第7章安全性 ◆安全性概述 ◆用户管理和角色管理 ◆权限管理 ◆其他安全问题
第7章 安全性 安全性概述 用户管理和角色管理 权限管理 其他安全问题
安全性措施的层次 物理层,重要的计算机系统必须在物理上受到保护,以防止入 侵者强行进入或暗中潜入, 人员层,对用户的授权要严格掌握,以减少授权用户渎职、受 贿,从而为入侵者提供访问的机会 ◆操作系统层,要进入数据库系统,首先要经过操作系统,所以 如果操作系统的安全性能差,也会对数据库造成威胁 网络层,由于几乎所有网络上的数据库系统都允许通过终端或 网络进行远程访问,所以网络的安全和操作系统的安全一样重 要,网络安全了,无疑会对数据库的安全提供一个保障 数据库系统层,数据库系统应该有完善的访问控制机制,允许 —査询和允许修改有严格的界限,尽量保证不出现越权的操作
安全性措施的层次 物理层,重要的计算机系统必须在物理上受到保护,以防止入 侵者强行进入或暗中潜入。 人员层,对用户的授权要严格掌握,以减少授权用户渎职、受 贿,从而为入侵者提供访问的机会。 操作系统层,要进入数据库系统,首先要经过操作系统,所以 如果操作系统的安全性能差,也会对数据库造成威胁。 网络层,由于几乎所有网络上的数据库系统都允许通过终端或 网络进行远程访问,所以网络的安全和操作系统的安全一样重 要,网络安全了,无疑会对数据库的安全提供一个保障。 数据库系统层,数据库系统应该有完善的访问控制机制,允许 查询和允许修改有严格的界限,尽量保证不出现越权的操作
数据库管理系统的安全功能 安全性控制是数据库管理员(或系统管理员)的一个重 要任务,他要充分利用数据库管理系统的安全功能,保 证数据库和数据库中数据的安全。 安全系统的核心问题是身份识别。 几个概念 用户 权限 用户组 角色
数据库管理系统的安全功能 安全性控制是数据库管理员(或系统管理员)的一个重 要任务,他要充分利用数据库管理系统的安全功能,保 证数据库和数据库中数据的安全。 安全系统的核心问题是身份识别。 几个概念 ◼ 用户 ◼ 权限 ◼ 用户组 ◼ 角色
自主存取控制 ◆自主存取控制就是由用户(如数据库管理 员)自主控制对数据库对象的操作权限, 哪些用户可以对哪些对象、进行哪些操作 完全取决于用户之间的授权。任何用户只 要需要,就有可能获得对任何对象的操作 权限。这种存取控制方式非常灵活,但有 时也容易失控。目前大多数数据库管理系 统都支持的是自主存取控制方式
自主存取控制 自主存取控制就是由用户(如数据库管理 员)自主控制对数据库对象的操作权限, 哪些用户可以对哪些对象、进行哪些操作, 完全取决于用户之间的授权。任何用户只 要需要,就有可能获得对任何对象的操作 权限。这种存取控制方式非常灵活,但有 时也容易失控。目前大多数数据库管理系 统都支持的是自主存取控制方式
强制存取控制 强制存取控制的思路是,为每一个数据库对象标以一定 的密级( Classification level),对每一个用户都确定 个许可级别( Clearance level)。如密级可以分为绝密、 机密、保密、秘密、公开等若干级别;而用户可以划分 为一级用户(可以操作所有数据)、二级用户(可以操 作除绝密以外的所有数据)、三级用户等。 强制存取控制本质上具有分层的特点,通常具有静态的、 严格的分层结构,与现实世界的层次管理也相吻合。这 种强制存取控制特别适合层次严明的军方和政府等数据 管理
强制存取控制 强制存取控制的思路是,为每一个数据库对象标以一定 的密级(Classification level),对每一个用户都确定一 个许可级别(Clearance level)。如密级可以分为绝密、 机密、保密、秘密、公开等若干级别;而用户可以划分 为一级用户(可以操作所有数据)、二级用户(可以操 作除绝密以外的所有数据)、三级用户等。 强制存取控制本质上具有分层的特点,通常具有静态的、 严格的分层结构,与现实世界的层次管理也相吻合。这 种强制存取控制特别适合层次严明的军方和政府等数据 管理
SQL Server的身份验证模式 ◆ SQL Server提供了三种身份验证模式或安 全管理模式,即标准模式、集成模式和混 合模式。在 Windows nt或 Windows2000 上使用集成模式或混合模式,在 Windows 98(或 Millennium)上使用标准模式
SQL Server的身份验证模式 SQL Server提供了三种身份验证模式或安 全管理模式,即标准模式、集成模式和混 合模式。在Windows NT或Windows 2000 上使用集成模式或混合模式,在Windows 98(或Millennium)上使用标准模式
标准身份验证模式 ◆实际上,一般的数据厍管理系统都只提供标准 身份验证模式,在这种模式下,由数据库管理 系统独立来管理自己的数据库安全。数据库管 理系统把用户登录的ID号和口令存储在特定的 系统表中,当用户试图登录到数据库系统时, 数据库管理系统查询有效的登录I和口令,以 决定是否允许用户登录 ◆一般的数据库管理系统只有标准登录模式,所 以很多 SQL Serverl的用户也习惯使用标准身份验 证模式,因为他们熟悉登录和密码功能。对于 连接到 Windows客户端以外的其它客户端,可能 也必须使用标准身份验证
标准身份验证模式 实际上,一般的数据库管理系统都只提供标准 身份验证模式,在这种模式下,由数据库管理 系统独立来管理自己的数据库安全。数据库管 理系统把用户登录的ID号和口令存储在特定的 系统表中,当用户试图登录到数据库系统时, 数据库管理系统查询有效的登录ID和口令,以 决定是否允许用户登录。 一般的数据库管理系统只有标准登录模式,所 以很多SQL Server的用户也习惯使用标准身份验 证模式,因为他们熟悉登录和密码功能。对于 连接到Windows客户端以外的其它客户端,可能 也必须使用标准身份验证
集成身份验证模式 ◆集成身份验证模式也称为 Windows身份验证模式, 用户通过 Windows nt或 Windows2000(以下简 称 Windows)的身份验证后则自动进行SQL Server身份验证。即当用户通过 Windows用户账 户进行连接时, SQL Server通过回叫 Windows以 获得信息,重新验证账户名和密码
集成身份验证模式 集成身份验证模式也称为Windows身份验证模式, 用户通过Windows NT或 Windows 2000(以下简 称Windows)的身份验证后则自动进行SQL Server身份验证。即当用户通过Windows用户账 户进行连接时,SQL Server通过回叫Windows以 获得信息,重新验证账户名和密码
SQL Server的安全体系 Windows NT 域级安全性 Windows nt 计算机级安全性 SQL Serve 登录安全性 数据库用 户和权限 图7-1 SQL Server安全体系
SQL Server的安全体系 图7-1 SQL Server安全体系
混合身份验证模式 ◆混合模式使用户得以使用 Windows身份验 证或 SQL Server身份验证与 SQL Server实 例连接
混合身份验证模式 混合模式使用户得以使用Windows身份验 证或SQL Server身份验证与SQL Server实 例连接