meta
1 entender los conceptos básicos de los controles de seguridad
2 para SQL Server 2008 es
la aplicación principal 3 de control de seguridad del servidor SQL 2008 de
4 comprensión de la gestión de la seguridad de Oracle
Integridad de los datos es diferente de la base de datos de seguridad
Seguridad: Protección de datos con el fin de evitar que los usuarios legítimos deliberadamente causa daños (para asegurarse de que los usuarios se les permite hacer lo que quiere hacer)
integridad: la protección de datos para evitar daños al usuario legítimo inadvertidamente causado. (Asegúrese de que la cosa derecho de usuario)
Objetivo controles de seguridad 1 de bases de datos
a los datos protegerle accidental o pérdida intencional, destrucción o uso indebido
2 amenaza a la seguridad de bases de datos a
las necesidades de un plan de seguridad a tener en cuenta: la pérdida de disponibilidad, confidencialidad, pérdida de datos, pérdida de privacidad, el robo y el fraude daños accidentales
modelo de control 3 de seguridad
se compone de cuatro fases
de autentificación (usuario)
la autorización para operar (aplicaciones de bases de datos y sistemas de gestión de base de datos)
de control de las operaciones de archivo (sistema operativo)
de cifrado se almacena en la redundancia (base de datos)
4 autorización y autenticación de
certificación es un mecanismo para identificar la identidad del usuario. La autorización es el acceso legítimo a los permisos de base de datos de objeto o de base de datos para el proceso de usuario. Incluye una solicitud de autenticación de usuario para acceder a un objeto
DBMS personalizar de una forma de control de acceso y control forzado de dos soluciones a problemas de control de seguridad de la tienda
control de acceso independiente
También conocido como modo de auto-seguro, implementado por el SQL GRANT, PEVOKE, DENY declaraciones
tipos de permisos: el permiso de mantenimiento para operar (permisos de instrucción a los derechos objetos)
categorías de usuarios: el administrador del sistema (sa), el propietario de los objetos de base de datos, el usuario medio.
control de acceso
Evitar datos de modo de acceso autónomos de 'divulgación inadvertida de' control de acceso coercitiva
DBMS todas las entidades en la sala principal y dos categorías
temáticas: la actividad principal del sistema, los usuarios reales y procesos
objeto: entidad pasiva, mediante la manipulación del cuerpo, incluyendo documentos, tablas, vistas básicos
Para sujeto y objeto, DBMS instancia para cada uno de ellos para enviar un sensible marcador de
la sensibilidad de la marca: la asignación de DBMS, sujeto a nivel de licencia, objeto de la clasificación de seguridad.
Varios de alto secreto subnivel, secreto, creíble y abierto, etc.
control de acceso obligatorio a las siguientes reglas:
sólo cuando el nivel es mayor que o igual a los objetos secretos del cuerpo de licencia, el objeto correspondiente al cuerpo puede ser leído
sólo cuando el nivel es igual a los objetos secretos del cuerpo licencia, el sujeto puede escribir el objeto correspondiente
Pista de auditoría
pista de auditoría es, en esencia, un tipo especial de archivo o base de datos, el sistema registra automáticamente todas las operaciones de los usuarios en los datos convencionales.
Pista de auditoría tiene un papel de apoyo para la seguridad de los datos
base de datos de estadísticas de seguridad
Estadísticas basadas en varios criterios diferentes para proporcionar información o datos estadísticos agregados
de usuario de control del sistema de seguridad de bases de datos estadísticas de acceso a las estadísticas de base de datos
base de datos de estadísticas de información permite a los usuarios consultar el tipo de polimerización, tales como la suma, la media, pero no permite el acceso a la información personal
Modo de autenticación de
modo de autenticación ventana de
sistema operativo de SQL Server para obtener información de los usuarios por Windows, compruebe que el nombre de inicio de sesión, la recomendación general
El modo de autenticación mixta
de Windows usuarios autorizados y los usuarios autorizados pueden iniciar sesión en SQL
Inicio de sesión de cuenta
tipos:
SQL Server cuenta para verificar su tarjeta de identidad, integrado en el sistema para crear sus propias cuentas y yogur
de inicio de sesión de cuenta de red de Windows SQL Server, la cuenta puede ser una cuenta de usuario o grupo
Establecer la cuenta de inicio de sesión:
el Registro del login_name CREAR
Modificar acceso a la cuenta atributos
ALTER LOGIN login_name
borrar la cuenta:
DROP LOGIN login_name
base de datos de usuario
del usuario con la cuenta de inicio de sesión sólo puede conectarse a SQL Server no tiene permiso para acceder a la base de datos
de mapas: permite que la cuenta de usuario de base de datos de inicio de sesión llamada la operación de asignación para convertirse en
una cuenta de inicio de sesión se puede asignar a varios usuarios de bases de datos, por defecto, sólo un nuevo usuario DBO base de datos, el usuario de base de datos propietario
mecanismos de seguridad de SQL Server
El crear la nombre_usuario USUARIO [FOR | FROM]
LOGIN login_name
usuario invitado, unos usuarios especiales de bases de datos, el acceso anónimo no está asignado a la cuenta de inicio de sesión cuando se utiliza el
usuario invitado, unos usuarios especiales de bases de datos, el acceso anónimo no está asignan a la cuenta de inicio de sesión cuando se utiliza
GRANT CONNECT de alojamiento
invitado REVOKE CONNECT TO
Eliminar la base de datos
DROP uesr nombre_usuario
Gestión de derechos
No hay autoridad legal para operar la cuenta de inicio de sesión convertirse en un usuario legítimo, es necesario conceder autorización para operar de la base de datos de usuario y de sus objetos
(1) permisos de nivel de objeto (seis tipos)
el SELECT, INSERT, UPDATE, DELETE, las referencias, EXECUTE
declaración autorizada:
conceder permisos de objetos, en el objeto que (Subject: el usuario de base de datos o papel) [WITH GRANT OPTION]
ejemplo:
GRANT SELECT en ABC Addres la A
GRANT EXECUTE sobre el objeto ... HR.EI a abc
GRANT las Referencias (Employeel) EN VEMP
la A OPCIÓN ABC con GRANT
permiso para rehusado
denegar privilegios de objetos de destino en el que (Subject: el usuario de base de datos o papel) [CASCADE] [el cuerpo]
negar el SELECT en ABC Addres la A
NEGAR EJECUTAR en el objeto ... HR.EI a abc
negar las Referencias (Employeel) EN VEMP
la ABC para CASCADE
la cuenta de resultados completa
privilegios de objeto REVOKE en el objeto que (Subject: el usuario de base de datos o rol) [papel como] [CASCADE]
revocar la SELECT en ABC Addres la A
REVOCAR EJECUTAR en el objeto ... HR.EI a abc
revocar la Referencias (Employeel) EN VEMP
la de ABC CASCADE
permisos de nivel comunicado a
la CREAR
BASE DE DATOS | PROCEDIMIENTO | TABLA | Ver | FUNCIÓN
la BASE DE DATOS DE RESERVA | REGISTRO
papel:
un grupo de usuarios con los mismos permisos que el papel
de SQL Server 2008 se divide en una función predeterminada a las funciones del sistema y funciones de los usuarios dos tipos de
funciones de sistema partícipes rol fijo de servidor (función de nivel de servidor) y función de base fija (función de base)
rol de usuario función de nivel de base de datos militar
función fija de servidor
bulkadmin: permisos de ejecución instrucción BULK INSERT.
Dbcreator: crear, modificar, eliminar, restaurar los permisos de base de datos
Diskadmin: usted tiene permiso para administrar el archivo de disco
Securitydamin: acceso a la cuenta administrativa especial, leer el registro de errores de ejecutar Crear cuenta privilegio base de datos, conveniente
serveradmin: opciones de configuración a nivel de servidor y cerró los permisos del servidor
setupadmin: Agregar borrar servidor vinculado
administrador del sistema: administrador del sistema, super usuario de Windows se asigna automáticamente al administrador del sistema
público: funciones de servidor predefinidos, cada nombre de inicio de sesión son miembros de esta función, no hay conceder o denegar derechos específicos, que tendrá la función de autoridad
Ejemplo:
función de base fijo
definido en el nivel de base de datos, la existencia de cada dato, cada usuario habría añadido función fija de base de datos de permisos de función de base de datos.
Db_accessadmin: Agregar o permisos de base de datos de eliminación
db_backupoperator: copia de seguridad de bases de datos, derechos de explotación forestal
db_datareader: consulta los permisos de base de datos
db_datawriter: tienen insertar, eliminar, cambiar permisos
db_ddladmin: los derechos de definición de datos
db_denydatareader: no se les permite tener todos los privilegios de la base de datos de consulta de datos de usuario
db_denydatawriter: no permitido tener insertar, eliminar, cambiar todos los permisos de datos en la base de datos
db_owner: con toda la autoridad de funcionamiento, incluyendo la configuración, el mantenimiento y la base de datos de eliminación
db_securityadmin: con papeles de base de datos administrativa, miembros de la función y la declaración de datos y permisos de objetos
funciones definidas por el usuario
papel definido por el usuario pertenecer a una base de datos
utilizada para simplificar el uso de la base de datos es los derechos de gestión de
roles pueden ser funciones de usuario definidas por el usuario o el usuario de base de datos
Nota: el papel de los miembros tiene permiso a los miembros de su propia autoridad + = donde el papel de la autoridad, pero si un privilegio en un papel negado, los miembros ya no tienen
Crear un papel definido por el usuario: CREATE ROLE
función definida por el usuario de eliminación: PAPEL DROP
mecanismos de seguridad Oracle en los controles de seguridad de nivel de tabla, a nivel de la columna, a nivel de fila controles de seguridad a nivel de datos
de seguridad a nivel de base de datos a través de usuario de autenticación de usuario y de conceder permisos los sistemas adecuados para garantizar
tabla de nivel, la columna de nivel, la seguridad de nivel de fila o la recuperación mediante la concesión de privilegios de objeto garantizado para apoyo centralizados, distribuidos, la aplicación de plataforma cruzada
el administrador del sistema Oralce normalmente se establece dos niveles de seguridad:
Global Set: responsables de la gestión, la coordinación y la coherencia de los datos y la seguridad global salvaguardia
nivel de campo: Este nodo es responsable de la seguridad de bases de datos, gestión de usuarios, privilegios del sistema y la administración de funciones
Usuarios y la gestión de recursos
por tamaño divididos en usuarios privilegios de DBA y el promedio de usuario
DBA DBMS a los usuarios crear de forma automática, sys y los usuarios del sistema, con privilegios del sistema completo
El establecimiento de un usuario:
el CREATE uso1 el identificado por el USUARIO 123456 estudiante DEFAULT TABLESPACE (espacio de tabla estudiante en el sistema)
CUOTA 5M del estudiante en (espacio restringido 5M)
Administrar usuarios y recursos
DBA usuarios privilegiados pueden cambiar una cuota de uso de recursos de usuario, difusa, inicios de sesión, etc.
ALTER uso1 el USUARIO
60M cuota a Estudiantes (restricciones en el uso del espacio 60M)
el ALTER uso1 el usuario identificado por 12345678
Eliminar usuario
GOTA el USUARIO
DROP CASCADE usuario usuario1 (eliminar el usuario y todos los objetos de propiedad)
gestión de derechos
(1) Sistema de privilegios
tres privilegios por defecto:
Conectar: no se puede crear cualquier objeto puede tener acceso a la base de datos y consultar el diccionario de datos de objetos de
recurso: puede crear objetos de base de datos (tablas, vistas, índices ...)
DBA: Toda autoridad ha predefinido
Objeto privilegiado
de usuario para mantener el nivel de la mesa de seguridad, a nivel de fila, columna de datos de nivel
