13-数据库安全

Mssql数据库

一、mssql安全性概述：就是用来保护数据，可以决定哪些用户可以登录到服务器，用户可以对哪些数据库执行操作或管理任务等。他的安全体系结构顺序上可以分为“认证”“授权两个部分”，安全机制可以分为5个层级。客户端、网络传输，实例级别，数据库级别、对象级别五个层级安全机制。

　　客户端安全机制：用户必须是系统的管理员权限，但mssql采用集成windows NT网络安全机制，提高安全性同时也加大了数据库管理难度。

　　网络传输的安全机制：传输对数据进行加密，两种方式：数据加密和备份加密，数据加密就是对所有数据进行加密，数据写时加密，读时解密，mssql来管理加解密，可以保护数据库的数据不必对现有应用程序做任何更改。备份加密就是对备份数据加密防泄漏和篡改。

　　实例级别的安全机制：数据库中设置了很多固定的的登录角色，固定服务器角色的成员可以用于服务器级别的管理权限。

　　数据库级别的安全机制：建立用户的登录账户信息时，mssql选择用户为默认数据库，并分配给用户权限，以后每次登录都会连接到默认数据库，如果设置登录账户时没有指定默认数据库，则用户的权限将限制在master数据库以内。

　　对象级别安全机制：

 

二、Mssql基本安全术语

　　数据库所有者DBO是数据库的创建者，每个数据库只有一个数据库所有者。DBO有数据库中的所有权，可以提供给其他用户访问权限。

　　数据库对象：包含表，索引，视图，触发器，规则和存储过程，创建数据库对象的用户是数据库的所有者，可以授予其他用户使用拥有对象的权利

　　域：是一组计算机的集合，他们可以共享一个通用安全性数据库。

　　数据库组：是一组数据库用户的集合，这些用户接受相同的数据库用户许可，使用组可以简化大量数据库用户的管理，组提供了大量用户授权和取消许可的一种简便方法。

　　系统管理员DBA：负责数据库安装，配置，管理和监视磁盘内存和连接的使用，穿件设备和数据库，确认用户和授权许可，从数据库导入导出数据，备份，恢复，实现和维护复制调度任务。监视和调配数据库性能，诊断系统问题等。

　　许可：使用许可可以增强数据库的安全性，许可系统指定哪些用户被授予使用那些数控对象的操作，指定许可的能力由每个用户的状态决定。

　　角色：包含数据库预定义的一些特殊权限，可以将角色分别授予不同的主体，使用角色可以提供有效而复杂的安全模型，以及管理可保护对象的访问权限。

　　主体：主体可以请求对数据库资源访问权限的实体，包含用户，组，进程。特征如下:每个特征有安全标识号SID，每个主体有一个作用域，作用域基于定义主体的级别，可以是主体的集合（windows组）或不可分割的主体（windows登录名）。win主体包括域登录名本地登录名，mssql级别主体包括数据库登录名，服务器角色，数据库级别的主体包括数据库用户，数据库角色，以及应用程序角色。

三、安全验证方式

　　windows身份验证：简单说就是利用了windows账户密码进行验证，通过后就能登录数据库服务器

　　混合模式：就是windows和数据库身份验证，如果用户使用tcp/IP sockets进行登录验证，就是用mssql身份验证，如果用户使用命名管道，就用windows身份验证。

四、 数据库备份

　　数据库备份包含完整备份、差异备份、文件和文件组备份、事务日志备份

　　完整备份不必多说，差异备份就是在上一次备份的基础上对差异的数据进行备份；文件和文件组备份，必须要备份事务日志，所以不能再启用【在检查点截断日志】选项的情况下使用这种备份技术。文件组是一种将数据库存放在多个文件上的方法，并运行控制数据库对象存储到哪些指定的文件，这样数据库就不会受到只存在单个硬盘上的限制，而是可以分散到许多硬盘上，利用文件备份，每次可以备份这些文件当中的一个或者多个文件。事务日志备份，创建第一个日志备份前，必须先创建完整备份，事务日志备份所有数据库修改的记录，用来在还原操作期间提交完成的失误以及回滚未完成的事务，事务日志备份记录备份操作开始时的事务日志状态。事务日志备份比完整数据库备份节省时间和空间，利用事务日志进行还原时，可以指定还原到某一个时间，而完整备份和差异备份不到这一点。