數(shù)據(jù)庫安全管理實(shí)驗(yàn)

1/7SQLServer008的安全檢查分三個(gè)層次–登陸名：登陸服務(wù)器時(shí)進(jìn)行身份驗(yàn)證；–用戶：訪問數(shù)據(jù)庫須是數(shù)據(jù)庫的用戶或者是某一數(shù)據(jù)庫角色的成員；–權(quán)限:執(zhí)行語句時(shí)須有執(zhí)行權(quán)限因此如果一個(gè)用戶要在一個(gè)數(shù)據(jù)庫中執(zhí)行某條SQL語句必須首先為其創(chuàng)建登陸名(登錄Windows賬號(hào))。接著在數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫用戶，并讓該用戶映射已創(chuàng)建的登錄名。最后NT創(chuàng)建jiaoxue數(shù)據(jù)庫，并在該數(shù)據(jù)庫下創(chuàng)建Student、Course、SC三個(gè)基本表，分別在三個(gè)表中輸入必要的數(shù)據(jù)(該操作使用前面實(shí)驗(yàn)的成果)。本次實(shí)驗(yàn)的所有操作均在該數(shù)據(jù)庫下完成。用戶可以通過企業(yè)管理器或系統(tǒng)提供的存儲(chǔ)過程來進(jìn)行登錄帳戶的創(chuàng)建。驗(yàn)證，使用剛創(chuàng)建的John賬號(hào)登陸。檢驗(yàn)剛創(chuàng)建的登錄名是否成功。nagementStudioxsSQLServer式，默認(rèn)數(shù)據(jù)庫為master。2/7erzhimakaimenSQLServerCREATELOGIN[DB_user]WITHPASSWORD='zhimakaimen',DEFAULT_DATABASE=[master],DEFAULT_LANGUAGE=[簡體中文],CHECK_EXPIRATION=OFF,CHECK_POLICY=OFF3、修改和刪除登陸名已建立的登陸賬戶信息可以使用系統(tǒng)存儲(chǔ)過程來修改默認(rèn)數(shù)據(jù)庫、默認(rèn)語言、密碼或alterlogin[DB_user]withdefault_database=jiaoxuealterloginDB_userwithpassword='201041402134'DROPLOGINxs4、創(chuàng)建數(shù)據(jù)庫用戶通過將服務(wù)器角色賦予不同的服務(wù)器登陸名，可以使之獲得服務(wù)器級(jí)別的權(quán)限。服務(wù)器角色主要是控制服務(wù)器端對(duì)請(qǐng)求數(shù)據(jù)庫資源的訪問權(quán)限，他允許或拒絕服務(wù)器登陸名的訪問操作，但是在設(shè)置具體數(shù)據(jù)庫的管理和操作權(quán)限方面，服務(wù)器對(duì)象的權(quán)限設(shè)置粒度過 (User)、數(shù)據(jù)角色(Role)、數(shù)據(jù)庫架構(gòu)(Schema)。這三個(gè)對(duì)象是針對(duì)每一個(gè)數(shù)據(jù)庫實(shí)例的，因此可以對(duì)單個(gè)數(shù)據(jù)庫實(shí)例進(jìn)行細(xì)化權(quán)限劃分。n映射登陸帳號(hào)John。3/7oxueDBuserCREATEUSERDB_userFORLOGINDB_user5、創(chuàng)建架構(gòu)(SCHEMA)usejiaoxuegocreateschemaMySchemausejiaoxuegocreateschemaMySchemaCreateTableMySchema.abc(idint)usejiaoxuegoalterschemaMySchematransferdbo.Student6、修改/刪除數(shù)據(jù)庫用戶可以不一致，兩者是一種映射關(guān)系，并且這種映射關(guān)系是可以改變的)usejiaoxuegoalteruserDB_userwithname=isme4/7角色可以看作一組操作權(quán)限的集合。對(duì)一個(gè)角色授予、拒絕或廢除的權(quán)限也適用于該角色的任何成員?？梢越⒁粋€(gè)角色來代表單位中一類工作人員所執(zhí)行的工作，然后給這個(gè)角色授予適當(dāng)?shù)臋?quán)限。當(dāng)工作人員開始工作時(shí)，只須將他們添加為該角色成員，當(dāng)他們離開工作時(shí)，將他們從該角色中刪除。而不必在每個(gè)人接受或離開工作時(shí)，反復(fù)授予、拒絕和廢除其權(quán)限。權(quán)限在用戶成為角色成員時(shí)自動(dòng)生效。用戶與角色的關(guān)系為：一個(gè)角色可以包含多個(gè)用戶；一個(gè)用戶可賦予多個(gè)角色，從而擁有多個(gè)角色的權(quán)限。SQLServer2008提供了服務(wù)器級(jí)別的角色和數(shù)據(jù)庫級(jí)別的角色。期中服務(wù)器級(jí)別的角色不允許用戶創(chuàng)建與修改，稱為固定服務(wù)器角色。而數(shù)據(jù)庫級(jí)別的角色包括固定數(shù)據(jù)庫角色、用戶自定義角色和應(yīng)用程序角色。(1)固定服務(wù)器角色使用系統(tǒng)存儲(chǔ)過程sp_helpsrvrole查看所有固定服務(wù)器角色，將發(fā)現(xiàn)包含以下角固固定服務(wù)器角色Publicbulkadmindbcreatordiskadminprocessadminsecurityadminserveradminsetupadminmin服務(wù)器級(jí)權(quán)限這個(gè)服務(wù)器角色的成員可以運(yùn)行BULKINSERT語句。這條語句允許從文本到數(shù)據(jù)庫的域賬戶而設(shè)計(jì)。這個(gè)服務(wù)器角色用于管理磁盤文件，比如鏡像數(shù)據(jù)庫和添加備份設(shè)備。它SQLServer2008能夠多任務(wù)化，也就是說可以通過執(zhí)行多個(gè)進(jìn)程做多個(gè)這個(gè)服務(wù)器角色的成員將管理登錄名及其屬性。他們可以授權(quán)、拒絕和撤r者關(guān)閉服務(wù)器，這個(gè)角色可以減輕管理員的一些管理負(fù)擔(dān)。為需要管理鏈接服務(wù)器和控制啟動(dòng)的存儲(chǔ)過程的用戶而設(shè)計(jì)。這個(gè)角色的ginspaddsrvrolemember登錄帳號(hào)添加為服務(wù)器角色dbcreator的成員，從而使其具有創(chuàng)建數(shù)據(jù)庫的權(quán)利。點(diǎn)擊“數(shù)據(jù)庫引擎查詢”按鈕，在彈出的連接到數(shù)據(jù)庫引擎窗口中使用新創(chuàng)建的newlogin賬號(hào)登陸服務(wù)器，在該服務(wù)器下創(chuàng)建數(shù)createloginnewlogin5/7withpassword='12345'gosp_addsrvrolemember'newlogin','dbcreator'使用存儲(chǔ)過程sp_dropsrvrolemember收回分配給newlogin登錄帳戶的指定固定sp_dropsrvrolemember'newlogin','dbcreator'使用managementstudio完成以上操作。(2)固定數(shù)據(jù)庫角色每個(gè)數(shù)據(jù)庫中都有幾個(gè)由系統(tǒng)創(chuàng)建的數(shù)據(jù)庫角色-固定數(shù)據(jù)庫角色，這些角色的權(quán)限固定數(shù)據(jù)庫角色固定數(shù)據(jù)庫角色數(shù)據(jù)庫級(jí)權(quán)限db_accessadmin該角色的成員可以從數(shù)據(jù)庫中增加或者刪除用戶。db_backupoperator該角色的成員允許備份數(shù)據(jù)庫該角色的成員允許從任何表讀取任何數(shù)據(jù)。該角色的成員允許往任何表寫入數(shù)據(jù)。該角色的成員被拒絕查看數(shù)據(jù)庫中的任何數(shù)據(jù)，但是他們?nèi)匀豢梢酝ㄟ^db_denydatareader存儲(chǔ)過程來查看。該角色的成員被拒絕修改數(shù)據(jù)庫中的任何數(shù)據(jù)，但是他們?nèi)匀豢梢酝ㄟ^db_denydatawriter存儲(chǔ)過程來修改。db_owner該角色的用戶可以在數(shù)據(jù)庫中執(zhí)行任何操作。db_securityadmin該角色的成員可以更改數(shù)據(jù)庫中的權(quán)限和角色。SSQLServer2008中每個(gè)數(shù)據(jù)庫用戶都屬于public數(shù)據(jù)庫角色。當(dāng)尚Public未對(duì)某個(gè)用戶授予或者拒絕對(duì)安全對(duì)象的特定權(quán)限時(shí)，這該用戶將據(jù)稱public色的權(quán)限，這個(gè)數(shù)據(jù)庫角色不能被刪除db_datareaderdb_datawriterdb_ddladmin使用系統(tǒng)存儲(chǔ)過程sp_helpdbfixedrole瀏覽所有的固定數(shù)據(jù)庫角色的相關(guān)內(nèi)容。6/7從而使該用戶可以查詢jiaoxue數(shù)據(jù)庫中的數(shù)據(jù)。該操作也可使用存儲(chǔ)過程sp_addrolemember'db_datareader','isme'從而收回對(duì)jiaoxue數(shù)據(jù)庫的SELECT權(quán)限。該操作也可使用存儲(chǔ)過程sp_droprolemember'db_datareader','isme'(3)自定義數(shù)據(jù)庫角色ManagementStudioTeacherMySchema。8.用戶的權(quán)限管理在數(shù)據(jù)庫中使用grant/revoke/deny實(shí)現(xiàn)用戶權(quán)限的管理，使其具有/不具有處理當(dāng)前限usejiaoxuegograntselectonstudenttoTeachergograntallonSCtoTeachergousejiaoxuegograntcreatetabletoismegograntcreateviewtoismegousejiaoxuegograntselectoncoursetoismewithgrantoptiongo7/7sp_addrolemember'Teacher','isme'usejiaoxuegodenyselectonStudenttoismegous