安全性管理 PPT學習教案

《安全性管理 PPT學習教案》由會員分享，可在線閱讀，更多相關《安全性管理 PPT學習教案（63頁珍藏版）》請在裝配圖網上搜索。

1、會計學1安全性管理安全性管理 2第第9章章 SQL Server的安全性管理的安全性管理 第1頁/共63頁3行各種操作的權限行各種操作的權限n主要是針對數據庫對象，如表、視圖、主要是針對數據庫對象，如表、視圖、存儲過程和自定義函數等。存儲過程和自定義函數等。第2頁/共63頁49.2 SQL Server的登錄模式的登錄模式第3頁/共63頁5表示在表示在NT或或2000中只要屬于中只要屬于Administrators組的賬號都允許登錄組的賬號都允許登錄SQL Server網絡域名網絡域名Administrator表示所屬網絡域中的表示所屬網絡域中的Administrator賬號才能登錄賬號才能登

2、錄SQL Servern Windows認證模式認證模式第4頁/共63頁6第5頁/共63頁7第6頁/共63頁8第7頁/共63頁9第8頁/共63頁10第9頁/共63頁11Windows NTWindows 2000用戶組，如：用戶組，如：Administratorsn必須在必須在“域域”中輸入中輸入BUILTIN 而不是而不是NT主機名或主機名或NT網絡域名網絡域名第10頁/共63頁12sp_addlogin 功能功能創(chuàng)建新的使用創(chuàng)建新的使用SQL Server 認證模式的登錄賬號認證模式的登錄賬號 格式格式sp_addlogin 登錄名登錄名 ,登錄密碼登錄密碼,登錄時缺省數據庫登錄時缺省數據

3、庫,登錄登錄時缺省語言時缺省語言 說明說明登錄名和密碼最大長度為登錄名和密碼最大長度為128 個字符，可以是英文字母、數字，個字符，可以是英文字母、數字，但以下但以下3種登錄名被視為無效種登錄名被視為無效（1）登錄名包括）登錄名包括字符字符（2）登錄名是一個保留名，如）登錄名是一個保留名，如sa或或public或是已存在的登錄名或是已存在的登錄名（3）登錄名不能為）登錄名不能為NULL或一個空字符串或一個空字符串舉例舉例exec sp_addlogin FirstUser,123456,學生學籍數據庫學生學籍數據庫, us_englishsp_droplogin 功能功能刪除登錄賬號，禁止其訪

4、問刪除登錄賬號，禁止其訪問SQL Server格式格式sp_droplogin 登錄名登錄名說明說明不能刪除系統(tǒng)管理員不能刪除系統(tǒng)管理員sa以及當前連接到以及當前連接到SQL Server 的登錄的登錄舉例舉例sp_droplogin FirstUser 注：注：sp_addlogin和和sp_droplogin只能用在只能用在SQL Server 認證模式下認證模式下第11頁/共63頁13sp_grantlogin 功能功能 將將Windows用戶或用戶組設定為用戶或用戶組設定為SQL Server 登錄者登錄者格式格式 sp_grantlogin 登錄名登錄名說明說明 登錄名需用登錄名需用

5、“域域用戶名用戶名”或或“BUILTIN用戶組名用戶組名”給出給出舉例舉例將將Windows用戶用戶“a1”設定為設定為SQL Server 登錄者登錄者 exec sp_grantlogin S4033a1 續(xù)前表續(xù)前表第12頁/共63頁14sp_denyloginsp_denylogin 功能功能拒絕拒絕WindowsWindows用戶或用戶組連接到用戶或用戶組連接到SQL ServerSQL Server格式格式sp_denyloginsp_denylogin 登錄名登錄名 說明說明登錄名需用登錄名需用“域域 用戶名用戶名”或或“BUILTINBUILTIN用戶組名用戶組名”給出給出舉例

6、舉例例：拒絕例：拒絕WindowsWindows用戶用戶S4033a1S4033a1登錄到登錄到SQL ServerSQL Serverexec exec sp_denyloginsp_denylogin S4033a1 S4033a1 sp_revokelogisp_revokelogin n 功能功能廢除廢除WindowsWindows用戶或用戶組在用戶或用戶組在SQL ServerSQL Server上的登錄權上的登錄權格式格式sp_revokeloginsp_revokelogin 登錄名登錄名 說明說明若若WindowsWindows用戶用戶a1a1屬于組屬于組Group1Group

7、1，則只要則只要Group1Group1具有登錄具有登錄SQL Server SQL Server 的權限，即使執(zhí)行了的權限，即使執(zhí)行了sp_revokeloginsp_revokelogin，用戶用戶a1a1仍可登錄到仍可登錄到SQL ServerSQL Server。若用戶若用戶a1a1的登錄權未被廢除，即使的登錄權未被廢除，即使Group1Group1的登錄權被廢除，的登錄權被廢除，則該用戶仍能登錄則該用戶仍能登錄SQL ServerSQL Server。舉例舉例廢除廢除WindowsWindows用戶用戶S4033a1S4033a1登錄到登錄到SQL Server SQL Server

8、 的訪問權的訪問權exec exec sp_revokeloginsp_revokelogin S4033a1 S4033a1sp_granloginsp_granlogin 和和 sp_revokeloginsp_revokelogin 只能用于只能用于WindowsWindows認證模式下，設定認證模式下，設定WindowsWindows用戶用戶或用戶組賬號，不能對或用戶組賬號，不能對SQL ServerSQL Server認證模式下的登錄賬號進行設定認證模式下的登錄賬號進行設定 續(xù)前表續(xù)前表第13頁/共63頁15sp_helplogins 功能功能顯示顯示SQL Server所有登錄者的

9、信息，包括每個數據庫中與該所有登錄者的信息，包括每個數據庫中與該登錄者相對應的用戶名登錄者相對應的用戶名格式格式 sp_helplogins 登錄名登錄名說明說明若未指定若未指定“登錄名登錄名”，則顯示當前數據庫中所有登錄者的信，則顯示當前數據庫中所有登錄者的信息（包括息（包括Windows登錄者）登錄者）舉例舉例 顯示登錄者顯示登錄者a1的登錄信息的登錄信息,sp_helplogins FirstUser 續(xù)前表續(xù)前表第14頁/共63頁169.3 SQL Server用戶標識和鑒別用戶標識和鑒別第15頁/共63頁17允許其以該用戶賬號訪問數據庫允許其以該用戶賬號訪問數據庫登錄用戶是否合法的數

10、據庫用戶賬號登錄用戶是否合法的數據庫用戶賬號允許登錄用戶以允許登錄用戶以guest 用戶來訪問數據庫用戶來訪問數據庫是否有是否有guest用戶用戶該登錄用戶被拒絕該登錄用戶被拒絕有有有有無無無無第16頁/共63頁18第17頁/共63頁19用戶賬號總是基于數據庫的，故兩個不同數據庫中可以有兩個相同的用戶賬號用戶賬號總是基于數據庫的，故兩個不同數據庫中可以有兩個相同的用戶賬號 第18頁/共63頁20sp_grantdbaccess 功能功能為為SQL Server登錄者或登錄者或Windows用戶或用戶組建立一用戶或用戶組建立一個相匹配的數據庫用戶賬號個相匹配的數據庫用戶賬號格式格式sp_gran

11、tdbaccess ,說明說明：SQL Server 登錄名或登錄名或Windows用戶或用戶用戶或用戶組。若用組。若用Windows用戶或用戶組，則必須給出用戶或用戶組，則必須給出Windows主機名或主機名或Windows網絡域名。網絡域名。登錄賬號或登錄賬號或Windows用戶或用戶組必須存在用戶或用戶組必須存在：登錄賬號相對應的數據庫用戶名。：登錄賬號相對應的數據庫用戶名。當前數據庫中沒有該數據庫用戶名，若不給出該參數當前數據庫中沒有該數據庫用戶名，若不給出該參數值，則值，則SQL Server 把登錄名作為默認的缺省用戶名把登錄名作為默認的缺省用戶名舉例舉例將用戶將用戶FirstUs

12、er映射到當前數據中，其用戶名為映射到當前數據中，其用戶名為FirstDBUserexec sp_grantdbaccess FirstUser,FirstDBUsersp_helpuser 功能功能顯示當前數據庫的指定用戶信息顯示當前數據庫的指定用戶信息格式格式sp_helpuser 說明說明若不指出參數，則顯示所有用戶信息若不指出參數，則顯示所有用戶信息舉例舉例exec sp_helpuser第19頁/共63頁21sp_revokedbaccess 功能功能刪除數據庫用戶刪除數據庫用戶格式格式sp_revokedbaccess 說明說明將數據庫用戶從當前數據庫中刪除，其對應的登錄者則將數據

13、庫用戶從當前數據庫中刪除，其對應的登錄者則無法使用該數據庫無法使用該數據庫若被刪除的數據庫用戶在當前數據庫中擁有任一對象，若被刪除的數據庫用戶在當前數據庫中擁有任一對象，如：表、視圖、存儲過程，則無法刪除，只有在刪除其如：表、視圖、存儲過程，則無法刪除，只有在刪除其所擁有的對象后，才可以將數據庫用戶刪除所擁有的對象后，才可以將數據庫用戶刪除舉例舉例刪除刪除“學生學籍數據庫學生學籍數據庫”的用戶的用戶FirstDBUserExec sp_revokedbaccess FirstDBUser續(xù)前表續(xù)前表第20頁/共63頁229.4 角色與權限角色與權限第21頁/共63頁23第22頁/共63頁24對

14、象對象操作類型操作類型表表SELECT、INSERT、UPDATE、DELETE、REFERENCES 視圖視圖SELECT、UPDATE、INSERT、DELETE 存儲過程存儲過程EXECUTE 列列SELECT、UPDATE n語句權語句權限限CREATE DATABASE創(chuàng)建數據庫創(chuàng)建數據庫 CREATE TABLE 創(chuàng)建表創(chuàng)建表CREATE VIEW 創(chuàng)建視圖創(chuàng)建視圖CREATE RULE 創(chuàng)建規(guī)則創(chuàng)建規(guī)則CREATE DEFAULT 創(chuàng)建默認值創(chuàng)建默認值CREATE PROCEDURE 創(chuàng)建存儲過程創(chuàng)建存儲過程BACKUP DATABASE 備份數據庫備份數據庫BACKUP LOG

15、 備份日志備份日志REFERENCES表示允許別的表的所有者引用本表的列作為外鍵約束表示允許別的表的所有者引用本表的列作為外鍵約束 第23頁/共63頁25第24頁/共63頁26第25頁/共63頁27GRANT ALL | ,nTO ,nGRANT ALL|,n(,) ON | ON (,n)| ON | ON TO ,n WITH GRANT OPTION ALL表示授予該用戶所有的對象權限表示授予該用戶所有的對象權限WITH GRANT OPTION 表示該權限的被表示該權限的被授予者可以向其它用戶授予這些權限授予者可以向其它用戶授予這些權限第26頁/共63頁28第27頁/共63頁29第28

16、頁/共63頁30第29頁/共63頁31第30頁/共63頁32固定服務器角色名固定服務器角色名 角色的權限角色的權限 Sysadmin 可在可在SQL Server 中執(zhí)行任何操作中執(zhí)行任何操作ServeradminSQL Server服務器范圍內的配置服務器范圍內的配置setupadmin增加、刪除連接服務器，并執(zhí)行某些系統(tǒng)存儲過程增加、刪除連接服務器，并執(zhí)行某些系統(tǒng)存儲過程Securityadmin管理管理數據庫登錄管理管理數據庫登錄processadmin管理管理SQL Server進程進程dbcreator創(chuàng)建數據庫并修改數據庫創(chuàng)建數據庫并修改數據庫diskadmin管理磁盤文件管理磁盤

17、文件Bulkadmin執(zhí)行執(zhí)行BULK INSERT（大容量插入）操作大容量插入）操作第31頁/共63頁33sysadmin角色的所有權限角色的所有權限第32頁/共63頁34sp_addsrvrolemember 功功能能將某一登錄者加入到服務器角色中成為該角色的成員將某一登錄者加入到服務器角色中成為該角色的成員格格式式sp_addsrvrolemember 登錄者名登錄者名, 服務器角色服務器角色舉舉例例將登錄者將登錄者FirstUser加入到加入到sysadmin 角色中角色中EXEC sp_addsrvrolemember FirstUser,sysadminsp_dropsrvrrol

18、emember 功功能能將某一登錄者從某一服務器角色中刪除使之不再具有將某一登錄者從某一服務器角色中刪除使之不再具有該服務器角色所賦予的權限該服務器角色所賦予的權限格格式式sp_dropsrvrolemember 登錄者名登錄者名,服務器角色服務器角色舉舉例例EXEC sp_dropsrvrolemember FirstUser, sysadmin第33頁/共63頁35第34頁/共63頁36固定數據庫角色名固定數據庫角色名 角色的權限角色的權限 db_owner數據庫的所有者，可以執(zhí)行任何數據庫管理工作，可以對數據數據庫的所有者，可以執(zhí)行任何數據庫管理工作，可以對數據庫內的任何對象進行任何操作

19、，如刪除、創(chuàng)建對象、將對象權庫內的任何對象進行任何操作，如刪除、創(chuàng)建對象、將對象權限指定給其它用戶。該角色包含下面各角色的所有權限限指定給其它用戶。該角色包含下面各角色的所有權限db_accessadmin 可增加或刪除可增加或刪除Windows認證模式下認證模式下Windows用戶或用戶或Windows用用戶組登錄者以及戶組登錄者以及SQL Server用戶用戶db_datareader能且僅能對數據庫中所有表執(zhí)行能且僅能對數據庫中所有表執(zhí)行SELECT操作，以讀取所有表操作，以讀取所有表數據數據db_datawriter能對數據庫中所有表執(zhí)行能對數據庫中所有表執(zhí)行INSERT、UPDATE

20、、DELETE操作，操作，但不能進行但不能進行SELECT操作操作db_addladmin可以新建、刪除、修改數據庫中任何對象可以新建、刪除、修改數據庫中任何對象db_securityadmin管理數據庫內權限的管理數據庫內權限的GRANT、DENY和和REVOKE，主要包括語主要包括語句和對象權限，也包括對角色權限的管理句和對象權限，也包括對角色權限的管理db_backupoperator可以備份數據庫可以備份數據庫db_denydatareader不能對數據庫中任何表執(zhí)行不能對數據庫中任何表執(zhí)行SELECT 操作操作db_denydatawriter不能對數據庫中任何表執(zhí)行不能對數據庫中任

21、何表執(zhí)行UPDATE、DELETE和和INSERT 第35頁/共63頁37第36頁/共63頁38注：注：“權限權限”按鈕處于禁用狀態(tài)，只有重新進入按鈕處于禁用狀態(tài)，只有重新進入”新建角色新建角色”對話框該按鈕才可用。當新對話框該按鈕才可用。當新建數據庫角色創(chuàng)建成功，可以通過以上步驟重新進入，此時建數據庫角色創(chuàng)建成功，可以通過以上步驟重新進入，此時“權限權限”為可用狀態(tài)，單擊按為可用狀態(tài)，單擊按鈕彈出鈕彈出“數據庫角色屬性數據庫角色屬性”對話框，進行角色權限設置。對話框，進行角色權限設置。 第37頁/共63頁39sp_addrole 功能功能創(chuàng)建新數據庫角色創(chuàng)建新數據庫角色 格式格式sp_add

22、role 數據庫角色名數據庫角色名 ,數據庫角色的所有者數據庫角色的所有者 舉例舉例在數據庫學生學籍數據庫中建立新的數據庫角色在數據庫學生學籍數據庫中建立新的數據庫角色SelectTablesp_addrole SelectTable sp_droprole 功能功能刪除數據庫中某一自定義的數據庫角色刪除數據庫中某一自定義的數據庫角色 格式格式sp_droprole 數據庫角色數據庫角色說明說明不能刪除固定數據庫角色，如不能刪除固定數據庫角色，如db_ddladmin、 db_owner，缺缺省情況下是省情況下是dbo舉例舉例將學生學籍數據庫的數據庫角色將學生學籍數據庫的數據庫角色Select

23、Table刪除刪除sp_droprole SelectTablesp_helprole功能功能顯示當前數據庫所有的數據庫角色的信息顯示當前數據庫所有的數據庫角色的信息格式格式sp_helprole 數據庫角色數據庫角色說明說明顯示數據庫學生學籍數據庫的所有數據庫角色信息顯示數據庫學生學籍數據庫的所有數據庫角色信息舉例舉例sp_helprole第38頁/共63頁40sp_addrolemember功能功能向數據庫某一角色中添加數據庫用戶向數據庫某一角色中添加數據庫用戶格式格式sp_addrolemember 數據庫角色數據庫角色,SQL Server 數據庫用戶數據庫用戶或或Windows用戶或

24、用戶組用戶或用戶組說明說明用戶用戶FirstDBUser加入到角色加入到角色SelectTable中中舉例舉例sp_addrolemember SelectTable, FirstDBUsersp_droprolemember功能功能刪除某一角色的成員刪除某一角色的成員格式格式sp_droprolemember 數據庫角色數據庫角色,數據庫用戶或數據庫用戶或Windows用戶或用戶組用戶或用戶組舉例舉例將用戶將用戶FirstDBUser從數據庫角色中刪除從數據庫角色中刪除sp_droprolemember SelectTable, FirstDBUsersp_helprolemember 功能

25、功能顯示某一數據庫角色的所有成員顯示某一數據庫角色的所有成員格式格式sp_helprolemember 數據庫角色數據庫角色說明說明包括固定數據庫角色。固定數據庫角色不能是數據庫角色包括固定數據庫角色。固定數據庫角色不能是數據庫角色的成員，如不能將的成員，如不能將db_accessadmin 加入到自建的角色加入到自建的角色SelectTable中中舉例舉例顯示學生學籍數據庫中所有角色的成員顯示學生學籍數據庫中所有角色的成員 sp_helprolemember 續(xù)前表續(xù)前表第39頁/共63頁41第40頁/共63頁42第41頁/共63頁43第42頁/共63頁44第43頁/共63頁45第44頁/共

26、63頁469.5 數據庫的并發(fā)控制數據庫的并發(fā)控制第45頁/共63頁47事務甲事務甲事務乙事務乙時間時間讀余額讀余額D為為1000讀余額讀余額D為為1000更新余額更新余額D=D-300t1t2t3t4更新余額更新余額D=D-200第46頁/共63頁48，數據數據D以進行校驗，但得到的結果不同于以進行校驗，但得到的結果不同于其第一次讀取的結果，即兩次讀取值不其第一次讀取的結果，即兩次讀取值不一致。一致。第47頁/共63頁49事務甲事務甲事務乙事務乙時間時間讀余額讀余額D為為700讀余額讀余額X為為1000并更新余額并更新余額D=D-300t1t2t3t4更新余額更新余額D=D-200余額為余額

27、為500因故回滾，余額因故回滾，余額D為恢復為為恢復為1000“臟臟”數據數據污讀污讀第48頁/共63頁50事務甲事務甲事務乙事務乙時間時間讀余額讀余額D為為1000并更新余額并更新余額D=D-200讀余額讀余額D為為1000t1t2t3讀余額讀余額D為為800兩次讀結果不一樣兩次讀結果不一樣不能重讀不能重讀第49頁/共63頁51第50頁/共63頁52T均可對該數據目標讀取，但其他事務均可對該數據目標讀取，但其他事務不得對數據目標進行更新不得對數據目標進行更新。第51頁/共63頁53表示表示T的請求與的請求與T建立的封鎖沖突，建立的封鎖沖突，T的請求不能實現。的請求不能實現。T對數據目標建立的

28、封鎖對數據目標建立的封鎖 T與與T的封鎖相容，可以實現。的封鎖相容，可以實現。SX-SX-NNYYNYYYYT對數據目標發(fā)出的封鎖請求對數據目標發(fā)出的封鎖請求 X：排它封鎖。排它封鎖。 S：共享封鎖。共享封鎖。 -：沒有加鎖。：沒有加鎖。n 共享性封鎖和排它性封鎖的相互作用可以用相容矩陣來共享性封鎖和排它性封鎖的相互作用可以用相容矩陣來表示表示第52頁/共63頁54第53頁/共63頁55n比最小的數據請求具有較多的數據單比最小的數據請求具有較多的數據單元元n安全的保持應做到安全的保持應做到n比最短請求時間具有較長時間的封鎖比最短請求時間具有較長時間的封鎖第54頁/共63頁56請求封鎖請求封鎖D

29、1等待等待請求封鎖請求封鎖 D2t3t4等待等待等待等待等待等待事務事務A事務事務B時間時間封鎖封鎖 D2封鎖封鎖 D1t1t2第55頁/共63頁57第56頁/共63頁58T1T2TiTnTj第57頁/共63頁59第58頁/共63頁60n設設D1排在排在D2之前，若事務之前，若事務B在在t2已對已對D2加鎖又在加鎖又在t4請求對請求對D1加鎖，將被拒絕，結果在加鎖，將被拒絕，結果在t4時刻不會發(fā)生時刻不會發(fā)生死鎖死鎖第59頁/共63頁61第60頁/共63頁62如：如：n 在查詢分析器中新建兩個查詢窗口（兩個連接）在查詢分析器中新建兩個查詢窗口（兩個連接）n 分別在兩個查詢窗口中輸入并執(zhí)行對分別在兩個查詢窗口中輸入并執(zhí)行對“學生基本學生基本信息副本信息副本”表的查詢語句表的查詢語句n 兩條語句成功執(zhí)行，未發(fā)生因一個操作鎖定數據兩條語句成功執(zhí)行，未發(fā)生因一個操作鎖定數據，而使另一個操作無法訪問該數據的情況，而使另一個操作無法訪問該數據的情況第61頁/共63頁63第62頁/共63頁