資源描述:
《sqlserver2005數(shù)據(jù)庫(kù)安全管理機(jī)制》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)����。
1�、SQLSERVER2005數(shù)據(jù)庫(kù)安全管理機(jī)制【摘要】SQLServer2005的安全管理機(jī)制是一個(gè)難點(diǎn)�����。它能夠?qū)τ脩粼L問SQLServer2005服務(wù)器系統(tǒng)和數(shù)據(jù)庫(kù)的安全進(jìn)行全面地管理���?���?梢詾镾QLServer2005構(gòu)造出一個(gè)靈活的��、可管理的安全策略��,本文針對(duì)安全管理涉及的幾個(gè)方面進(jìn)行討論����。【關(guān)鍵詞】身份驗(yàn)證�����;用戶管理�����;架構(gòu);角色���;權(quán)限Microsoft為SQLServer2005建立了一種既靈活又強(qiáng)大的安全管理機(jī)制,它能夠?qū)τ脩粼L問SQLServer2005服務(wù)器系統(tǒng)和數(shù)據(jù)庫(kù)的安全進(jìn)行全面地管理�。SQLSer
2、ver2005數(shù)據(jù)庫(kù)邏輯結(jié)構(gòu)及相對(duì)應(yīng)的安全管理機(jī)制如圖1所示:圖1SQLServer2005數(shù)據(jù)庫(kù)邏輯結(jié)構(gòu)圖1概念服務(wù)器登錄名ServerLogin,服務(wù)器角色ServerRole,數(shù)據(jù)庫(kù)用戶DBUser,數(shù)據(jù)庫(kù)架構(gòu)DBSchema,數(shù)據(jù)庫(kù)角色DBRoleo以上幾個(gè)名詞應(yīng)該從服務(wù)器與數(shù)據(jù)庫(kù)來區(qū)分��,服務(wù)器包含一到多個(gè)數(shù)據(jù)庫(kù)��,其中:服務(wù)器登錄名:指有權(quán)限登錄到某服務(wù)器的用戶���;服務(wù)器角色:指一類服務(wù)器用戶�����,默認(rèn)有9類��;數(shù)據(jù)庫(kù)用戶:指有權(quán)限能操作數(shù)據(jù)庫(kù)的用戶��;數(shù)據(jù)庫(kù)角色:指一類固定的有某些權(quán)限的數(shù)據(jù)庫(kù)用戶��;架構(gòu):指數(shù)據(jù)庫(kù)
3�����、對(duì)象的容器�,類似操作系統(tǒng)中的文件夾;數(shù)據(jù)對(duì)象:如數(shù)據(jù)庫(kù)中的表��,視圖�,存儲(chǔ)過程等。2登錄身份驗(yàn)證SQLServer的兩種登錄驗(yàn)證模式:Windows身份驗(yàn)證和SQLServer身份驗(yàn)證�����。Windows的驗(yàn)證是請(qǐng)求域控制器檢查用戶身份的合法性���。SQLServer2005的驗(yàn)證是把一組帳戶��、密碼與Master數(shù)據(jù)庫(kù)Sysxlogins表中的一個(gè)清單進(jìn)行匹配����。當(dāng)用戶想連接到SQLSERVER2005服務(wù)器的時(shí)候,必須先選擇一種身份驗(yàn)證模式。SQL的驗(yàn)證模式分為兩種WINDOWS驗(yàn)證模式和混合驗(yàn)證模式�。WINDOWS身份驗(yàn)
4�、證模式安全性相對(duì)要高,應(yīng)該盡量使用WINDOWS身份驗(yàn)證模式?���;旌仙矸蒡?yàn)證模式下,驗(yàn)證分為WINDOWS身份驗(yàn)證和SQL身份驗(yàn)證�,允許用戶WINDOWS登錄賬戶或使用SQL登錄賬戶連接SQLSERVERo3數(shù)據(jù)庫(kù)用戶管理與角色管理登錄名提供身份驗(yàn)證,而通過用戶可以取得特定的對(duì)數(shù)據(jù)庫(kù)操作的權(quán)限���。否則��,即使擁有登陸名,還是無法進(jìn)行數(shù)據(jù)庫(kù)的訪問�。在每個(gè)數(shù)據(jù)庫(kù)中都有一個(gè)用戶集,并且登陸名和用戶名是對(duì)應(yīng)的關(guān)系���,即一個(gè)登錄名在每一個(gè)數(shù)據(jù)庫(kù)中只能創(chuàng)建一個(gè)用戶名��。4理解角色的概念及為角色分配權(quán)限關(guān)于角色�����,其概念相當(dāng)于用戶組�,使用
5�����、角色有助于減輕安全管理的負(fù)擔(dān),可以創(chuàng)建一個(gè)角色�����,為這個(gè)角色分配一定的權(quán)限��,然后再把用戶加入到這個(gè)角色中�����,則這些屬于相同角色的用戶將擁有相同的權(quán)限�。角色有兩種:一是,固定數(shù)據(jù)庫(kù)服務(wù)器角色���,不能添加���、刪除和修改,其所對(duì)應(yīng)的權(quán)限是數(shù)據(jù)庫(kù)服務(wù)器權(quán)限,用于對(duì)服務(wù)器的管理����;二是,數(shù)據(jù)庫(kù)角色����,又可分為兩種�,固定數(shù)據(jù)庫(kù)角色和用戶自定義角色����,對(duì)應(yīng)的權(quán)限是數(shù)據(jù)庫(kù)的權(quán)限,用于對(duì)數(shù)據(jù)庫(kù)對(duì)象的管理���。5安全對(duì)象�����、架構(gòu)在SQLSERVER2005中引入了安全對(duì)象和架構(gòu)這樣的新概念����,這是SQLSERVER2005對(duì)權(quán)限設(shè)置的一個(gè)重大改進(jìn)����。安全對(duì)
6��、象是可以通過權(quán)限進(jìn)行保護(hù)的實(shí)體的分層集合���,這些實(shí)體稱為安全對(duì)象�����,具體講安全對(duì)象有服務(wù)器��、數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)包含的對(duì)象��。而引入架構(gòu)可以提高權(quán)限的設(shè)置力度���,這使得訪問安全對(duì)象的格式為:服務(wù)器名�、數(shù)據(jù)庫(kù)名���、架構(gòu)名�����、對(duì)象名��。架構(gòu)是形成單個(gè)命名空間的數(shù)據(jù)庫(kù)實(shí)體的集合��。命名空間是一個(gè)集合���,其中每個(gè)元素的名稱都是唯一的?��?梢园鸭軜?gòu)理解為文件夾�,且這種文件夾不允許嵌套,也就是說架構(gòu)是一種容器����,可以在其中放入數(shù)據(jù)庫(kù)對(duì)象。數(shù)據(jù)庫(kù)用戶與所有者隱式綁定的方式會(huì)帶來一些問題�,如一個(gè)用戶創(chuàng)建了某個(gè)數(shù)據(jù)庫(kù)對(duì)象(如表),則在SQLSERVER200
7�、52005中該用戶自動(dòng)綁定到該數(shù)據(jù)庫(kù)對(duì)象(如表)的所有者(DB0),如果要?jiǎng)h除該用戶則提示該用戶有一個(gè)數(shù)據(jù)庫(kù)對(duì)象(如表對(duì)象),也就是說要?jiǎng)h除用戶����,就必須先刪除它所擁有的表,這顯然是缺乏靈活性��。因此在SQLSERVER20052005中就引入架構(gòu)的概念����,使用戶和數(shù)據(jù)庫(kù)對(duì)象分離��。SQLSERVER2005中的所有安全對(duì)象都必須指定存放的具體架構(gòu)��。任何用戶都必須指定存放它的擁有對(duì)象的架構(gòu)��,如果不指定�,默認(rèn)存放的架構(gòu)是DBO�。但是并沒有授予數(shù)據(jù)庫(kù)用戶在DBO架構(gòu)創(chuàng)建對(duì)象的權(quán)限��,即用戶只能使用(如查詢)默認(rèn)的DB0架構(gòu)���,用
8�����、戶并不是DB0架構(gòu)的所有者�。默認(rèn)架構(gòu)是服務(wù)器解析DML或DDL語(yǔ)句中指定的未限定的對(duì)象名稱時(shí)搜索的架構(gòu)��。因此,當(dāng)引用的對(duì)象包含在默認(rèn)架構(gòu)中時(shí)�����,不需要指定架構(gòu)名�����。6權(quán)限管理創(chuàng)建好角色之后就可以分配權(quán)限����。在SQLSERVER2005中權(quán)限管理分為:對(duì)象權(quán)限、語(yǔ)句權(quán)限和暗示權(quán)限�。權(quán)限管理有三個(gè)方面:一是���,權(quán)限的擁有者,有登錄賬戶���、角色中的成員和數(shù)據(jù)庫(kù)用戶�����;二是���,權(quán)限涉及的資源。
