项目九公司的数据库系统安全性管理.docx

教案首页讲课时间:第2次（单元）课基本内容课程名称SQLSERVER数据库设计专业班级层次讲课教师职称课型（大、小）课时5讲课题目（章、节）项目九企业管理数据库系统In安全性管理讲课方式理论课；试验课教材及重要参照书SQLServer2023数据库教学目的与规定：1 .能对的使用SQLServer2023的安全管理机制2 .能对的设置SQLServer2O23的身份验证措施。3 .会创立和管理数据库顾客。4 .会对的设置理数据库权限教学过程设计（内容、时间安排、教学措施等）：理论课3课时试验课2课时教学重点、难点：安全管理机制会创立和管理数据库顾客教研室审阅意见:教研室主任签名:年月日项目九企业管理数据库系统的安全性管理一、教学目的终极目的：运用SQLSerVer2023提供的安全机制实现企业管理数据库系统的安全管理。促成目的：1 .能对的使用SQLServer2023的安全管理机制2 .能对FI勺设置SQLServer2023H勺身份验证措施。3 .会创立和管理数据库顾客。4 .会对的设置理数据库权限。二、工作任务数据安全性一直是困扰数据库设计者的一种重要问题，本项目重要完毕companyinfo数据库系统/J安全管理设置。详细任务如下：1 .设置SQLServer2023登录的身份验证模式为“SQLServer和windows”混合身份验证模式。2 .添加一种帐户名为IiyanH勺WindoWS身份验证的登录帐户，然后再删除该帐户。3 .添加帐户名分别为arlin、abc和WangjUn於JSQLSerVer登录帐户，然后再删除名称为abcH勺登录帐户。4 .设置和删除数据库顾客，规定如下： 将任务3中设置、JSQLServer登录帐户"aiin”映射为companyinfo数据库的顾客，顾客名为“李平”，即给数据库companyinfo添加一种名为“李平”的数据库顾客。 将任务3中设置的SQLServer登录帐户“wangjun”映射为ComPanyinfo数据库的顾客，顾客名为“王军”；然后再删除“王军”这个数据库顾客及其登录帐户“wangjun”。5 .设置数据库顾客“李平”对表Jorder的有关列具有修改操作的权限。三、有关实践知识（一）按照任务1的规定，设置SQLServer2023登录的身份验证模式为“SQLServer和windows”混合身份验证模式。其操作环节如下：1. 在企业管理器中，展开SQISerVer服务器组。2. 右击要设置身份验证的服务器，并在打开的快捷菜单中选择“属性”。3. 单击“安全性”选项卡。4. 在“身份验证”下，选择''SQlServer和WindOWs"，如图9-1所示。5. 在“审核级别”的单项选择内容中，选中顾客访问SQLSerVer的级别。其含义如下： “无”：体现不执行审核。 “成功”：体现只审核成功的登录尝试。 “失败”：体现只审核失败的登录尝试。 “所有”：体现审核成功的和失败的登录尝试。6、单击“确定”按钮，完毕任务1的设置。阐明：当变化设置后，必须停止并重新启动SQIServer服务器，设置才会生效。（二）按照任务2规定，添加一种名为Iiyan的windows身份验证的登录帐户，然后再删除该帐户。1 .添加一种名Iiyan於Jwindows身份验证的登录帐户措施一：运用企业管理器实现其操作环节如下：（1）在企业管理器中，展开SQISerVer服务器组中对应的服务器。（2）展开“安全性”，右击【登录】I【新建登录】命令。（3）在打开的“新建登录”对话框H勺“名称”框中，输入要被授权访问SQLSerVer的WindoWS帐户名称，其格式为“域名帐户名”，本任务中输入“YANGLlNViyan阐明：目前使用日勺计算机的域名是“YANGL1N”。（4）在“身份验证”下，单击“Windows身份验证”。（5）可选（数据库和语言）：选择顾客登录到SQLSerVer实例后所连接的默认数据库和显示顾客的信息所默认的语言。单击“确定”按钮，完毕任务2中Iiyan帐户的设置。阐明：添加了新的登录帐户后，在企业管理器中展开SQLServer服务器对应的服务器，选择“安全性”I“登录”，则可以查看已存在的帐户。措施二：运用Transact-SQL命令实现在查询分析器中执行如下命令即可。EXECsp_grantlogin,YANGLTNliyan'2 .运用企业管理器，删除已设置的登录帐户Iiyan。措施一：运用企业管理器实现要删除已创立的登录帐户：首先在如图9-10所示的窗口中，用鼠标右键单击要删除的帐户，在打开的快捷菜单中选择“删除”，接着将弹出与否确实删除Fl勺消息提醒对话框，在消息提醒框中，用鼠标单击“是"按钮即可完毕帐户的删除。措施二：运用TranSaCt-SQL命令实现在查询分析器中执行如下命令,即可删除WindowsNT/2023帐户YANGLINIiyanoEXECsp_revokelogin,YANGLINliyan'（三）按照任务3的规定，添加arli11sabc和WangjUn的SQLServer登录帐户,然后再删除名称为abc的登录帐户。1 .运用企业管理器实现添加SQLServer登录帐户arli11o运用企业管理器添加SQLServer登录帐户措施同任务2,只是在图9-3时对话框中选择“SQLServer身份验证”和顾客密码，然后单击“确定”按钮。用同样的措施创立名为abc和wangjun聆JSQLServer登录帐户。阐明：需要保证新添加日勺帐户拥有对默认数据库的访问权限，其设置措施后述O注意：在SQLSerVer身份验证。勺餐录帐户(任务3)与WindOWS身份验证的登录帐户(任务2)设置时，其帐户名称输入格式口勺区别。前者只需输入“帐户名”，而后者必须一“域名帐户名”日勺格式输入。2 .用TranSaCt-SQL命令删除SQLSerVer登录帐户“abc”。在查询分析器中执行如下命令，即可删除SQLSerVer登录帐户“abc”。EXECsp_droplogin'abc'注意：任务2和任务3删除WindowsNT/2023登录帐户Iiyan和SQLServer登录帐户abc时命令是口勺区别。(四)按照任务4规定，给ComPailyiIIfO数据库添加数据库顾客“李平乙1 .运用企业管理器实现，其操作环节如下：(1)在企业管理器中，展开SQISerVer服务器组中对应的服务器。(2)展开“数据库”文献夹，然后展开将授权顾客或组访问的数据库companyinfo,右击【顾客】|【新建数据库顾客】命令。(3)在打开的“数据库顾客属性”对话框中口勺“登录名”框中，键入或选择将授权访问数据库的ISQLSerVer登录名arlin；“顾客名”列表框中输入“李平”,如图9-4所示。(4)在“数据库角色”列表框中，除public(默认)夕卜，还可选择其他数据库角色组员。如图94所示。单击“确定”按钮，即可完毕数据库顾客“李平”的添加。2 .用Transact-SQL命令给ComPanyinfo数据库添加名为"王军"的顾客。在查询分析器中执行如下SQL命令：USECompanyinfbEXECsp-qranldbaccess'wangjun','王军3 .删除数据库顾客“王军”及其登录帐户wangjun（1）删除数据库顾客“王军” 在企业管理器中，展开SQlSerVeI服务器组中对应的服务器。 展开“数据库”文献夹，然后展开将删除顾客或组访问的数据库COmpanyinfbo 单击“顾客”对象，在“详细信息”窗格中，右击要删除的数据库顾客“王军”，然后单击“删除”。 确认删除。此时只是删除了数据库顾客，登录并没有删除，（2）删除名为“wangjun”的J登录。操作同任务3中“abc”的删除，在此从略。（五）按照任务5规定，给数据库顾客“李平”设置对表P_order的列具有修改操作的权限。措施一：通过设置数据库顾客的属性，实现顾客权限的设置操作环节如下：1 .在企业管理器中，展开SQISerVer服务器组中对应的服务器。2 .展开“companyinfo”文献夹,单击“顾客”，在右边的窗格会显示companyinfo数据库H勺所有顾客。如图9-5所示。图9-5顾客属性快捷菜单3 .右击“李平”，在打开的快捷菜单中执行“属性”，如I9-5所示；4 .在打开的“数据库顾客属性”对话框中H勺“权限”选项卡中，可以进行对象的权限设置。5 .在“权限”选项卡中，单击“列”按钮，可以设置“列权限”，然后单击“确定”按钮。措施二：通过设置数据库对象的权限，设置顾客的权限。操作环节如下：1 .展开服务器组，然后展开服务器，展开要进行权限设置的数据库，选中表对象。2 .右击要进行权限设置的表Jorder表，执行【所有任务】I【管理权限】命令,3 .在图9-9所示的对话框中，进行对象权限的设置，还可以单击“列”，深入对列权限进行设置，其操作同措施一。然后单击“确定”按钮。阐明：顾客权限日勺设置还可以通过TranSaCt-SQL命令口勺措施实现，有关内容详见本项目有关理论知识。四、有关理论知识一种网络数据库系统，其数据安全的重要性是显而易见於J。SQLServer2023数据库的安全性通过如下几种方面得以保证。SQLServer2023数据库的数据安全机制： 网络系统的安全性：可以通过在网络系统边界安装防火墙系统得以实行。 服务器的安全性：保证运行SQLServer2023的!服务器自身及其操作系统甲、J安全。 SQLSerVer2023登录安全性：容许哪些顾客登录。 数据库的安全性：规定顾客登录后来可以使用哪些数据库。 数据库对象的安全性：规定顾客登录某一数据库后，可以操作哪些数据库对象以及怎样操作。数据安全性重要通过SQLSerVer2023的登录安全性、数据库和数据库对象H勺安全性几种方面实现，对于其他方面的!安全性讨论请参照其他方面的安全性书籍。（一）SQLServer20230¾登录身份验证模式1. SQLSerVer2023可以在两种安全（身份验证）模式下工作： Windows身份验证模式：Windows身份验证模式使顾客得以通过WindowsNT/2023顾客帐户进行连接。即被授权连接SQLServer2023於JWindowsNT/2023顾客帐户或组帐户在连接SQLServer2023时不需要提供登录帐户和密码，由于SQLServer2023认为WindowsNT/2023已经对该顾客作了身份验证。 "SQLServer和Windows"混合模式身份验证：混合模式使用SQLServer原则登录模式验证时，系统管理员创立一种帐户和密码，并把它们存储在SQLServer2023系统数据库中。当顾客想要连接到SQLServer2023上时，必须提供一种已存在於JSQLServer登录帐户和密码。一般推荐使用Windows身份验证Fl勺重要原因有：一是可以提高管理效率；二是可以加紧登录速度。阐明：假如将SQLServer安装在Windows9X操作系统上，将只能使用SQLServer身份验证模式，由于WindOWs9X不支持WindOWSNT/2023帐户险证方式。2.帐户信息rJ查看在SQLServer2023企业管理器的树型目录中展开服务器下即安全性”，选择“登录”，可以查看目前服务器所有H勺登录帐户信息。,对于每一种服务器登录帐户，列出了该帐户的“名称”、“类型”、“服务器访问权限”、“默认数据库”以及“默认语言”。下面详细简介各项的含义。帐户0类型有三种,分别是“Windows顾客”帐户、"Windows组”帐户和“原则”帐户。 “名称”栏信息对于SQLSerVer帐户，“名称”列直接显示顾客帐户名称。如ISQLSerVer帐户sao对于WindoWSNT顾客帐户，帐户名采用“计算机名称（或域名）顾客名（或组名）"H勺形式体现。对于WindowsNT/2023内建当地组，其帐户名中使用BUILT1N替代计算机名（或域名）。 “服务器访问”栏信息：显示了与否容许该顾客登录服务器，取值可以是“许可”或“拒绝”。 “默认数据库”栏信息：是指顾客登陆SQLServer2023后首先连接的!数据库，默认master数据库。 “默认语言”栏信息：定义了SQLSerVer使用何种语言为顾客显示信息。3.SQLServer2023的登录身份验证模式的设置措施。详见本项目“有关实践知识”。（二）SQLSCrVeI数据库的安全性顾客成功登录SQLServer2023服务器后，并不自动拥有对所有数据库的访问权限，管理员必须在数据库中为顾客建立一种顾客帐户，才能使该顾客访问数据库。一台服务器有了一套服务器登录帐户列表外，每个数据库中均有一套互相独立的数据库顾客列表。每个数据库顾客都和服务器登录帐户存在着一种映射关系。系统管理员可以将一种服务器登录帐户映射到顾客需要访问的每一种数据库中的一种顾客帐户和角色上。一种登录帐户在不同样的!数据库中可以映射成不同样的顾客，从而拥有不同样的权限。在每个SQLSeIver2023数据库中，均有两个默认FI勺顾客帐号：dbo和guesi。dbo代表数据库拥有者，guest顾客是为那些没有属于自己於!顾客帐户的SQLServer2023登录者作为默认H勺顾客，访问具有guest顾客的数据库。SQLServer2023数据库顾客的添加措施常运用SQLSerVer企业管理器工具实现，详见本项目“有关实践知识”。（三）数据库对象的安全性创立一种数据库对象时，创立者将自动拥有对该数据库对象H勺操作权限。当一种非数据库拥有者想访问数据库中的对象时，必须事先由数据库拥有者赋予该顾客对指定对象的操作权限。权限用来指定授权顾客可以使用的数据库对象和这些授权顾客可以对这些数据库对象执行的操作。一般权限分为三种类型：对象权限、语句权限和暗示性权限。1 .权限的种类（1） 对象权限：顾客对数据库对象进行操作H勺权限，详细包括:针对表和视图的操作：SELECT、INSERT、UPDATE和DELETE语句。 针对表和视图FI勺行H勺操作：INSERT和DELETE语句。 针对表和视图的列的操作：SELECT和UPDATE语句。 针对存储过程和顾客定义的函数的操作：EXECUTE语句。（2） 语句权限：指顾客与否具有权限来执行某一语句。BACKUPDATABASE：备份数据库BACEUP1.OG：备份事务日志CREATEDATABASE：仓位数据库CREATEDEFAULT：创立默认CREATEINDEX：创立索引CREATEPROCEDURE：仓立存储过程CREATERULE：创立规则CREATETABLE创立表CREATEVIEW创立视图(3)暗示性权限：指系统预定义的固定服务器角色组员、数据库拥有者和数据库对象拥有者所拥有的权限。例如sysadmin固定服务器角色组员可以在服务器范围内做任何操作，dbo可以对数据库做任何操作，dbo可以对其拥有的!数据库对象做任何操作，它不需要明确FI勺赋予权限。阐明：暗示性权限不能明确地赋予和撤销。2 .权限的设置权限的设置有两种措施，一是运用企业管理器实现(详见本项目的有关实践知识)；二是运用TranSaCt-SQL语句来实现。权限管理的JTranSaCI-SQL语句如下：(1) GRANTGRANT语句用来授予语句权限和对象权限。(2) DENY拒绝顾客帐户上的权限： 删除此前授予顾客、组或角色的权限。 停用从其他角色继承的权限。 保证顾客、组或角色未来不继承更高级别的组或角色的I权限。(3) REVOKE删除此前在目前数据库内的顾客上授予或拒绝欧I权限。【例9.1】将companyinfo数据库中，名为customer表、JSELECT权赋予dbAdmin角色。程序清单如下：USEcompanyinfoGRANTSELECTONTOClbAdmin【例9.2】假设COmPanyinfo数据库已拥有一种名为SaI於J数据库顾客，且该顾客已具有对CUStomer表的JSELECT权限，写出拒绝sal对customer表於JSELECT权限的命令。程序清单如下：USECompanyinfbDENYSELECTONcustomerTOsal【例9.3】假设COmPanyinfo数据库已拥有一种名为Sa2/J数据库顾客，写出授予据库顾客sa2对CUSIOmer表的J“客户ID”和“企业名称”字段的修改权的命令。程序清单如下：USEcompanyinfoGRANTUPDATE（客户ID,企业名称）ONCUStOmerToSa2【例9.4假设companyinfo数据库已拥有一种名为sa3#、J数据库顾客，写出授予据库顾客sa3可以在companyinfo数据库中的建表权的命令。程序清单如下：USECompanyinfbGRANTCREATETABLETOsa3五、拓展知识（一）有关角色的概念角色是SQLSerVer7.0版本引进的新概念，它替代了此前版本中组的概念，运用角色，SQLServer管理者可以将某一组顾客设置为某一角色，这样只要对角色进行权限设置便可以实现对所有顾客权限的设置，大大减少了管理员的工作量。SQLSerVer提供了一般管理工作的预定义服务器角色和数据库角色。顾客还可以创立自己的数据库角色，以便体现某一类进行同样操作的I顾客。当顾客需要执行不同样操作时只需要加入不同样的角色中即可，不必对该顾客反复授权许可或回收许可。（二）服务器角色服务器角色是根据SQLServer的管理任务以及这些任务Fl勺重要性等级把具有SQLServer管理职能的顾客划分为不同样的顾客组，每一组所具有的管理SQLSerVerH勺权限都是内置的，即不可修改、删除和添加，只能向其中加入顾客或其他角色。服务器角色存在于各个数据库之中，要加入顾客，该顾客必须有登录帐户，以便加入到角色中。1. SQLSerVer系统提供的固定服务器角色有8种，其含义如下： systemadministrators体现系统管理员可执行任何动作。 securityadministrators体现管理登入账户。 serveradministrators体现设置SQLServer的J各项参数。 setupadminisirators体现有关replicaion(复制邢J设置与管理扩充预存程序。 processadministrators体现管理SQLSerVer所有执行中於J程序。 diskadministrators体现管理资料库文献。 databaseadministrators体现建立和更改资料库属性。 bulkinsertadministrators体现对可执行bulkinsert操作的管理。2.运用企业管理器向固定服务器角色添加组员的环节如下：(1) 展开服务器组，然后展开服务器.(2) 展开“安全性”，然后单击“服务器角色，(3) 在“详细信息”窗格中，如图9-11,右击setupAdministrators角色，然后单击“属性”。(4) 在“常规”选项卡中单击“添加”按钮，然后单击要添加的登陆顾客。(三)数据库角色和服务器同样，数据库中也引进了角色的概念。数据库角色为某一顾客或某一组顾客授予不同样级别的!管理或访问数据库以及数据库对象的权限，这些权限是数据库专有的，并且还可以使一种顾客具有属于同一数据库的多种角色，SQLSerVer提供了两种数据库角色，即固定数据库角色和顾客自定义的数据库角色。1.SQLSerVer提供的固定数据库角色见表9-1所示。表9.1固定数据库角色db_accessadmin在数据库中添加或删除Windows顾客或SQLServer顾客db-backupoperator有备份数据库的权限db_datareader查看来自数据库中所有顾客表的所有数据db_datawriter添加、更改或删除来自数据库中所有顾客表的数据db_ddladmin添加、修改或除去数据库中的对象(运行所有DDL)db_denydatareader拒绝选择数据库数据的权限db_denydatawriter拒绝更改数据库数据的权限db_owner进行所有数据库角色的活动，以及数据库中Fl勺其他维护和配置活动，该角色H勺权限跨越所有其他固定数据库角色db_securityadmin管理SQLServer2023数据库角色的角色和组员，并管理数据库中的语句和对象权限运用企业管理器配置数据库角色的措施日勺操作环节如下：(1) 在企业管理器中，双击顾客容器，通过右键菜单打开指定顾客的属性，可以看到数据库角色列表，选中想要赋予顾客的角色，单击“确定”按钮。(2) 也可以打开角色容器，通过双击，打开想赋予的角色的属性，单击“添加”按钮，把指定顾客加入这个角色，然后再单击“确定”按钮。2 .创立顾客定义的数据库角色在企业里，也常常用到来自不同样级别，不同样部门的顾客，为了对某些顾客赋予相似的权限，我们可以自定义某些新数据库角色，然后把顾客添加到该角色中，这样，这些顾客便获得了该角色对应的访问权限。运用企业管理器创立顾客自定义数据库角色的环节如下：(1) 展开服务器组，然后展开服务器。(2) 展开“数据库”文献夹，然后展开要在其中创立角色的数据库。(3) 右击“角色”，然后单击“创立数据库角色”命令。(4) 在图9-12所示的“名称”框中输入新角色的I名称。(5) 单击“添加”将组员添加到“原则角色”列表来，然后单击要添加的一种或多种顾客。只有选定的数据库中的顾客才能被添加到该角色中。3 .查看角色以及删除角色及其组员创立和使用数据库时，也许需要查找有关SQLServer数据库角色或固定服务器角色艮I信息，可以根据需要查看目前数据库中有哪些角色，或者列出固定服务器角色。 查看角色信息：查看的措施和向数据库角色和固定服务器角色添加组员的措施相似。 查看角色组员信息：在查看角色后，在“详细窗格”中，查看角色的属性，就可以查看组员信息。删除角色及其组员：删除角色Fl勺措施就是在“角色”的详细窗格中，右击该角色,选择“删除”，确定删除即可。删除顾客帐户则要在角色的属性窗口中，删除顾客。复习思索题、作业题作业：实践题：1-5课习点次下预要数据库备份施倔析实搬分效果很好注：教案按讲课次数或单元填写。反复课可不另填写教案。容许特色设计。