sql 2005教程 第19章 安全管理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第19章 安全管理,SQL Server 2005,包含许多可配置安全功能。通过这些功能，用户可根据所需定制自己的安全策略，以实现安全防御。本章讲述,SQL Server 2005,数据库产品的安全机制，以及一般的安全管理措施。,19.1,SQL Server,安全性机制,SQL Server 2005,数据库提供了系统安全体系，理解,SQL Server,的安全性机制，首先要了解主体、安全对象等概念。同时，新版本的数据库,SQL Server2005,数据库将用户与架构进行了分离，这是新的安全特性。,19.1.1 主体,主体是可以请求,SQL Server,资源的个体、组和过程。主体也有层次结构，如表19.1所示。主体的影响范围取决于主体定义的范围（,Windows、,服务器或数据库）、主体是否不可分、或者是否是一个集合。,19.1.2 安全对象,SQL Server 2005,数据库引擎管理着可以通过权限进行保护的实体的分层集合。这些实体称为“安全对象”。安全对象是,SQL Server,数据库所能够访问的资源。安全对象的嵌套层次结构如表19.2所示。安全对象范围有服务器、数据库和架构。,19.1.3 权限层次结构,SQL Server 2005,数据库中，主体对安全对象的访问权限，是分层进行的。权限的层次结构如图19.3所示。可以对服务器和数据库的访问主体（如用户角色等），授予访问权限。这些访问权限是分层继承的即在上层授予的权限，被下一级的对象默认继承使用。例如：对登录授予的服务器管理权限，将被指向它的用户所继承。,19.1.4 查询权限,用户可以使用,fn_my_permissions,查询用户的有效权限，该函数一般用于返回调用方对服务器的有效权限的列表。,19.2 服务器范围的安全管理,SQL Server,和,Windows,操作系统进行紧密的集成，其安全性基于,Windows,安全体系，,SQL Server,可以在两种不同的身份验证模式下操作。,19.2.1,SQL Server,验证模式,SQL Server,服务器进行身份验证是,SQL Server 2005,数据库在服务器范围内的安全保障，服务器身份验证有两种模式，包括“,Windows,身份验证模式”、“,SQL Server,和,Windows,身份验证模式”。（具体内容请参照书。）,19.2.2 使用密码策略,在,Windows,操作系统环境下运行,SQL Server 2005,时，可以使用,Windows,密码策略机制。,SQL Server 2005,可以将,Windows Server 2003,中使用的复杂性策略、过期策略应用于,SQL Server,内部使用的密码。（具体内容请参照书。）,19.2.3 服务器范围的角色,SQL Server,安全体系结构中包括了一些含有特定隐含权限的角色，在服务器范围内，有固定服务器角色。固定服务器角色在其作用域内属于服务器范围。固定服务器角色的每个成员，都可以向其所属角色添加其它登录名。（具体内容请参照书。）,19.2.4 管理登录名,登录名即为可以访问,SQL Server,数据库的帐户，建立登录名可以通过,SQL Server Management Studio,图形工具，也可以使用,T-SQL,生成。（具体内容请参照书。）,19.2.5 管理凭据,凭据是包含连接到,SQL Server,之外的资源所需的身份验证信息的记录。（具体内容请参照书。）,19.3 数据库范围的安全管理,数据库范围的安全管理是以数据库级别的主体为基础管理的，最重要的数据库范围的主体是数据库用户，,SQL Server,通过用户对数据库对象进行操作。,19.3.1 管理用户,用户和登录不同，登录允许访问,SQL Server,系统，而用户是访问某个特定的数据库的主体。数据库用户可以和已有的登录进行映射。用户是对数据库而言，而登录是针对,SQL Server,而言的。一个登录可以映射多个数据库用户，一个数据库用户只能与一个登录相映射。（具体内容请参照书。）,19.3.2 特殊用户,SQL Server 2005,数据库有几个特殊用户，包括,dbo,用户、,guest,用户。这些用户具有特殊的属性，不同于一般定义的用户。（具体内容请参照书。）,19.3.3 数据库范围的角色,当多个用户需要在某个特定的数据库中执行类似的动作时，可以向该数据库中添加一个角色。数据库角色代表了可以访问相同数据库对象的一组数据库用户。数据库范围内分为三种角色。,（1）固定数据库角色,（2）用户定义的数据库角色。,（,3,）,public,角色。,19.4 用户架构分离,用户与架构分离是,SQL Server 2005,数据库，在安全体系中最重要的改进。架构是,SQL Server 2005,数据库新的数据对象。,19.4.1 理解架构,架构是形成单个命名空间的数据库实体的集合。命名空间是一个集合，其中每个元素的名称都是唯一的。架构是数据库对象的命令空间。在,SQL Server 2000,中，数据库用户和架构是隐式连接在一起的。每个数据库用户都是与该用户同名的架构的所有者。对象的所有者在功能上与包含它的架构所有者相同。因而，,SQL Server 2000,中的完全限定名称的“架构”也是数据库中的用户。（具体内容请参照书。）,19.4.2 使用,SQL Server Management Studio,工具创建架构,用户可以使用,SQL Server Management Studio,工具创建架构，具体步骤请参考如下所示。（具体内容请参照书。）,19.4.3 用,CREATE SCHEMA,语句创建架构,使用,CREATE SCHEMA,语句，在当前数据库中创建架构，具体语法如下。（具体内容请参照书。）,19.5 管理密钥与证书,本节将讨论,SQL Server,的加密策略及机制，主要包括密码系统架构、密钥的使用和证书的使用，事实上，微软公司提供了完善的加密体系，用户不仅可以对数据库进行访问加密、也可以对数据列进行加密。,19.5.1,SQLServer,密码系统架构,SQL Server,通过使用层次结构加密结构，每一层都有使用证书、非对称密钥或对称密钥的组合来保护下层结构。层次结构如图19.17所示，例如，数据库主密钥的生成要依赖于上层服务主密钥。,19.5.2 创建密钥,密钥分为对称密钥和非对称密钥，对称密钥是加密和解密都使用的一个密钥。使用对称密钥进行加密和解密非常快，并且适用于使用数据库中的敏感数据的例程。非对称密钥由私钥和对应的公钥组成。每个密钥都可以解密另一个密钥加密的数据。非对称加密和解密相对来说会消耗大量资源，但它们比对称加密提供了更高的安全级别。非对称密钥可用于加密对称密钥，以便存储在数据库中。,19.5.3 创建证书,证书是包含非对称密钥中的公钥，证明主体拥有对应私钥的数字签名。（具体内容请参照书。）,19.5.4 简单加密示例,示例：以下示例使用前一示例中的证书对字符串进行加密和解密，具体操作可以参考以下步骤。,在,SQL Server Management Studio,工具中，单击“新建查询”按钮，打开一个“新建查询”窗口。在查询窗口中，输入代码如下，并单击“执行”按钮。（具体内容请参照书。）,