:例子: (1)Sp_addlogin zgf, 123 (2)sp_addsrvrolemember zgf,dbcreator (3)在當(dāng)前數(shù)據(jù)庫)在當(dāng)前數(shù)據(jù)庫(spj)中執(zhí)行:中執(zhí)行: sp_grantdbaccess zgf,zgfspj sp_addrolemember db_owner, zgfspj sp_droprolemember db_own

10、er, zgfspj grant create table to zgfspj grant select on spj to zgfspj revoke select on spj to zgfspj grant create view to public強(qiáng)制存取控制方法強(qiáng)制存取控制方法(MAC)強(qiáng)制存取控制強(qiáng)制存取控制:每一個(gè)數(shù)據(jù)對象被標(biāo)以一定的密級每一個(gè)數(shù)據(jù)對象被標(biāo)以一定的密級,每一個(gè)每一個(gè) 用戶也被授予某一個(gè)級別的許可證用戶也被授予某一個(gè)級別的許可證,對于任對于任 意一個(gè)對象意一個(gè)對象,只有具有合法許可證的用戶才只有具有合法許可證的用戶才 可以存取可以存取.主體主體:系統(tǒng)中的活動(dòng)實(shí)體系統(tǒng)

11、中的活動(dòng)實(shí)體,包括用戶和代表用戶的各進(jìn)程包括用戶和代表用戶的各進(jìn)程.客體客體:系統(tǒng)中的被動(dòng)實(shí)體系統(tǒng)中的被動(dòng)實(shí)體,包括文件、基本表、索引、視圖包括文件、基本表、索引、視圖.主體和客體的敏感度標(biāo)記主體和客體的敏感度標(biāo)記:絕密、機(jī)密、可信、公開等絕密、機(jī)密、可信、公開等.主體的敏感度標(biāo)記稱為許可證級別主體的敏感度標(biāo)記稱為許可證級別.客體的敏感度標(biāo)記稱為密級客體的敏感度標(biāo)記稱為密級.強(qiáng)制存取控制方法強(qiáng)制存取控制方法(MAC):要求許可證級別為要求許可證級別為Label的主體對任何客體存取時(shí)必須遵守的主體對任何客體存取時(shí)必須遵守以下規(guī)則:以下規(guī)則: (1)僅當(dāng)主體的許可證級別大于或等于客體的密級時(shí)僅當(dāng)主

12、體的許可證級別大于或等于客體的密級時(shí),該主該主 體才能讀取相應(yīng)的客體體才能讀取相應(yīng)的客體. (2)僅當(dāng)主體的許可證級別等于客體的密級時(shí)僅當(dāng)主體的許可證級別等于客體的密級時(shí),該主體才能該主體才能 寫相應(yīng)的客體寫相應(yīng)的客體.例子例子:主體主體A(機(jī)密機(jī)密)客體客體B(機(jī)密機(jī)密)客體客體C(絕密絕密)客體客體D(公開公開)R/WRDAC+MAC安全檢查示意圖安全檢查示意圖:SQL語法分析語法分析&語義檢查語義檢查DAC檢查檢查MAC檢查檢查安全檢查安全檢查繼續(xù)繼續(xù)檢查用檢查用戶權(quán)限戶權(quán)限檢查用戶檢查用戶的許可證的許可證級別和數(shù)級別和數(shù)據(jù)的密級據(jù)的密級9.2.5 視圖機(jī)制視圖機(jī)制視圖機(jī)制視圖機(jī)

13、制:為不同的用戶定義不同的視圖為不同的用戶定義不同的視圖,把數(shù)據(jù)對象限制把數(shù)據(jù)對象限制 在一定的范圍內(nèi)在一定的范圍內(nèi),通過視圖機(jī)制把要保密的數(shù)據(jù)通過視圖機(jī)制把要保密的數(shù)據(jù) 對無權(quán)存取的用戶隱藏起來對無權(quán)存取的用戶隱藏起來,對數(shù)據(jù)提供一定程對數(shù)據(jù)提供一定程 度的安全保護(hù)度的安全保護(hù).例子例子:李勇把查詢李勇把查詢Student中計(jì)算機(jī)系學(xué)生的權(quán)限授予王平中計(jì)算機(jī)系學(xué)生的權(quán)限授予王平.(1)建立計(jì)算機(jī)系學(xué)生的視圖建立計(jì)算機(jī)系學(xué)生的視圖CS-Student. create view CS-Student as select * from student where Sdept=CS;(2)授限授限

14、grant select on CS-Student to 王平王平;9.2.6 審計(jì)審計(jì)審計(jì)審計(jì):把用戶對數(shù)據(jù)庫的所有操作自動(dòng)記錄下來放入審計(jì)把用戶對數(shù)據(jù)庫的所有操作自動(dòng)記錄下來放入審計(jì) 日志中日志中,DBA可以利用審計(jì)跟蹤的信息可以利用審計(jì)跟蹤的信息,重現(xiàn)導(dǎo)致數(shù)重現(xiàn)導(dǎo)致數(shù) 據(jù)庫現(xiàn)有狀況的一系列事件據(jù)庫現(xiàn)有狀況的一系列事件,找出非法存取數(shù)據(jù)的人找出非法存取數(shù)據(jù)的人 、時(shí)間和內(nèi)容、時(shí)間和內(nèi)容.9.2.7 數(shù)據(jù)加密數(shù)據(jù)加密數(shù)據(jù)加密數(shù)據(jù)加密:根據(jù)一定的算法將原始數(shù)據(jù)變換為不可直接根據(jù)一定的算法將原始數(shù)據(jù)變換為不可直接 識別的格式識別的格式,從而使得不知道解密算法的人從而使得不知道解密算法的人 無法

15、獲知數(shù)據(jù)的內(nèi)容無法獲知數(shù)據(jù)的內(nèi)容.加密方法加密方法:(1)替換方法替換方法(2)置換方法置換方法(3)替換方法替換方法+置換方法置換方法9.3 統(tǒng)計(jì)數(shù)據(jù)庫安全性統(tǒng)計(jì)數(shù)據(jù)庫安全性1.問題的提出問題的提出 統(tǒng)計(jì)數(shù)據(jù)庫統(tǒng)計(jì)數(shù)據(jù)庫:用戶只能對聚集數(shù)據(jù)進(jìn)行訪問用戶只能對聚集數(shù)據(jù)進(jìn)行訪問,而不能對單個(gè)而不能對單個(gè) 數(shù)據(jù)信息進(jìn)行訪問數(shù)據(jù)信息進(jìn)行訪問.例子例子: (1)查詢所有女高級程序員的人數(shù)查詢所有女高級程序員的人數(shù). (2)查詢所有女高級程序員的工資總額查詢所有女高級程序員的工資總額. 如果查詢?nèi)绻樵?1)的結(jié)果為的結(jié)果為1,則查詢則查詢(2)的結(jié)果就是這位女高級的結(jié)果就是這位女高級程序員的工資程序員

16、的工資.2.解決的方法解決的方法規(guī)定任何查詢至少涉及規(guī)定任何查詢至少涉及N個(gè)以上的記錄。個(gè)以上的記錄。3.問題的提出問題的提出例子例子:如果用戶如果用戶A想知道用戶想知道用戶B的工資的工資,則可通過以下查詢則可通過以下查詢: (1)查詢用戶查詢用戶A與與N名職工的總工資名職工的總工資. (2)查詢用戶查詢用戶B與與N名職工的總工資名職工的總工資.查詢查詢(1)的結(jié)果為的結(jié)果為R查詢查詢(2)的結(jié)果為的結(jié)果為S用戶用戶A已知自己的工資為已知自己的工資為P4.解決的方法解決的方法規(guī)定任意兩個(gè)查詢的相交數(shù)據(jù)項(xiàng)不能超過規(guī)定任意兩個(gè)查詢的相交數(shù)據(jù)項(xiàng)不能超過M個(gè)。個(gè)。用戶用戶B的工資為的工資為: S-(R

17、-P)SQL Server的安全控制的安全控制 一、數(shù)據(jù)庫權(quán)限的種類及用戶的分類一、數(shù)據(jù)庫權(quán)限的種類及用戶的分類 1.1.權(quán)限的種類權(quán)限的種類 第一類是對數(shù)據(jù)庫管理系統(tǒng)進(jìn)行維護(hù)的權(quán)限第一類是對數(shù)據(jù)庫管理系統(tǒng)進(jìn)行維護(hù)的權(quán)限; ; 第二類是對數(shù)據(jù)庫中的對象和數(shù)據(jù)進(jìn)行操作的權(quán)限第二類是對數(shù)據(jù)庫中的對象和數(shù)據(jù)進(jìn)行操作的權(quán)限; ; 第一種是對數(shù)據(jù)庫對象的權(quán)限,包括創(chuàng)建、刪除和修改數(shù)第一種是對數(shù)據(jù)庫對象的權(quán)限,包括創(chuàng)建、刪除和修改數(shù) 據(jù)庫對象;據(jù)庫對象; 第二種是對數(shù)據(jù)庫數(shù)據(jù)的操作權(quán),包括對表、視圖數(shù)據(jù)的第二種是對數(shù)據(jù)庫數(shù)據(jù)的操作權(quán),包括對表、視圖數(shù)據(jù)的 增、刪、改、查。增、刪、改、查。 2.2.數(shù)據(jù)庫用

18、戶的分類數(shù)據(jù)庫用戶的分類 數(shù)據(jù)庫中的用戶按其操作權(quán)限的大小可分為如下三類:數(shù)據(jù)庫中的用戶按其操作權(quán)限的大小可分為如下三類: (1 1)數(shù)據(jù)庫系統(tǒng)管理員:具有一切權(quán)限。)數(shù)據(jù)庫系統(tǒng)管理員:具有一切權(quán)限。 (2 2)數(shù)據(jù)庫對象擁有者:對其所擁有的對象具有一切權(quán)限。)數(shù)據(jù)庫對象擁有者:對其所擁有的對象具有一切權(quán)限。 (3 3)普通用戶:只具有對數(shù)據(jù)庫數(shù)據(jù)的增、刪、改、查權(quán)。)普通用戶:只具有對數(shù)據(jù)庫數(shù)據(jù)的增、刪、改、查權(quán)。 二、二、 SQL Server的安全控制的安全控制 一個(gè)用戶如果要訪問一個(gè)用戶如果要訪問SQL ServerSQL Server數(shù)據(jù)庫中的數(shù)據(jù),他必須要經(jīng)數(shù)據(jù)庫中的數(shù)據(jù),他必須要

19、經(jīng)過三個(gè)認(rèn)證過程:過三個(gè)認(rèn)證過程: 第一個(gè)認(rèn)證過程是身份驗(yàn)證,這時(shí)用登錄賬號來標(biāo)識用戶,身第一個(gè)認(rèn)證過程是身份驗(yàn)證,這時(shí)用登錄賬號來標(biāo)識用戶,身份份 驗(yàn)證只驗(yàn)證用戶連接到驗(yàn)證只驗(yàn)證用戶連接到SQL ServerSQL Server數(shù)據(jù)庫服務(wù)器的資格,即數(shù)據(jù)庫服務(wù)器的資格,即驗(yàn)證該用戶是否具有連接到數(shù)據(jù)庫服務(wù)器的驗(yàn)證該用戶是否具有連接到數(shù)據(jù)庫服務(wù)器的“連接權(quán)連接權(quán)”。 第二個(gè)認(rèn)證過程是當(dāng)用戶訪問數(shù)據(jù)庫時(shí),他必須具有對具體數(shù)第二個(gè)認(rèn)證過程是當(dāng)用戶訪問數(shù)據(jù)庫時(shí),他必須具有對具體數(shù)據(jù)庫的據(jù)庫的“訪問權(quán)訪問權(quán)”,即驗(yàn)證用戶是否是數(shù)據(jù)庫的合法用戶。,即驗(yàn)證用戶是否是數(shù)據(jù)庫的合法用戶。 第三個(gè)認(rèn)證過程是當(dāng)用

20、戶操作數(shù)據(jù)庫中的數(shù)據(jù)或?qū)ο髸r(shí),他必第三個(gè)認(rèn)證過程是當(dāng)用戶操作數(shù)據(jù)庫中的數(shù)據(jù)或?qū)ο髸r(shí),他必須具有所要進(jìn)行的操作的須具有所要進(jìn)行的操作的“操作權(quán)操作權(quán)”,即驗(yàn)證用戶是否具有操,即驗(yàn)證用戶是否具有操作許可。作許可。 SQL ServerSQL Server的用戶有兩種類型:的用戶有兩種類型:WindowsWindows授權(quán)用戶:來自于授權(quán)用戶:來自于WindowsWindows的用戶或組;的用戶或組;SQLSQL授權(quán)用戶:來自于非授權(quán)用戶:來自于非WindowsWindows的用戶,我們也將這種用戶稱的用戶,我們也將這種用戶稱為為 SQLSQL用戶。用戶。 SQL ServerSQL Server為

21、不同的用戶類型提供有不同的安全認(rèn)證模式:為不同的用戶類型提供有不同的安全認(rèn)證模式:1.Windows1.Windows身份驗(yàn)證模式身份驗(yàn)證模式 WindowsWindows身份驗(yàn)證模式允許用戶身份驗(yàn)證模式允許用戶Windows NTWindows NT或或Windows 2000Windows 2000用戶連接到用戶連接到SQL ServerSQL Server。2.2.混合驗(yàn)證模式混合驗(yàn)證模式 混合驗(yàn)證模式表示混合驗(yàn)證模式表示SQL ServerSQL Server接受接受WindowsWindows授權(quán)用戶和授權(quán)用戶和SQLSQL授授權(quán)用戶。如果不是權(quán)用戶。如果不是WindowsWindo

22、ws操作系統(tǒng)的用戶希望也能使用操作系統(tǒng)的用戶希望也能使用SQL SQL ServerServer,則應(yīng)該選擇混合驗(yàn)證模式。,則應(yīng)該選擇混合驗(yàn)證模式。3.3.設(shè)置驗(yàn)證模式設(shè)置驗(yàn)證模式 在企業(yè)管理器中設(shè)置在企業(yè)管理器中設(shè)置SQL ServerSQL Server的身份驗(yàn)證模式的方法為:的身份驗(yàn)證模式的方法為: (1 1)在企業(yè)管理器的控制臺上,在要設(shè)置驗(yàn)證模式的服務(wù)器名)在企業(yè)管理器的控制臺上,在要設(shè)置驗(yàn)證模式的服務(wù)器名 上單擊鼠標(biāo)右鍵,然后在彈出的菜單上選擇上單擊鼠標(biāo)右鍵,然后在彈出的菜單上選擇“屬性屬性” 。 (2 2)在窗口中選擇)在窗口中選擇“安全性安全性”標(biāo)簽頁,在窗口的標(biāo)簽頁,在窗口的

23、“安全性安全性” 成組框中的成組框中的“身份驗(yàn)證身份驗(yàn)證”部分,有兩個(gè)選項(xiàng):部分,有兩個(gè)選項(xiàng):“SQL SQL Server Server和和Windows”Windows”以及以及“僅僅Windows”Windows”。前一個(gè)選項(xiàng)代。前一個(gè)選項(xiàng)代 表混合驗(yàn)證模式,后一個(gè)選項(xiàng)代表表混合驗(yàn)證模式,后一個(gè)選項(xiàng)代表WindowsWindows驗(yàn)證模式。驗(yàn)證模式。 (3 3)單擊)單擊“確定確定”按鈕。按鈕。三、三、管理管理SQL Server登錄賬號登錄賬號 內(nèi)置系統(tǒng)帳號:內(nèi)置系統(tǒng)帳號:用戶創(chuàng)建自己的登錄帳號:用戶創(chuàng)建自己的登錄帳號:l建立登錄賬號建立登錄賬號 使用企業(yè)管理器建立登錄賬號的步驟為:使

24、用企業(yè)管理器建立登錄賬號的步驟為:(1 1)展開)展開“安全性安全性”,單擊,單擊“登錄登錄”節(jié)點(diǎn)。節(jié)點(diǎn)。(2 2)右擊內(nèi)容窗格中的空白處,從彈出式菜單中選擇)右擊內(nèi)容窗格中的空白處,從彈出式菜單中選擇“新建登新建登錄錄”命令。命令。(3 3)設(shè)置如下選項(xiàng):)設(shè)置如下選項(xiàng):在在“名稱名稱”文本框中輸入登錄的賬號名。文本框中輸入登錄的賬號名。在在“身份驗(yàn)證身份驗(yàn)證”區(qū)域中,有如下兩個(gè)選擇:區(qū)域中,有如下兩個(gè)選擇: “WindowsWindows身份驗(yàn)證身份驗(yàn)證”模式模式 “SQL ServerSQL Server身份驗(yàn)證身份驗(yàn)證”模式模式在在“數(shù)據(jù)庫數(shù)據(jù)庫”下拉列表框中選擇登錄到下拉列表框中選擇

25、登錄到SQL ServerSQL Server之后默認(rèn)情之后默認(rèn)情況下要連接的數(shù)據(jù)庫。況下要連接的數(shù)據(jù)庫。在在“語言語言”列表框中選擇顯示給用戶的信息所使用的默認(rèn)語言。列表框中選擇顯示給用戶的信息所使用的默認(rèn)語言。例子例子:添加一個(gè)添加一個(gè)windows用戶用戶user; 添加一個(gè)添加一個(gè)SQL用戶用戶ss;l修改登錄賬號的屬性修改登錄賬號的屬性 對于已經(jīng)建立好的對于已經(jīng)建立好的SQL ServerSQL Server登錄賬號,還可以對登錄賬號的登錄賬號,還可以對登錄賬號的密碼等進(jìn)行修改。密碼等進(jìn)行修改。 使用企業(yè)管理器修改登錄密碼的步驟為:使用企業(yè)管理器修改登錄密碼的步驟為: 右擊想要修改密

26、碼的登錄賬號,從彈出式菜單中選擇右擊想要修改密碼的登錄賬號,從彈出式菜單中選擇“屬性屬性”命令,可以進(jìn)行如下更改:命令,可以進(jìn)行如下更改:l更改密碼:在更改密碼:在“常規(guī)常規(guī)”選項(xiàng)卡上,可以在選項(xiàng)卡上,可以在“密碼密碼”文本框中輸入文本框中輸入新的密碼。新的密碼。l更改默認(rèn)數(shù)據(jù)庫:在更改默認(rèn)數(shù)據(jù)庫:在“數(shù)據(jù)庫數(shù)據(jù)庫”列表框中選擇一個(gè)新的數(shù)據(jù)庫。列表框中選擇一個(gè)新的數(shù)據(jù)庫。l更改顯示給用戶所使用的語言:在更改顯示給用戶所使用的語言:在“語言語言”列表框中選擇一個(gè)新列表框中選擇一個(gè)新的語言。的語言。l刪除登錄賬號刪除登錄賬號 若不再需要某個(gè)登錄賬號,或者不再允許某個(gè)登錄賬號若不再需要某個(gè)登錄賬號,

27、或者不再允許某個(gè)登錄賬號訪問訪問SQL ServerSQL Server,則可以將其刪除。使用企業(yè)管理器刪除登,則可以將其刪除。使用企業(yè)管理器刪除登錄賬號的步驟為:錄賬號的步驟為:(1 1)在控制臺上依次單擊)在控制臺上依次單擊“Microsoft SQL Servers”Microsoft SQL Servers”和和“SQL ServerSQL Server組組”左邊的加號,然后單擊服務(wù)器,展開樹形左邊的加號,然后單擊服務(wù)器,展開樹形目錄。目錄。(2 2)展開)展開“安全性安全性”節(jié)點(diǎn),然后單擊節(jié)點(diǎn),然后單擊“登錄登錄”節(jié)點(diǎn)。節(jié)點(diǎn)。(3 3)在右邊的內(nèi)容窗格中,右擊想要?jiǎng)h除的登錄賬號,從彈

28、)在右邊的內(nèi)容窗格中,右擊想要?jiǎng)h除的登錄賬號,從彈出的菜單中選擇出的菜單中選擇“刪除刪除”命令或按命令或按DeleteDelete鍵。鍵。(4 4)若確實(shí)要?jiǎng)h除此登錄賬號,)若確實(shí)要?jiǎng)h除此登錄賬號, 則單擊則單擊“是是”,否則單擊,否則單擊“否否”,取消刪除操作。,取消刪除操作。四、四、 管理數(shù)據(jù)庫用戶管理數(shù)據(jù)庫用戶 用戶具有了登錄賬號之后,他只能連接到用戶具有了登錄賬號之后,他只能連接到SQL ServerSQL Server服務(wù)服務(wù)器上,但不具有訪問任何用戶數(shù)據(jù)庫的能力,只有成為了數(shù)器上,但不具有訪問任何用戶數(shù)據(jù)庫的能力,只有成為了數(shù)據(jù)庫的合法用戶后,才能訪問此數(shù)據(jù)庫。據(jù)庫的合法用戶后,才

29、能訪問此數(shù)據(jù)庫。 l建立數(shù)據(jù)庫用戶建立數(shù)據(jù)庫用戶 使用企業(yè)管理器建立數(shù)據(jù)庫用戶的步驟為:使用企業(yè)管理器建立數(shù)據(jù)庫用戶的步驟為:(1 1)單擊要建立數(shù)據(jù)庫用戶的數(shù)據(jù)庫節(jié)點(diǎn),右擊)單擊要建立數(shù)據(jù)庫用戶的數(shù)據(jù)庫節(jié)點(diǎn),右擊“用戶用戶”,并,并在彈出的菜單上選擇在彈出的菜單上選擇“新建數(shù)據(jù)庫用戶新建數(shù)據(jù)庫用戶”命令。命令。(2 2)在)在“登錄名登錄名”列表框中選擇一個(gè)登錄賬號名。默認(rèn)時(shí)列表框中選擇一個(gè)登錄賬號名。默認(rèn)時(shí)“用用戶名戶名”文本框的內(nèi)容和用戶選擇的登錄賬號一樣,用戶可以在文本框的內(nèi)容和用戶選擇的登錄賬號一樣,用戶可以在“用戶名用戶名”文本框中輸入一個(gè)新的數(shù)據(jù)庫用戶名,也可以采用文本框中輸入一

30、個(gè)新的數(shù)據(jù)庫用戶名,也可以采用與登錄賬號一樣的用戶名。與登錄賬號一樣的用戶名。(3 3)單擊)單擊“確定確定”關(guān)閉此窗口。關(guān)閉此窗口。例子例子: 添加添加SQL用戶用戶ss為用戶數(shù)據(jù)庫為用戶數(shù)據(jù)庫st的用戶。的用戶。每個(gè)用戶都屬于每個(gè)用戶都屬于public角色角色,使用戶具有使用戶具有一些默認(rèn)權(quán)限一些默認(rèn)權(quán)限.l刪除數(shù)據(jù)庫用戶刪除數(shù)據(jù)庫用戶 從當(dāng)前數(shù)據(jù)庫中刪除一個(gè)用戶,就是去掉了登錄賬號和數(shù)從當(dāng)前數(shù)據(jù)庫中刪除一個(gè)用戶,就是去掉了登錄賬號和數(shù)據(jù)庫用戶之間的映射關(guān)系。刪除數(shù)據(jù)庫用戶之后,登錄賬號仍據(jù)庫用戶之間的映射關(guān)系。刪除數(shù)據(jù)庫用戶之后,登錄賬號仍然存在。然存在。 使用企業(yè)管理器刪除數(shù)據(jù)庫用戶的

31、過程為:使用企業(yè)管理器刪除數(shù)據(jù)庫用戶的過程為: (1 1)在控制臺上,展開服務(wù)器組以及服務(wù)器。)在控制臺上,展開服務(wù)器組以及服務(wù)器。 (2 2)展開)展開“數(shù)據(jù)庫數(shù)據(jù)庫”節(jié)點(diǎn),然后展開要?jiǎng)h除用戶的數(shù)據(jù)庫。節(jié)點(diǎn),然后展開要?jiǎng)h除用戶的數(shù)據(jù)庫。 (3 3)單擊)單擊“用戶用戶”,然后在右邊的內(nèi)容窗格中右擊想要?jiǎng)h除的,然后在右邊的內(nèi)容窗格中右擊想要?jiǎng)h除的數(shù)據(jù)庫用戶,從彈出的菜單中選擇數(shù)據(jù)庫用戶,從彈出的菜單中選擇“刪除刪除”命令。命令。 (4 4)在彈出的確認(rèn)窗口中,單擊)在彈出的確認(rèn)窗口中,單擊“是是”,刪除此用戶。,刪除此用戶。思考思考:如果某個(gè)登錄帳號已是某些數(shù)據(jù)庫的用戶如果某個(gè)登錄帳號已是某些

32、數(shù)據(jù)庫的用戶,這個(gè)帳這個(gè)帳戶能刪除嗎戶能刪除嗎?五、五、 管理權(quán)限管理權(quán)限 在在SQL Server 2000 中,權(quán)限分為三種中,權(quán)限分為三種:1對象權(quán)限對象權(quán)限 對象權(quán)限是指用戶對數(shù)據(jù)庫中的表、視圖等對象的操作權(quán),相當(dāng)對象權(quán)限是指用戶對數(shù)據(jù)庫中的表、視圖等對象的操作權(quán),相當(dāng)于數(shù)據(jù)庫操作語言(于數(shù)據(jù)庫操作語言(DML)的語句權(quán)限,)的語句權(quán)限,2語句權(quán)限語句權(quán)限 語句權(quán)限相當(dāng)于數(shù)據(jù)定義語言(語句權(quán)限相當(dāng)于數(shù)據(jù)定義語言(DDL)的語句權(quán)限,這種權(quán)限專)的語句權(quán)限,這種權(quán)限專指是否允許執(zhí)行下列語句:指是否允許執(zhí)行下列語句:CREATE TABLE、CREATE VIEW等等與創(chuàng)建數(shù)據(jù)庫對象有關(guān)的

33、操作。與創(chuàng)建數(shù)據(jù)庫對象有關(guān)的操作。3隱含權(quán)限隱含權(quán)限 隱含權(quán)限是指由隱含權(quán)限是指由SQL Server預(yù)定義的服務(wù)器角色、數(shù)據(jù)庫角色、預(yù)定義的服務(wù)器角色、數(shù)據(jù)庫角色、數(shù)據(jù)庫擁有者和數(shù)據(jù)庫對象擁有者所具有的權(quán)限,隱含權(quán)限相當(dāng)于數(shù)據(jù)庫擁有者和數(shù)據(jù)庫對象擁有者所具有的權(quán)限,隱含權(quán)限相當(dāng)于內(nèi)置權(quán)限,不需要再明確地授予這些權(quán)限。內(nèi)置權(quán)限,不需要再明確地授予這些權(quán)限。權(quán)限的管理包含如下三個(gè)內(nèi)容:權(quán)限的管理包含如下三個(gè)內(nèi)容:授予權(quán)限:允許用戶或角色具有某種操作權(quán)。授予權(quán)限:允許用戶或角色具有某種操作權(quán)。收回權(quán)限:不允許用戶或角色具有某種操作權(quán),或者收回曾經(jīng)授收回權(quán)限:不允許用戶或角色具有某種操作權(quán),或者收回

34、曾經(jīng)授 予予 的權(quán)限。的權(quán)限。拒絕訪問:拒絕某用戶或角色具有某種操作權(quán),既使用戶或角色由拒絕訪問:拒絕某用戶或角色具有某種操作權(quán),既使用戶或角色由 于繼承而獲得這種操作權(quán),也不允許執(zhí)行相應(yīng)的操作。于繼承而獲得這種操作權(quán),也不允許執(zhí)行相應(yīng)的操作。對象權(quán)限對象權(quán)限語句權(quán)限語句權(quán)限隱含權(quán)限隱含權(quán)限1使用企業(yè)管理器管理數(shù)據(jù)庫對象權(quán)限使用企業(yè)管理器管理數(shù)據(jù)庫對象權(quán)限(1)展開)展開“數(shù)據(jù)庫數(shù)據(jù)庫”并展開要設(shè)置權(quán)限的數(shù)據(jù)庫,單擊并展開要設(shè)置權(quán)限的數(shù)據(jù)庫,單擊“用戶用戶” 節(jié)點(diǎn)。節(jié)點(diǎn)。(2)在內(nèi)容窗格中右擊要設(shè)置權(quán)限的數(shù)據(jù)庫用戶,并從彈出的)在內(nèi)容窗格中右擊要設(shè)置權(quán)限的數(shù)據(jù)庫用戶,并從彈出的菜菜 單中選擇單

35、中選擇“所有任務(wù)所有任務(wù)”下的下的“管理權(quán)限管理權(quán)限”命令??梢赃M(jìn)行如命令??梢赃M(jìn)行如下設(shè)下設(shè) 置:置: 授予權(quán)限授予權(quán)限 拒絕權(quán)限拒絕權(quán)限 收回權(quán)限收回權(quán)限例子例子: 為數(shù)據(jù)庫為數(shù)據(jù)庫st用戶用戶ss添加表添加表student的有關(guān)權(quán)限。的有關(guān)權(quán)限。2使用企業(yè)管理器管理語句權(quán)限使用企業(yè)管理器管理語句權(quán)限 使用企業(yè)管理器管理數(shù)據(jù)庫用戶的語句權(quán)限的過程為:使用企業(yè)管理器管理數(shù)據(jù)庫用戶的語句權(quán)限的過程為:(1)展開)展開“數(shù)據(jù)庫數(shù)據(jù)庫”,右擊要設(shè)置語句權(quán)限的數(shù)據(jù)庫,并從彈,右擊要設(shè)置語句權(quán)限的數(shù)據(jù)庫,并從彈出出 的菜單中選擇的菜單中選擇“屬性屬性”,在彈出的窗口中,選擇,在彈出的窗口中,選擇“權(quán)限

36、權(quán)限”選項(xiàng)選項(xiàng) 卡???。(2)在要設(shè)置的語句權(quán)限以及用戶所對應(yīng)的方框中單擊鼠標(biāo),)在要設(shè)置的語句權(quán)限以及用戶所對應(yīng)的方框中單擊鼠標(biāo), 使其中出現(xiàn)相應(yīng)標(biāo)記。使其中出現(xiàn)相應(yīng)標(biāo)記。例子例子: 為數(shù)據(jù)庫為數(shù)據(jù)庫st用戶用戶ss添加語句權(quán)限。添加語句權(quán)限。例子例子:演示拒絕權(quán)限演示拒絕權(quán)限 、收回權(quán)限的區(qū)別。、收回權(quán)限的區(qū)別。3使用使用Transact-SQL語句管理對象權(quán)限語句管理對象權(quán)限 在在Transact-SQL語句中,用于管理權(quán)限的語句有三個(gè):語句中,用于管理權(quán)限的語句有三個(gè): GRANT語句:用于授權(quán);語句:用于授權(quán); REVOKE語句:用于收回權(quán)限;語句:用于收回權(quán)限; DENY語句:用于

37、拒絕權(quán)限。語句:用于拒絕權(quán)限。管理對象權(quán)限的語句的語法格式為:管理對象權(quán)限的語句的語法格式為: GRANT | DENY 對象權(quán)限名對象權(quán)限名 , ON 表名表名 | 視圖名視圖名 | 存儲過程名存儲過程名 TO 數(shù)據(jù)庫用戶名數(shù)據(jù)庫用戶名 | 用戶角色名用戶角色名 , REVOKE 對象權(quán)限名對象權(quán)限名 , ON 表名表名 | 視圖名視圖名 | 存儲過程名存儲過程名 FROM 數(shù)據(jù)庫用戶名數(shù)據(jù)庫用戶名 | 用戶角色名用戶角色名 , 例例1:為用戶:為用戶user1授予授予Student表的查詢權(quán)。表的查詢權(quán)。 GRANT SELECT ON Student TO user1 例例2:為用戶:為用戶user1授予授予SC表的查詢權(quán)和插入權(quán)。表的查詢權(quán)和插入權(quán)。 GRANT SELECT,INSERT ON SC TO user1 例例3:收回用戶:收回用戶user1授予授予Student表的查詢權(quán)。表的查詢權(quán)。 REVOKE SELECT ON Student FROM user1 例例4:拒絕用戶:拒絕用戶user1對對SC表的更改權(quán)。表的更改權(quán)。 DENY UPDATE ON SC TO user1例子例子: 為數(shù)據(jù)庫為數(shù)據(jù)庫st用戶用戶ss授予表授予表student的插入權(quán)限。的插入權(quán)限。4使用使用Transact-SQL語句管理語句權(quán)限語句管理語句權(quán)限 管理語句權(quán)限的語句

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論