【正文】 Database1 中的 UserX 添加到 Database1 的 db_owner 固定數(shù)據(jù)庫(kù)角色中，對(duì) Database2 中的 UserX 是否是 Database2 的 db_owner 角色成員沒有任何影響。 79固定數(shù)據(jù)庫(kù)角色80固定數(shù)據(jù)庫(kù)角色說明n 可以創(chuàng)建的固定數(shù)據(jù)庫(kù)角色在數(shù)據(jù)庫(kù)級(jí)別上定義，并存在于每個(gè)數(shù)據(jù)庫(kù)中?？蓪⑷魏斡行У挠脩魩簦?Windows NT 或 Windows 2022 用戶或組，或 SQL Server 用戶或角色）添加為固定數(shù)據(jù)庫(kù)角色成員。每個(gè)成員都獲得應(yīng)用于固定數(shù)據(jù)庫(kù)角色的權(quán)限。固定數(shù)據(jù)庫(kù)角色的任何成員都可將其他用戶添加到角色中。n 可以從 sp_helpdbfixedrole 獲得固定數(shù)據(jù)庫(kù)角色的列表，可以從 sp_dbfixedrolepermission 獲得每個(gè)角色的特定權(quán)限。n 數(shù)據(jù)庫(kù)中的每個(gè)用戶都屬于 public 數(shù)據(jù)庫(kù)角色。如果想讓數(shù)據(jù)庫(kù)中的每個(gè)用戶都能有某個(gè)特定的權(quán)限，則將該權(quán)限指派給 public 角色。如果沒有給用戶專門授予對(duì)某個(gè)對(duì)象的權(quán)限，他們就使用指派給 public 角色的權(quán)限。81固定數(shù)據(jù)庫(kù)角色描述固定數(shù)據(jù)庫(kù)角色 描述db_owner 在數(shù)據(jù)庫(kù)中有全部權(quán)限。db_accessadmin 可以添加或刪除用戶 ID。db_securityadmin 可以管理全部權(quán)限、對(duì)象所有權(quán)、角色和角色成員資格。db_ddladmin 可以發(fā)出 ALL DDL， 但不能發(fā)出 GRANT、 REVOKE 或 DENY 語(yǔ)句。db_backupoperator 可以發(fā)出 DBCC、 CHECKPOINT 和 BACKUP 語(yǔ)句。db_datareader 可以選擇數(shù)據(jù)庫(kù)內(nèi)任何用戶表中的所有數(shù)據(jù)。db_datawriter 可以更改數(shù)據(jù)庫(kù)內(nèi)任何用戶表中的所有數(shù)據(jù)。db_denydatareader 不能選擇數(shù)據(jù)庫(kù)內(nèi)任何用戶表中的任何數(shù)據(jù)。db_denydatawriter 不能更改數(shù)據(jù)庫(kù)內(nèi)任何用戶表中的任何數(shù)據(jù)。82自定義數(shù)據(jù)庫(kù)角色的授權(quán)與回收n 無法對(duì)特殊角色授予、拒絕或廢除權(quán)限。n 對(duì)自定義角色的授權(quán)、回收與安全帳號(hào)的授權(quán)、回收相同。n 注意：在 SQL Server中，不支持 create role（創(chuàng)建角色）語(yǔ)句和把一個(gè)角色的權(quán)限授于另一個(gè)角色的語(yǔ)句形式。返回 83 強(qiáng)制存取控制方法n 自主存取控制安全？n“無意泄露 ”，如甲將自己權(quán)限范圍內(nèi)的某些數(shù)據(jù)存取權(quán)限授權(quán)給乙，甲的意圖是只允許乙本人操縱這些數(shù)據(jù)，但這種要求并不能得到保證，因?yàn)橐乙坏┇@得了對(duì)數(shù)據(jù)的權(quán)限，就可以將數(shù)據(jù)備份，獲得自身權(quán)限內(nèi)的副本，并在不征得甲同意的前提下傳播副本。n 根本原因？n 在于僅僅通過對(duì)數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并沒有安全性標(biāo)記。84強(qiáng)制存取控制方法（ 2）n 什么是強(qiáng)制存取控制？n 強(qiáng)制存取控制 (MAC)是指系統(tǒng)為保證更高程度的安全性，按照 TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強(qiáng)制存取檢查手段。nMAC不是用戶能直接感知或進(jìn)行控制的。nMAC適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門n 軍事部門n 政府部門85強(qiáng)制存取控制方法（ 3）n 主體與客體n 在 MAC中， DBMS所管理的全部實(shí)體被分為主體和客體兩大類n 主體 是系統(tǒng)中的活動(dòng)實(shí)體n DBMS所管理的實(shí)際用戶n 代表用戶的各進(jìn)程n 客體 是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的n 文件、 基表、 索引、 視圖86強(qiáng)制存取控制方法（ 4）n 敏感度標(biāo)記n 對(duì)于主體和客體， DBMS為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（ Label）n 敏感度標(biāo)記分成若干級(jí)別n 絕密（ Top Secret）、 機(jī)密（ Secret）、 可信（ Confidential）、 公開（ Public）n 主體的敏感度標(biāo)記稱為許可證級(jí)別（ Clearance Level）n 客體的敏感度標(biāo)記稱為密級(jí)（ Classification Level）nMAC機(jī)制就是通過對(duì)比主體的 Label和客體的Label， 最終確定主體是否能夠存取客體87強(qiáng)制存取控制方法（ 5）n 強(qiáng)制存取控制規(guī)則n 當(dāng)某一用戶（或某一主體）以標(biāo)記 label注冊(cè)入系統(tǒng)時(shí)，系統(tǒng)要求他對(duì)任何客體的存取必須遵循下面兩條規(guī)則：（ 1）僅當(dāng)主體的許可證級(jí)別 大于或等于 客體的密級(jí)時(shí)，該主體才能 讀 取相應(yīng)的客體；（ 2）僅當(dāng)主體的許可證級(jí)別 等于 客體的密級(jí)時(shí)，該主體才能 寫 相應(yīng)的客體。88強(qiáng)制存取控制方法（ 6）n 修正規(guī)則：n 主體的許可證級(jí)別 =客體的密級(jí)時(shí)，主體能寫客體。n 用戶可為寫入的數(shù)據(jù)對(duì)象賦予高于自己的許可證級(jí)別的密級(jí)n 一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對(duì)象了。n 規(guī)則的共同點(diǎn)n 禁止了擁有高許可證級(jí)別的主體更新低密級(jí)的數(shù)據(jù)對(duì)象89強(qiáng)制存取控制方法（ 7）n 強(qiáng)制存取控制的特點(diǎn)nMAC是對(duì)數(shù)據(jù)本身進(jìn)行密級(jí)標(biāo)記n 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個(gè)不可分的整體n 只有符合密級(jí)標(biāo)記要求的用戶才可以操縱數(shù)據(jù)n 從而提供了更高級(jí)別的安全性90強(qiáng)制存取控制方法（ 8）n DAC與 MAC共同構(gòu)成 DBMS的安全機(jī)制n 原因：較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)n 先進(jìn)行 DAC檢查，通過 DAC檢查的數(shù)據(jù)對(duì)象再由系統(tǒng)進(jìn)行 MAC檢查，只有通過 MAC檢查的數(shù)據(jù)對(duì)象方可存取。91強(qiáng)制存取控制方法（ 9）DAC + MAC安全檢查示意圖 SQL語(yǔ)法分析 amp。 語(yǔ)義檢查 DAC 檢 查 安全檢查 MAC 檢 查 繼 續(xù)返回 92 視圖機(jī)制n 視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來。n 視圖機(jī)制更主要的功能在于提供數(shù)據(jù)獨(dú)立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。93視圖機(jī)制（ 2）n 視圖機(jī)制與授權(quán)機(jī)制配合使用 :n 首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù)n 視圖上面再進(jìn)一步定義存取權(quán)限n 間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義94視圖機(jī)制（ 3）例：王平只能檢索計(jì)算機(jī)系學(xué)生的信息n 先建立計(jì)算機(jī)系學(xué)生的視圖 CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=39。CS39。；n 在視圖上進(jìn)一步定義存取權(quán)限 GRANT SELECT ON CS_Student TO 王平 ；返回 95 審計(jì)n 什么是審計(jì)？n 啟用一個(gè)專用的審計(jì)日志（ Audit Log） 將用戶對(duì)數(shù)據(jù)庫(kù)的所有操作記錄在上面。n DBA可以利用審計(jì)日志中的追蹤信息 找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。n C2以上安全級(jí)別的 DBMS必須具有審計(jì)功能n 審計(jì)功能的可選性n 審計(jì)很費(fèi)時(shí)間和空間nDBA可以根據(jù)應(yīng)用對(duì)安全性的要求，靈活地打開或關(guān)閉審計(jì)功能。96審計(jì)（ 2）n 審計(jì)的分類n 用戶級(jí)的審計(jì)，是任何用戶可以設(shè)置的審計(jì)，主要是用戶針對(duì)自己創(chuàng)建的數(shù)據(jù)庫(kù)表或視圖進(jìn)行審計(jì)，記錄所有對(duì)這些表或視圖的成功和（或）不成功的訪問要求以及各種類型的 SQL操作。n 系統(tǒng)級(jí)審計(jì)，只能由 DBA設(shè)置，用以監(jiān)測(cè)成功或失敗的登錄要求，監(jiān)測(cè) GRANT和 REVOKE操作以及其他數(shù)據(jù)庫(kù)級(jí)權(quán)限下的操作。n 審計(jì)的設(shè)置n 在企業(yè)管理器，右擊服務(wù)器實(shí)例，在屬性對(duì)話框中的安全性卡上設(shè)置相應(yīng)的審核級(jí)別即可（無、失敗、成功、全部）。返回 97 數(shù)據(jù)加密n 數(shù)據(jù)加密n 防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段。n 加密的基本思想n 根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語(yǔ)為明文，Plain text） 變換為不可直接識(shí)別的格式（術(shù)語(yǔ)為密文， Cipher text）n 不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容98數(shù)據(jù)加密（ 2）n 加密方法n 替換方法n 使用密鑰（ Encryption Key） 將明文中的每一個(gè)字符轉(zhuǎn)換為密文中的一個(gè)字符n 置換方法n 將明文的字符按不同的順序重新排列n 混合 方法 美國(guó) 1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard， 簡(jiǎn)稱 DES）99數(shù)據(jù)加密（ 3）n DBMS中的數(shù)據(jù)加密n 有些數(shù)據(jù)庫(kù)產(chǎn)品提供了數(shù)據(jù)加密例行程序n 有些數(shù)據(jù)庫(kù)產(chǎn)品本身未提供加密程序，但提供了接口n 數(shù)據(jù)加密功能通常也作為可選特征，允許用戶自由選擇n 數(shù)據(jù)加密與解密是比較費(fèi)時(shí)的操作n 數(shù)據(jù)加密與解密程序會(huì)占用大量系統(tǒng)資源n 應(yīng)該只對(duì)高度機(jī)密的數(shù)據(jù)加密n SQL Server中的加密功能是比較強(qiáng)的，有興趣的同學(xué)可以查有關(guān)書籍或聯(lián)機(jī)手冊(cè)。返回 100 統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性n 統(tǒng)計(jì)數(shù)據(jù)庫(kù)的特點(diǎn)n 允許用戶查詢 聚集 類型的信息（例如合計(jì)、平均值等）n 不允許查詢 單個(gè) 記錄信息例：允許查詢 “程序員的平均工資是多少？ ” 不允許查詢 “程序員張勇的工資？ ”n 統(tǒng)計(jì)數(shù)據(jù)庫(kù)中特殊的安全性問題n 隱蔽的信息通道n 從合法的查詢中推導(dǎo)出不合法的信息101統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性（ 2）例 1：下面兩個(gè)查詢都是合法的： 1．本公司共有多少女高級(jí)程序員？ 2．本公司女高級(jí)程序員的工資總額是多少？如果第一個(gè)查詢的結(jié)果是 “1”，那么第二個(gè)查詢的結(jié)果顯然就是這個(gè)程序員的工資數(shù)。規(guī)則 1：任何查詢至少要涉及 N(N足夠大 )個(gè)以上的記錄102統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性（ 3）例 2：用戶 A發(fā)出下面兩個(gè)合法查詢： 1．用戶 A和其他 N個(gè)程序員的工資總額是多少？ 2．用戶 B和其他 N個(gè)程序員的工資總額是多少？ 若第一個(gè)查詢的結(jié)果是 X， 第二個(gè)查詢的結(jié)果是 Y， 由于用戶 A知道自己的工資是 Z， 那么他可以計(jì)算出用戶 B的工資 =Y(XZ)。 原因：兩個(gè)查詢之間有很多重復(fù)的數(shù)據(jù)項(xiàng) 規(guī)則 2：任意兩個(gè)查詢的相交數(shù)據(jù)項(xiàng)不能超過 M個(gè)103統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性（ 4）n 可以證明，在上述兩條規(guī)定下，如果想獲知用戶 B的工資額， A至少需要進(jìn)行 1+(N2)/M次查詢。規(guī)則 3：任一用戶的查詢次數(shù)不能超過 1+(N2)/M n 如果兩個(gè)用戶合作查詢就可以使這一規(guī)定失效。n 數(shù)據(jù)庫(kù)安全機(jī)制的設(shè)計(jì)目標(biāo)： 試圖破壞安全的人所花費(fèi)的代價(jià) 得到的利益返回 104 小結(jié)n 隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)的共享日益加強(qiáng)，數(shù)據(jù)的安全保密越來越重要n DBMS是管理數(shù)據(jù)的核心，因而其自身必須具有一整套完整而有效的安全性機(jī)制。n 《 可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn) 》 TCSEC/TDI是目前各國(guó)所引用或制定的一系列安全標(biāo)準(zhǔn)中最重要的一個(gè)。 n TCSEC/TDI從 安全策略 、 責(zé)任 、 保證 和 文檔 四個(gè)方面描述了安全性級(jí)別的指標(biāo)n 目前 CC已經(jīng)基本取代了 TCSEC， 成為評(píng)估信息產(chǎn)品安全性的主要標(biāo)準(zhǔn)。105小結(jié)（ 2）n 實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)安全性的技術(shù)和方法有多種，最重要的是 存取控制 技術(shù)、 視圖 技術(shù)和 審計(jì) 技術(shù)。n 目前許多大型 DBMS 達(dá)到了 C2級(jí)，其安全版本達(dá)到了 B1n C2級(jí) 的 DBMS必須具有 自主存取控制 功能和 初步的審計(jì) 功能n B1級(jí) 的 DBMS必須具有 強(qiáng)制存取控制 和 增強(qiáng)的審計(jì) 功能n 自主存取控制功能一般是通過 SQL 的 GRANT語(yǔ)句和REVOKE語(yǔ)句來實(shí)現(xiàn)的106 下課了。休息一會(huì)兒。返回 10