1、網(wǎng)絡(luò)數(shù)據(jù)庫(kù),第6章 數(shù)據(jù)庫(kù)的安全性,本章目標(biāo),本章結(jié)束時(shí)，學(xué)員能夠： 了解計(jì)算機(jī)系統(tǒng)的三類(lèi)安全性 了解可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（TCSEC）及其級(jí)別劃分 了解數(shù)據(jù)庫(kù)的安全性控制及其技術(shù) 了解安全性控制機(jī)制 掌握SQL SERVER 2000安全架構(gòu) 掌握SQL SERVER 2000安全管理 了解SQL SERVER 2000的審計(jì),6.1計(jì)算機(jī)安全性概論,計(jì)算機(jī)系統(tǒng)的三類(lèi)安全性問(wèn)題 可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（TCSEC）,6.1計(jì)算機(jī)安全性概論(續(xù)),所謂計(jì)算機(jī)系統(tǒng)安全性，是指為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，

2、數(shù)據(jù)遭到更改或泄露等。 三類(lèi)安全： 技術(shù)安全類(lèi) 管理安全類(lèi) 政策法律類(lèi),6.1.1可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（TCSEC）,可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（TCSEC）： 美國(guó)國(guó)防部制定了TCSEC（可靠計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)，Trusted Computing System Evaluation Criteria，簡(jiǎn)稱(chēng)TCSEC），給出一套標(biāo)準(zhǔn)來(lái)定義滿(mǎn)足特定安全等級(jí)所需的安全功能及其保證的程度。 制定TCSEC標(biāo)準(zhǔn)的目的： 1、提供一種標(biāo)準(zhǔn)，使用戶(hù)可以對(duì)其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程序做評(píng)估。 2、給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿(mǎn)足敏感應(yīng)用的安全需求。,6.1.1可信

3、計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)(續(xù)),TCSEC 對(duì)系統(tǒng)安全等級(jí)的劃分: TCSEC 將計(jì)算機(jī)系統(tǒng)劃分為四組七個(gè)等級(jí)，按系統(tǒng)可靠或可信程序逐漸增高排列，依次是： D、C1、C2、B1、B2、B3、A1,6.2數(shù)據(jù)庫(kù)安全性控制,安全性控制定義 安全性控制保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用所造成的數(shù)據(jù)泄露和破壞。 安全性措施 物理級(jí) 人際級(jí) 操作系統(tǒng)級(jí) 網(wǎng)絡(luò)級(jí) 數(shù)據(jù)庫(kù)系統(tǒng)級(jí),6.2數(shù)據(jù)庫(kù)安全性控制(續(xù)),與數(shù)據(jù)庫(kù)有關(guān)的安全技術(shù) ： 身份認(rèn)證 存取控制 視圖 審計(jì) 數(shù)據(jù)加密,6.2.1身份認(rèn)證,用戶(hù)標(biāo)識(shí)和鑒別： 是系統(tǒng)提供的最外層安全保障措施。其方法是由系統(tǒng)提供一定的方式讓用戶(hù)標(biāo)識(shí)自己的名字或身份。每次用戶(hù)要求進(jìn)入系

4、統(tǒng)時(shí)，由系統(tǒng)進(jìn)行核對(duì)，通過(guò)鑒定后才提供機(jī)器使用。 常用的方法： 用一個(gè)用戶(hù)名或者用戶(hù)標(biāo)識(shí)號(hào)來(lái)標(biāo)明用戶(hù)身份 口令,6.2.2存取控制,數(shù)據(jù)庫(kù)安全最重要的一點(diǎn)就是確保只授權(quán)給有資格的用戶(hù)訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限，同時(shí)令所有未被授權(quán)的人員無(wú)法接近數(shù)據(jù)，這主要通過(guò)數(shù)據(jù)庫(kù)系統(tǒng)的存取控制機(jī)制實(shí)現(xiàn) 存取控制機(jī)制主要包括兩部分： 定義用戶(hù)權(quán)限 合法權(quán)限檢查 當(dāng)前大型DBMS支持的兩個(gè)安全級(jí)別： C2級(jí)的DAC（自主存取控制） B1級(jí)的MAC（強(qiáng)制存取控制）,6.2.3視圖機(jī)制,視圖： 進(jìn)行存取權(quán)限控制時(shí)為不同的用戶(hù)定義的不同的數(shù)據(jù)對(duì)象范圍。,6.2.4審計(jì),審計(jì)： 審計(jì)功能把用戶(hù)對(duì)數(shù)據(jù)庫(kù)的所有操作自動(dòng)記錄下來(lái)放入審記

5、日志（Audit Log）中。 DBA可以利用審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫(kù)現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。,6.2.5數(shù)據(jù)加密,數(shù)據(jù)加密： 是防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段。 加密的兩種方法： 替換方法 轉(zhuǎn)換方法,6.3 SQL Server 2000安全構(gòu)架,6.3.1 SQL Server 的登錄認(rèn)證,用戶(hù)使用SQL Server要經(jīng)過(guò)兩個(gè)安全性階段： 身份驗(yàn)證 授權(quán)（權(quán)限驗(yàn)證）,6.3.1 SQL Server 的登錄認(rèn)證(續(xù)),6.3.1 SQL Server 的登錄認(rèn)證(續(xù)),身份驗(yàn)證模式比較： Windows 認(rèn)證模式的優(yōu)點(diǎn) 更先進(jìn)的安全策

6、略 一組只需建一個(gè)用戶(hù) 更快捷的訪問(wèn) 混合認(rèn)證模式的優(yōu)點(diǎn) 非windows用戶(hù)及Internet客戶(hù)可以連接到數(shù)據(jù)庫(kù),6.3.2 身份驗(yàn)證模式設(shè)置,6.3.3權(quán)限驗(yàn)證,6.3.3權(quán)限驗(yàn)證（續(xù)）,兩個(gè)默認(rèn)登錄帳戶(hù): BUILTINAdministrators WINDOWS administrators組成員默認(rèn)使用此帳戶(hù)登錄 Sa 使用混合認(rèn)證方式時(shí)，SQL SERVER的登錄帳戶(hù),6.4 SQL Server安全管理,管理SQL Server 登錄 數(shù)據(jù)庫(kù)用戶(hù),6.4.1管理SQL Server 登錄新建登錄,6.4.1管理SQL Server 登錄新建登錄(windows身份驗(yàn)證),單擊此

7、按鈕，將彈出左邊的對(duì)話(huà)框，在這里可以選擇Windows系統(tǒng)中的用戶(hù),設(shè)置默認(rèn)數(shù)據(jù)庫(kù),6.4.1管理SQL Server 登錄新建登錄(SQL Server身份驗(yàn)證),SQL server身份驗(yàn)證用戶(hù)名,設(shè)置默認(rèn)數(shù)據(jù)庫(kù),6.4.1管理SQL Server 登錄查看登錄、修改登錄(密碼),拒絕、刪除登錄,6.4.2 數(shù)據(jù)庫(kù)用戶(hù),數(shù)據(jù)庫(kù)用戶(hù)簡(jiǎn)介 管理數(shù)據(jù)庫(kù)用戶(hù),6.4.2.1數(shù)據(jù)庫(kù)用戶(hù)簡(jiǎn)介,數(shù)據(jù)庫(kù)最高權(quán)限用戶(hù)-數(shù)據(jù)庫(kù)所有者 (dbo): dbo 是具有在數(shù)據(jù)庫(kù)中執(zhí)行所有活動(dòng)的暗示性權(quán)限的用戶(hù) sysadmin 的任何成員都映射到dbo用戶(hù) 任何其他不是sysadmin角色底成員創(chuàng)建底對(duì)象都不屬于db

8、o,6.4.2.1數(shù)據(jù)庫(kù)用戶(hù)簡(jiǎn)介（續(xù)）,數(shù)據(jù)庫(kù)特殊用戶(hù)guest 用戶(hù): 當(dāng)滿(mǎn)足下列所有條件時(shí)，登錄采用 guest 用戶(hù)的標(biāo)識(shí)： 登錄有訪問(wèn) Microsoft SQL Server 實(shí)例的權(quán)限，但沒(méi)有對(duì)應(yīng)的用戶(hù)帳戶(hù)訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限 數(shù)據(jù)庫(kù)中含有 guest 用戶(hù)帳戶(hù) 可以在除 master 和 tempdb 外（在這兩個(gè)數(shù)據(jù)庫(kù)中它必須始終存在）的所有數(shù)據(jù)庫(kù)中添加或刪除 guest 用戶(hù)。默認(rèn)情況下，新建的數(shù)據(jù)庫(kù)中沒(méi)有 guest 用戶(hù)帳戶(hù),6.4.2.1數(shù)據(jù)庫(kù)用戶(hù)簡(jiǎn)介（續(xù)）,數(shù)據(jù)庫(kù)對(duì)象所有者: SQL Server查找對(duì)象底順序?yàn)椋?當(dāng)前用戶(hù)所擁有 為dbo所擁有 如果找不到對(duì)象，返回錯(cuò)誤

9、信息,6.4.2.2管理數(shù)據(jù)庫(kù)用戶(hù)創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù),指定對(duì)應(yīng)登錄帳戶(hù),6.4.2.2管理數(shù)據(jù)庫(kù)用戶(hù)刪除登錄和用戶(hù),刪除用戶(hù)和組時(shí)將自動(dòng)刪除為該用戶(hù)定義的權(quán)限 當(dāng)某個(gè)用戶(hù)當(dāng)前擁有數(shù)據(jù)庫(kù)對(duì)象時(shí)不能被刪除 刪除用戶(hù)不會(huì)自動(dòng)刪除登錄，因此不會(huì)防止用戶(hù)聯(lián)接到SQL Server 實(shí)例,6.4.2.2管理數(shù)據(jù)庫(kù)用戶(hù)給數(shù)據(jù)庫(kù)用戶(hù)分配權(quán)限,6.5 權(quán)限管理,權(quán)限管理包括授予或廢除活動(dòng)的用戶(hù)權(quán)限： 處理數(shù)據(jù)和執(zhí)行過(guò)程（對(duì)象權(quán)限） 創(chuàng)建數(shù)據(jù)庫(kù)或數(shù)據(jù)庫(kù)中的項(xiàng)目（語(yǔ)句權(quán)限） 利用授予預(yù)定義角色的權(quán)限（暗示性權(quán)限）,6.5權(quán)限管理(續(xù)),GRANT:Can Perform Action,6.5.1對(duì)象權(quán)限,對(duì)象權(quán)限是指:

10、處理數(shù)據(jù)或執(zhí)行過(guò)程時(shí)需要的權(quán)限. 包括： SELECT、INSERT、UPDATE 和 DELETE 語(yǔ)句權(quán)限，它們可以應(yīng)用到整個(gè)表或視圖中。 SELECT 和 UPDATE 語(yǔ)句權(quán)限，它們可以有選擇性地應(yīng)用到表或視圖中的單個(gè)列上。 SELECT 權(quán)限，它們可以應(yīng)用到用戶(hù)定義函數(shù)。 INSERT 和 DELETE 語(yǔ)句權(quán)限，它們會(huì)影響整行，因此只可以應(yīng)用到表或視圖中，而不能應(yīng)用到單個(gè)列上。 EXECUTE 語(yǔ)句權(quán)限，它們可以影響存儲(chǔ)過(guò)程和函數(shù)。,6.5.2語(yǔ)句權(quán)限,創(chuàng)建數(shù)據(jù)庫(kù)或數(shù)據(jù)庫(kù)中的項(xiàng)（如表或存儲(chǔ)過(guò)程）所涉及的活動(dòng)要求另一類(lèi)稱(chēng)為語(yǔ)句權(quán)限的權(quán)限。 語(yǔ)句權(quán)限有： CREATE DATABASE

11、 創(chuàng)建數(shù)據(jù)庫(kù) CREATE TABLE 創(chuàng)建表 CREATE VIEW 創(chuàng)建視圖 CREATE RULE 創(chuàng)建規(guī)則 CREATE DEFAULT 創(chuàng)建缺省 CREATE PROCEDURE 創(chuàng)建存儲(chǔ)過(guò)程 BACKUP DATABASE 備份數(shù)據(jù)庫(kù) BACKUP LOG 備份事務(wù)日志,6.5.3暗示性權(quán)限,暗示性權(quán)限控制那些只能由預(yù)定義系統(tǒng)角色的成員或數(shù)據(jù)庫(kù)對(duì)象所有者執(zhí)行的活動(dòng)。例如，sysadmin 固定服務(wù)器角色成員自動(dòng)繼承在 SQL Server 安裝中進(jìn)行操作或查看的全部權(quán)限。 數(shù)據(jù)庫(kù)對(duì)象所有者還有暗示性權(quán)限，可以對(duì)所擁有的對(duì)象執(zhí)行一切活動(dòng)。 例如，擁有表的用戶(hù)可以查看、添加或刪除數(shù)據(jù)，

12、更改表定義，或控制允許其他用戶(hù)對(duì)表進(jìn)行操作的權(quán)限。,權(quán)限管理小結(jié),6.6角色管理,使用數(shù)據(jù)庫(kù)角色的好處： 對(duì)于任何用戶(hù)，都可以隨時(shí)讓多個(gè)數(shù)據(jù)庫(kù)角色處于活動(dòng)狀態(tài) 如果所有用戶(hù)、組和角色都在當(dāng)前數(shù)據(jù)庫(kù)中，則 SQL Server 角色可以包含 Windows NT 4.0 或 Windows 2000 組和用戶(hù)，以及 SQL Server 用戶(hù)和其它角色 在同一數(shù)據(jù)庫(kù)中，一個(gè)用戶(hù)可屬于多個(gè)角色 提供了可伸縮模型以便在數(shù)據(jù)庫(kù)中設(shè)置正確的安全級(jí)別,6.6.1角色概述,Microsoft SQL Server中的安全機(jī)制包括幾個(gè)具有暗示性權(quán)限的預(yù)定義角色，兩類(lèi)預(yù)定義角色為： 固定服務(wù)器角色 固定數(shù)據(jù)庫(kù)角

13、色,6.6.1 角色概述（續(xù)）固定服務(wù)器角色,Sysadmin在 SQL Server 中進(jìn)行任何活動(dòng)。 該角色的權(quán)限 跨越所有其它固定服務(wù)器角色。 Serveradmin配置服務(wù)器范圍的設(shè)置。 Setupadmin添加和刪除鏈接服務(wù)器，并執(zhí)行某 些系統(tǒng)存儲(chǔ)過(guò)程（如sp_serveroption） Securityadmin 管理服務(wù)器登錄。 Processadmin 管理在 SQL Server 實(shí)例中運(yùn)行的進(jìn)程。 Dbcreator創(chuàng)建和改變數(shù)據(jù)庫(kù)。 Diskadmin管理磁盤(pán)文件。 Bulkadmin執(zhí)行 BULK INSERT 語(yǔ)句。,6.6.1 角色概述（續(xù)）固定數(shù)據(jù)庫(kù)角色,db_o

14、wner進(jìn)行所有數(shù)據(jù)庫(kù)角色的活動(dòng)，以及數(shù)據(jù)庫(kù)中的 其它維護(hù)和配置活動(dòng)。該角色的權(quán)限跨越所有 其它固定數(shù)據(jù)庫(kù)角色。 db_accessadmin在數(shù)據(jù)庫(kù)中添加或刪除 Windows NT 4.0 或 Windows 2000 組和用戶(hù)以及 SQL Server 用戶(hù)。 db_datareader查看來(lái)自數(shù)據(jù)庫(kù)中所有用戶(hù)表的全部數(shù)據(jù)。 db_datawriter添加、更改或刪除來(lái)自數(shù)據(jù)庫(kù)中所有用戶(hù)表的數(shù)據(jù)。 db_ddladmin添加、修改或除去數(shù)據(jù)庫(kù)中的對(duì)象。 db_securityadmin管理 SQL Server 2000 數(shù)據(jù)庫(kù)角色的角色和成員， 并管理數(shù)據(jù)庫(kù)中的語(yǔ)句和對(duì)象權(quán)限。 db_

15、backupoperator有備份數(shù)據(jù)庫(kù)的權(quán)限。 db_denydatareader拒絕選擇數(shù)據(jù)庫(kù)數(shù)據(jù)的權(quán)限。 db_denydatawriter拒絕更改數(shù)據(jù)庫(kù)數(shù)據(jù)的權(quán)限。,6.6.2角色的管理：新建數(shù)據(jù)庫(kù)角色（續(xù)）,6.7 SQL Server 安全性管理的途徑,使用視圖作為安全機(jī)制 視圖與權(quán)限結(jié)合 使用存儲(chǔ)過(guò)程作為安全機(jī)制,6.7.1.1使用行級(jí)、列級(jí)安全性的視圖,例：在該例中某一銷(xiāo)售點(diǎn)只能查看他自己的銷(xiāo)售信息，使用pubs 數(shù)據(jù)庫(kù)中的sales 表： 首先創(chuàng)建視圖 create view specificsale as select ord_num ord_date qty payter

16、ms title_id from sales where stor_id=7067 當(dāng)執(zhí)行以下語(yǔ)句時(shí) select * from specificsale 則只顯示他自己的銷(xiāo)售信息,6.7.1.2視圖與權(quán)限結(jié)合,通過(guò)定義不同的視圖及有選擇地授予視圖上的權(quán)限，可以將用戶(hù)、組或角色限制在不同的數(shù)據(jù)子集內(nèi)。例如： 可以將訪問(wèn)限制在基表中行的子集內(nèi)。例如，可以定義一個(gè)視圖，其中只含有商業(yè)書(shū)籍或心理書(shū)籍的行，并向用戶(hù)隱藏有關(guān)其它類(lèi)型書(shū)籍的信息。 可以將訪問(wèn)限制在基表中列的子集內(nèi)。例如，可以定義一個(gè)視圖，其中含有 titles 表中的所有行，但省略了 royalty 和 advance 列，因?yàn)檫@些信息比

17、較敏感。 可以將訪問(wèn)限制在基表中列和行的子集內(nèi)。 可以將訪問(wèn)限制在符合多個(gè)基表聯(lián)接的行內(nèi)。例如，可以定義一個(gè)視圖，它聯(lián)接表 titles、authors 和 titleauthor 表以顯示作者姓名及其撰寫(xiě)的書(shū)籍。該視圖隱藏作者的個(gè)人信息以及著作的財(cái)務(wù)信息。 可以將訪問(wèn)限制在基表中數(shù)據(jù)的統(tǒng)計(jì)匯總內(nèi)。例如，可以定義一個(gè)視圖，其中只含有每類(lèi)書(shū)籍的平均價(jià)格。 可以將訪問(wèn)限制在另一個(gè)視圖的子集內(nèi)或視圖和基表組合的子集內(nèi)。,6.7.2使用存儲(chǔ)過(guò)程作為安全機(jī)制,存儲(chǔ)過(guò)程是Transact-SQL 語(yǔ)句的預(yù)編譯集合，這些語(yǔ)句在一個(gè)名稱(chēng)下存儲(chǔ)并作為一個(gè)單元進(jìn)行處理。 如果用戶(hù)不具有訪問(wèn)視圖和表的權(quán)限，那么通過(guò)

18、存儲(chǔ)過(guò)程仍能夠讓其查詢(xún)相應(yīng)的數(shù)據(jù)信息。實(shí)現(xiàn)的方法很簡(jiǎn)單，只要讓該用戶(hù)具有存儲(chǔ)過(guò)程的EXEC 權(quán)限就可以了。 要確保該存儲(chǔ)過(guò)程中包含了查詢(xún)語(yǔ)句，比如可創(chuàng)建下面的存儲(chǔ)過(guò)程 create procedure selsales as select * from sales 然后將存儲(chǔ)過(guò)程的EXEC 權(quán)限授予用戶(hù)當(dāng)用戶(hù)，執(zhí)行該存儲(chǔ)過(guò)程時(shí)就可以查看到相應(yīng)信息。 使用存儲(chǔ)過(guò)程的優(yōu)點(diǎn)在于不必對(duì)視圖和表的訪問(wèn)權(quán)限進(jìn)行分配。,6.8使用 SQL 事件探查器進(jìn)行監(jiān)視,監(jiān)視 SQL Server 實(shí)例的性能 調(diào)試 Transact-SQL 語(yǔ)句和存儲(chǔ)過(guò)程 識(shí)別執(zhí)行慢的查詢(xún) 在工程開(kāi)發(fā)階段，通過(guò)單步執(zhí)行語(yǔ)句測(cè)試 SQL 語(yǔ)句和存儲(chǔ)過(guò)程，以確認(rèn)代碼按預(yù)期運(yùn)行 通過(guò)捕獲生產(chǎn)系統(tǒng)中的事件并在測(cè)試