【正文】 方法。 2022/2/16 當(dāng)在 Windows 95/98計(jì)算機(jī)上運(yùn)行 SQL Server時(shí)，SQL Server混合驗(yàn)證是惟一可用的方法。在混合驗(yàn)證設(shè)臵中，如果一個(gè)客戶機(jī)連接到服務(wù)器但沒有傳來登錄名和口令，SQL Server 就會自動認(rèn)定用戶想要使用 Windows驗(yàn)證，并使用 Windows驗(yàn)證方法來驗(yàn)證用戶。如果用戶確實(shí)傳來了登錄名和口令， SQL Server就認(rèn)為是經(jīng)由 SQL Server驗(yàn)證連接的。在 SQL Server驗(yàn)證過程中，用戶傳給服務(wù)器的登錄信息與系統(tǒng)表 syslogins中的信息進(jìn)行比較。如果兩個(gè)口令匹配，SQL Server允許用戶訪問服務(wù)器。如果不匹配， SQL Server不允許訪問，并且用戶會從服務(wù)器上收到一個(gè)出錯信息。 2022/2/16 ?服務(wù)器登錄標(biāo)識管理 sa和 Administrators是系統(tǒng)在安裝時(shí)創(chuàng)建的分別用于 SQL Server混合驗(yàn)證模式和 Windows驗(yàn)證模式的系統(tǒng)登錄名。如果用戶想創(chuàng)建新的登錄名或刪除已有的登錄名，可使用下列兩種方法： ? 使用 SQL Server企業(yè)管理器管理登錄名； ? 使用 SQL Server系統(tǒng)存儲過程管理登錄名。 2022/2/16 ? 數(shù)據(jù)庫用戶管理 在 SQL Server中，登錄對象和用戶對象是 SQL Server進(jìn)行權(quán)限管理的兩種不同的對象。一個(gè)登錄對象是服務(wù)器方的一個(gè)實(shí)體，使用一個(gè)登錄名可以與服務(wù)器上的所有數(shù)據(jù)庫進(jìn)行交互。用戶對象是一個(gè)或多個(gè)登錄對象在數(shù)據(jù)庫中的映射，可以對用戶對象進(jìn)行授權(quán)，以便為登錄對象提供對數(shù)據(jù)庫的訪問權(quán)限，一個(gè)登錄名可以被授權(quán)訪問多個(gè)數(shù)據(jù)庫，一個(gè)登錄名在每個(gè)數(shù)據(jù)庫中只能映射一次。 SQL Server可使用下列兩種方法來管理數(shù)據(jù)庫用戶： ? 使用 SQL Server企業(yè)管理器管理數(shù)據(jù)庫用戶； ? 使用 SQL Server系統(tǒng)存儲過程 sp_grantdbaccess管理數(shù)據(jù)庫用戶。 2022/2/16 ?權(quán)限管理 在 SQL Server中有三種類型的權(quán)限：語句權(quán)限、對象權(quán)限和隱含權(quán)限。 其中語句權(quán)限和對象權(quán)限可以委派給其它用戶，隱含權(quán)限只允許屬于特定角色的人使用。 在 SQL Server中主要有兩種類型的角色：服務(wù)器角色與數(shù)據(jù)庫角色。 2022/2/16 語句權(quán)限通常只給那些需要在數(shù)據(jù)庫中創(chuàng)建或修改對象、執(zhí)行數(shù)據(jù)庫或事務(wù)日志備份的用戶。這類權(quán)限是 SQL Server中功能最強(qiáng)大的一些權(quán)限，這些權(quán)限只限分配在單個(gè)數(shù)據(jù)庫，跨數(shù)據(jù)庫的權(quán)限是不可能的。當(dāng)分配語句權(quán)限給用戶時(shí)，就給了他們創(chuàng)建對象的能力，通常使用對應(yīng)的SQL Server命令來引用。 對象權(quán)限分配給數(shù)據(jù)庫層次上的對象，并允許用戶訪問和操作數(shù)據(jù)庫中已存在的對象。沒有這些權(quán)限，用戶將不能訪問數(shù)據(jù)庫里的任何對象。這些權(quán)限實(shí)際上給了用戶運(yùn)行特定 SQL語句的能力。 2022/2/16 第 4章 數(shù)據(jù)庫安全性 ? 數(shù)據(jù)庫安全性概述 ? 訪問控制 ? 數(shù)據(jù)庫加密技術(shù) ? SQL Server的安全機(jī)制 ? Oracle的安全機(jī)制 ? 小結(jié) 2022/2/16 Oracle數(shù)據(jù)庫中的安全機(jī)制包括： ? 數(shù)據(jù)庫用戶和模式 ? 權(quán)限控制 ? 角色 ? 存儲設(shè)臵和空間份額 ? 存儲資源限制 ? 數(shù)據(jù)庫系統(tǒng)跟蹤 ? 數(shù)據(jù)庫審計(jì) 2022/2/16 ?數(shù)據(jù)庫用戶 Oracle提供操作系統(tǒng)驗(yàn)證和 Oracle數(shù)據(jù)庫驗(yàn)證兩種驗(yàn)證方式。操作系統(tǒng)驗(yàn)證有兩大優(yōu)點(diǎn)，一是用戶可方便地連接到 Oracle，不需要指定用戶名和口令；二是對用戶授權(quán)的控制集中在操作系統(tǒng)， Oracle不需要存儲和管理用戶口令。 Oracle數(shù)據(jù)庫驗(yàn)證方式僅當(dāng)操作系統(tǒng)驗(yàn)證不能用于數(shù)據(jù)庫用戶鑒別時(shí)才使用。使用 Oracle數(shù)據(jù)庫驗(yàn)證方式要為每個(gè)數(shù)據(jù)庫用戶建立一個(gè)口令，系統(tǒng)以加密的形式將口令存儲在數(shù)據(jù)字典中，用戶隨時(shí)可修改口令。在用戶與數(shù)據(jù)庫連接時(shí)必須經(jīng)過驗(yàn)證，以防止對數(shù)據(jù)庫的非授權(quán)使用。 2022/2/16 ? 權(quán)限管理 在 Oracle中將權(quán)限分為兩類： 系統(tǒng)權(quán)限 和 對象權(quán)限 。 系統(tǒng)權(quán)限是指在系統(tǒng)級控制數(shù)據(jù)庫的存取和使用的機(jī)制，系統(tǒng)權(quán)限決定了用戶是否可以連接到數(shù)據(jù)庫以及在數(shù)據(jù)庫中可以進(jìn)行哪些操作。系統(tǒng)權(quán)限是對用戶或角色設(shè)臵的，在 Oracle中提供了 100多種不同的系統(tǒng)權(quán)限。 2022/2/16 對象權(quán)限是指在對象級控制數(shù)據(jù)庫的存取和使用的機(jī)制，用于設(shè)臵一個(gè)用戶對其他用戶的表、視圖、序列、過程、函數(shù)、包的操作權(quán)限。對于不同類型的對象，有不同類型的對象權(quán)限。對于有些模式對象，如聚集、索引、觸發(fā)器、數(shù)據(jù)庫鏈接等沒有相關(guān)的對象權(quán)限，這些權(quán)限由系統(tǒng)進(jìn)行控制。 2022/2/16 角色（ role）是一個(gè)數(shù)據(jù)庫實(shí)體，該實(shí)體是一個(gè)已命名的權(quán)限集合。使用角色可以將這個(gè)集合中的權(quán)限同時(shí)授予或撤消。 Oracle中的角色可以分為預(yù)定義角色和自定義角色兩類。當(dāng)運(yùn)行作為數(shù)據(jù)庫創(chuàng)建的一部分腳本時(shí)，會自動為數(shù)據(jù)庫預(yù)定義一些角色，這些角色主要用來限制數(shù)據(jù)庫管理系統(tǒng)權(quán)限。此外，用戶也可以根據(jù)自己的需求，將一些權(quán)限集中到一起，建立用戶自定義的角色。 ?角色 2022/2/16 ?審計(jì) Oracle數(shù)據(jù)庫系統(tǒng)的審計(jì)就是對選定的用戶在數(shù)據(jù)庫中的操作情況進(jìn)行監(jiān)控和記錄，結(jié)果被存儲在 SYS用戶的數(shù)據(jù)庫字典中，數(shù)據(jù)庫管理員可以查詢該字典，從而獲取審計(jì)結(jié)果。 Oracle支持三種審計(jì)級別： ? 語句審計(jì)，對某種類型的 SQL語句審計(jì)，不指定結(jié)構(gòu)或?qū)ο螅? ? 特權(quán)審計(jì)，是對系統(tǒng)權(quán)限的使用情況進(jìn)行審計(jì)； ? 對象審計(jì)，對特殊模式對象上的指定語句進(jìn)行審計(jì)。 2022/2/16 Oracle中的 AUDIT語句用來設(shè)臵審計(jì)功能，NOAUDIT語句取消審計(jì)功能。 [例 ] 對修改教師信息 teacher表結(jié)構(gòu)或修改 teacher表數(shù)據(jù)的操作進(jìn)行審計(jì)。 AUDIT ALTER,UPDATE ON teacher； [例 ] 取消對 teacher表的一切審計(jì)。 NOAUDIT ALTER,UPDATE ON teacher； 2022/2/16 審計(jì)設(shè)臵以及審計(jì)內(nèi)容一般都放在數(shù)據(jù)字典中。在默認(rèn)情況下，系統(tǒng)為了節(jié)省資源、減少I/O操作，數(shù)據(jù)庫的審計(jì)功能是關(guān)閉的。為了啟動審計(jì)功能，必須把審計(jì)開關(guān)打開（即把系統(tǒng)參數(shù) audit_trail設(shè)為 true），才可以在系統(tǒng)表（ SYS_AUDITTRAIL） 中查看審計(jì)信息。 2022/2/16 數(shù)據(jù)庫密碼系統(tǒng)要求將明文數(shù)據(jù)加密成密文數(shù)據(jù)，數(shù)據(jù)庫中存儲密文數(shù)據(jù)，查詢時(shí)將密文數(shù)據(jù)取出解密得到明文信息。 Oracle 9i提供了特殊 DBMSOBFUSCATIONTOOL KIT包，在 Oracle l0g中又增加了 DBMSCRYPTO包用于數(shù)據(jù)加密／解密，支持 DES、 AES等多種加密／解密算法。 ? 數(shù)據(jù)加密 2022/2/16 第 4章 數(shù)據(jù)庫安全性 ? 數(shù)據(jù)庫安全性概述 ? 訪問控制 ? 數(shù)據(jù)庫加密技術(shù) ? SQL Server的安全機(jī)制 ? Oracle的安全機(jī)制 ? 小結(jié) 2022/2/16 計(jì)算機(jī)系統(tǒng)的安全措施主要有：任意訪問控制、強(qiáng)制訪問控制和數(shù)據(jù)庫加密技術(shù)。在任意訪問控制中，授予授權(quán)用戶按規(guī)定訪問模式訪問特定數(shù)據(jù)項(xiàng)的訪問權(quán)限。強(qiáng)制訪問控制按關(guān)鍵級別分類數(shù)據(jù)庫對象，為諸如用戶的主體分配安全許可級別，將對象級別和主體許可匹配以提供訪問。 數(shù)據(jù)加密可防范試圖繞過普通訪問控制機(jī)制的入侵者，加密技術(shù)包含加密和解密密鑰以及加密和解密算法。對稱加密技術(shù)中加密和解密使用相同密鑰，非對稱加密技術(shù)使用不同密鑰，它的一個(gè)典型應(yīng)用是數(shù)字簽名。 2022/2/16 謝謝 !