《SQL Server 2005数据库应用技术 教学课件 ppt 作者 王亚楠 第13章 安全管理》由会员分享,可在线阅读,更多相关《SQL Server 2005数据库应用技术 教学课件 ppt 作者 王亚楠 第13章 安全管理(27页珍藏版)》请在金锄头文库上搜索。
1、2010年6月,课件制作人:王亚楠,1,第13章 安全管理,教学课件,2010年6月,课件制作人:王亚楠,2,目录,本章目标 了解:安全管理结构和安全管理模型 理解并掌握:服务器安全管理的方法 理解并掌握:数据库安全管理的方法 了解:数据加密功能,本章内容 13.1 安全管理概述 13.2 服务器安全管理 13.3 数据库安全管理 13.4 权限管理 13.5 数据加密,2010年6月,课件制作人:王亚楠,3,13.1 安全管理概述,13.1.1 安全管理结构 13.1.2 安全管理模型,服务器安全性:建立在对登录用户进行身份验证的基础上 数据库安全性:建立在对数据库用户进权限认证的基础上,2
2、010年6月,课件制作人:王亚楠,4,13.1 安全管理概述(续),13.1.1 安全管理结构 13.1.2 安全管理模型,基于为主体分配安全对象的访问权限机制,主体:Windows级主体、服务器级主体、数据库级主体,安全对象:服务器、数据库和架构3种范围的安全对象,2010年6月,课件制作人:王亚楠,5,13.2 服务器安全管理,第一级安全机制 对所有连接服务器的登录用户进行身份验证,并允许创建Windows登录用户和SQL Server用户进行服务器访问。 管理: 登录用户管理 固定服务器角色管理,13.2.1 身份验证模式 13.2.2 管理登录用户 13.2.3 管理固定服务器角色,2
3、010年6月,课件制作人:王亚楠,6,13.2.1 身份验证模式,登录用户连接服务器的2种身份模式: Windows身份验证模式 混合身份验证模式 选择身份验证模式: (1)安装SQL Server时 (2)新建SQL Server注册时 (3)编辑SQL Server注册属性时 (4)配置服务器属性的安全性选项时,2010年6月,课件制作人:王亚楠,7,13.2.2 管理登录用户,默认登录用户 :BULITINAdministrators、sa 管理登录用户:SSMS和T-SQL,【例13-1】创建SQL Server登录用户,用户名为new_login1。(SSMS),【例13-2】创建S
4、QL Server登录用户,用户名为new_login2和new_login3。(T-SQL),2010年6月,课件制作人:王亚楠,8,13.2.3 管理固定服务器角色,服务器角色:是管理与维服务器安全对象的用户组。 8个固定服务器角色:sysadmin,【例13-4】为固定服务器角色dbcreator,添加成员new_login1。(SSMS),【例13-5】将登录new_login3添加到固定服务器角色sysadmin中。(T-SQL),2010年6月,课件制作人:王亚楠,9,13.3 数据库安全管理,第二级安全机制 将需要访问数据库的登录名映射为数据库用户,使其具有访问数据库及其对象的合
5、法权限。 管理: 数据库用户 数据库角色,13.3.1 管理数据库用户 13.3.2 管理数据库角色 13.3.3 管理架构,2010年6月,课件制作人:王亚楠,10,13.3.1 管理数据库用户,登录用户与数据库用户的对应关系: 一个登录用户可以映射到不同的数据库,在每个数据库中映射为一个数据库用户。 一个数据库用户(除特殊用户guest)必须与一个登录用户相关联。 系统允许登录用户和数据库用户使用相同的名称。 默认数据库用户: dbo、guest、INFORMATION_SCHEMA和sys,2010年6月,课件制作人:王亚楠,11,13.3.1 管理数据库用户(续),管理数据库用户:SS
6、MS和T-SQL,【例13-7】在数据库student中创建数据库用户new_user3,并将其关联于登录new_login3。(T-SQL),【例13-8】激活数据库student中的默认用户guest,使登录new_login2采用guest用户访问数据库student。(T-SQL),【例13-6】在数据库student中创建数据库用户new_user1,并将其关联于登录new_login1。(SSMS),2010年6月,课件制作人:王亚楠,12,13.3.2 管理数据库角色,数据库角色是数据库用户构成的组 包括: 固定数据库角色(10个) 用户定义数据库角色 2类管理操作: 管理用户定
7、义数据库角色 CREATE ROLE ALTER ROLE DROP ROLE 管理数据库角色的成员,2010年6月,课件制作人:王亚楠,13,13.3.2 管理数据库角色(续),【例13-10】在数据库student中,将数据库用户new_user1添加到角色role1中 。(T-SQL),【例13-9】在数据库student中,创建户定义数据库角色role1 。(SSMS),2010年6月,课件制作人:王亚楠,14,13.3.3 管理架构,架构(Schema): 是形成一个单独的命名空间的数据库对象的集合,包括:表、视图、约束、函数、存储过程和触发器等 默认架构: 每个数据库用户都有一个默
8、认架构,如果用户未指定默认架构,则DBO为默认架构 数据库用户和架构分离 对象的完全限定名的结构为:server.database.schema.object 管理架构 : CREATE SCHEMA、ALTER SCHEMA、DROP SCHEMA,2010年6月,课件制作人:王亚楠,15,13.4 权限管理,权限管理: 指将安全对象的权限对相关主体进行授予、拒绝、取消操作。,13.4.1 安全对象的权限 13.4.2 使用SQL Server Management Studio管理权限 13.4.3 使用T-SQL管理权限,2010年6月,课件制作人:王亚楠,16,13.4.1 安全对象的
9、权限,2010年6月,课件制作人:王亚楠,17,13.4.2 使用SQL Server Management Studio管理权限,步骤1:设定权限 步骤2:验证权限,【例13-11】在数据库student中,授予用户new_user1对表student的SELECT权限;拒绝授予用户new_user1对表student的INSERT权限;并对上述权限操作进行验证。,2010年6月,课件制作人:王亚楠,18,13.4.3 使用T-SQL管理权限,GRANT ALL | permission ( column ,.n ) ,.n ON class : securable TO principal
10、 ,.n ,DENY ALL | permission ( column ,.n ) ,.n ON class : securable TO principal ,.n ,REVOKE ALL | permission ( column ,.n ) ,.n ON class : securable FROM|TO principal ,.n ,【例13-12】在数据库student中,授予用户new_user1对表class的SELECT权限。,2010年6月,课件制作人:王亚楠,19,13.5 数据加密,数据加密技术采用了基于服务主密钥(Serverice Master Key)的加密层次结
11、构。 加密层次结构由3个层次构成: 第一级加密:SQL Server服务器级加密,应用服务主密钥进行加密。 第二级加密:数据库级加密,应用服务主密钥进行加密。 第三级加码:数据级加密,应用证书、对称密钥和非对称密钥加密。,2010年6月,课件制作人:王亚楠,20,13.5 数据加密(续),1. 服务主密钥 2. 数据库主密钥 3. 对称和非对称密钥 4. 证书,【例13-15】在数据库student中,对教师表teacher增加一列th_comments,该列用于存储教师的机密信息。对该列数据进行加密。,2010年6月,课件制作人:王亚楠,21,1)修改教师表teacher,增加列th_com
12、ments,并修改教师在该列的数据;(略) 2)创建数据库主密钥(以Windows身份验证连接服务器); IF NOT EXISTS (SELECT * FROM sys.symmetric_keys WHERE symmetric_key_id = 101) CREATE MASTER KEY ENCRYPTION BY PASSWORD = 123456MASTERKEY GO -打开主密钥 OPEN MASTER KEY DECRYPTION BY PASSWORD = 123456MASTERKEY GO 3)创建证书,用于加密对称密钥; CREATE CERTIFICATE cer_
13、teacher WITH SUBJECT = teacher comments GO 4)创建对称密钥,并用证书加密; CREATE SYMMETRIC KEY commentkey WITH ALGORITHM = DES ENCRYPTION BY CERTIFICATE cer_teacher GO,2010年6月,课件制作人:王亚楠,22,5)使用证书解密对称密钥,然后使用EncryptByKey函数加密th_comments列; OPEN SYMMETRIC KEY commentkey DECRYPTION BY CERTIFICATE cer_teacher UPDATE tea
14、cher SET th_comments = EncryptByKey(Key_GUID(commentkey), th_comments) GO -关闭打开的对称密钥 CLOSE SYMMETRIC KEY commentkey GO 6)验证加密:查询表teacher SELECT * FROM teacher GO,2010年6月,课件制作人:王亚楠,23,7)对th_comments进行数据解密,执行结果如图13-17所示; OPEN SYMMETRIC KEY commentkey DECRYPTION BY CERTIFICATE cer_teacher SELECT th_id,
15、 th_name, CONVERT(nvarchar, DecryptByKey(th_comments) AS th_comments FROM teacher GO 8)关闭对称密钥和数据库主密钥。 CLOSE SYMMETRIC KEY commentkey GO CLOSE MASTER KEY GO,2010年6月,课件制作人:王亚楠,24,本章小结,安全管理结构分为两个层次:服务器安全管理和数据库安全管理。 T-SQL使用GRANT、DENY、REVOKE语句为主体授予、拒绝或取消特定安全对象的访问权限。 数据加密是SQL Server 2005内置的一个新特性。SQL Serve
16、r 2005提供一个基于服务主密钥的加密层次结构,将数据加密分为服务器、数据库、数据三级加密。,2010年6月,课件制作人:王亚楠,25,实训项目,项目1:服务器安全管理 目的:学会创建一个SQL Server登录名,并访问服务器。 内容: 1. 使用CREATE LOGIN语句创建登录名saleslogin1,密码为login1,默认访问的数据库是sales。 2. 为登录名saleslogin1分配固定服务器角色dbcreator。 3. 使用登录名saleslogin1连接SQL Server服务器。,2010年6月,课件制作人:王亚楠,26,实训项目(续),项目2:对数据库sales进行安全管理 目的:学会创建一个数据库用户,并授予权限。 内容: 1. 使用CREATE USER语句创建数据库用户salesuser1,关联于登录名saleslogin1。 2. 使用GRANT语句对用户sale
