chap6數(shù)據(jù)庫的安全性ppt課件

1、第第6章章 數(shù)據(jù)庫的平安性數(shù)據(jù)庫的平安性WS-NE30-3-03 06-2北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有本章目的本章終了時(shí)，學(xué)員可以：本章終了時(shí)，學(xué)員可以：了解計(jì)算機(jī)系統(tǒng)的三類平安性了解計(jì)算機(jī)系統(tǒng)的三類平安性了解可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)規(guī)范了解可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)規(guī)范TCSEC及其級(jí)別及其級(jí)別劃分劃分了解數(shù)據(jù)庫的平安性控制及其技術(shù)了解數(shù)據(jù)庫的平安性控制及其技術(shù)了解平安性控制機(jī)制了解平安性控制機(jī)制掌握掌握SQL SERVER 2000平安架構(gòu)平安架構(gòu)掌握掌握SQL SERVER 2000平安管理平安管理了解了解SQL SERVER 2000的審計(jì)的審計(jì)W

2、S-NE30-3-03 06-3北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.1計(jì)算機(jī)平安性概論計(jì)算機(jī)系統(tǒng)的三類平安性問題可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)規(guī)范TCSECWS-NE30-3-03 06-4北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.1計(jì)算機(jī)平安性概論(續(xù)) 所謂計(jì)算機(jī)系統(tǒng)平安性，是指為計(jì)算機(jī)系統(tǒng)建立和采取的各種平安維護(hù)措施，以維護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶爾或惡意的緣由使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。 三類平安： 技術(shù)平安類 管理平安類 政策法律類WS-NE30-3-03 06-5北京清華萬博網(wǎng)

3、絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.1.1可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)規(guī)范TCSEC可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)規(guī)范可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)規(guī)范TCSEC：美國國防部制定了美國國防部制定了TCSEC可靠計(jì)算機(jī)系統(tǒng)評(píng)價(jià)規(guī)范，可靠計(jì)算機(jī)系統(tǒng)評(píng)價(jià)規(guī)范，Trusted Computing System Evaluation Criteria，簡稱，簡稱TCSEC，給出一套規(guī)范來定義滿足特定平安等級(jí)所需，給出一套規(guī)范來定義滿足特定平安等級(jí)所需的平安功能及其保證的程度。的平安功能及其保證的程度。制定制定TCSEC規(guī)范的目的：規(guī)范的目的： 1、提供一種規(guī)范，運(yùn)用戶可以對(duì)其計(jì)算機(jī)系統(tǒng)內(nèi)敏、提供一種規(guī)范

4、，運(yùn)用戶可以對(duì)其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息平安操作的可信程序做評(píng)價(jià)。感信息平安操作的可信程序做評(píng)價(jià)。 2、給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指點(diǎn)規(guī)那、給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指點(diǎn)規(guī)那么，使其產(chǎn)品可以更好地滿足敏感運(yùn)用的平安需求。么，使其產(chǎn)品可以更好地滿足敏感運(yùn)用的平安需求。 WS-NE30-3-03 06-6北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.1.1可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)規(guī)范(續(xù))TCSEC 對(duì)系統(tǒng)平安等級(jí)的劃分:TCSEC 將計(jì)算機(jī)系統(tǒng)劃分為四組七個(gè)等級(jí)，按系統(tǒng)可靠或可信程序逐漸增高陳列，依次是： D、C1、C2、B1、B2、B3、A1WS-N

5、E30-3-03 06-7北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.2數(shù)據(jù)庫平安性控制 平安性控制定義 平安性控制維護(hù)數(shù)據(jù)庫以防止不合法的運(yùn)用所呵斥的數(shù)據(jù)泄露和破壞。 平安性措施 物理級(jí) 人際級(jí) 操作系統(tǒng)級(jí) 網(wǎng)絡(luò)級(jí) 數(shù)據(jù)庫系統(tǒng)級(jí)WS-NE30-3-03 06-8北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.2數(shù)據(jù)庫平安性控制(續(xù))與數(shù)據(jù)庫有關(guān)的平安技術(shù)與數(shù)據(jù)庫有關(guān)的平安技術(shù) ：身份認(rèn)證身份認(rèn)證存取控制存取控制視圖視圖審計(jì)審計(jì)數(shù)據(jù)加密數(shù)據(jù)加密WS-NE30-3-03 06-9北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北

6、京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.2.1身份認(rèn)證 用戶標(biāo)識(shí)和鑒別：用戶標(biāo)識(shí)和鑒別： 是系統(tǒng)提供的最外層平安保證措施。其方法是由系統(tǒng)是系統(tǒng)提供的最外層平安保證措施。其方法是由系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)本人的名字或身份。每次提供一定的方式讓用戶標(biāo)識(shí)本人的名字或身份。每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)進(jìn)展核對(duì)，經(jīng)過鑒定后用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)進(jìn)展核對(duì)，經(jīng)過鑒定后才提供機(jī)器運(yùn)用。才提供機(jī)器運(yùn)用。 常用的方法：常用的方法： 用一個(gè)用戶名或者用戶標(biāo)識(shí)號(hào)來標(biāo)明用戶身份用一個(gè)用戶名或者用戶標(biāo)識(shí)號(hào)來標(biāo)明用戶身份 口令口令WS-NE30-3-03 06-10北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清

7、華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.2.2存取控制數(shù)據(jù)庫平安最重要的一點(diǎn)就是確保只授權(quán)給有資歷的用戶訪問數(shù)據(jù)庫的權(quán)限，同時(shí)令一切未被授權(quán)的人員無法接近數(shù)據(jù)，這主要經(jīng)過數(shù)據(jù)庫系統(tǒng)的存取控制機(jī)制實(shí)現(xiàn)存取控制機(jī)制主要包括兩部分：定義用戶權(quán)限合法權(quán)限檢查當(dāng)前大型DBMS支持的兩個(gè)平安級(jí)別：C2級(jí)的DAC自主存取控制B1級(jí)的MAC強(qiáng)迫存取控制WS-NE30-3-03 06-11北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.2.3視圖機(jī)制 視圖：視圖： 進(jìn)展存取權(quán)限控制時(shí)為不同的用戶定義的不同的進(jìn)展存取權(quán)限控制時(shí)為不同的用戶定義的不同的數(shù)據(jù)對(duì)象范圍。數(shù)據(jù)對(duì)象范圍。W

8、S-NE30-3-03 06-12北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.2.4審計(jì) 審計(jì)：審計(jì)： 審計(jì)功能把用戶對(duì)數(shù)據(jù)庫的一切操作自動(dòng)記錄下來放審計(jì)功能把用戶對(duì)數(shù)據(jù)庫的一切操作自動(dòng)記錄下來放入審記日志入審記日志Audit Log中。中。 DBA可以利用審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有可以利用審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有情況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和情況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。內(nèi)容等。WS-NE30-3-03 06-13北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6

9、.2.5數(shù)據(jù)加密 數(shù)據(jù)加密：數(shù)據(jù)加密： 是防止數(shù)據(jù)庫中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有是防止數(shù)據(jù)庫中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段。效手段。 加密的兩種方法：加密的兩種方法： 交換方法交換方法 轉(zhuǎn)換方法轉(zhuǎn)換方法WS-NE30-3-03 06-14北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.3 SQL Server 2000平安構(gòu)架WS-NE30-3-03 06-15北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.3.1 SQL Server 的登錄認(rèn)證 用戶運(yùn)用SQL Server要經(jīng)過兩個(gè)平安性階段：身份驗(yàn)證授權(quán)權(quán)限驗(yàn)證

10、WS-NE30-3-03 06-16北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.3.1 SQL Server 的登錄認(rèn)證(續(xù))WS-NE30-3-03 06-17北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.3.1 SQL Server 的登錄認(rèn)證(續(xù))身份驗(yàn)證方式比較：身份驗(yàn)證方式比較：Windows 認(rèn)證方式的優(yōu)點(diǎn)認(rèn)證方式的優(yōu)點(diǎn)更先進(jìn)的平安戰(zhàn)略更先進(jìn)的平安戰(zhàn)略一組只需建一個(gè)用戶一組只需建一個(gè)用戶更快捷的訪問更快捷的訪問混合認(rèn)證方式的優(yōu)點(diǎn)混合認(rèn)證方式的優(yōu)點(diǎn)非非windows用戶及用戶及Internet客戶可以銜接到

11、數(shù)據(jù)客戶可以銜接到數(shù)據(jù)庫庫WS-NE30-3-03 06-18北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.3.2 身份驗(yàn)證方式設(shè)置WS-NE30-3-03 06-19北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.3.3權(quán)限驗(yàn)證WS-NE30-3-03 06-20北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.3.3權(quán)限驗(yàn)證續(xù)WS-NE30-3-03 06-21北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.4 SQL Server平安管理 管理管

12、理SQL Server 登錄登錄 數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶WS-NE30-3-03 06-22北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.4.1管理SQL Server 登錄新建登錄WS-NE30-3-03 06-23北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.4.1管理SQL Server 登錄新建登錄(windows身份驗(yàn)證)單擊此按鈕，將彈出左邊的對(duì)話框，在這里可以選擇Windows系統(tǒng)中的用戶設(shè)置默許數(shù)據(jù)庫WS-NE30-3-03 06-24北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公

13、司版權(quán)所有6.4.1管理SQL Server 登錄新建登錄(SQL Server身份驗(yàn)證)SQL server身份驗(yàn)證用戶名設(shè)置默許數(shù)據(jù)庫WS-NE30-3-03 06-25北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.4.1管理SQL Server 登錄查看登錄、修正登錄(密碼),回絕、刪除登錄WS-NE30-3-03 06-26北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.4.2 數(shù)據(jù)庫用戶 數(shù)據(jù)庫用戶簡介數(shù)據(jù)庫用戶簡介 管理數(shù)據(jù)庫用戶管理數(shù)據(jù)庫用戶WS-NE30-3-03 06-27北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公

14、司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.4.2.1數(shù)據(jù)庫用戶簡介數(shù)據(jù)庫最高權(quán)限用戶數(shù)據(jù)庫最高權(quán)限用戶-數(shù)據(jù)庫一切者數(shù)據(jù)庫一切者 (dbo):dbo 是具有在數(shù)據(jù)庫中執(zhí)行一切活動(dòng)的是具有在數(shù)據(jù)庫中執(zhí)行一切活動(dòng)的暗示性權(quán)限的用戶暗示性權(quán)限的用戶sysadmin 的任何成員都映射到的任何成員都映射到dbo用戶用戶任何其他不是任何其他不是sysadmin角色的成員創(chuàng)建角色的成員創(chuàng)建的對(duì)象都不屬于的對(duì)象都不屬于dboWS-NE30-3-03 06-28北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.4.2.1數(shù)據(jù)庫用戶簡介續(xù)數(shù)據(jù)庫特殊用戶數(shù)據(jù)庫特殊用戶g

15、uest 用戶用戶:當(dāng)滿足以下一切條件時(shí)，登錄采用當(dāng)滿足以下一切條件時(shí)，登錄采用 guest 用戶的標(biāo)識(shí)：用戶的標(biāo)識(shí)：登錄有訪問登錄有訪問 Microsoft SQL Server 實(shí)例的權(quán)限，但沒有對(duì)實(shí)例的權(quán)限，但沒有對(duì)應(yīng)的用戶帳戶訪問數(shù)據(jù)庫的權(quán)限應(yīng)的用戶帳戶訪問數(shù)據(jù)庫的權(quán)限數(shù)據(jù)庫中含有數(shù)據(jù)庫中含有 guest 用戶帳戶用戶帳戶可以在除可以在除 master 和和 tempdb 外在這兩個(gè)數(shù)據(jù)庫中它必外在這兩個(gè)數(shù)據(jù)庫中它必需一直存在的一切數(shù)據(jù)庫中添加或刪除需一直存在的一切數(shù)據(jù)庫中添加或刪除 guest 用戶。用戶。默許情況下，新建的數(shù)據(jù)庫中沒有默許情況下，新建的數(shù)據(jù)庫中沒有 guest 用戶

16、帳戶用戶帳戶WS-NE30-3-03 06-29北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.4.2.1數(shù)據(jù)庫用戶簡介續(xù)數(shù)據(jù)庫對(duì)象一切者數(shù)據(jù)庫對(duì)象一切者:SQL Server查找對(duì)象的順序?yàn)椋翰檎覍?duì)象的順序?yàn)椋寒?dāng)前用戶所擁有當(dāng)前用戶所擁有為為dbo所擁有所擁有假設(shè)找不到對(duì)象，前往錯(cuò)誤信息假設(shè)找不到對(duì)象，前往錯(cuò)誤信息WS-NE30-3-03 06-30北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.4.2.2管理數(shù)據(jù)庫用戶創(chuàng)建數(shù)據(jù)庫用戶指定對(duì)應(yīng)登錄帳戶WS-NE30-3-03 06-31北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)

17、所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.4.2.2管理數(shù)據(jù)庫用戶刪除登錄和用戶 刪除用戶和組時(shí)將自動(dòng)刪除為該用戶定義的權(quán)限 當(dāng)某個(gè)用戶當(dāng)前擁有數(shù)據(jù)庫對(duì)象時(shí)不能被刪除 刪除用戶不會(huì)自動(dòng)刪除登錄，因此不會(huì)防止用戶聯(lián)接到SQL Server 實(shí)例WS-NE30-3-03 06-32北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.4.2.2管理數(shù)據(jù)庫用戶給數(shù)據(jù)庫用戶分配權(quán)限WS-NE30-3-03 06-33北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.5 權(quán)限管理權(quán)限管理包括授予或廢除活動(dòng)的用戶權(quán)限： 處置數(shù)據(jù)和執(zhí)行過

18、程對(duì)象權(quán)限創(chuàng)建數(shù)據(jù)庫或數(shù)據(jù)庫中的工程語句權(quán)限利用授予預(yù)定義角色的權(quán)限暗示性權(quán)限WS-NE30-3-03 06-34北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.5權(quán)限管理權(quán)限管理(續(xù)續(xù))GRANT:Can Perform ActionREVOKE:NeutralDENY:Cannot Perform ActionWS-NE30-3-03 06-35北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.5.1對(duì)象權(quán)限對(duì)象權(quán)限是指對(duì)象權(quán)限是指: :處置數(shù)據(jù)或執(zhí)行過程時(shí)需求的權(quán)限處置數(shù)據(jù)或執(zhí)行過程時(shí)需求的權(quán)限. .包括：包括： SE

19、LECT SELECT、INSERTINSERT、UPDATE UPDATE 和和 DELETE DELETE 語句權(quán)限，它們語句權(quán)限，它們可以運(yùn)用到整個(gè)表或視圖中。可以運(yùn)用到整個(gè)表或視圖中。SELECT SELECT 和和 UPDATE UPDATE 語句權(quán)限，它們可以有選擇性地運(yùn)用語句權(quán)限，它們可以有選擇性地運(yùn)用到表或視圖中的單個(gè)列上。到表或視圖中的單個(gè)列上。SELECT SELECT 權(quán)限，它們可以運(yùn)用到用戶定義函數(shù)。權(quán)限，它們可以運(yùn)用到用戶定義函數(shù)。INSERT INSERT 和和 DELETE DELETE 語句權(quán)限，它們會(huì)影響整行，因此只語句權(quán)限，它們會(huì)影響整行，因此只可以運(yùn)用到表

20、或視圖中，而不能運(yùn)用到單個(gè)列上?？梢赃\(yùn)用到表或視圖中，而不能運(yùn)用到單個(gè)列上。EXECUTE EXECUTE 語句權(quán)限，它們可以影響存儲(chǔ)過程和函數(shù)。語句權(quán)限，它們可以影響存儲(chǔ)過程和函數(shù)。 WS-NE30-3-03 06-36北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.5.2語句權(quán)限創(chuàng)建數(shù)據(jù)庫或數(shù)據(jù)庫中的項(xiàng)如表或存儲(chǔ)過程所涉及的活動(dòng)要求另一類稱為語句權(quán)限的權(quán)限。語句權(quán)限有： CREATE DATABASE 創(chuàng)建數(shù)據(jù)庫CREATE TABLE 創(chuàng)建表CREATE VIEW 創(chuàng)建視圖CREATE RULE 創(chuàng)建規(guī)那么CREATE DEFAULT 創(chuàng)建缺省CREA

21、TE PROCEDURE 創(chuàng)建存儲(chǔ)過程BACKUP DATABASE 備份數(shù)據(jù)庫BACKUP LOG 備份事務(wù)日志 WS-NE30-3-03 06-37北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.5.3暗示性權(quán)限 暗示性權(quán)限控制那些只能由預(yù)定義系統(tǒng)角色的成員或數(shù)據(jù)庫對(duì)象一切者執(zhí)行的活動(dòng)。例如，sysadmin 固定效力器角色成員自動(dòng)承繼在 SQL Server 安裝中進(jìn)展操作或查看的全部權(quán)限。 數(shù)據(jù)庫對(duì)象一切者還有暗示性權(quán)限，可以對(duì)所擁有的對(duì)象執(zhí)行一切活動(dòng)。 例如，擁有表的用戶可以查看、添加或刪除數(shù)據(jù)，更改表定義，或控制允許其他用戶對(duì)表進(jìn)展操作的權(quán)限。W

22、S-NE30-3-03 06-38北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有權(quán)限管理小結(jié)Fixed RoleObject OwnerSELECT INSERTUPDATEDELETEREFERENCESSELECT UPDATEREFERENCESEXECTABLEVIEWCOLUMNSTORED PROCEDURECREATE DATABASECREATE TABLECREATE VIEWCREATE PROCEDURECREATE RULECREATE DEFAULTCREATE FUNCTIONBACKUP DATABASEBACKUP LOGWS-

23、NE30-3-03 06-39北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.6角色管理運(yùn)用數(shù)據(jù)庫角色的益處： 對(duì)于任何用戶，都可以隨時(shí)讓多個(gè)數(shù)據(jù)庫角色處于活動(dòng)形狀假設(shè)一切用戶、組和角色都在當(dāng)前數(shù)據(jù)庫中，那么 SQL Server 角色可以包含 Windows NT 4.0 或 Windows 2000 組和用戶，以及 SQL Server 用戶和其它角色在同一數(shù)據(jù)庫中，一個(gè)用戶可屬于多個(gè)角色提供了可伸縮模型以便在數(shù)據(jù)庫中設(shè)置正確的平安級(jí)別WS-NE30-3-03 06-40北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.

24、6.1角色概述Microsoft SQL Server中的平安機(jī)制包括幾個(gè)具有暗示性權(quán)限的預(yù)定義角色，兩類預(yù)定義角色為：固定效力器角色固定數(shù)據(jù)庫角色WS-NE30-3-03 06-41北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.6.1 角色概述續(xù)固定效力器角色Sysadmin在在 SQL Server 中進(jìn)展任何活動(dòng)。中進(jìn)展任何活動(dòng)。 該角色的權(quán)限該角色的權(quán)限 跨越一切其它固定效力器角色。跨越一切其它固定效力器角色。Serveradmin配置效力器范圍的設(shè)置。配置效力器范圍的設(shè)置。Setupadmin添加和刪除鏈接效力器，并執(zhí)行某添加和刪除鏈接效力器，并

25、執(zhí)行某 些系統(tǒng)存儲(chǔ)過程如些系統(tǒng)存儲(chǔ)過程如sp_serveroptionSecurityadmin 管理效力器登錄。管理效力器登錄。Processadmin 管理在管理在 SQL Server 實(shí)例中運(yùn)轉(zhuǎn)的進(jìn)程。實(shí)例中運(yùn)轉(zhuǎn)的進(jìn)程。Dbcreator創(chuàng)建和改動(dòng)數(shù)據(jù)庫。創(chuàng)建和改動(dòng)數(shù)據(jù)庫。Diskadmin管理磁盤文件。管理磁盤文件。Bulkadmin執(zhí)行執(zhí)行 BULK INSERT 語句。語句。WS-NE30-3-03 06-42北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.6.1 角色概述續(xù)固定數(shù)據(jù)庫角色db_owner進(jìn)展一切數(shù)據(jù)庫角色的活動(dòng)，以及數(shù)據(jù)庫中的

26、進(jìn)展一切數(shù)據(jù)庫角色的活動(dòng)，以及數(shù)據(jù)庫中的 其它維護(hù)和配置活動(dòng)。該角色的權(quán)限跨越一切其它維護(hù)和配置活動(dòng)。該角色的權(quán)限跨越一切 其它固定數(shù)據(jù)庫角色。其它固定數(shù)據(jù)庫角色。db_accessadmin在數(shù)據(jù)庫中添加或刪除在數(shù)據(jù)庫中添加或刪除 Windows NT 4.0 或或 Windows 2000 組和用戶以及組和用戶以及 SQL Server 用戶。用戶。db_datareader查看來自數(shù)據(jù)庫中一切用戶表的全部數(shù)據(jù)。查看來自數(shù)據(jù)庫中一切用戶表的全部數(shù)據(jù)。db_datawriter添加、更改或刪除來自數(shù)據(jù)庫中一切用戶表的數(shù)添加、更改或刪除來自數(shù)據(jù)庫中一切用戶表的數(shù)據(jù)。據(jù)。db_ddladmin添

27、加、修正或除去數(shù)據(jù)庫中的對(duì)象。添加、修正或除去數(shù)據(jù)庫中的對(duì)象。db_securityadmin管理管理 SQL Server 2000 數(shù)據(jù)庫角色的角色和成員，數(shù)據(jù)庫角色的角色和成員， 并管理數(shù)據(jù)庫中的語句和對(duì)象權(quán)限。并管理數(shù)據(jù)庫中的語句和對(duì)象權(quán)限。db_backupoperator有備份數(shù)據(jù)庫的權(quán)限。有備份數(shù)據(jù)庫的權(quán)限。db_denydatareader回絕選擇數(shù)據(jù)庫數(shù)據(jù)的權(quán)限?；亟^選擇數(shù)據(jù)庫數(shù)據(jù)的權(quán)限。db_denydatawriter回絕更改數(shù)據(jù)庫數(shù)據(jù)的權(quán)限?；亟^更改數(shù)據(jù)庫數(shù)據(jù)的權(quán)限。WS-NE30-3-03 06-43北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限

28、公司版權(quán)所有6.6.2角色的管理：新建數(shù)據(jù)庫角色續(xù)WS-NE30-3-03 06-44北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.7 SQL Server 平安性管理的途徑 運(yùn)用視圖作為平安機(jī)制 視圖與權(quán)限結(jié)合 運(yùn)用存儲(chǔ)過程作為平安機(jī)制 WS-NE30-3-03 06-45北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.7.1.1運(yùn)用行級(jí)、列級(jí)平安性的視圖例：在該例中某一銷售點(diǎn)只能查看他本人的銷售信息，運(yùn)用pubs 數(shù)據(jù)庫中的sales 表：首先創(chuàng)建視圖create view specificsale asselect

29、 ord_num ord_date qty payterms title_idfrom saleswhere stor_id=7067當(dāng)執(zhí)行以下語句時(shí)select * from specificsale 那么只顯示他本人的銷售信息WS-NE30-3-03 06-46北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.7.1.2視圖與權(quán)限結(jié)合 經(jīng)過定義不同的視圖及有選擇地授予視圖上的權(quán)限，可以將用戶、組或角色限制在不同的數(shù)據(jù)子集內(nèi)。例如： 可以將訪問限制在基表中行的子集內(nèi)。例如，可以定義一個(gè)視圖，其中只含有商業(yè)書籍或心思書籍的行，并向用戶隱藏有關(guān)其它類型書籍的信息

30、?？梢詫⒃L問限制在基表中列的子集內(nèi)。例如，可以定義一個(gè)視圖，其中含有 titles 表中的一切行，但省略了 royalty 和 advance 列，由于這些信息比較敏感?？梢詫⒃L問限制在基表中列和行的子集內(nèi)?？梢詫⒃L問限制在符合多個(gè)基表聯(lián)接的行內(nèi)。例如，可以定義一個(gè)視圖，它聯(lián)接表 titles、authors 和 titleauthor 表以顯示作者姓名及其撰寫的書籍。該視圖隱藏作者的個(gè)人信息以及著作的財(cái)務(wù)信息?？梢詫⒃L問限制在基表中數(shù)據(jù)的統(tǒng)計(jì)匯總內(nèi)。例如，可以定義一個(gè)視圖，其中只含有每類書籍的平均價(jià)錢?？梢詫⒃L問限制在另一個(gè)視圖的子集內(nèi)或視圖和基表組合的子集內(nèi)。 WS-NE30-3-03 0

31、6-47北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有6.7.2運(yùn)用存儲(chǔ)過程作為平安機(jī)制 存儲(chǔ)過程是Transact-SQL 語句的預(yù)編譯集合，這些語句在一個(gè)稱號(hào)下存儲(chǔ)并作為一個(gè)單元進(jìn)展處置。假設(shè)用戶不具有訪問視圖和表的權(quán)限，那么經(jīng)過存儲(chǔ)過程仍可以讓其查詢相應(yīng)的數(shù)據(jù)信息。實(shí)現(xiàn)的方法很簡單，只需讓該用戶具有存儲(chǔ)過程的EXEC 權(quán)限就可以了。要確保該存儲(chǔ)過程中包含了查詢語句，比如可創(chuàng)建下面的存儲(chǔ)過程create procedure selsales asselect * from sales然后將存儲(chǔ)過程的EXEC 權(quán)限授予用戶當(dāng)用戶，執(zhí)行該存儲(chǔ)過程時(shí)就可以查看到

32、相應(yīng)信息。運(yùn)用存儲(chǔ)過程的優(yōu)點(diǎn)在于不用對(duì)視圖和表的訪問權(quán)限進(jìn)展分配。 WS-NE30-3-03 06-48北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司版權(quán)所有 6.8運(yùn)用 SQL 事件探查器進(jìn)展監(jiān)視 監(jiān)視 SQL Server 實(shí)例的性能 調(diào)試 Transact-SQL 語句和存儲(chǔ)過程 識(shí)別執(zhí)行慢的查詢 在工程開發(fā)階段，經(jīng)過單步執(zhí)行語句測(cè)試 SQL 語句和存儲(chǔ)過程，以確認(rèn)代碼按預(yù)期運(yùn)轉(zhuǎn) 經(jīng)過捕獲消費(fèi)系統(tǒng)中的事件并在測(cè)試系統(tǒng)中重播它們來處理 SQL Server 中的問題 審核和復(fù)查在 SQL Server 實(shí)例中發(fā)生的活動(dòng)WS-NE30-3-03 06-49北京清華萬博網(wǎng)絡(luò)技術(shù)