SQL-Server数据库安全管理

SQL-Server数据库安全管理SQL-Server数据库安全管理文章分类:数据库转自:以SQL-Server2005为例来说一下关于数据库安全管理方面的知识（因为我学的就是SQL-Server2005）。SQLServer2005主要从以下几个方面来保证数据库安全管理的：1.SQLServer2005的安全机制。2.设置数据库权限。3.数据库访问审核。4.屏蔽SQLServer常见的漏洞。下面我们了解一下以上各个方面的详细信息：一、SQLServer2005的安全机制：SQLServer2550的安全机制主要包括以下五个方面：1.客户机的安全机制：客户机的安全机制是指：用户必须能够登录到客户机，然后才能使用SQLServer2005应用系统或客户机管理工具来访问数据库。对于使用Windows系统的客户来说，它主要涉及的是操作系统的安全，主要是Windows账号的安全（这个意思就是保证你的电脑系统的安全，也就保证了SQLServer2005的第一道防线）。2.网络传输的安全机制：网络传输的安全一般采用数据的加密和解密技术来实现，但加密的SQLServer会使网络速度变慢，所以对安全性要求不高的网络一般都不采用加密技术。3.服务器安全机制：服务器安全机制是指：当用户登录服务器时，必须使用一个账号（也称为登录账号）和密码，这个账号和密码是服务器上的账号和密码，服务器会按照不同的身份验证方式来判断这个账号和密码的正确性。4.数据库的安全机制：任何能够登录到服务器的账号和密码都对应着一个默认的工作数据库。SQLServer对数据库级的权限管理采用的是“数据库用户”的概念。5.数据库对象的安全机制：用户通过前面四道防线后才能访问数据库中的数据对象，对数据对象能够做什么样的访问称为访问权限。常见的访问权限包括数据的查询、更新、插入和删除。二、设置数据库服务器的访问权限SQLServer的安全性是建立在认证和访问许可两种安全机制上的。其中认证是指用来确定登录SQLServer的用户的登录账户是否正确，以此来验证其是否有连接SQLServer的权限。用户登录数据库的合法身份有两种：Windows的用户或组、SQLServer登录用户。1.SQLServer的验证模式：SQLserver有两种身份验证模式：Windows身份验证模式和混合验证模式（就是WINDOWS和SQLSERVER验证模式）。(1).Windows身份验证模式：Windows身份验证模式是通过Windows用户账号直接连接SQLServer服务器，Windows用户或组被映射到SQLServer的登录用户。在该模式下用户只需要通过Windows身份验证就可以直接连接到SQLServer服务器，而不用考虑SQLServer服务器本身。这种身份验证模式适用于域环境下。(2).SQLServer和Windows混合身份验证模式：在这种混合模式下，既可以用Windows用户账号直接登录SQLServer服务器，也可以使用SQLServer用户账号来登录SQLServer服务器。当然使用SQLServer身份验证模式时必须先创建SQLServer用户。这种模式适用于工作组环境下。注意：因为Windows98不支持Windows身份验证，所以当SQLServer运行在Windows98环境下时，就只能使用混合模式。还有就是当我们改变了SQLServer的验证模式时，就必须重新启动SQLServer服务。Windows身份验证模式与SQLServer身份验证模式相比有以下优势：》用户访问SQLServer时速度更快，不用输入用户名和密码。》可以利用Windows账户策略来直接进行管理，在安全方面比SQLServer身份验证模式更加安全。》提供了更多的功能，比如：口令复杂度、口令最小长度、账户锁定等。我们可以通过打开“SQLServerManagementStudio”连入数据库后选择系统默认有的那个综合选项右击“属性”——“安全性”选项中来设置SQLServer的身份验证模式。当我们修改了身份验证模式后一定要重启服务（当然系统会也会提示你重新启动服务）。选种默认数据库右击选择“重新启动”后，SQLServer的身份验证模式就修改了！然后断开连接重新连接时有两个选项“Windows身份验证模式”与“SQLServer身份验证模式”。2.设置登录账户：可以通过“SQLServerManagementStudio”来创建和管理登录账户，默认的QLServer是用Windows身份验证模式，SQLServer的登录账户无法登录。只能建立SQLServer登录账户后才能使用SQLServer账户登录。当然要使用SQLServer账户登录，就必须把身份验证模式改为混合模式。下面介绍一下SQLServer中创建登录账户的方法：其实在SQLServer中创建登录账户的方法有两种：一是Windows身份验证模式的登录名，另一种是SQLServer身份验证模式的登录名。Windows身份验证模式的登录名首先得在系统中存在这个账户才行，不然的话不可以创建。假如系统中存在这个账户，那么直接输入“NETBIOS名称/用户账号”或点击“搜索”来建立。SQLServer身份验证模式的登录名就得自己建立一个用户名，并且输入密码及设置相应的策略来创建。在建立的过程中会有些别的选项，比如：服务器角色、用户映射、安全对象、状态等。后面我们会一一介绍各个选项的意义。建立登录账户的操作是：选择默认数据库下面的“安全性”右击选择“新建”——“登录”来创建。3.服务器角色的概念：服务器角色（也称做固定服务器角色）是执行服务器级管理操作的权限的集合。我们可以简单的把它理解成“Windows系统中的组”。它跟“Windows系统中的组”是一样的作用。只不过称呼不同罢了！-_-!固定服务器角色及其描述如下表：（或者你可以到“安全性”下的“服务器角色”选项中查看）。服务器角色描述Sysadmin可以执行SQLServer上的任何活动，任何具有这种角色成员身份的人都是服务器上的SA。值得注意的是，Windows的Adminsitrators组被自动映射到该角色中，为提高安全性，建议把Administrators组Sysadmin角色中删除。Dbcreator可以创建和更改数据库。Serveradmin可以更改服务器范围的配置选项和关闭服务器，该角色成员所控制的功能对于服务器的性能会产生较大的影响。Securityadmin管理和审核登录账户（例如：管理登录名，读取错误日志以及创建数据库许可权限的登录名等）。Processadmin可以终止SQLServer长时间运行的进程。Setupadmin配置复制和链接服务器。Diskadmin用于管理磁盘文件。Bulkadmin可以运行BulkInsert语句