SQLServer数据库信息安全实施策田［摘要］为了保护数据库系统屮存放的信息的安全，SQLServer2005的安全控制分为Windows级安全、SQLServer级安全和数据库级安全3个等级的安全策略。本文主要介绍实施这些策略的相关知识，即登录管理、用户管理、角色管理和权限管理等操作的具体实现方法。［关键词］信息安全；SQLServer；数据库；实施；策略［中图分类号］TP309；TP393.0［文献标识码］A［文章编号］1673-0194(2013)13-0066-031IJIJ§信息是对各种事物的存在方式、运动状态和相互联系特征的一种表达和陈述，信息是一种可共享、能增值、多效性的资源，它的安全对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统中的资源免受各种类型的威胁，防止存放信息的数据库系统被非法破坏，数据库中的数据被外泄或肆意更改。数据库系统的安全也就意味着信息的安全。数据库系统不是独立存在的，因此，数据库的安全和计算机系统的安全、操作系统的安全及网络安全是相互依存，互相支持的。数据库安全性控制有用户标识和鉴定、存取控制、视图、审计、密码存储等多种方法。基于教学时限及学生知识体系结构等原因，在SQLServer2005教学中，我们主要从以下几个策略入手，介绍实施SQLServer安全控制的方法。2SQLServer安全控制策略SQLServer2005安全控制策略是采用分层机制来进行权限管理，在每一层都冇相应的安全性机制，只冇上一层的安全性要求满足以后，才可以进入下一层，以此确保数据库安全使用。SQLServer2005的安全性管理分为Windows级安全性、SQLServer级安全性和数据库级安全性3个等级，如图1所示。2.1Windows级安全性Windows级安全性是指在Windows操作系统层次提供的安全控制。也就是说，耍访问SQLServer服务器，首先要获得计算机操作系统的使用权，操作系统安全性专门由操作系统管理员或者网络管理员来实施。SQLServer采用了集成WindowsNT网络安全性机制，提高了操作系统安全性,同时也提高了数据库系统的安全性。2.2SQLServer级安全性SQLServer级的安全性是在SQLServer服务器层次提供的安全控制，该层次通过验证来实现，SQLServer级的安全性建立在控制服务器登录账户和密码的基础上。SQLServer采用了标准SQLServer登录和集成WindowsNT登录两种方式。无论使用哪种登录方式，用户在登录时提供的登录账户和密码，决定了用户能否获得SQLServer的访问权，以及在获得访问权以后，用户在访问SQLServer时可以拥有的权利。2.3数据库级安全性数据库级安全性是指在数据库层次提供的安全控制，该层次通过授权来实现。授权过程在用户试图访问数据或执行命令的时候出现，所创建的安全账户称为数据库用户。用户登录SQLServer服务器后，可以访问哪些数据库以及对数据库可以访问什么内容，其权限都由该层次控制。在默认的情况下只冇数据库的拥冇者才可以访问该数据库的对象。如果设置登录账户时没有指定默认的数据库，则用户的权限仅仅局限在Master数据库以内。3SQLServer安全策略的实施方法在下列的实施操作中，我们均以某学院的“学生信息管理”系统为例进行说明，该系统是-个用于管理全院学生基本信息的网络办公平台。在SQLServer2005中，我们可以使用SQLServerManagementStudio和T-SQL两种方法进行数据库的相关操作。本文均以T-SQL的方法进行操作举例。3.1登录管理用于连接到SQLServer服务器的账户都称为SQLServer的登录。访问SQLSever服务器的前提是拥有一组服务器承认的账户和密码，在通过服务器的验证后，用户才能取得使JI]SQLSever服务的基本权利。不同的登录对不同的数据库对象可以有不同的访问权限。3.1.1验证模式在登录账户的控制上，SQLServer支持两种身份验证模式，即uWindows身份验证模式"和"SQLServer和Windows身份验证模式（混合验证模式）Windows身份验证模式就是让SQLServer认可WindowsNT的安全控制机制，用WindowsNT的账户和密码进行验证。只要用户登录WindowsNT时所用账户和密码，在SQLServer中已有对应的账户和密码，用户就能顺利登录SQLServer服务器。采用这个身份验证模式，只要登录了WindowsNT,登录SQLServer时就不需要再次输入账户和密码了。混合验证模式使用户可以使用...