返回
sql的安全策略页.doc

sql的安全策略页.doc

ID:48358955

大小:87.00 KB

页数:7页

时间:2019-11-26

sql的安全策略页.doc_第1页
sql的安全策略页.doc_第2页
sql的安全策略页.doc_第3页
sql的安全策略页.doc_第4页
sql的安全策略页.doc_第5页
资源描述:

《sql的安全策略页.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、改进SQLServer7.0系列所实现的安全机制的过程中,Microsoft建立了一种既灵活乂强大的安全管理机制,它能够对用户访问SQLServer服务器系统和数据库的安全述行全面地管理。按照木文介绍的步骤,你可以为SQLServer7.0(或2000)构造出一个灵活的、可管理的安全策略,而口它的安全性经得起考验。一、验证方法选择本文対验证(authentication)和授权(authorization)这两个概念作不同的解释。验证是指检验用户的身份标识;授权是拆允许用户做些什么。在本文的讨论中,验证过程在用户發录SQLServer的吋候出现,授权过程在用户试图访问数据或

2、执行命令的吋候出现。构造安全策略的第一个步骤是确定SQLServer用哪种方式验证用户。SQLServer的验证是把一组帐户、密码与Master数据库Sysxlogins表中的一个淸单遡行兀配。WindowsNT/2000的验证是请求域控制器检查用户身份的合法性。一般地,如果服务器可以访问域控制器,我们应该使用WindowsNT/2000验证。域控制器可以是Win2K服务器,也可以是NT服务器。无论在哪种情况下,SQLServer都接收到一个访问标记(AccessToken)。访问标记是在验证过程中构造出來的一个特殊列表,其中包含了用户的SID(安全标识号)以及一系列用户所

3、在组的SID。正如本文后而所介绍的,SQLServer以这些SID为基础授予访问权限。注意,操作系统如何构造访问标记并不重要,SQLServer只使用访问标记中的SID。也就是说,不论你使用SQLServer2000、SQLServer7.0>Win2K还是NT进行验证都无关紧要,结果都一样。如果使用SQLServer验证的登录,它垠大的好处是很容易通过EnterpriseManager实现,最大的缺点在于SQLServer验证的登录只对特定的服务器有效,也就是说,在一个多服务器的环境屮管理比较困难。使用SQLServer进行验证的第二个重要的缺点是,对于每一个数据库,我们

4、必须分别地为它管理权限。如果某个用户对两个数据库冇相同的权限要求,我们必须手工设置两个数据库的权限,或者编写脚木设置权限。如果用户数量较少,比如25个以下,而H这些用户的权限变化不是很频繁,SQLServer验证的登录或许适用。但是,在儿乎所有的其他情况下(有一些例外情况,例如直接管理安全问题的应川),这种登录方式的管理负扌H•将超过它的优点。二、Web环境中的验证即使最好的安全策略也常常在一种情形而屈服,这种情形就是在Web应用中使川SQLServer的数据。在这种情形下,进行验证的典型方法是把一组SQLServer«录名称和密码嵌入到Web服务器上运行的程序,比如ASP

5、页面或者CGI脚本;然后,由Web服务器负责验证用户,应用程序则使用它自己的登录帐户(或者是系统管理员sa帐户,或者为了方便起见,使用Sysadmin服务器角色屮的登录帐户)为用户访问数据。这种安排有几个缺点,其屮最重要的包括:它不具备对用八在服务器上的活动进行审核的能力,完全依赖于Web应用程序实现用户验证,当SQLServer需要限定用户权限时不同的用户Z间不易区别。如果你使用的是HS5.0或者IIS4.0,你可以用四种方法验证用户。第一种方法是为每一个网站和每一个虚拟日录创建一个匿名用户的NT帐户。此后,所有应用程序登录SQLServer时都使川该安全环境。我们可以通

6、过授予NT匿名帐八合适的权限,改迹审核和验证功能。第二种方法是让所冇网站使用Basic验证。此时,只有当用户在对话框中输入了合法的帐户和密码,IIS才会允许他们访问页面。IIS依靠一个NT安全数据库实现登录身份验证,NT安全数据库既可以在本地服务器上,也可以在域控制器上。当川户运行一个访问SQLServer数据库的程序或者脚本时,IIS把用八为了浏览页而而提供的身份信息发送给服务器。如果你使用这种方法,应该记住:在通常惜况下,浏览器与服务器Z间的密码传送一般是不加密的,对于那些使用Basic验证而女全乂很垂要的网站,你必须实现SSL(SecureSocketsLayer,安

7、全套接字层)。在客户端只使用IE5.0、IE4.0、IE3.0浏览器的情况下,你可以使用笫三种验证方法。你可以在Web网站上和焜拟日录上都启用NT验证JE会把用户登录计算机的身份倍息发送给IIS,当该用户试图登录SQLServerWIIS就使用这些登录信息。使用这种简化的方法时,我们町以在一个远程网站的域上对用户身份进行验证(该远程网站登录到一个与运行着Web服务器的域有着信任关系的域)。最后,如果用户都有个人数字证书,伤〈可以把那些证书映射到本地域的NT帐户上。个人数字证书与服务器数字证书以同样的技术为慕础,它证

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。