王研

摘 要：企業(yè)數(shù)據(jù)庫的系統(tǒng)安全在數(shù)據(jù)庫設計與使用中都十分重要，它不僅關(guān)系到企業(yè)數(shù)據(jù)庫的穩(wěn)定運行，還會給企業(yè)的未來發(fā)展帶來嚴重影響。SQL Server系統(tǒng)因具有良好的性能，得到了廣泛的應用，在此背景下，筆者將對基于SQL Server的企業(yè)數(shù)據(jù)庫系統(tǒng)安全機制設計進行分析。

關(guān)鍵詞：SQL Server；企業(yè)；數(shù)據(jù)庫；系統(tǒng)；安全機制

1 數(shù)據(jù)庫系統(tǒng)簡介

某家企業(yè)為機械制造企業(yè)，內(nèi)部設有3個分廠與1個輔助分廠，還有一些檢驗機構(gòu)等。該企業(yè)目前使用的數(shù)據(jù)庫主要包括了供應、生產(chǎn)、計劃、銷售等不同的子系統(tǒng)，這些不同的子系統(tǒng)會共同使用一個數(shù)據(jù)庫，且每一個子系統(tǒng)都會有專門的工作人員將各類數(shù)據(jù)錄入進去。該企業(yè)數(shù)據(jù)庫系統(tǒng)主要的結(jié)構(gòu)為B/S結(jié)構(gòu)、后臺設計選用了SQL Server，前臺設計選用了JSP，操作系統(tǒng)設計則選用了Windows NT 2000。

其中，供應子系統(tǒng)主要是用來進行企業(yè)所需物資的出庫、入庫等工作；計劃子系統(tǒng)主要用來將企業(yè)相關(guān)的統(tǒng)計報表生成為周計劃報表，在此基礎(chǔ)上進一步生成月計劃表；生產(chǎn)子系統(tǒng)主要用來對該企業(yè)每天的生產(chǎn)工作進行總結(jié)與分析，并且對生產(chǎn)周報等進行相關(guān)統(tǒng)計；銷售子系統(tǒng)主要是對客戶的信息、企業(yè)的銷售月報等進行相關(guān)分析，并以此制定合理的銷售計劃。

2 基于SQL Server的企業(yè)數(shù)據(jù)庫系統(tǒng)安全機制設計

2.1 身份驗證

在基于SQL Server的數(shù)據(jù)庫系統(tǒng)安全機制設計中，身份驗證是最為基礎(chǔ)的一個環(huán)節(jié)，具有較強的意義。在對數(shù)據(jù)庫安全機制進行設計的過程中，SQL Server主要有兩種不同的身份驗證方式，即Windows身份驗證與Windows+SQL Server聯(lián)合驗證方式。

SQL Server類型的身份驗證主要是將賬戶、密碼與數(shù)據(jù)庫Sysxlogins中的清單進行合理匹配；Windows身份驗證主要是指利用控制器來對用戶身份的合法性進行合理驗證。無論選擇哪一種驗證方式，系統(tǒng)內(nèi)部的SQL Server都會接收到相關(guān)的訪問標記，此時，訪問標記在驗證的具體過程中會形成一個列表，列表中有用戶的SID，SQL Server可以根據(jù)這些不同的SID來授予用戶相應的訪問權(quán)限資格。

SQL Server驗證模式存在一定程度的弊端，主要表現(xiàn)在此類型的驗證模式在多服務器背景下存在管理困難的問題，這一點需要相關(guān)的設計人員重點關(guān)注。

2.2 應用程序的驗證

在用戶身份驗證結(jié)束之后，需要進行應用程序方面的驗證。該系統(tǒng)的設計人員針對每一個不同的子系統(tǒng)都設置了相應的登錄界面，用戶在登錄界面的相應輸入框中輸入正確的賬戶與密碼之后，IIS才會允許這些用戶去訪問他們需要的頁面。每一名用戶的賬號及密碼會存于數(shù)據(jù)庫內(nèi)部的表格中，用戶若是需要利用相關(guān)的登錄界面去進行登錄，IIS就會將用戶的個人身份信息提供給數(shù)據(jù)庫的服務器，數(shù)據(jù)庫會將收到的信息與系統(tǒng)中的密碼進行相應的比較分析，只有系統(tǒng)確定賬戶與密碼相匹配之后，用戶才能正式進入系統(tǒng)。

2.3 SQL Server組

在該企業(yè)的數(shù)據(jù)庫內(nèi)部，每一個子系統(tǒng)都有自身的獨立功能，但是彼此之間也存在相應的聯(lián)系，所有的數(shù)據(jù)都在同一個大的數(shù)據(jù)庫內(nèi)部進行儲存。因此，設計人員在安全機制設計中，為該企業(yè)的系統(tǒng)設置了一個可以滿足不同用戶的SQL Server組。設計人員在設計過程中，將SQL Server組劃分為了管理員組、用戶組、服務器拒絕用戶組、創(chuàng)建者組、操作組等。在對相關(guān)的組進行了合理設計后，就應當為不同的組別設置SQL Server的訪問權(quán)限，并且將Master設置為默認狀態(tài)下的數(shù)據(jù)庫，之后再對服務器拒絕用戶組設置相應的授權(quán)。在給其他組別進行授權(quán)的過程中，設計人員分別為每一個不同的組建立了相應的登錄名，并且打開Analyzer，開始相關(guān)的授權(quán)工作。設計人員將不同的登錄名與不同的服務器相結(jié)合，將其變?yōu)椴煌M內(nèi)部的角色成員。例如，SQL Server Administratprs就可以成為Sysadmins的角色成員。這樣一來，不同的用戶組別權(quán)限就可以得到比較合理的設置。

除此之外，對于Main DB Users，設計人員也創(chuàng)建了一個相關(guān)的登錄名字，并且讓該登錄名字成為Dbcreator的角色成員，用戶在對其進行相應的授權(quán)之后就可以訪問數(shù)據(jù)庫。

2.4 用戶權(quán)限的分配

該企業(yè)的數(shù)據(jù)庫內(nèi)部相關(guān)用戶數(shù)量較多，不同的用戶具有不同的權(quán)限，因此，對用戶權(quán)限進行科學、合理的分配也是十分重要的。設計人員首先對數(shù)據(jù)庫的個體角色進行了明確的定位，保證每一個子系統(tǒng)自身都具有兩種不同的角色，如操作員角色與領(lǐng)導角色、企業(yè)領(lǐng)導角色與DBA角色等。

之后，設計人員需要為每一個角色分配相應的數(shù)據(jù)庫對象，還要對不同數(shù)據(jù)庫對象的權(quán)限進行不同的分析，在這一環(huán)節(jié)中，設計人員主要利用了SQL Server Management工具，還會在必要時候利用DENY、REVOKE等不同的命令來對相關(guān)的數(shù)據(jù)庫權(quán)限進行更為合理的管理。在用戶權(quán)限的分配中，用戶方面定義的數(shù)據(jù)庫角色主要與SQL Server登錄、本地組、賬戶等有比較緊密的聯(lián)系，因此，設計人員可以將登錄名輸入已經(jīng)定義好的數(shù)據(jù)庫角色內(nèi)部，這樣就可以實現(xiàn)對登錄名的權(quán)限分配工作順利完成。

3 結(jié)語

數(shù)據(jù)庫對于企業(yè)的運行與未來發(fā)展具有重要的意義與價值，企業(yè)在日常業(yè)務開展中需要建立數(shù)據(jù)庫并且保證數(shù)據(jù)庫具有較高的安全性。在本文中，某企業(yè)基于SQL Server建立了數(shù)據(jù)庫，并且對于該數(shù)據(jù)庫系統(tǒng)的安全機制進行了相關(guān)的設計。筆者在文中對于該企業(yè)的數(shù)據(jù)庫進行了相應的分析，并且對安全機制的設計做了合理的淺析，望給相關(guān)人士的工作提供參考意見。

參考文獻

[1]賀亞茹.基于SQL Server的企業(yè)數(shù)據(jù)庫系統(tǒng)安全機制設計[J].工礦自動化，2012，38（10）：29-32.

（作者單位：碳氫高效利用技術(shù)研究中心）