第四讲  数据库安全性与用户管理

一、安全管理概述
数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。SQL Server的安全管理是一种基于角色（role）的管理方法，位于不同权限层次（或角色）的用户具有不同的用户权限。
规定用户权限有三个因素：用户、数据对象和操作，即什么用户在哪些数据对象上可以执行什么操作。
访问SQL Server中数据的四道屏障：
（1）操作系统——操作系统登录
（2）Sybase服务器——服务器登录
（3）Sybase数据库——数据库用户登录
（4）数据库对象——对象授权
二、理解数据库角色
角色是权限的集合。
1．系统预定义角色
一个真正的数据库管理员应该是整个服务器及其数据库的拥有者，具有管理服务器及其数据库的所有权限。在一个大的系统中，数据库管理员往往不只由一人承担，而是将管理任务进行功能划分，每人提当不同的责任。系统预定义角色就是为适应这种要求而设计的。
●系统管理员（sa_role）
sa_role角色拥有执行与数据库具体应用无关的管理权限：
◇安装与更新SQL Server
◇管理服务器的物理存储
◇配置系统设置参数；
◇创建用户数据库；
◇授予SQL Server用户权限
◇┅┅
●系统安全管理员（sso_role）
sso_role用来实施安全上敏感的操作，执行有关安全性的任务：
◇建立服务器登录帐户；
◇管理口令；
◇授予除sa_role之外的任何角色；
◇管理审计系统；
◇┅┅
●操作员（oper_role）
oper_role执行全服务器范围的数据库操作，如备份与恢复任意数据库等：
◇转储数据库与日志
◇转载数据库与日志
◇┅┅
2．创建与使用自定义角色
（1）创建新的角色：create role
（2）赋予角色权限：grant
（3）设置登录帐户的角色权限：sp_role
  格式：sp_role “grant”|”revoke”,角色名，登录帐号名
这里的“grant”|”revoke”是指对角色权限是授予还是撤消。