1. 概述
对于MSSQL数据库的访问权限管理,是企业级信息系统安全管理的基石。访问控制的策略确定了谁和在何种情况下可以访问数据库,能够保证企业内部的机密信息不被泄露或篡改,从而保护企业信息安全。本文将介绍MSSQL数据库的一些访问权限管理策略,以及如何在实践中进行操作,来保护企业安全。
2. 级别基本介绍
2.1. Windows 新建账户
首先,我们需要在Windows服务器上创建一个新的账号,用于连接MSSQL数据库实例。这个账户即将拥有针对数据库实例的访问权限,所以我们需要对它的账户和密钥做好保护
CREATE LOGIN [new_account]
WITH PASSWORD = N'password',
DEFAULT_DATABASE = [master],
DEFAULT_LANGUAGE = [us_english],
CHECK_EXPIRATION = OFF,
CHECK_POLICY = OFF
GO
2.2. 创建用户
接下来是创建关联用户和Windows账户的过程。这是确保MSSQL可以验证账户的关键。通过创建用户将两者关联在一起,并将数据库角色分配给这个用户。由数据库管理员决定哪个登录可以与当前数据库建立连接,以及他们将具有什么样的数据访问权限。
USE [master]
CREATE USER [new_user] FOR LOGIN [new_account]
GO
2.3. 建立用户角色
与用户关联的下一个重要概念是数据库角色。这些角色不仅确定了哪些对象能够被访问,还指定了在访问这些对象时允许的操作类型(例如读取、写入)。通过同时添加属于某个数据库角色的多个用户,可以在系统级别上轻松管理访问用户的权限。
下面是针对用户创建了一个角色,并将一些基的权限授权给这个角色:
USE [master]
CREATE ROLE [role_name]
GRANT SELECT, INSERT, UPDATE, DELETE, EXEC, VIEW DEFINITION TO [role_name]
GO
EXEC sp_addrolemember 'role_name', 'new_user'
GO
3. 身份验证模式
MSSQL支持 Windows身份验证和 SQL Server 身份验证模式。身份验证模式作为登录密码的校验方式,为数据库安全性与性能提供了不同程度的保护。 Windows身份验证使用本地 Windows 帐户进行身份验证,SQL Server 身份验证则使用 SQL Server 中的登录名和密码进行身份验证。
强烈建议使用 Windows 身份验证消息作为默认身份验证。 此模式只需要使用 Windows 活动目录域或本地 Windows 帐户那一个权限配置更加稳定, 减少了在访问权限上的疏漏.About the relation between authentication mode and security.
以下是 SQL Server 身份验证模式的转换:
ALTER LOGIN [login_name] WITH DEFAULT_DATABASE = [master]
GO
ALTER LOGIN [login_name]
WITH PASSWORD = 'password',
DEFAULT_DATABASE = [master],
CHECK_POLICY = OFF
GO
ALTER LOGIN [login_name] with NAME=[new_name]
GO
ALTER LOGIN [new_name]
WITH PASSWORD = 'new_password';
GO
4. 总结
在企业级信息系统中,数据库访问权限管理策略是非常重要的。数据库管理员应该紧密控制哪些用户可以访问数据库,并且定义每个用户在数据库中的数据访问权限。在基本级别上,可以使用 Windows 账户、用于登录的 SQL Server 账户、Windows 组以及数据库角色来控制访问权限。
在高级别上,需要合理使用加密技术和更强大的身份验证模式,确保所有数据都是安全的,并严格遵守安全协议和最佳实践规定。