【正文】 操作簡(jiǎn)便等優(yōu)點(diǎn)。2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 167。鑒別時(shí)系統(tǒng)提供一個(gè)隨機(jī)數(shù)，用戶根據(jù)預(yù)先約定的計(jì)算過程或計(jì)算函數(shù)進(jìn)行計(jì)算，并將計(jì)算結(jié)果輸送到計(jì)算機(jī)，系統(tǒng)根據(jù)用戶計(jì)算結(jié)果判定用戶是否合法。若是，則可以進(jìn)入下一步的核實(shí)；否則，不能使用系統(tǒng)。 (5)數(shù)據(jù)庫系統(tǒng)級(jí)： 檢驗(yàn)用戶的身份是否合法，檢驗(yàn)用戶數(shù)據(jù)庫操作權(quán)限是否正確。安全保護(hù)措施是否有效是衡量數(shù)據(jù)庫系統(tǒng)的主要性能指標(biāo)之一。 為了防止數(shù)據(jù)庫的惡意濫用，可以在下述不同的安全級(jí)別上設(shè)置各種安全措施。v 標(biāo)識(shí)與鑒別 用戶標(biāo)識(shí)和鑒別是 DBMS提供的最外層保護(hù)措施。為保密起見，口令由合法用戶自己定義并可以隨時(shí)變更。167。對(duì)于任意一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取。 由于 審計(jì) 通常是很 費(fèi)時(shí)間 和空 間 的，因此 DBA要根據(jù) 應(yīng) 用 對(duì) 安全性的要求，靈活打開或關(guān) 閉審計(jì) 功能。 單獨(dú)使用這兩種方法的任意一種都是不夠安全的。 【例 】 把對(duì)讀者信息表 (readers)中的列 “ 姓名 ” 修改、查詢表的權(quán)限授予用戶 user1的語句可以寫為： GRANT UPDATE(姓名 )， SELECT ON TABLE readers TO user1； 【例 】 把對(duì)表 readers,books, borrowinf的查詢、修改、插入和刪除等全部權(quán)限授予用戶 user1和用戶 user2的語句可以寫為： GRANT ALL PRIVILIGES ON TABLE readers,books, borrowinf TO userl， user2；2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 【例 】 把對(duì)表 books的查詢權(quán)限授予所有用戶。 REVOKE SELECT ON TABLE readers FROM user3；2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 SQL Server的安全體系結(jié)構(gòu) SQL Server 2023的安全體系結(jié)構(gòu)SQL Server 2023提供以下 4層安全防線：v 操作系統(tǒng)的安全防線 Windows(Windiws NT或 Windows 2023 Server等 ) 網(wǎng)絡(luò)管理員負(fù)責(zé)建立用戶組，設(shè)置賬號(hào)并注冊(cè)，同時(shí)決定不同用戶對(duì)不同系統(tǒng)資源的訪問級(jí)別。 SQL Server 2023有兩種安全認(rèn)證模式，即 Windows安全認(rèn)證模式和 SQL Server安全認(rèn)證模式。 單擊 【使用 Windows身份 驗(yàn)證 [W] 】 為選擇 集成安全 認(rèn)證 模式； 單擊 【使用 SQL Server身份 驗(yàn)證 [Q] 】 則為選擇 SQL Server 2023安全 認(rèn)證 模式。單擊【登錄】可以看到當(dāng)前數(shù)據(jù)庫服務(wù)器的合法登錄用戶的一些信息。用戶賬號(hào)與具體的數(shù)據(jù)庫有關(guān)。通過該窗口可以看到當(dāng)前數(shù)據(jù)庫合法用戶的一些信息。 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 圖 9－ 5 創(chuàng)建登錄時(shí)指定登錄用戶同時(shí)作為數(shù)據(jù)庫用戶界面 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 圖 9－ 6 單獨(dú)創(chuàng)建數(shù)據(jù)庫用戶對(duì)話框 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 v 編輯或刪除數(shù)據(jù)庫用戶賬號(hào) 單擊【用戶】文件夾，在出現(xiàn)的顯示用戶賬號(hào)的窗口中，右擊需要操作的用戶賬號(hào)，選擇【屬性】命令，出現(xiàn)該用戶的角色和權(quán)限窗口，可對(duì)該用戶已設(shè)定內(nèi)容進(jìn)行重新編輯；選擇【刪除】便可刪除該數(shù)據(jù)庫用戶。這類角色可以在服務(wù)器上進(jìn)行相應(yīng)的管理操作，完全獨(dú)立于某個(gè)具體的數(shù)據(jù)庫。數(shù)據(jù)庫的角色分為固定數(shù)據(jù)庫角色和用戶定義的數(shù)據(jù)庫角色。 將用戶添加到某一數(shù)據(jù)庫角色的步驟為：打開指定的數(shù)據(jù)庫，單擊【角色】文件夾，右擊某個(gè)固定數(shù)據(jù)庫角色，在出現(xiàn)的菜單中選擇【屬性】命令，就會(huì)出現(xiàn)圖 98所示的數(shù)據(jù)庫角色屬性對(duì)話框，單擊【添加】按鈕，則會(huì)出現(xiàn)該角色的非成員用戶，按提示信息操作可以將他們添加到該角色中；選中某一用戶后，單擊【刪除】按鈕可以將此用戶從該角色中刪除。標(biāo)準(zhǔn)角色用于正常的用戶管理，它可以包括成員。表示禁止當(dāng)前角色對(duì)指定的數(shù)據(jù)對(duì)象的該項(xiàng)操作權(quán)限。數(shù)據(jù)庫對(duì)象通常包括表、視圖、存儲(chǔ)過程。 例如， sysadmin固定服務(wù)器角色成員可以在服務(wù)器范圍內(nèi)做任何操作， dbo可以對(duì)數(shù)據(jù)庫做任何操作， dboo可以對(duì)其擁有的數(shù)據(jù)庫對(duì)象做任何操作，對(duì)他不需要明確的賦予權(quán)限。一般選擇【列出全部用戶】 → 【用戶定義的數(shù)據(jù)庫角色 /public】。例如要對(duì) “MyDb” 數(shù)據(jù)庫中的 “ 數(shù)據(jù)輸入 ” 角色進(jìn)行授權(quán)操作，在企業(yè)管理器中，通過用戶或角色授權(quán) (或收權(quán) )的操作步驟如下： 1)擴(kuò)展開 SQL服務(wù)器和【數(shù)據(jù)庫】文件夾，單擊數(shù)據(jù)庫【 MyDb】 ,單擊【用戶】或【角色】。 5)完成后，單擊【確定】按鈕。這里只介紹用 TransactSQL語句實(shí)現(xiàn)權(quán)限管理，其語句格式與本章 SQL的類似。 禁止權(quán)限語句－ DENY? 禁止語句權(quán)限 【例 】 禁止用戶 user2的 CREATE TABLE 語句權(quán)限。但是撤消權(quán)限僅僅刪除用戶或角色擁有的某些權(quán)限，并不禁止用戶或角色通過其它方式繼承已被撤消的權(quán)限。user139。 二月 21二月 2115:46:0515:46:05February 02, 2023v 1他鄉(xiāng)生白發(fā)，舊國見青山。 二月 2115:46:0515:46Feb2102Feb21v 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無限完美。 二月 21二月 21Tuesday, February 02, 2023v 閱讀一切好書如同和過去最杰出的人談話。 2023/2/2 15:46:0515:46:0502 February 2023v 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。勝人者有力，自勝者強(qiáng)。 。 2023/2/2 15:46:0515:46:0502 February 2023v 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 二月 21二月 21Tuesday, February 02, 2023v 雨中黃葉樹，燈下白頭人。books39。 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 167。 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 ? 對(duì)象授權(quán) 注意： SQL Server 與標(biāo)準(zhǔn) SQL的不同是省去了對(duì)象類型，直接寫對(duì)象名稱即可。 在 對(duì)話 框的列表 欄 中， 單擊 表中的各復(fù) 選 框可分 別對(duì) 各用 戶或角色授予、撤消或禁止數(shù)據(jù) 庫 的 語 句操作 權(quán) 限。 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 圖 913 數(shù)據(jù)庫角色權(quán)限屬性對(duì)話框 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 4)在對(duì)話框的權(quán)限列表中，對(duì)每個(gè)對(duì)象進(jìn)行授予、撤消或禁止權(quán)限操作。在表中可以對(duì)各用戶或角色的各種對(duì)象操作權(quán)限(SELECT、 INSERT、 UPDATE、 DELETE、 EXEC和 DRI)進(jìn)行授予、禁止或撤消，單擊復(fù)選框可改變其狀態(tài)。 通過對(duì)象授予、撒消或禁止對(duì)象權(quán)限 如果一次要為多個(gè)用戶 (角色 )授予、撤消或禁止對(duì)某一個(gè)數(shù)據(jù)庫對(duì)象的權(quán)限時(shí)，應(yīng)采用通過對(duì)象的方法實(shí)現(xiàn)。語句權(quán)限用于語句本身，它只能由 SA或 dbo授予、禁止或撤消。步驟為：打開操作數(shù)據(jù)庫，選中用戶定義的數(shù)據(jù)庫角色，右擊此角色在彈出的菜單中選擇【刪除】命令即可。如圖 9－ 10所示。 用戶定義的數(shù)據(jù)庫角色 在許多情況下，固定數(shù)據(jù)庫角色不能滿足要求，需要用戶自定義數(shù)據(jù)庫新角色。 固定數(shù)據(jù)庫角色 固定數(shù)據(jù)庫角色的信息存儲(chǔ)在 sysuers系統(tǒng)表中。步驟如下：登錄服務(wù)器后，展開【安全性】文件夾，單擊【服務(wù)器角色】文件夾，則會(huì)出現(xiàn)圖 97所示的固定服務(wù)器角色窗口，右擊某一角色，在彈出的菜單中選擇【屬性】