（3）数据库对象级别：在数据库表级别上设置权限。如：查 看表定义，更改、更新、删除、插入、选择、引用等。
（4）数据库对象字段权限：用户对数据库中指定表字段的操 作权限，主要有select和update。
6、数据库权限管理
1、授予Happy用户服务器权限
6、数据库权限管理
2、授予Happy数据库权限
10、数据审核
3、查看审核结果
schema::dbo to Happy使用,必须先给dbo赋予权限。 2、回收权限（Rovoke） 例如：Rovoke select on student to Happy 描述：从Happy用户收回对student的查询权限
7、1433端口
1、1433端口
SQL Server默认的端口 众所周知 被攻击的主要目标
5、用户授权
遵循权限最小化授权原则 1、新建的用户是没有操作权限的 2、服务器角色映射（选择服务器角色） 3、用户映射（选择操作的数据库和架构）
6、数据库权限管理
（1）服务器级别：在实例级上设置的权限。如创建数据库、 查看数据库、服务器设置等
（2）数据库级别：在数据库级上设置的权限。如备份数据库、 创建表、创建默认值、创建过程、创建函数、创建架构、创 建角色等
系统账号到数据库的映射—角色 3、数据对象级别的安全机制
数据对象的控制权限—架构
2、身份验证
1、Windows身份验证
利用Windows账号登录
2、混合模式
Windows身份验证+SQL Server身份验证模式 SQL Server用户
3、角色
角色是对权限的一种集中管理方式 1、固定服务器角色源自数据库安全技术第四章安全管理
1、SQLServer2008安全机制 2、身份验证 3、角色 4、架构 5、授权 6、权限管理 7、1433端口 8、扩展存储过程 9、数据加密 10、数据审核
1、安全机制
3层安全机制 1、服务器级别的安全机制
Sql server 账号、Windows账号 2、数据库级别的安全机制
1、证书加密与解密
主要用于重要信息的加密和解密，如身份证号码、手机号、 信用卡卡号等重要信息
（1）创建证书 （2）利用证书加密 （3）利用证书解密
9、数据加密
2、MD5加密 主要用于重要信息、但不需要解密的信息，如密码。 （1）不可逆解密 （2）16位和32位（16位更安全）
9、数据加密
作用域为服务器范围 独立于各个数据库 无法更改权限 不能自定义
2、固定数据库角色
作用域为数据库范围 无法更改权限 可自定义
4、架构
定义：形成单个命名空间数据库实体的集合，可以看成 一个存放数据库中对象的一个容器，包含表、视图、存 储过程等，位于数据库内部。
表的完整访问路径：服务器名.数据库名.架构名.对象名， 如Student.dbo.xsb
可自定义 用户与架构分离
4、架构
默认架构dbo 数据库所有者(dbo) 是具有在数据库中执行所有活
动的暗示性权限的用户。将固定服务器角色 sysadmin 的任何成员都映射到每个数据库内称为 dbo 的一个特殊用户上。另外，由固定服务器角色 sysadmin 的任何成员创建的任何对象都自动属于 dbo。
3、MD5库外加密 <!--#include file="inc/md5.asp"--> <% UserName=trim(request("UserName"))'接收用户输入的用户名 Password=trim(request("Password"))'接收用户输入的密码 Md5Password=md5(Password,32) 'MD5对Password进行32加密 Response.Write "用户名：" & username & "<br>"'输出获得的用户名 Response.Write "密码:" & Password & "<br>"'输出加密前的密码 Response.Write "密码（MD5加密后）:" & Md5Password输出加密后
2、更换端口
修改为10000~ 65535的端口号 重启数据库服务生效
8、禁用扩展存储过程
SQL Server2008有一些预留的存储过程，这些存储过程的 权限非常大。
一旦数据库被攻击，可以利用这些存储过程破坏操作系统。
exec sp_configure 'xp_cmdshell',0--禁用xp_cmdshell exec sp_configure 'xp_cmdshell',1--启用xp_cmdshell
9、数据加密
定义：通过密钥对原始数据进行模糊处理的过程
明文---加密---密文 密文---解密---明文
对称加密：加密密钥和解密密钥相同 非对称加密：加密密钥和解密密钥不同
库内加密：利用SQLServer加密并保存 库外加密：利用其他应用程序加密，SQL Server保存加
密结果
9、数据加密
6、数据库权限管理
3、授予Happy数据表权限
6、SQL权限管理
1、授予权限（Grant） 例如：Grant select on student to Happy 描述：赋予Happy用户对student表的查询权限 例如：Grant select on Student(xh,xm) to Happy 描述：赋予Happy用户对student表的xh和xm列查询权限 例如：Grant create table to Happy 描述：赋予Happy用户创建表的权限，配合grant alter on
10、数据审核
审核：谁在什么时候做了什么事情 2008版本之前 登录审核、C2审核，SQL跟踪
10、数据审核
1、登录审核
1、C2审核
10、数据审核
10、数据审核
1、服务器级别的审核 登录、注销审核
2、数据库级别审核 对数据库的操作审核
10、数据审核
3、审核级别的审核
对创建的审核进行审核，可以是服务器级别，也可以 是数据库级别
的密码 Response.End'程序停止 %>
9、数据加密
4、数据库加密 TDE加密是数据库级别的加密，数据的加密和解密是以
页为单位，由数据引擎执行的，在写入时进行加密，在 读出时进行解密，这是SQL Server2008安全选项中最激 动人心的功能。
（1）创建证书 （2）开启数据库加密