《教学课件学习情景4服务器安全设置》由会员分享,可在线阅读,更多相关《教学课件学习情景4服务器安全设置(70页珍藏版)》请在金锄头文库上搜索。
1、PPT模板下载:/moban/ 行业PPT模板:/hangye/ 节日PPT模板:/jieri/ PPT素材下载:/sucai/PPT背景图片:/beijing/ PPT图表下载:/tubiao/ 优秀PPT下载:/xiazai/ PPT教程: /powerpoint/ Word教程: /word/ Excel教程:/excel/ 资料下载:/ziliao/ PPT课件下载:/kejian/ 范文下载:/fanwen/ 试卷下载:/shiti/ 教案下载:/jiaoan/ 字体下载:/ziti/ 教学课件学习情景4 服务器安全设置SECURITY 新世纪高职高专新世纪高职高专电子商务类课程规划
2、教材电子商务类课程规划教材电子商务电子商务安全技术与应安全技术与应用用主编梁永生主编梁永生eSECURITY 电子商务安全技术与应用电子商务安全技术与应用学习情境学习情境1 客户端安全设置客户端安全设置新世纪高职高专新世纪高职高专电子商务类课程规划教材电子商务类课程规划教材学习情学习情境境2 网络通信安全构建网络通信安全构建学习情学习情境境3 信息传输安全构建信息传输安全构建学习情学习情境境4 服务器安全设置服务器安全设置学习情学习情境境5 电子支付安全实现电子支付安全实现SECURITY 学习情境描述学习情境描述学习情境描述学习情境描述 子学习情境子学习情境子学习情境子学习情境1 1 操作系
3、统安全操作系统安全目目 录录新世纪高职高专新世纪高职高专电子商务类课程规划教材电子商务类课程规划教材学习情境学习情境4 4 服务器安全设置服务器安全设置服务器安全设置服务器安全设置子学习情境子学习情境子学习情境子学习情境2 2 数据库安装于安全设置数据库安装于安全设置SECURITY 加密、解密技加密、解密技加密、解密技加密、解密技术术学习情境学习情境4 4子学习情境子学习情境1 1子学习情境任务描述子学习情境任务描述子学习情境任务描述子学习情境任务描述 服务器的操作系统(服务器的操作系统(Network Operation System-NOS)是网络的心脏和灵魂,是电子商务)是网络的心脏和
4、灵魂,是电子商务系统运行的基础与平台。服务器的操作系统目前主系统运行的基础与平台。服务器的操作系统目前主要有微软公司的要有微软公司的Windows 系列操作系统系列操作系统(Windows NT4.0、Windows 2000 Server、Windows 2003 Server等)、等)、Unix,Linux以及以及Netware系统等。本书将以系统等。本书将以Windows 2000 Server为例,讲解电子商务系统中服务器操作系统的相关为例,讲解电子商务系统中服务器操作系统的相关安全技术。安全技术。 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习
5、情境1 14.1.1 4.1.1 活动目录(活动目录(活动目录(活动目录(Active DirectoryActive Directory)活活动动目目录录服服务务在在Windows 2000 Server操操作作系系统统的的网网络络安安全全性性中中扮扮演演着着重重要要角角色色。它它提提供供了了完完全全集集成成在在Windows 2000中中的的一一个个安安全全、分分布布式式、可可扩扩展展以以及及重重复复的分层目录服务。的分层目录服务。 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 14.1.1 4.1.1 活动目录(活动目录(活动目录(活动目录
6、(Active DirectoryActive Directory)活活动动目目录录由由一一个个或或多多个个域域组组成成,每每个个域域在在Windows 2000网网络络中中构构成成一一个个管管理理与与安安全全边边界界,域域可可以以跨跨越越多多个个物物理理位位置置。每每个个域域都都有有自自己己的的安安全全策策略略和和配配置置,包包括括管管理理员员与与用用户户的的权权限限、EFS策策略略以以及及ACL,每每个个域域可可能能与与其其它它域域具具有有安安全全信信任任关关系系。当当多多个个域域通通过过信信任任关关系系连连接接起起来来并并共共享享一一个个通通用用架架构构、配配置置和和全全局局目目录录的的
7、时时候候,就就组组成成了了一一个个域树。多个域树又可以连接到一起组成森林,如图域树。多个域树又可以连接到一起组成森林,如图4-1所示。所示。 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 1图图4-1 域目录树与目录林域目录树与目录林 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 14.1.4.1.2 2 组策略对象(组策略对象(组策略对象(组策略对象(Group Policy ObjectGroup Policy Object)组组策策略略是是用用来来为为用用户户与与计计算算机机组组集集中中定定义
8、义系系统统设设置置和和应应用用程程序序而而设设置置的的,这这些些设设置置包包括括计计算算机机配配置置和和用用户户配配置置。每每项项里里都都分分别别包包括括软软件件设设置置、Windows设设置置和和管管理理模模板板三三项项。主主要要有有软软件件策策略略、脚脚本本、用用户户文文档档与与设设置置等等。组组策策略略定定义义了了包包含含在在组组策策略略对对象象(GPO)中中的的信信息息,GPO关关联联到到一个或多个活动目录对象,如:站点和域等。一个或多个活动目录对象,如:站点和域等。 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 14.1.3 Web4.
9、1.3 Web服务器安装服务器安装服务器安装服务器安装Web服服务务器器也也称称为为WWW(World Wide Web)服服务务器器,主主要要功功能能是是提提供供网网上上信信息息浏浏览览服服务务。它它是是电电子子商商务务网网站站的的载载体体,目目前前,电电子子商商务务网网站站中中最最常常用用的的Web Server 服服务务器软件是微软的信息服务器(器软件是微软的信息服务器(IIS)和)和Apache。IIS 是是Internet Information Server的的缩缩写写,它它是是微微软软公公司司主主推推的的服服务务器器,IIS与与Window Server完完全全集集成成在在一一起
10、起。因因此此,用用户户能能够够利利用用Windows Server和和NTFS(NT File System,NT的的文文件件系系统统)内内置置的的安安全全特特性性,建建立立强强大大,灵活而安全的电子商务站点。灵活而安全的电子商务站点。 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 14.1.3 Web4.1.3 Web服务器安装服务器安装服务器安装服务器安装Web服服务务器器也也称称为为WWW(World Wide Web)服服务务器器,主主要要功功能能是是提提供供网网上上信信息息浏浏览览服服务务。它它是是电电子子商商务务网网站站的的载载体体,
11、目目前前,电电子子商商务务网网站站中中最最常常用用的的Web Server 服服务务器软件是微软的信息服务器(器软件是微软的信息服务器(IIS)和)和Apache。IIS 是是Internet Information Server的的缩缩写写,它它是是微微软软公公司司主主推推的的服服务务器器,IIS与与Window Server完完全全集集成成在在一一起起。因因此此,用用户户能能够够利利用用Windows Server和和NTFS(NT File System,NT的的文文件件系系统统)内内置置的的安安全全特特性性,建建立立强强大大,灵活而安全的电子商务站点。灵活而安全的电子商务站点。 操作系
12、统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 14.1.3 Web4.1.3 Web服务器安装服务器安装服务器安装服务器安装()()IIS安装安装打打开开“控控制制面面板板”,然然后后单单击击启启动动 “添添加加/删删除除程程序序”, 在在弹弹出出的的对对话话框框中中选选择择 “添添加加/删删除除Windows组组件件”,在在Windows组组件件向向导导对对话话框框中中选选中中“Internet信信息息服服务务(IIS)”,然然后后单单击击“下下一一步步”,按按向向导导指指示示,完完成成对对IIS的安装,如图的安装,如图4-3所示:所示: 操作系统安
13、全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 1图图4-3 IIS安装安装 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 14.1.3 Web4.1.3 Web服务器安装服务器安装服务器安装服务器安装()启动()启动IIS服务服务单单击击Windows开开始始菜菜单单-所所有有程程序序-管管理理工工具具-Internet信信息息服服务务(IIS)管管理理器器,即即可可启启动动“Internet信信息服务息服务”管理工具,如图管理工具,如图4-4所示。所示。 操作系统安全操作系统安全操作系统安全操作系统安全学习
14、情境学习情境4 4子学习情境子学习情境1 1图图4-4 IIS服务管理器服务管理器 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 14.1.3 Web4.1.3 Web服务器安装服务器安装服务器安装服务器安装(3)配置)配置IIS服务服务IIS安安装装后后,系系统统自自动动创创建建了了一一个个默默认认的的Web站站点点,该该站站点点的的主主目目录录默默认认为为C:Inetpubwww.root ,右右击击“默默认认WEB站站点点-属属性性”,并并设设置置网网站站的的设设置置网网站站的的ip、端端口口号号、主机头等信息。如图主机头等信息。如图4-5
15、、图、图4-6所示。所示。 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 1图图4-5 配置配置IIS 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 1图图4-6 配置配置IIS 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 14.1.3 Web4.1.3 Web服务器安装服务器安装服务器安装服务器安装()设置网站主目录()设置网站主目录主主目目录录的的默默认认位位置置是是系系统统盘盘下下的的Inetpubwwwroot,如如图图4-7所所示示。当当然
16、然,也也可可以以选选择择其其他他目目录录为为站站点点存存放放文文件的位置,点击浏览选择其他位置。件的位置,点击浏览选择其他位置。 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 1图图4-7 网站主目录设置网站主目录设置 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 14.1.3 Web4.1.3 Web服务器安装服务器安装服务器安装服务器安装(5)设定默认文档)设定默认文档默默认认文文档档是是浏浏览览者者访访问问站站点点首首先先要要访访问问的的那那个个文文件件,如如index.htm、index.a
17、sp、index.php、default.asp等等,这里需要指定默认的文档名称和顺序,如图这里需要指定默认的文档名称和顺序,如图4-8所示。所示。 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 1图图4-8 设置默认文档设置默认文档 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 14.1.44.1.4 密码安全设置密码安全设置密码安全设置密码安全设置密密码码安安全全设设置置也也是是提提高高电电子子商商务务网网站站系系统统安安全全的的一一个个重要方面,主要措施如下:重要方面,主要措施如下:(1)使用
18、安全密码)使用安全密码有有些些商商务务网网站站公公司司的的管管理理员员创创建建账账号号的的时时候候经经常常使使用用公公司司名名、计计算算机机名名为为用用户户名名,然然后后对对这这些些用用户户的的密密码码设设置置得得太太简简单单,比比如如“welcome”等等等等。为为了了提提高高系系统统安安全全性性,尽可能提高密码的复杂性,并且经常修改密码。尽可能提高密码的复杂性,并且经常修改密码。(2)设置屏幕保护密码)设置屏幕保护密码设设置置屏屏幕幕保保护护密密码码是是防防止止内内部部人人员员破破坏坏服服务务器器的的一一个个屏障。屏障。 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4
19、4子学习情境子学习情境1 14.1.44.1.4 密码安全设置密码安全设置密码安全设置密码安全设置密密码码安安全全设设置置也也是是提提高高电电子子商商务务网网站站系系统统安安全全的的一一个个重要方面,主要措施如下:重要方面,主要措施如下:(3)开启密码策略)开启密码策略注注意意应应用用密密码码策策略略,如如启启用用密密码码复复杂杂性性要要求求,设设置置密密码长度最小值为码长度最小值为6位位 、有效期时间为、有效期时间为42天。天。(4)使用智能卡来代替密码)使用智能卡来代替密码密密码码设设置置简简单单容容易易受受到到黑黑客客的的攻攻击击,密密码码设设置置复复杂杂又又容易忘记。智能卡是代替复杂密
20、码是一个好的方案。容易忘记。智能卡是代替复杂密码是一个好的方案。 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 14.1.54.1.5 服务安全设置服务安全设置服务安全设置服务安全设置服服务务安安全全设设置置是是提提高高电电子子商商务务网网站站系系统统安安全全的的一一个个重重要方面,主要措施如下:要方面,主要措施如下:(1) 关闭不必要的端口。关闭不必要的端口。关关闭闭端端口口意意味味着着减减少少功功能能。如如果果服服务务器器安安装装在在防防火火墙墙的的后后面面,冒冒险险就就会会少少些些。用用端端口口扫扫描描器器扫扫描描系系统统已已开开放放的的端
21、端口口,确确定定系系统统开开放放的的哪哪些些服服务务可可能能引引起起黑黑客客入入侵侵。在在系系统统目目录录中中的的system32driversetcservices 文文件件中中有有常常用端口和服务的对照表可供参考。用端口和服务的对照表可供参考。 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习情境1 14.1.54.1.5 服务安全设置服务安全设置服务安全设置服务安全设置服服务务安安全全设设置置是是提提高高电电子子商商务务网网站站系系统统安安全全的的一一个个重重要方面,主要措施如下:要方面,主要措施如下:(2) 设置好安全记录的访问权限设置好安全记录的
22、访问权限安安全全记记录录在在默默认认情情况况下下是是没没有有保保护护的的,把把它它设设置置成成只只有有Administrators和系统账户才有权访问。和系统账户才有权访问。(3) 将敏感文件存放在另外的文件服务器中将敏感文件存放在另外的文件服务器中虽虽然然现现在在服服务务器器的的硬硬盘盘容容量量都都很很大大,但但是是可可以以把把一一些些重重要要的的用用户户数数据据(文文件件、数数据据表表、项项目目文文件件等等)存存放放在在另另外一个安全的服务器中,并且经常备份它们。外一个安全的服务器中,并且经常备份它们。 操作系统安全操作系统安全操作系统安全操作系统安全学习情境学习情境4 4子学习情境子学习
23、情境1 14.1.54.1.5 服务安全设置服务安全设置服务安全设置服务安全设置服服务务安安全全设设置置是是提提高高电电子子商商务务网网站站系系统统安安全全的的一一个个重重要方面,主要措施如下:要方面,主要措施如下: (4). 禁止建立空连接禁止建立空连接默默认认情情况况下下,任任何何用用户户都都可可通通过过空空连连接接连连上上服服务务器器,进进而而枚枚举举出出账账号号,猜猜测测密密码码。我我们们可可以以通通过过修修改改注注册册表表来来禁禁止止建建立立空空连连,即即“Local MachineSystemCurrent ControlsetControlLSA-Res- trictAnonym
24、ous” 的的值值设设置为置为“1”。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 2子学习情境任务描述子学习情境任务描述子学习情境任务描述子学习情境任务描述本学习情境对数据库的安装和安全特性进行了详本学习情境对数据库的安装和安全特性进行了详细的分析,然后根据其特性进行安全设置。通过完成细的分析,然后根据其特性进行安全设置。通过完成本子学习情境任务,学生可以掌握服务器数据库的安本子学习情境任务,学生可以掌握服务器数据库的安装,了解数据库的安全性能,理解并掌握如何对其进装,了解数据库的安全性能,理解并掌握如何对其进行
25、安全性的设置,以保证数据库安全。行安全性的设置,以保证数据库安全。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.1 4.2.1 数据库安全数据库安全数据库的安全之所以重要,主要有以下原因:数据库的安全之所以重要,主要有以下原因:(1)数据库中存放着大量的数据,它们在重要程度及保密级别数据库中存放着大量的数据,它们在重要程度及保密级别上不同,不同级别的用户有不同的访问权限;上不同,不同级别的用户有不同的访问权限;(2)数据库中有些数据极为重要,必须保证在系统或程序出现数据库中有些数据极为重要,必须保证在系统
26、或程序出现故障后,帮助恢复数据库;故障后,帮助恢复数据库;(3)由于数据库是联机工作的,可以支持多个用户同时进行存由于数据库是联机工作的,可以支持多个用户同时进行存取,因此必须采取措施防止由此引起的破坏数据库完整性的问题取,因此必须采取措施防止由此引起的破坏数据库完整性的问题和面临的安全威胁;和面临的安全威胁;(4)数据库涉及其它应用软件,因而数据库的安全还涉及到应数据库涉及其它应用软件,因而数据库的安全还涉及到应用软件的安全与数据的安全。用软件的安全与数据的安全。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24
27、.2.1 4.2.1 数据库安全数据库安全(1) 服务器层安全服务器层安全在安装数据库服务器时,要进行必要的安全设置,确保数据在安装数据库服务器时,要进行必要的安全设置,确保数据库提供安全的服务。设置可以访问它的用户和应用程序;对用户库提供安全的服务。设置可以访问它的用户和应用程序;对用户提供授权和认证;此外还要保护数据库服务器的物理安全。提供授权和认证;此外还要保护数据库服务器的物理安全。(2) 网络层安全网络层安全网络层的安全也同样适用于数据库服务器,如果提供网络服网络层的安全也同样适用于数据库服务器,如果提供网络服务的基础平台不安全,也会使数据库服务器存在很大的安全缺陷务的基础平台不安全
28、,也会使数据库服务器存在很大的安全缺陷可以利用路由器和代理服务器等,限制直接访问计算机网络或网可以利用路由器和代理服务器等,限制直接访问计算机网络或网络地址,从而保护数据库服务器安全。络地址,从而保护数据库服务器安全。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.1 4.2.1 数据库安全数据库安全(3) 操作系统层安全操作系统层安全大多数数据库系统要求用户在访问数据库服务器之前输入一大多数数据库系统要求用户在访问数据库服务器之前输入一些认证信息。数据库服务器安全的第一个层次就是让用户输入合些认证信息。数
29、据库服务器安全的第一个层次就是让用户输入合法用户名和密码,或者为了提高可管理性和单一登录目的,数据法用户名和密码,或者为了提高可管理性和单一登录目的,数据库系统可以与机构现有的认证系统集成到一起。库系统可以与机构现有的认证系统集成到一起。(4) 数据库层安全数据库层安全数据库服务器通常用来支持许多不同的数据库和应用程序,数据库服务器通常用来支持许多不同的数据库和应用程序,应该根据用户的任务性质为其分配不同类型的权限。应该根据用户的任务性质为其分配不同类型的权限。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2
30、.1 4.2.1 数据库安全数据库安全(5)数据库对象层安全)数据库对象层安全数据库服务器支持许多不同类型的对象,比如数据库服务器支持许多不同类型的对象,比如SQL Server的的表、视图、存储过程以及触发器等。表、视图、存储过程以及触发器等。SQL Server中利用中利用GRANT、REVOKE、DENY命令进行授权、拒绝和剥夺权限的管理,使数据命令进行授权、拒绝和剥夺权限的管理,使数据库的所有者可以授予其它用户相应的权限。库的所有者可以授予其它用户相应的权限。(6)应用层安全)应用层安全应用层安全基于数据库账号保证用户的对数据库、信息和操作应用层安全基于数据库账号保证用户的对数据库、信
31、息和操作的所有访问的安全。的所有访问的安全。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.2 数据库服务器安装数据库服务器安装网站数据库,即动态网站存放网站数据的空间,也称数据库空网站数据库,即动态网站存放网站数据的空间,也称数据库空间。间。 现大多网站都是由现大多网站都是由.ASP或者或者.PHP开发的动态网站,电子商务开发的动态网站,电子商务网站都有专门的数据库来存放信息。网站数据可以通过网站后台,网站都有专门的数据库来存放信息。网站数据可以通过网站后台,直接发布到网站数据库,网站则对这些数据进行调用
32、。直接发布到网站数据库,网站则对这些数据进行调用。 网站数据库网站数据库根据网站的大小、数据的多少等因素,决定选用的数据库类型,常根据网站的大小、数据的多少等因素,决定选用的数据库类型,常见的数据库有见的数据库有SQL、ACCESE等。等。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 2本节以本节以SQL Server为例描述网站服务器的安装步骤。为例描述网站服务器的安装步骤。()() 选择安装数据库服务器,如图选择安装数据库服务器,如图4-9所示。所示。图图4-9安装数据库服务器安装数据库服务器数据库安装与安全设
33、置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 2()在()在“安装选择安装选择”对话窗口中,选择对话窗口中,选择“创建新的创建新的SQL Server实例或安装客户端工具实例或安装客户端工具”并点击下一步,如图并点击下一步,如图4-10所示。所示。图图4-10安装数据库服务安装数据库服务数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 2()在()在“安装定义安装定义”对话窗口对话窗口如图如图4-11,选择,选择“服务器和服务器和客户端工具客户端工具”。图图
34、4-11 安装数据库服务安装数据库服务数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 2()在()在“安装定义安装定义”对话窗口对话窗口如图如图4-12。选择。选择“服务器和服务器和客户端工具客户端工具”点击下一步点击下一步图图4-12安装数据库服务安装数据库服务数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 2()在()在“安装类型安装类型”对话窗口中,可以设定多个选项。如安对话窗口中,可以设定多个选项。如安装类型,以及文件安装的路径等,
35、可以根据实际需要选择,选择装类型,以及文件安装的路径等,可以根据实际需要选择,选择“典型典型”继续继续“下一步下一步”安装,如图安装,如图4-13。图图4-13安装数据库服务(选择安装类型)安装数据库服务(选择安装类型)数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 2()在()在”服务帐户服务帐户”对话窗口中,选对话窗口中,选“使用本地系统帐户使用本地系统帐户”,如图,如图4-14所示。所示。图图4-14安装数据库服务(设置服务账户)安装数据库服务(设置服务账户)数据库安装与安全设置数据库安装与安全设置数据库安装与
36、安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 2(7)在)在”身份验证模式身份验证模式“窗口请选择窗口请选择“择混合模式择混合模式”,设置,设置sa的密码,如图的密码,如图4-15所示。所示。图图4-15安装数据库服务(选择身份验证模式)安装数据库服务(选择身份验证模式)数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 2(9)点击下一步完成安装,如图)点击下一步完成安装,如图4-16所示。所示。图图4-16完成安装数据库服务完成安装数据库服务数据库安装与安全设置数据库安装与安全设置数据库安
37、装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 2(9)安装后重启系统。查看)安装后重启系统。查看SQL Server2000启动情况。在启动情况。在SQL Server正常启动后,计算机桌面右下角出现的正常启动后,计算机桌面右下角出现的SQL Server服服务监视图标显示为一个带绿色三角的服务启动标记。如图务监视图标显示为一个带绿色三角的服务启动标记。如图4-17所示所示图图4-17安装数据库服务(安装数据库服务( SQL Server服务启动标记)服务启动标记)数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4
38、 4子学习情境子学习情境2 2(10)若该绿色图标变成了红色的方块,则表明)若该绿色图标变成了红色的方块,则表明SQL Server已停止了服务,可通过已停止了服务,可通过“SQL Server服务管理器服务管理器”程序来启动程序来启动SQL Server。双击该图标,将出现以下的。双击该图标,将出现以下的“SQL Server服务管理器服务管理器”程程序,可通过该程序停止、启动序,可通过该程序停止、启动SQL Server的后台服务。如图的后台服务。如图4-18所示。所示。图图4-18安装数据库服务安装数据库服务(启动数据库服务启动数据库服务)数据库安装与安全设置数据库安装与安全设置数据库安
39、装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.3 SQL Server 的认证和授权的认证和授权SQL Server的授权与认证分别是在下面三个层次上进行:的授权与认证分别是在下面三个层次上进行:(1)SQL Server登录:授权访问数据库环境。登录:授权访问数据库环境。(2)数据库用户:授权访问指定的某一个数据库。)数据库用户:授权访问指定的某一个数据库。(3)对象许可:授权访问某一具体的数据库对象,例如表和)对象许可:授权访问某一具体的数据库对象,例如表和视图。视图。必须在每一个层次上分析访问请求,然后再由数据库引擎决定必须在每一个层次上分析访问
40、请求,然后再由数据库引擎决定是允许访问还是拒绝访问。是允许访问还是拒绝访问。SQL Server登录和数据库用户为某一登录和数据库用户为某一个数据访问请求者定义了一个身份。个数据访问请求者定义了一个身份。SQL Server登录是从数据库登录是从数据库环境的角度来定义身份的。环境的角度来定义身份的。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.3 SQL Server 的认证和授权的认证和授权(1)SQL Server两级认证两级认证大部分请求都需要两级认证:使用一个具体的大部分请求都需要两级认证:使用一
41、个具体的SQL Server登登录账户建立一个数据库服务器的连接;利用数据库用户检查该用户录账户建立一个数据库服务器的连接;利用数据库用户检查该用户所拥有的对某个数据库的访问权限。所拥有的对某个数据库的访问权限。(2)SQL Server两种登录服务器的方法两种登录服务器的方法Windows认证与认证与SQL Server认证登录。认证登录。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.3 SQL Server 的认证和授权的认证和授权(3)管理登录账户)管理登录账户管理管理SQL Server两种登录账
42、户的建立、删除和修改的方式方两种登录账户的建立、删除和修改的方式方法都差不多。可以利用查询分析器,通过系统提供的存储过程;或法都差不多。可以利用查询分析器,通过系统提供的存储过程;或者通过者通过SQL Server企业管理器进行;或者使用企业管理器进行;或者使用SQL Server提供的提供的创建登录向导进行。这里仅介绍通过创建登录向导进行。这里仅介绍通过SQL Server企业管理器建立企业管理器建立登录账户的步骤,关于另外两种方法可以查看相关书籍进行操作。登录账户的步骤,关于另外两种方法可以查看相关书籍进行操作。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设
43、置学习情境学习情境4 4子学习情境子学习情境2 24.2.3 SQL Server 的认证和授权的认证和授权利用利用SQL Server企业管理器建立登录账户的方法如下:企业管理器建立登录账户的方法如下:先从先从SQL Server程序中选择程序中选择“企业管理器企业管理器”,启动控制台,启动控制台(MMC),再启动),再启动SQL Server企业管理器的管理单元,展开要创企业管理器的管理单元,展开要创建登录账户的建登录账户的“服务器服务器”节点。节点。选中树型结构上的选中树型结构上的“安全性安全性”节点,展开该节点,选择节点,展开该节点,选择“登登录录”会在屏幕的右侧显示所有已经设置在服务
44、器上的登录账户。缺会在屏幕的右侧显示所有已经设置在服务器上的登录账户。缺省时只有两个登录账户:省时只有两个登录账户:sa(SQL Server 系统管理员标准注册账系统管理员标准注册账户)和户)和BUILTINAdministrators(数据库服务器的(数据库服务器的 Windows系统系统管理员组)。管理员组)。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.3 SQL Server 的认证和授权的认证和授权在在“登录登录”节点上右节点上右击从弹出快捷菜单中选择击从弹出快捷菜单中选择“新建登录新建登录”
45、命令,如图命令,如图4-19所示。所示。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.3 SQL Server 的认证和授权的认证和授权在图在图4-19中单击中单击“新新建登录建登录”命令,出现图命令,出现图4-20所示的界面。所示的界面。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.3 SQL Server 的认证和授权的认证和授权打开打开“服务器角色服务器角色”标签,为新建的账户指定标签,为新建的账户指定服务器级
46、的权限,如图服务器级的权限,如图4-21所示:所示:数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.3 SQL Server 的认证和授权的认证和授权打开打开“数据库访问数据库访问”标签,如图标签,如图4-22所示,为所示,为新建的账户指定数据库访问新建的账户指定数据库访问权限。权限。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.4 SQL Server 建立数据库用户建立数据库用户(1)内置用户账户)内置用户账户SQ
47、L Server的数据库级别上存在着两个特殊的数据库用户,的数据库级别上存在着两个特殊的数据库用户,这两个用户分别是这两个用户分别是dbo和和guest。dbo是数据库的所有者,在安装是数据库的所有者,在安装SQL Server时,被设置到时,被设置到model数据库中,而且不能被删除,所数据库中,而且不能被删除,所以以dbo在每个数据库中都存在。在每个数据库中都存在。dbo是数据库的最高权利所有者可是数据库的最高权利所有者可以在数据库范围内执行一切操作。以在数据库范围内执行一切操作。dbo永远无法从数据库中删除永远无法从数据库中删除并且它的用户并且它的用户ID(UID)总是为)总是为1。数据
48、库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.4 SQL Server 建立数据库用户建立数据库用户(2)添加和管理用户账户)添加和管理用户账户将登录账户添加为数据库用户后,使用该登录账户登录的将登录账户添加为数据库用户后,使用该登录账户登录的SQL Server用户就可以实现对数据库的访问了。用户就可以实现对数据库的访问了。添加数据库用户的方法有二种:一是使用系统存储过程;二添加数据库用户的方法有二种:一是使用系统存储过程;二是通过企业管理器。有关使用系统存储过程添加的方法可以自己是通过企业管理器。有关使用
49、系统存储过程添加的方法可以自己查看相关语句进行操作,这里不再复述。查看相关语句进行操作,这里不再复述。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.4 SQL Server 建立数据库用户建立数据库用户使用企业管理器创建数据库用户的步骤如下:使用企业管理器创建数据库用户的步骤如下:展开要创建用户的数据库所在的服务器节点;展开要创建用户的数据库所在的服务器节点;展开该服务器节点下面的展开该服务器节点下面的“数据库数据库”节点;节点;展开指定的展开指定的“数据库数据库”节点;节点;在在“用户用户”节点上右击,
50、从弹出快捷菜单中选择节点上右击,从弹出快捷菜单中选择“新建数据新建数据库用户库用户”命令,系统弹出如图命令,系统弹出如图4-23所示对话框。所示对话框。从从“登录名登录名”下拉列表中选择要映射的登录账户(必须选择下拉列表中选择要映射的登录账户(必须选择)然后输入对应的数据库用户名。)然后输入对应的数据库用户名。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.4 SQL Server 建立数据库用户建立数据库用户图图4-23 添加数据库用户添加数据库用户数据库安装与安全设置数据库安装与安全设置数据库安装与安全
51、设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.4 SQL Server 建立数据库用户建立数据库用户(3)服务器角色和数据库角色管理)服务器角色和数据库角色管理固定服务器角色固定服务器角色SQL Server在服务器级提供了固定服务器角色,服务器角色在服务器级提供了固定服务器角色,服务器角色是一些系统定义好操作权限的用户组,用户不能增加、修改和删是一些系统定义好操作权限的用户组,用户不能增加、修改和删除,其中的成员是登录账户,只能对其中的成员进行修改。服务除,其中的成员是登录账户,只能对其中的成员进行修改。服务器角色是器角色是SQL Server在安装时就创建
52、好的用于分配服务器级管理在安装时就创建好的用于分配服务器级管理权限的实体。权限的实体。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.4 SQL Server 建立数据库用户建立数据库用户(3)服务器角色和数据库角色管理)服务器角色和数据库角色管理管理服务器角色成员管理服务器角色成员一个登录账户可以不属于任何角色,也可以同时属于多个角一个登录账户可以不属于任何角色,也可以同时属于多个角色。将一个登录账户加入一个角色,可以令使用该账户登录的用色。将一个登录账户加入一个角色,可以令使用该账户登录的用户自动地具有
53、角色预定义的权限。户自动地具有角色预定义的权限。Windows系统管理员组(即系统管理员组(即BUILTINadministrators)自动)自动属于属于sysadmin角色。角色。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.4 SQL Server 建立数据库用户建立数据库用户(3)服务器角色和数据库角色管理)服务器角色和数据库角色管理固定数据库角色固定数据库角色为了更高效地管理数据库用户的权限,为了更高效地管理数据库用户的权限,SQL Server在数据库在数据库级提供了固定的数据库级角色,用户不
54、能修改固定数据库级角色级提供了固定的数据库级角色,用户不能修改固定数据库级角色的权限,也不能删除固定数据库级角色。但用户可以自己创建新的权限,也不能删除固定数据库级角色。但用户可以自己创建新的数据库角色,再分配权限给新建的角色。的数据库角色,再分配权限给新建的角色。SQL Server在数据库在数据库级设置了固定数据库角色来提供最基本的数据库权限的综合管理级设置了固定数据库角色来提供最基本的数据库权限的综合管理数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.4 SQL Server 建立数据库用户建立数据库
55、用户(3)服务器角色和数据库角色管理)服务器角色和数据库角色管理用户定义数据库角色用户定义数据库角色很多时候,固定的数据库角色并不能满足需要,用户的需求很多时候,固定的数据库角色并不能满足需要,用户的需求并不总是能够映射到一个固定的数据库角色,或者有时数据库管并不总是能够映射到一个固定的数据库角色,或者有时数据库管理员要给一些用户设置相同的权限,但他没有管理理员要给一些用户设置相同的权限,但他没有管理Windows用户用户和组的权限,不能将这些用户组织在一个和组的权限,不能将这些用户组织在一个Windows组中,这时可组中,这时可以通过自定义数据库角色统一管理这些用户的权限。以通过自定义数据库
56、角色统一管理这些用户的权限。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.5 SQL Server的权限管理的权限管理权限用来控制用户如何访问数据库对象。一个用户可以直接分权限用来控制用户如何访问数据库对象。一个用户可以直接分配到权限,也可以作为一个角色中的一个成员来间接得到权限。一配到权限,也可以作为一个角色中的一个成员来间接得到权限。一个用户还可以同时属于具有不同权限的多个角色,这些不同的权限个用户还可以同时属于具有不同权限的多个角色,这些不同的权限提供了对同一数据库对象的不同的访问级别。提供了对同一
57、数据库对象的不同的访问级别。在数据库内部,在数据库内部,SQL Server提供权限(提供权限(Permission)作为访问)作为访问权限设置的最后一道关卡。在权限设置的最后一道关卡。在SQL Server数据库里的每一个数据数据库里的每一个数据库对象都由该数据库的一个用户所拥有,所有者以数据库赋予的库对象都由该数据库的一个用户所拥有,所有者以数据库赋予的user ID作为标识。作为标识。SQL Server 2000 中的权限分为三种:对象权限、语句权限和中的权限分为三种:对象权限、语句权限和隐含权限。隐含权限。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设
58、置学习情境学习情境4 4子学习情境子学习情境2 2在企业管理器中,实现对语句权限和对象权限的管理方法如下:在企业管理器中,实现对语句权限和对象权限的管理方法如下:(1)管理对象权限)管理对象权限步骤如下:展开指定的步骤如下:展开指定的“服服务器务器”“”“数据库数据库”“”“学生图学生图书借阅管理书借阅管理”“”“表表”“”“图图书信息书信息”表右击。从弹出快捷菜表右击。从弹出快捷菜单中选择单中选择“属性属性”,系统弹出如,系统弹出如图图4-27所示的对话框。所示的对话框。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境
59、2 2在企业管理器中,实现对语句权限和对象权限的管理方法如下:在企业管理器中,实现对语句权限和对象权限的管理方法如下:(1)管理对象权限)管理对象权限 图图4-28 对象属性对象属性 数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 2在企业管理器中,实现对语句权限和对象权限的管理方法如下:在企业管理器中,实现对语句权限和对象权限的管理方法如下:(2)管理语句权限)管理语句权限步骤如下:展开指定的步骤如下:展开指定的“服服务器务器”“”“数据库数据库”“”“学生图学生图书借阅管理书借阅管理”节点右击,从弹出节点右击,从
60、弹出的快捷菜单中选择的快捷菜单中选择“属性属性”,打,打开开“权限权限”标签,如图标签,如图4-29所示。所示。用户可以在这个对话框中为用户用户可以在这个对话框中为用户添加或删除语句权限,单击添加或删除语句权限,单击“确确定定”按钮完成操作。按钮完成操作。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.6 SQL Server加密加密加密技术实际上就是将一些比较敏感的数据转换为另一种不加密技术实际上就是将一些比较敏感的数据转换为另一种不可直接读取的数据形式,从而实现数据保密性的技术。对应一些可直接读取的数据
61、形式,从而实现数据保密性的技术。对应一些敏感的数据,必须存储在数据库中,并且需要防止那些未授权的敏感的数据,必须存储在数据库中,并且需要防止那些未授权的访问,这种未授权的访问可能还包括数据库系统管理员发起的一访问,这种未授权的访问可能还包括数据库系统管理员发起的一些访问,哪怕是在整个系统都被破坏时,加密还可以保护数据的些访问,哪怕是在整个系统都被破坏时,加密还可以保护数据的安全。安全。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.6 SQL Server加密加密(1)加密)加密SQL Server表数据表
62、数据对数据库信息本身进行加密处理可以阻止没有数据库访问权对数据库信息本身进行加密处理可以阻止没有数据库访问权限,却拥有管理员权限的攻击者访问数据库,微软在限,却拥有管理员权限的攻击者访问数据库,微软在Windows 2000中引入了一个新的中引入了一个新的Encrypting File System(EFS)技术,)技术,使用使用EFS加密的数据库文件就只有加密的数据库文件就只有SQL Server才可以进行访问。才可以进行访问。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.6 SQL Server加密加
63、密(2)加密网络通信)加密网络通信基于网络的加密方法是使用安全套接层协议(基于网络的加密方法是使用安全套接层协议(SSL)。服务)。服务器网络库配置在安装器网络库配置在安装SQL Server的过程中通过默认或者自定义的的过程中通过默认或者自定义的方式进行了设置,安装结束后使用方式进行了设置,安装结束后使用“开始开始”菜单菜单Microsoft SQL Server程序组中的程序组中的“服务器网络实用工具服务器网络实用工具”,配置服务器网络库。,配置服务器网络库。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.
64、2.7 SQL Server审核审核利用利用SQL Server的审核功能,确保数据库安全的形式有多种的审核功能,确保数据库安全的形式有多种这里介绍两种。这里介绍两种。(1)启用标准审核)启用标准审核启动启动SQL Server企业管理器,找到想启用审核的服务器名称企业管理器,找到想启用审核的服务器名称右击该名称,接着选择右击该名称,接着选择“属性属性”。在属性对话框中,选取。在属性对话框中,选取“安全安全”选项卡,选定想要选择的审核级别并单击选项卡,选定想要选择的审核级别并单击“确定确定”。然后终止。然后终止并重启并重启SQL Server,检查企业管理器中的审核日志,打开企业管,检查企业管
65、理器中的审核日志,打开企业管理器并展开包含目标服务器的节点树,展开理器并展开包含目标服务器的节点树,展开“管理管理”结点,展开结点,展开SQL Server Logs节点,并单击节点,并单击Current日志。注意日志。注意“Source”列列中值为中值为“logon”的条目。的条目。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.7 SQL Server审核审核利用利用SQL Server的审核功能,确保数据库安全的形式有多种的审核功能,确保数据库安全的形式有多种这里介绍两种。这里介绍两种。(2)C2级审
66、核级审核C2安全实际上是一个由国家计算机安全中心授予那些已经通安全实际上是一个由国家计算机安全中心授予那些已经通过国防部可靠计算机系统评估标准(过国防部可靠计算机系统评估标准(TCSEC)测试的系统的安全)测试的系统的安全等级。等级。SQL Server中的中的C2级审核,就是审核达到级审核,就是审核达到C2评测的要求评测的要求当启用当启用C2审核时,审核时,SQL Server的服务器就维护着的服务器就维护着Program filesMicrosoft SQL Serverinstance nameData文件夹中的审文件夹中的审核日志,这些日志最大可能达到核日志,这些日志最大可能达到200
67、M的大小。当文件达到的大小。当文件达到200M时,就会再产生一个新的日志文件。时,就会再产生一个新的日志文件。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.7 SQL Server审核审核在在SQL Server中允许中允许C2级审核操作方法如下:级审核操作方法如下:打开打开SQL Server的查询分析器,并连接想要启用的查询分析器,并连接想要启用C2级审级审核的核的SQL Server服务器;服务器;执行执行sp_ configure存储过程,并打开存储过程,并打开“显示高级选项显示高级选项”,以保证
68、允许使用高级选项;,以保证允许使用高级选项;执行执行sp_ configure存储过程,并打开存储过程,并打开“C2 level audit mode”,以打开,以打开C2审核;审核;执行执行RECONFIGURE WITH OVERRIDE,确保在服务器,确保在服务器选项中,该设置被更改;选项中,该设置被更改;重新启动重新启动SQL Server开始捕获审核日志。开始捕获审核日志。数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置数据库安装与安全设置学习情境学习情境4 4子学习情境子学习情境2 24.2.7 SQL Server审核审核C2审核选项使用后台的审核选项使用后台的SQL
69、 Profiler工具来捕获信息,并将工具来捕获信息,并将文件存储为文件存储为SQL Trace文件中。为了观察这些原始文件,需要使文件中。为了观察这些原始文件,需要使用用SQL Profiler。方法如下:。方法如下:启动启动SQL Profiler;选择选择“FileOpenSQL Trace File”,并选取想要观察的,并选取想要观察的审核文件;审核文件; 将文件打开以后,在受审核的将文件打开以后,在受审核的SQL Server上描述行为的上描述行为的SQL Profiler中,会观察到多个条目;中,会观察到多个条目;单击任何一行,可以完全查看审核信息。单击任何一行,可以完全查看审核信息。
