Архитектура систем безопасности SQL Server 2000

(1. Проверка подлинности прав пользователя – аутентификация

А) windows (если организация небольшая и должности БД совмещает 1 человек) Б) SQL-Sever(если организация большая и должности БД выполняют разные люди)

2. проверка разрешения доступа к БД

Фундамент системы безопасности: учетная запись(login), пользователи(users), роли(role), группы(group)

§ Физическая безопасность

§ Подразумевает защиту доступа к инфраструктуре, содержащий внутренние сетевые компоненты и серверное оборудование, поддерживающее работу SQL Server.

§ Безопасность сетевого протокола

§ Включает в себя такие компоненты, как изоляция транспортного потока и шифрование компонентов.

§ Доменная безопасность

§ Реализуется в сетях Microsoft с помощью каталога ActiveDirectory (AD)

§ Безопасность локального компьютера

§ Поддержка прав доступа к файлам и реестру, поддержку служб шифрования

§ Средства безопасности SQL Server

§ Делится на 4 типа:

• Аутентификация

• Авторизация

• Аудит

• Шифрование

§ Безопасность приложений

§ Приложение может расширять возможности SQL Server, дополняя ее собственными безопасностями

 

Учетные записи и группы

При установке SQL-Server создаются 2 стандартные учетные записи:

1. BUILTIN/Administrator – по умолчанию она представляет встроенные роли системного администратора и не может быть изменена. Её не рекомендуется использовать в SQL Servere

2. SA – рекомендуется оставить на крайний случай, когда сисадмин окажутся недоступными. А вместо этого следует создать новых пользователей и включить их в административную группу сисадминов

 

Типы ролей

Роли БД позволяют объединить пользователей в одну административную единицу и работать с ней как с обычным польз. В роль БД можно включить пользователей и роли SQL Servera; пользователей и группы Windows, которым предварительно предоставлен доступ к нужной БД; с помощью Enterprise Manager в роль БД можно добавить только польз БД. Роль Public-ее членами являются все польз имеющие доступ к БД. Прикладные роли – не содержат членов и должны передавать пароль, они разработаны для управления привилегиями польз обращающихся к БД через некоторые приложения

 

Управление правами доступа к объектам

Права разрешения в SQL делятся на 3 типа:

1. Разрешение на работу с объектами БД

2. Разрешение на выполнение операторов SQL

3. Неявное разрешение – контролирует действия, которые могут быть выполнены только членами ролей сервера или владельцами объектов в БД

Разрешение	Разрешаемое действие
CREATE	Создание БД, таблиц и т.д.
BACKUP	Резервное копирование БД и файлов журнала транзакций
SELECT, UPDATE	Выполнение запросов и модификация таблиц представлений и их столбцов
INSERT, DELET	Разрешение на добавление и удаление таблиц
EXECUTE	Разрешение на выполнение хранимых процедур

 

Физическая архитектура БД. Страницы и группы страниц

Логическая структура БД – описывает структуру таблицы взаимоотношений между ними, списки польз, хранимы процедур и другие объекты БД

Физическая структура БД включает описание файлов БД и журнала транзакций их первоначальный размер

БД- 1)основной - *.mdf; 2)журнал транзакций - *.ldf; 3) доп. файлы - *.ndf

Страница – основная единица хранения данных на уровне БД. Представляет собой блок фиксированной длинны обрабатывается при дискретной операции вв/выв как единое целое. Если польз обращается к одной строке данных, с диска будет считана вся страница.

1стр->8кб->1мб->128стр

6 типов страниц

Data- данные кроме типа данных Text, index, image. Содержат строки данных таблицы. На странице выделяются фиксированные пространства, куда записываются данные из строки. Строки располагаются последовательно сразу же после заголовка. Для более эффективного управления страниц SQL использует группы страниц – экстенты (экстент является базовым блоком используется для хранения данных таблиц и индексов, экстенты существуют только для страниц типа Data, Index, Text/Image) MIXED(смешанный экстент) – экстент этого типа содержит стр принадлежащие разным владельцам, это позволяет сократить расход свободного пространства.

GAM - хранит информацию о свободных экстентах. Используется 2 типа битовых полей:

1) GAM –глобальная карта распределения 1 бит -> 1 экстент

2) SGAM – распределяемая глобальная карта распределения.

PFS- хранит информацию о количестве свободного места на страницах типа DATA, INDEX и TEXTIMAGE

IAM- используется для отслеживания информацию о страницах принадлежащих одному объекту-владельцу

 

Файлы и группы файлов

У каждого файла БД может быть 2 имени:

1) Local File Name – логическое, используется в командах Transact SQL при ссылке на конкретный файл

2) OS File Name – физическое, имя файла в ОС, под которым хранится на диске

Группы:

1) Primary file group – основная, содержит основной файл и все файлы на включенные в другие группы. Может быть только 1 в БД

2) User define file group- пользовательская, в эту группу включаются все файлы указанные в параметреfile group при создании или изменении БД. Может быть несколько

3) Default group file- по умолчанию, одна из групп файлов созданных в БД может быть назначена в качестве группы файлов по умолчанию.

Основы TRANSACT SQL

1) DDL- язык определения данных(управляются все структуры данных, строк, определение ключа, распределение файлов)

CREATE – имя объекта

ALTER – модификация объекта

DROP- удаление объекта

DML-язык модификации

Select-оператор выборки

Insert- добавление записей в таблицу

Update – изменение данных в таблице

Delete – удаление записей из таблицы

DCL- язык управления данных (применяется для управления правами доступа к объектам БД)

Grant – создает в системе безопасности запись, которая позволяет пользователю работать с текущей БД и с хранящейся в ней информации

Revoke – анализирует ранее предоставленное или запрещенное пользователем разрешений для текущей БД

Deny – создает в системе безопасности элемент, который отказывает в предоставлении учетной записи прав доступа в БД и предотвращает наследование учетной записи этого права доступа по средствам членства у группе или роли.

 

Синтаксические элементы языка T-S и исполнение операторов T-S. Примеры

В TRANSACT SQL входит много синтаксических элеметнов, которые используются большинством операторов или оказывают на них влияние.

1) Идентификаторы:

обычные и с ограничителями

2) Дополнительные элементы языка

Локальные переменные

Операции (арифметические, сравнения, объединения)

Функции (пользовательские, встроенные)

Исполнение операторов T-S

Операторы можно исполнить, как одиночным или несколько операторов в виде пакета. Так же операторы выполнять в хранимых процедурах и триггерах.

Основной способ- способ запуска одиночных операторов

Пакет- это группа из одного или нескольких операторов T-S, которые приложения одновременно посылает на SQL Server на исполнение

SQL Server компилирует операторы пакета в единицу исполнимую единицу (план исполнения), после этого по очереди исполняются операторы этого плана. В случае ошибок, ни один из операторов пакета, не исполняется

 

 

Создание и управление БД SQL Server. Просмотр результатов работы. Примеры

Имя БД должно соответствовать правилам, определенным для аутентификаторов.

Способы создания БД:

1 CREATE DATABASE имя БД

2 Enterprise Manager

3 Мастер

Управление БД:

1 sp_helpdb имя БД

2 Enterprise Manager

3 Data Base PROPERTYEX

 

Создание таблиц и управление ими. Просмотр результатов работы. Примеры

В определении таблицы должно входить как минимум имя таблицы, имена столбцов. А также указание того, допустимы ли пустые клетки.

 

Таблицы создаются командой CREATE TABLE. Эта команда создает пустую таблицу - таблицу без строк. Значения вводятся с помощью DML команды INSERT Команда CREATE TABLE в основном определяет им таблицы, в виде описания набора имен столбцов указанных в определенном порядке. Она также определяет типы данных и размеры столбцов. Каждая таблица должна иметь по крайней мере один столбец.

Синтаксис команды CREATE TABLE:

CREATE TABLE <TABLE-NAME> (<COLUMN name> <DATA type>[(<SIZE>)], <COLUMN name> <DATA type> [(<SIZE>)]...);