SQL Server的安全管理機制

劉寧+劉滔+王斌

【摘 要】微軟公司的數據庫管理系統SQL Server已經在越來越多的管理信息系統中布署，隨之而來的數據安全與保護問題也越來越重要。SQL Server對于維護數據庫管理系統提供了一系列的管理機制。對于這些管理機制本文作一個概括性的總結，以供讀者參考。

【關鍵詞】SQL Server；安全管理

引言

SQL Server是微軟公司開發的一套數據庫管理系統，隨著微軟公司的Windows操作系統在桌面領域的強勢布局，以及微軟公司的集成開發環境Visual Studio與SQL Server的無縫連接，使得SQL Server的應用極大的豐富，越來越多的管理信息系統在服務器端使用SQL Server。與此同時，數據的安全保護越發的重要，在這一方面，SQL Server提供了諸多的安全管理機制以保障用戶的數據安全。

一、SQL Server的安全模型

SQL Server的安全模型共有三個層次，分別是服務器安全、數據庫安全和數據庫對象的訪問權限安全。

服務器安全針對服務器實例的賬戶、配置、設備等方面的安全管理。

數據庫安全針對數據庫用戶、數據庫的備份、恢復等功能的管理。

數據庫對象的訪問權限安全定義用戶對數據庫中數據對象的引用、數據操作語句的許可權限。

二、SQL Server驗證模式

SQL Server有二種身份驗證模式，分別為Windows身份驗證模式和SQL Server身份驗證模式。

Windows身份驗證模式指登錄SQL SERVER系統的用戶身份由Windows系統來進行驗證。SQL SERVER身份驗證又稱為混合驗證模式，是指登錄SQL SERVER系統時，其身份驗證由Windows和SQL SERVER共同進行。

三、登錄管理

使用Windows身份驗證登錄SQL SERVER，該登錄帳戶必須存在于Windows帳戶數據庫中。管理員使用系統存儲過程sp_grantlogin來允許一個Windows用戶或組連接到SQL SERVER，或使用sp_denylogin系統存儲過程阻止Windows用戶連接到SQL SERVER，以及使用sp_revokelogin系統存儲過程刪除登錄到SQL SERVER的登錄條目。

使用SQL SERVER身份驗證則必須提供用戶名與密碼，可使用sp_addlogin系統存儲過程來創建新的SQL SERVER登錄，或使用sp_droplogin系統存儲過程刪除SQL SERVER登錄。

四、服務器角色

服務器角色是SQL SERVER服務器安全模型中定義的管理員組，不同的服務器角色具備特定的服務器操作權限，可以為某些用戶指定某些服務器角色，使其具備該角色所具備的權限。固定的服務器角色不能增加、修改和刪除，但服務器角色所分配的用戶可以增加、修改和刪除。可使用系統存儲過程sp_addsrvrolemember和sp_dropsrvrolemember對帳戶進行固定服務器角色的分配與回收。

五、數據庫用戶管理

當用戶安全登錄到SQL SERVER服務器后，訪問數據庫時的安全則是用戶的數據庫訪問權。數據庫的訪問權通過數據庫的用戶和登錄SQL SERVER服務器的帳戶間的關系來實現，是數據庫級的安全模型。在每個數據庫中創建數據庫用戶，使之達到指定帳戶才能夠訪問本數據庫，可使用系統存儲過程sp_grantdbacceSQL Server來建立登錄用戶與數據庫用戶的映射，使用系統存儲過程sp_revokedbacceSQL Server解除映射關系。

六、數據庫角色

固定數據庫角色存在于每一個數據庫中，管理員可以將任何有效的數據庫用戶添加為固定的數據庫角色成員，每個成員獲得該角色權限，用戶不能增加、修改、刪除固定數據庫角色，管理員可使用系統存儲過程sp_addrolemember將用戶添加到數據庫角色中，或使用系統存儲過程sp_droprolemember刪除用戶的某一數據庫角色。

用戶自定義角色則是根據需要，建立具有某種公共許可權限的用戶組。可使用系統存儲過程sp_addrole創建用戶自定義角色或使用系統存儲過程sp_droprole刪除自定義的角色。

初創建的用戶自定義角色的所有者為dbo，且該角色不具有任何權限，需進行權限管理。

還有一類應用程序角色，一般是非活動的，需要用密碼激活，只在應用程序中生效，連接斷開即失效，不作討論。

七、權限管理

語句許可權限指在創建數據庫或數據庫中對象所涉及的活動，所需要的許可權限，包括：Backup Database、Backup Log、Create Database、Create Default、Create Function、Create Procedure、Create Rule、Create Table、Create View。

對象許可權限指用戶操作數據庫中的對象所需要的操作權限，包括對數據庫對象的SELECT、INSERT、UPDATE、DELETE、EXECUTE權限。

預定義許可權限控制由預定義系統角色的成員或數據庫對象所有者執行的活動，例如sysadmin固定服務器角色成員自動繼承在SQL SERVER中進行安裝、操作和查看的全部權限等。

使用GRANT語句進行權限的授予，使用DENY語句進行權限的拒絕，使用REVOKE語句進行權限的廢除。

八、結束語

SQL SERVER中的安全管理層次多，從服務器安全、數據庫安全到用戶安全等方面，安全管理的方式也較多，固定服務器角色、數據庫角色以及用戶權限分配都需要管理員及使用者有較深刻的認識，對數據的安全才能起到更好的保護。

參考文獻：

[1]趙杰，李濤，朱慧.SQL Server數據庫管理、設計與實現教程[M].清華大學出版，2008.7.

[2]邢紅剛.SQL Server數據庫的安全問題的思考[J].科技資訊，2008.

[3]吳溥峰，張玉清.數據庫安全綜述[J].計算機工程，2006.