...wd......wd......wd...實驗8數(shù)據(jù)庫安全性實驗日期和時間：2014/11/05實驗室：2棟實驗樓班級：12計科4學(xué)號：20123569姓名：施文君實驗環(huán)境：硬件：Windows7旗艦版(32位/DirectX11)，SQLServer2005軟件：CPU：英特爾Pentium(奔騰)雙核T4300@2.10GHz，內(nèi)存：2GB(海力士DDR2800MHz)硬盤：希捷ST9500325AS(500GB)顯卡：ATIMobilityRadeonHD4570(M92)(512MB/華碩)實驗原理：SQLServer2005數(shù)據(jù)庫的安全性通過以下幾個方面得以保證：網(wǎng)絡(luò)系統(tǒng)的安全性：這可以通過在網(wǎng)絡(luò)系統(tǒng)邊界安裝防火墻系統(tǒng)得以實施。服務(wù)器的安全性：即保證運行SQLServer2005的服務(wù)器本身及其操作系統(tǒng)的安全。SQLServer2005的登錄安全性：即允許哪些用戶登錄SQLServer服務(wù)器。數(shù)據(jù)庫的安全性：即規(guī)定用戶登錄SQLServer服務(wù)器以后可以使用哪些數(shù)據(jù)庫。數(shù)據(jù)庫對象的安全性：即規(guī)定用戶翻開某一數(shù)據(jù)庫后，可以操作哪些數(shù)據(jù)庫對象以及怎樣操作。實驗主要任務(wù)：一、創(chuàng)立登錄賬戶：SQLServer2005的登錄安全性〔通過修改身份認(rèn)證方式Windows身份認(rèn)證和SQL、Windows混合身份認(rèn)證及在服務(wù)器安全性里建設(shè)登錄名實現(xiàn)〕理解Windows身份認(rèn)證和SQL、Windows身份認(rèn)證的含義區(qū)別，利用SQL管理控制平臺建設(shè)5個登錄賬號，創(chuàng)立密碼，，默認(rèn)數(shù)據(jù)庫為MASTER，再利用SQL語句創(chuàng)立3個登錄賬號，創(chuàng)立密碼。如：createlogins20120001WITHPASSWORD='S123_456'(登錄賬號建議使用本班學(xué)生的學(xué)號，密碼用強(qiáng)密碼方式〕。然后用其中的登錄賬戶進(jìn)入系統(tǒng)。刪除一個登錄賬號查看各服務(wù)器角色的含義并為所創(chuàng)立的登錄賬號分配服務(wù)器角色。(服務(wù)器角色是指根據(jù)SQLServer的管理任務(wù)，以及這些任務(wù)相對的重要性等級來把具有SQLServer管理職能的用戶劃分為不同的用戶組，每一組所具有的管理SQLServer的權(quán)限都是SQLServer內(nèi)置的，即不能對其進(jìn)展添加、修改和刪除，只能向其中參加用戶或者其他角色。SQLServer提供的固定服務(wù)器角色，其具體含義如下：系統(tǒng)管理員〔sysadmin〕：可以在數(shù)據(jù)庫引擎中執(zhí)行任何活動。默認(rèn)情況下，WindowsBUILTIN\Administrators組〔本地管理員組〕的所有成員都是sysadmin固定服務(wù)器角色的成員。服務(wù)器管理員〔Serveradmin〕：可以更改服務(wù)器范圍的配置選項和關(guān)閉服務(wù)器。磁盤管理員〔diskadmin〕：管理磁盤文件。進(jìn)程管理員〔processadmin〕：可以終止在數(shù)據(jù)庫引擎實例中運行的進(jìn)程。安全管理員〔securityadmin〕：可以管理登錄名及其屬性。安裝管理員〔setupadmin〕：可以添加和刪除鏈接服務(wù)器，并可以執(zhí)行某些系統(tǒng)存儲過程。數(shù)據(jù)庫創(chuàng)立者〔dbcreator〕：可以創(chuàng)立、更改、刪除和復(fù)原任何數(shù)據(jù)庫。大容量插入操作管理者〔bulkadmin〕：可以執(zhí)行大容量插入操作)二、管理數(shù)據(jù)庫的用戶〔通過在不同的數(shù)據(jù)庫里建設(shè)用戶名，并與相應(yīng)的任務(wù)一所建設(shè)的服務(wù)器登錄名建設(shè)映射關(guān)系實現(xiàn)〕在數(shù)據(jù)庫中，一個用戶或工作組取得合法的登錄賬戶，只說明該賬戶可以通過Windows認(rèn)證或SQLServer認(rèn)證，但并不說明其可以訪問數(shù)據(jù)庫和對數(shù)據(jù)庫對象進(jìn)展某種或某些操作，管理員必須在數(shù)據(jù)庫中為用戶建設(shè)一個數(shù)據(jù)庫賬戶，并授予此賬戶訪問數(shù)據(jù)庫及數(shù)據(jù)庫中對象的權(quán)限后，才能使該用戶訪問數(shù)據(jù)庫。一臺服務(wù)器除了有一套服務(wù)器登錄帳戶列表外，每個數(shù)據(jù)庫中也都有一套相互獨立的數(shù)據(jù)庫用戶列表。每個數(shù)據(jù)庫用戶都和服務(wù)器登錄帳戶之間存在著一種映射關(guān)系。系統(tǒng)管理員可以將一個服務(wù)器登錄帳戶映射到用戶需要訪問的每一個數(shù)據(jù)庫中的一個用戶帳戶和角色上。一個登錄帳戶在不同的數(shù)據(jù)庫中可以映射成不同的用戶，從而擁有不同的權(quán)限。導(dǎo)入〔或附加〕學(xué)生成績數(shù)據(jù)庫，附加SPJ表，然后以不同的登錄賬戶訪問相關(guān)數(shù)據(jù)庫對數(shù)據(jù)庫實施如下操作：使用USE數(shù)據(jù)庫名GO查看各個登錄賬戶能否使用各數(shù)據(jù)庫。分別使用SQLSERVER管理控制臺為學(xué)生成績數(shù)據(jù)庫創(chuàng)立數(shù)據(jù)庫用戶U1-U5和TRANSACT-SQL的數(shù)據(jù)庫用戶U6，U7服務(wù)器的登錄賬號和數(shù)據(jù)庫用戶名可以一樣，也可以不一樣，如本實驗，服務(wù)器的登錄賬號為學(xué)生的學(xué)號，數(shù)據(jù)庫用戶名為U1-U7,此時需要建設(shè)登錄賬號和數(shù)據(jù)庫用戶名之間的聯(lián)系。服務(wù)器的登錄賬號和數(shù)據(jù)庫用戶名可以一樣，也可以不一樣，如本實驗，服務(wù)器的登錄賬號為學(xué)生的學(xué)號，數(shù)據(jù)庫用戶名為U1-U7,此時需要建設(shè)登錄賬號和數(shù)據(jù)庫用戶名之間的聯(lián)系。如：USE學(xué)生成績createuseru3forlogins3--WITHDEFAULT_SCHEMA=DBO查看各數(shù)據(jù)庫角色的含義并為所創(chuàng)立的用戶分配數(shù)據(jù)庫角色〔在SQLServer管理控制臺中，展開SQLServer服務(wù)器組中相應(yīng)服務(wù)器，展開“數(shù)據(jù)庫〞目錄樹，再展開某個具體的數(shù)據(jù)庫，選擇“安全性|角色|數(shù)據(jù)庫角色〞，在右側(cè)窗口中會看到數(shù)據(jù)庫中已存在的角色。在未創(chuàng)立新角色之前，數(shù)據(jù)庫中只有固定數(shù)據(jù)庫角色。〕(數(shù)據(jù)庫角色是為某一用戶或某一組用戶授予不同級別的管理或訪問數(shù)據(jù)庫以及數(shù)據(jù)庫對象的權(quán)限，這些權(quán)限是數(shù)據(jù)庫專有的，并且還可以給一個用戶授予屬于同一數(shù)據(jù)庫的多個角色。SQLServer在安裝成功后，提供了十種固定數(shù)據(jù)庫角色。固定數(shù)據(jù)庫角色是在數(shù)據(jù)庫級別定義的，并且存在于每個數(shù)據(jù)庫中。SQLServer提供的固定數(shù)據(jù)庫角色的具體含義如下：public：維護(hù)全部默認(rèn)權(quán)限。db_accessadmin：可以為登錄帳戶添加或刪除訪問權(quán)限。db_backupoperator：可以備份該數(shù)據(jù)庫。db_datareader：可以對數(shù)據(jù)庫中的任何表或視圖運行SELECT語句。db_datawriter：可以在所有用戶表中添加、刪除或更改數(shù)據(jù)。db_ddladmin：可以在數(shù)據(jù)庫中運行任何數(shù)據(jù)定義語言(DDL)命令。db_denydatareader：不能讀取數(shù)據(jù)庫內(nèi)用戶表中的任何數(shù)據(jù)。db_denydatawriter：不能添加、修改或刪除數(shù)據(jù)庫內(nèi)用戶表中的任何數(shù)據(jù)。db_owner：可以執(zhí)行數(shù)據(jù)庫的所有配置和維護(hù)活動。db_securityadmin：可以修改角色成員身份和管理權(quán)限。在固定的數(shù)據(jù)庫角色中，public是一個特殊的數(shù)據(jù)庫角色，每個數(shù)據(jù)庫用戶都屬于public數(shù)據(jù)庫角色。當(dāng)尚未對某個用戶授予或拒絕對安全對象的特定權(quán)限時，那么該用戶將繼承授予該安全對象的public角色的權(quán)限。)4.利用TRANSACT-SQL語句DROPUSERuser_name刪除用戶U8。三、權(quán)限的管理權(quán)限用來指定授權(quán)用戶可以使用的數(shù)據(jù)庫對象以及對這些數(shù)據(jù)庫對象可以執(zhí)行的操作。用戶在登錄到SQLServer之后，根據(jù)其用戶帳戶所屬的Windows組或角色，決定了該用戶能夠?qū)δ男?shù)據(jù)庫對象執(zhí)行哪種操作以及能夠訪問、修改哪些數(shù)據(jù)。在每個數(shù)據(jù)庫中，用戶的權(quán)限獨立于用戶帳戶和用戶在數(shù)據(jù)庫中的角色，每個數(shù)據(jù)庫都有自己獨立的權(quán)限系統(tǒng)。權(quán)限的管理主要是完成對權(quán)限的授權(quán)、拒絕和回收。權(quán)限的管理主要是對權(quán)限的授權(quán)〔grant〕、拒絕(deny)、和回收(revoke)。管理權(quán)限可以通過以下方式實現(xiàn)：從數(shù)據(jù)庫的角度來管理。從用戶或角色的角度來管理。從數(shù)據(jù)庫對象的角度來管理。在SQLServer中，可以通過SQLServer管理控制臺或Transact-SQL語句管理權(quán)限。〔一〕管理數(shù)據(jù)庫的權(quán)限：從數(shù)據(jù)庫的角度來管理。在SQLServer管理控制臺中，展開SQLServer服務(wù)器組中相應(yīng)服務(wù)器?！?〕展開“數(shù)據(jù)庫〞，右擊某個數(shù)據(jù)庫的名稱，在彈出的快捷菜單中選擇“屬性〞選項，會彈出數(shù)據(jù)庫屬性對話框。單擊“權(quán)限〞選擇頁，翻開權(quán)限窗口。在權(quán)限選擇頁中，可以單擊“添加〞按鈕，添加用戶或角色。選擇權(quán)限。1.利用SQLServer管理控制臺對學(xué)生成績數(shù)據(jù)庫為用戶U1授予CONNECT、CREATETABLE、CREATEVIEW、INSERT、SELECT等6種權(quán)限。并驗證相應(yīng)的權(quán)限?！沧⒁猓阂軋?zhí)行建表語句，需要兩個權(quán)限：(1).

create

table權(quán)限：

(2.〕

所在架構(gòu)的alter權(quán)限：alterschema

2.利用SQLServer管理控制臺對學(xué)生成績數(shù)據(jù)庫為用戶U1回收相應(yīng)的權(quán)限，并驗證?！捕彻芾碛脩舻臋?quán)限：從用戶或角色的角度來管理管理用戶的權(quán)限就是設(shè)置一個用戶能對哪些對象執(zhí)行哪些操作。選擇數(shù)據(jù)庫-安全性-用戶-右鍵單擊數(shù)據(jù)庫用戶-屬性-安全對象-添加-特定對象-相關(guān)表或視圖等-選擇權(quán)限。，1.對用戶U2，利用對用戶的授權(quán)機(jī)制授予其查詢課程表的權(quán)限,并驗證。2.回收其查詢課程表的權(quán)限,并驗證?！踩彻芾頂?shù)據(jù)庫對象的權(quán)限：從數(shù)據(jù)庫對象的角度來管理可以從數(shù)據(jù)庫對象的角度完成一樣的工作，即設(shè)置一個數(shù)據(jù)庫對象能被哪些用戶/角色執(zhí)行哪些操作。在SQLServer管理控制臺中，展開SQLServer服務(wù)器組中相應(yīng)服務(wù)器。展開“數(shù)據(jù)庫〞，再展開指定的數(shù)據(jù)庫，選擇“表〞，在右邊窗口的數(shù)據(jù)表列表中右擊表名稱，在彈出的快捷菜單中選擇“屬性〞選項，翻開表屬性對話框，選擇“權(quán)限〞選擇頁?？梢詥螕簟疤砑莹暟粹o添加用戶或角色，也可以撤消已授的權(quán)限。1.對于成績表，對用戶U3賦予其SELECT、DELETE、INSERT、UPDATE成績列的權(quán)限，并驗證。同時驗證驗證將學(xué)號2005226146的成績改為100驗證學(xué)號2005226146的學(xué)號改為2005999999如果給用戶U3賦予了修改學(xué)號的權(quán)限，可以修改嗎為什么〔利用第五章的數(shù)據(jù)庫的參照完整性答復(fù)〕2.回收其查詢成績表的權(quán)限，并驗證。四、參照王珊教材第四章利用Transact-SQL語句完成以下權(quán)限的設(shè)置，并驗證?！蚕仍诠芾砜刂破脚_下回收用戶的上述所有的權(quán)限。〕〔一〕授權(quán)把查詢學(xué)生表和張姓同學(xué)的視圖的權(quán)限授給用戶U1把對學(xué)生表和課程表的全部權(quán)限授予用戶U2和U3把對成績表的查詢權(quán)限授予所有用戶把查詢學(xué)生表和修改學(xué)生學(xué)號的權(quán)限授給用戶U4把對成績的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶〔withgrantoption〕U5將相應(yīng)權(quán)限授予U6，并允許他再將此權(quán)限授予其他用戶U6將相應(yīng)權(quán)限授予U7〔二〕回收權(quán)限把用戶U4修改學(xué)生學(xué)號的權(quán)限收回收回所有用戶對表SC的查詢權(quán)限把用戶U5對成績表的INSERT權(quán)限收回驗證結(jié)果是否正確將以上任務(wù)的實驗完成情況、實驗結(jié)果、實驗原理、總結(jié)分欄一一填寫到下表中，格式參考任務(wù)1或者自定。任務(wù)1：1.理解Windows身份認(rèn)證和SQL、Windows身份認(rèn)證的含義區(qū)別，利用SQL管理控制平臺建設(shè)5個登錄賬號，創(chuàng)立密碼，，默認(rèn)數(shù)據(jù)庫為MASTER，2.刪除一個登錄賬號3.查看各服務(wù)器角色的含義并為所創(chuàng)立的登錄賬號分配服務(wù)器角色。完成情況(代碼及運行結(jié)果評析)：1.createlogins20126666withPASSWORD='S123'createlogins20127777withPASSWORD='S123'createlogins20128888withPASSWORD='S123'2.3．小結(jié)：任務(wù)2：通過在不同的數(shù)據(jù)庫里建設(shè)用戶名，并與相應(yīng)的任務(wù)一所建設(shè)的服務(wù)器登錄名建設(shè)映射關(guān)系實現(xiàn)導(dǎo)入〔或附加〕學(xué)生成績數(shù)據(jù)庫，附加SPJ表，然后以不同的登錄賬戶訪問相關(guān)數(shù)據(jù)庫對數(shù)據(jù)庫實施如下操作：1.使用USE數(shù)據(jù)庫名GO查看各個登錄賬戶能否使用各數(shù)據(jù)庫。2.分別使用SQLSERVER管理控制臺為學(xué)生成績數(shù)據(jù)庫創(chuàng)立數(shù)據(jù)庫用戶U1-U5和TRANSACT-SQL的數(shù)據(jù)庫用戶U6，U7服務(wù)器的登錄賬號和數(shù)據(jù)庫用戶名可以一樣，也可以不一樣，如本實驗，服務(wù)器的登錄賬號為學(xué)生的學(xué)號，數(shù)據(jù)庫用戶名為U1-U7,此時需要建設(shè)登錄賬號和數(shù)據(jù)庫用戶名之間的聯(lián)系。服務(wù)器的登錄賬號和數(shù)據(jù)庫用戶名可以一樣，也可以不一樣，如本實驗，服務(wù)器的登錄賬號為學(xué)生的學(xué)號，數(shù)據(jù)庫用戶名為U1-U7,此時需要建設(shè)登錄賬號和數(shù)據(jù)庫用戶名之間的聯(lián)系。3.查看各數(shù)據(jù)庫角色的含義并為所創(chuàng)立的用戶分配數(shù)據(jù)庫角色4.利用TRANSACT-SQL語句DROPUSERuser_name刪除用戶U8。完成情況(代碼及結(jié)果)：1．用戶20121111的服務(wù)器角色是sysadmin，所以可以訪問spj表2.createuserU6forlogins20126666createuserU7forlogins20127777createuserU8forlogins201288883.4.DROPUSERU8命令成功完成，U8已經(jīng)刪除?？偨Y(jié)：(實驗結(jié)果及原理的分析)任務(wù)3：〔一〕管理數(shù)據(jù)庫的權(quán)限：從數(shù)據(jù)庫的角度來管理。1.利用SQLServer管理控制臺對學(xué)生成績數(shù)據(jù)庫為用戶U1授予CONNECT、CREATETABLE、CREATEVIEW、INSERT、SELECT等6種權(quán)限。并驗證相應(yīng)的權(quán)限?！沧⒁猓阂軋?zhí)行建表語句，需要兩個權(quán)限：(1).

create

table權(quán)限：

(2.〕

所在架構(gòu)的alter權(quán)限：alterschema

2.利用SQLServer管理控制臺對學(xué)生成績數(shù)據(jù)庫為用戶U1回收相應(yīng)的權(quán)限，并驗證?！捕彻芾碛脩舻臋?quán)限：從用戶或角色的角度來管理1.對用戶U2，利用對用戶的授權(quán)機(jī)制授予其查詢課程表的權(quán)限,并驗證。2.回收其查詢課程表的權(quán)限,并驗證?！踩彻芾頂?shù)據(jù)庫對象的權(quán)限：從數(shù)據(jù)庫對象的角度來管理1.對于成績表，對用戶U3賦予其SELECT、DELETE、INSERT、UPDATE成績列的權(quán)限，并驗證。同時驗證驗證將學(xué)號2005226146的成績改為100驗證學(xué)號2005226146的學(xué)號改為2005999999如果給用戶U3賦予了修改學(xué)號的權(quán)限，可以修改嗎為什么〔利用第五章的數(shù)據(jù)庫的參照完整性答復(fù)〕2.回收其查詢成績表的權(quán)限，并驗證。完成情況(代碼及結(jié)果)：1.select*from學(xué)生名單createtable宿舍(宿舍號char(20)primarykey)2.3．4．回收成績表的權(quán)限后總結(jié)：(實驗結(jié)果及原理的分析)可以從數(shù)據(jù)庫對象的角度完成一樣的工作，即設(shè)置一個數(shù)據(jù)庫對象能被哪些用戶/角色執(zhí)行哪些操作。任務(wù)4：--1.把查詢學(xué)生表和張姓同學(xué)的視圖的權(quán)限授給用戶U1GRANTSELECTON學(xué)生TOU1;CREATEVIEW張姓同學(xué)ASSELECT*FROM學(xué)生WHERE姓名LIKE'張%';GRANTSELECTON張姓同學(xué)TOU1;我之后用用戶U1登陸，驗證結(jié)果如下：--2.把對學(xué)生表和課程表的全部權(quán)限授予用戶U2和U3GRANTALLPRIVILEGESON學(xué)生TOU2,U3;GRANTALLPRIVILEGESON課程TOU2,U3;--3.把對成績表的查詢權(quán)限授予所有用戶GRANTSELECTON成績TOPUBLIC;--4.把查詢學(xué)生表和修改學(xué)生學(xué)號的權(quán)限授給用戶U4GRANTUPDATE(學(xué)號),SELECTON學(xué)生TOU4;--5.把對成績的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其