按照本文介绍的步骤,你可以为SQL Server 7.0(或2000)构造出一个灵活的、可管理的安全策略,而且它的安全性经得起考验。一、验证方法选择本文对验证(authentication)和授权(authorization)这两个概念作不同的解释。验证是指检验用户的身份标识;授权是指允许用户做些渣者庆什么。在本文的讨论中,验证过程在用户登录SQL Server的时候出现,授权过程在用户试图访问数据或执行命令的时候出现。构造安全策略的第一个步骤是确定SQL Server用哪种方式验证用户。SQL Server的验证是把一组帐户、密码与Master数据库Sysxlogins表中的一个清单进行匹配。Windows NT/2000的验证是请求域控制器检查用户身份的合法性。一般地,如果服务器可以访问域控制器,我们应该使用Windows NT/2000验证。域控制器可以是Win2K服务器,也可以是NT服务器。无论在哪种情况下,SQL Server都接收到一个访问标记(Access Token)。访问标记是在验证过程中构造出来的一个特殊列表,其中包含了用户的SID(安全标识号)以及一系列用户所在组的SID。正如本文后面所介绍的,SQL Server以这些SID为基础授予访问权限。注意,操作系统如何构造访问标记并不重要,SQL Server只使用访问标记中的SID。也就是说,不论你使用SQL Server 2000、SQL Server 7.0、Win2K还是NT进行验证都无关紧要,结果都一样。 如果使用SQL Server验证的登录,它最大的好处是很容易通过Enterprise Manager实现,最大的缺点在于SQL Server验证的登录只对特定的服务器有效,也就是说,在一个多服务器的环境中管理比较困难。使用SQL Server进行验证的第二个重要的缺点是,对于每一个数据库,我们必须分别地为它管理权限。如果某个用户对两个数据库有相同的权限要求,我们必须手工设置两个数据库的权限,或者编写脚本设置权限。如果用户数量较少,比如25个以下,而且这些用户的权限变化不是很频繁,SQL Server验证的登录或许适如握用。但是,在几乎所有的其他情况下(有一些例外情况,例如直接管理安全问题的应用),这种登录方式的管理负担将超过它的优点。二、Web环境中的验证即使最好的安全策略也常常在一种情形前屈服,这种情形就是在Web应用中使用SQL Server的数据。在这种情形下,进行验证的典型方法是把一组SQL Server登录名称和密码嵌入到Web服务器上运行的程序,比如ASP页面或者CGI脚本;然后,由Web服务器负责验证用户,应用程序则使用它自己的登录帐户(或者是系统管理员sa帐户,或者为了方便起见,使用Sysadmin服务器角色中的登录帐户)为用户访问数据。这种安排有几个缺点,其中最重要的包括:它不具备对用户在服务器上的活动进行审核的能力,完全依赖于Web应用程序实现用户验证,当SQL Server需要限定用户权限时不同的用户之间不易区别。如果你使用的是IIS 5.0或者IIS 4.0,你可以用四种方法验证用户。第一种方法是为每一个网站和每一个虚拟目录创建一个匿名用户的NT帐户。此后,所有应用程序登录SQL Server时都使用该安全环境。我们可以通过授予NT匿名帐户合适的权限,改进审核和验证功能。第二种方法是让所有网站使用Basic验证。此时,只有当用户在对话框中输入了合法的帐户和密码,IIS才会允许他们访问页面。IIS依靠一个NT安全数据库实现登录身份验证,NT安全数据库既可以在本地服务器上,也可以在域控制器上。当用户运行一个访问SQL Server数据库的程序或者脚本时,IIS把用户为了浏览页面而提供的身份信息发送给服务器。如果你使用这种方法,应该记住:在通常情况下,浏览器与服务器之间的密码传送一般是不加密的,嫌宽对于那些使用Basic验证而安全又很重要的网站,你必须实现SSL(Secure Sockets Layer,安全套接字层)。 在客户端只使用IE 5.0、IE 4.0、IE 3.0浏览器的情况下,你可以使用第三种验证方法。你可以在Web网站上和虚拟目录上都启用NT验证。IE会把用户登录计算机的身份信息发送给IIS,当该用户试图登录SQL Server时IIS就使用这些登录信息。使用这种简化的方法时,我们可以在一个远程网站的域上对用户身份进行验证(该远程网站登录到一个与运行着Web服务器的域有着信任关系的域)。最后,如果用户都有个人数字证书,你可以把那些证书映射到本地域的NT帐户上。个人数字证书与服务器数字证书以同样的技术为基础,它证明用户身份标识的合法性,所以可以取代NT的Challenge/Response(质询/回应)验证算法。Netscape和IE都自动在每一个页面请求中把证书信息发送给IIS。IIS提供了一个让管理员把证书映射到NT帐户的工具。因此,我们可以用数字证书取代通常的提供帐户名字和密码的登录过程。由此可见,通过NT帐户验证用户时我们可以使用多种实现方法。即使当用户通过IIS跨越Internet连接SQL Server时,选择仍旧存在。因此,你应该把NT验证作为首选的用户身份验证办法。三、设置全局组构造安全策略的下一个步骤是确定用户应该属于什么组。通常,每一个组织或应用程序的用户都可以按照他们对数据的特定访问要求分成许多类别。例如,会计应用软件的用户一般包括:数据输入操作员,数据输入管理员,报表编写员,会计师,审计员,财务经理等。每一组用户都有不同的数据库访问要求。控制数据访问权限最简单的方法是,对于每一组用户,分别地为它创建一个满足该组用户权限要求的、域内全局有效的组。我们既可以为每一个应用分别创建组,也可以创建适用于整个企业的、涵盖广泛用户类别的组。然而,如果你想要能够精确地了解组成员可以做些什么,为每一个应用程序分别创建组是一种较好的选择。例如,在前面的会计系统中,我们应该创建Data Entry Operators、Accounting Data Entry Managers等组。请记住,为了简化管理,最好为组取一个能够明确表示出作用的名字。除了面向特定应用程序的组之外,我们还需要几个基本组。基本组的成员负责管理服务器。按照习惯,我们可以创建下面这些基本组:SQL Server Administrators,SQL Server Users,SQL Server Denied Users,SQL Server DB Creators,SQL Server Security Operators,SQL Server Database Security Operators,SQL Server Developers,以及 DB_Name Users(其中DB_Name是服务器上一个数据库的名字)。当然,如果必要的话,你还可以创建其他组。创建了全局组之后,接下来我们可以授予它们访问SQL Server的权限。首先为SQL Server Users创建一个NT验证的登录并授予它登录权限,把Master数据库设置为它的默认数据库,但不要授予它访问任何其他数据库的权限,也不要把这个登录帐户设置为任何服务器角色的成员。接着再为SQL Server Denied Users重复这个过程,但这次要拒绝登录访问。在SQL Server中,拒绝权限始终优先。创建了这两个组之后,我们就有了一种允许或拒绝用户访问服务器的便捷方法。为那些没有直接在Sysxlogins系统表里面登记的组授权时,我们不能使用Enterpris Managr,因为Enter-prise Manager只允许我们从现有登录名字的列表选择,而不是域内所有组的列表。要访问所有的组,请打开Query Analyzer,然后用系统存储过程sp_addsrvrolemember以及sp_addrolemember进行授权。对于操作服务器的各个组,我们可以用sp_addsrvrolemember存储过程把各个登录加入到合适的服务器角色:SQL Server Administrators成为Sysadmins角色的成员,SQL Server DB Creators成为Dbcreator角色的成员,SQL Server Security Operators成为Securityadmin角色的成员。注意sp_addsrvrolemember存储过程的第一个参数要求是帐户的完整路径。例如,BigCo域的JoeS应该是bigco\joes(如果你想用本地帐户,则路径应该是server_name\joes)。 要创建在所有新数据库中都存在的用户,你可以修改Model数据库。为了简化工作,SQL Server自动把所有对Model数据库的改动复制到新的数据库。只要正确运用Model数据库,我们无需定制每一个新创建的数据库。另外,我们可以用sp_addrolemember存储过程把SQL Server Security Operators加入到db_security-admin,把SQL Server Developers加入到db_owner角色。注意我们仍然没有授权任何组或帐户访问数据库。事实上,我们不能通过Enterprise Manager授权数据库访问,因为Enterprise Manager的用户界面只允许我们把数据库访问权限授予合法的登录帐户。SQL Server不要求NT帐户在我们把它设置为数据库角色的成员或分配对象权限之前能够访问数据库,但Enter-prise Manager有这种限制。尽管如此,只要我们使用的是sp_addrolemember存储过程而不是Enterprise Manager,就可以在不授予域内NT帐户数据库访问权限的情况下为任意NT帐户分配权限。到这里为止,对Model数据库的设置已经完成。但是,如果你的用户群体对企业范围内各个应用数据库有着类似的访问要求,你可以把下面这些操作移到Model数据库上进行,而不是在面向特定应用的数据库上进行。四、允许数据库访问在数据库内部,与迄今为止我们对登录验证的处理方式不同,我们可以把权限分配给角色而不是直接把它们分配给全局组。这种能力使得我们能够轻松地在安全策略中使用SQL Server验证的登录。即使你从来没有想要使用SQL Server登录帐户,本文仍旧建议分配权限给角色,因为这样你能够为未来可能出现的变化做好准备。创建了数据库之后,我们可以用sp_grantdbaccess存储过程授权DB_Name Users组访问它。但应该注意的是,与sp_grantdbaccess对应的sp_denydbaccess存储过程并不存在,也就是说,你不能按照拒绝对服务器访问的方法拒绝对数据库的访问。如果要拒绝数据库访问,我们可以创建另外一个名为DB_Name Denied Users的全局组,授权它访问数据库,然后把它设置为db_denydatareader以及db_denydatawriter角色的成员。注意SQL语句权限的分配,这里的角色只限制对对象的访问,但不限制对DDL(Data Definition Language,数据定义语言)命令的访问。正如对登录过程的处理,如果访问标记中的任意SID已经在Sysusers系统表登记,SQL将允许用户访问数据库。因此,我们既可以通过用户的个人NT帐户SID授权用户访问数据库,也可以通过用户所在的一个(或者多个)组的SID授权。为了简化管理,我们可以创建一个名为DB_Name Users的拥有数据库访问权限的全局组,同时不把访问权授予所有其他的组。这样,我们只需简单地在一个全局组中添加或者删除成员就可以增加或者减少数据库用户。五、分配权限实施安全策略的最后一个步骤是创建用户定义的数据库角色,然后分配权限。完成这个步骤最简单的方法是创建一些名字与全局组名字配套的角色。例如对于前面例子中的会计系统,我们可以创建Accounting Data Entry Operators、Accounting Data Entry Managers之类的角色。由于会计数据库中的角色与帐务处理任务有关,你可能想要缩短这些角色的名字。然而,如果角色名字与全局组的名字配套,你可以减少混乱,能够更方便地判断出哪些组属于特定的角色。创建好角色之后就可以分配权限。在这个过程中,我们只需用到标准的GRANT、REVOKE和DENY命令。但应该注意DENY权限,这个权限优先于所有其他权限。如果用户是任意具有DENY权限的角色或者组的成员,SQL Server将拒绝用户访问对象。 接下来我们就可以加入所有SQL Server验证的登录。用户定义的数据库角色可以包含SQL Server登录以及NT全局组、本地组、个人帐户,这是它最宝贵的特点之一。用户定义的数据库角色可以作为各种登录的通用容器,我们使用用户定义角色而不是直接把权限分配给全局组的主要原因就在于此。由于内建的角色一般适用于整个数据库而不是单独的对象,因此这里建议你只使用两个内建的数据库角色,即db_securityadmin和db_owner。其他内建数据库角色,例如db_datareader,它授予对数据库里面所有对象的SELECT权限。虽然你可以用db_datareader角色授予SELECT权限,然后有选择地对个别用户或组拒绝SELECT权限,但使用这种方法时,你可能忘记为某些用户或者对象设置权限。一种更简单、更直接而且不容易出现错误的方法是为这些特殊的用户创建一个用户定义的角色,然后只把那些用户访问对象所需要的权限授予这个用户定义的角色。六、简化安全管理SQL Server验证的登录不仅能够方便地实现,而且与NT验证的登录相比,它更容易编写到应用程序里。但是,如果用户的数量超过25,或者服务器数量在一个以上,或者每个用户都可以访问一个以上的数据库,或者数据库有多个管理员,SQL Server验证的登录不容易管理。由于SQL Server没有显示用户有效权限的工具,要记忆每个用户具有哪些权限以及他们为何要得到这些权限就更加困难。即使对于一个数据库管理员还要担负其他责任的小型系统,简化安全策略也有助于减轻问题的复杂程度。因此,首选的方法应该是使用NT验证的登录,然后通过一些精心选择的全局组和数据库角色管理数据库访问。下面是一些简化安全策略的经验规则:用户通过SQL Server Users组获得服务器访问,通过DB_Name Users组获得数据库访问。用户通过加入全局组获得权限,而全局组通过加入角色获得权限,角色直接拥有数据库里的权限。需要多种权限的用户通过加入多个全局组的方式获得权限。只要规划得恰当,你能够在域控制器上完成所有的访问和权限维护工作,使得服务器反映出你在域控制器上进行的各种设置调整。虽然实际应用中情况可能有所变化,但本文介绍的基本措施仍旧适用,它们能够帮助你构造出很容易管理的安全策略。
⑵ 论述软件项目管理过程中如何开展好配置管理工作
1、配置管理员水平很重要。
2、领导要很重视(比如告诉他代码需要控制不同的权限,集中保存防止出现各种意外比如离职泄露啊,电脑坏了啊等等,与开发过程相关的就不用说了,他不关心的)。
3、项目经理要很重视,很多项目经理本身是技术出身,可能管理跟的不是那么上~.~。
4、项目成员有这样的概念。
以上是前提。
开展配置管理工作的关键是让公司内部的项目干系人的人感觉到配置管理工作在起作用。
最重要的手段:
针对不同的人进行不同层次的培训。
1、对于老板/总监/技术老大/项目老大等等所有项目的统筹负责人,可以做一些月度季度年度报表PPT什么的告诉他你做了什么。取得了什么样的效果。
2、对于项目经理们或者准项目经理们,做配置管理里关于流程方面的培训(比如配置项管理、基线管理、变更管理、构建管理、版本管理、发布管理、审计管理、外部发布管理等)、然后就是一些配合不同开发模式(比如瀑布、螺旋、敏捷等)进行配置工具培训、 比如分支开发、自动构建、持续集成等
3、对于普通开发测试等项目组成员,就是培训各类工具的使用了比如svn/git/cc等,比如一些好的操作,版本对比、回退机制、代码共享、同步开发等等。
至于配置管理过程的话,网上一大堆,随便凭记忆总结下,可能不全:
1、从组织上定义标准流程规范制度等。这个规范制度是用来指导配置管理工作的总规范。包括具体的配置管理简介、配置管理过程中涉及到的人的权责、然后就是配置管理实施的策略(比如计划、配置项、基线、变更、发布、审计、报告、服务器管理、配置工具说明、权限管理总则、配置库结构标准、库备份啊、收尾工作比如移交转产交付取消权限刻盘保存等),可能还要定义一个内测版本、外测版本、正式版本号的附则。制作好所有的excel/word/ppt/txt模版。给领导审批通过就OK了。
2、项目开始就后按照组织定义的配置管理流程去做,不断裁剪修改,不同规模的配置管理工作的需求是不同的,要考虑投入产出是否合理,与项目是否适配。
------------------------------------------
以上所有涉及到和领导相关的步奏,请考虑你在公司的实际地位和能力水平,有可能你的项目的配置管理工作没有到这个高度,还只是初级阶段,领导都不知道。一般来说成熟的软件公司、规模比较大配置管理是单独的。如果你只是某个项目的,没有那么高的地位那就只针对本项目的经理和普通成员来操作吧.......~.~
⑶ 如何配置数据库ODBC数据源
ADO可以与ASP结合,以建立提供数据库信息的主页内容,在主页画面执行SQL命令,让用户在浏览器画面中输入,更新和删除站点服务器的数据库信息;ADO使用RecordSets对象,作为数据的主要接口;ADO可使用Vbscript,JavaScript语言来控制数据库的访问,与查询结果的输出显示画面;ADO可连接多种的数据库,包括SQL Server、Oracle、Informix等支持ODBC的数据库。因此,在使用ADO访问数据库之前我们还有一项重要的工作要做,那就是创建和配置ODBC数据源。
1. ODBC的定义
首先,还是也让我们来解释一下有关ODBC的概念,这将有利于下面内容的理解。ODBC(Open Database Connectivity开放式数据库互联)是微软推出的一种工业标准,一种开放的独立于厂商的API应用程序接口,可以跨平台访问各种个人计算机、小型机以及主机系统。ODBC作为一个工业标准,绝大多数数据库厂商、大多数应用软件和工具软件厂商都为自己的产品提供了ODBC接口或提供了ODBC支持,这其中就包括常用的SQL SERVER、ORACAL、INFORMIX等,当然也包括了Access。
数据库驱动程序使用Data Source Name (DSN) 定位和标识特定的 ODBC 兼容数据库,将信息从 Web 应用程序传递给数据库。典型情况下,DSN 包含数据库配置、用户安全性和定位信息,且可以获取 Windows NT 注册表项中或文本文件的表格。通过 ODBC,我们可以选择希望创建的 DSN 的类型:用户、系统或文件。
为了更好地让大家理解上一段话,我们接下来来解释一下其中的几个名词:
DSN:根据MICROSOFT的官方文档,DSN的意思是“应用程序用以请求一个连到ODBC数据源的连接(CONNECTION)的名字”,换句话说,它是一个代表ODBC连接的符号。它隐藏了诸如数据库文件名、所在目录、数据库驱动程序、用户ID、密码等细节。因此,当建立一个连接时,你不用去考虑数据库文件名、它在哪儿等等,只要给出它在ODBC中的DSN即可。
FILE DSN: 当我们讨论这个问题时,先看看其他的DSN类型
SYSTEM DSN:这种DSN可以被任何登录到系统中的用户使用。
USER DSN:这是为特定用户建立的DSN。只有建立这个DSN的用户才能看到并使用它。在上面的两种情况中,DSN的细节都储存在系统的注册表中。
⑷ 如何管理仓库
仓储管理(Warehouse Management)
目录
[隐藏]
1 什么是仓储管理
2 仓储管理的任务
3 仓储管理的基本原则
4 仓储管理的主要活动
5 仓储的保管原则
6 仓库管理作业应注意的问题
7 仓储的基本经济功能
8 有效的仓储管理
[编辑]什么是仓储管理
“仓”也称为仓库,为存放物品的建筑物和场地,可以为房屋建筑、大型容器、洞穴或者特定的场地等,具有存放和保护物品的功能;“储”表示收存以备使用,具有收存、保管、交付使用的意思,当适用有形物品时也称为储存。“仓储”则为利用仓库存放、储存未即时使用的物品的行为。简言之,仓储就是在特定的场所储存物品的行为。
仓储管理就是对仓库及仓库内的物资所进行的管理,是仓储机构为了充分利用所具有的仓储资源提供高效的仓储服务所进行的计划、组织、控制和协调过程。
仓储管理是一门经济管理科学,同时也涉及应用技术科学;故属于边缘性学科。仓储管理的内涵是随着其在社会经济领域中的作用不断扩大而变化。
[编辑]仓储管理的任务
1、利用市场经济手段获得最大的仓储资源的配置。
2、以高效率为原则组织管理机构。
3、不断满足社会需要为原则开展商务活动。
4、以高效率、低成本为原则组织仓储生产。
5、以优质服务、讲信用建立企业形象。
6、通过制度化、科学化的先进手段不断提高管理水平。
7、从技术到精神领域提高员工素质。
[编辑]仓储管理的基本原则
1、效率的原则。
2、经济效益的原则。
3、服务的原则。
[编辑]仓储管理的主要活动
1、企业仓储活动的类型
企业可以选择自建仓库、租赁公共仓库或采用合同制仓储为库存的物料、商品准备仓储空间。
1)自有仓库仓储,相对于公共仓储而言,企业利用自有仓库进行仓储活动可以更大程度地控制仓储,管理也更具灵活性。
2)租赁公共仓库仓储,企业通常租赁提供营业性服务的公共仓储进行储存。
3)合同制仓储,合同仓储公司能够提供专业、高效、经济和准确的分销服务。
一个企业是自建仓库还是租赁公共仓库或采用合同制仓储需要考虑以下因素:
周转总量;
需要的稳定性;
市场密度。
2、仓储的一般业务程序
1)签订仓储合同。
2)验收货物。
3)办理入库手续。
4)货物保管。
5)货物出库
3、仓储管理的内容
1)订货、交货。
2)进货、交货时的检验。
3)仓库内的保管、装卸作业。
4)场所管理。
5)备货作业。
产品在仓储中的组合、妥善配载和流通包装、成组等活动就是为了提高装卸效率,充分利用运输工具,从而降低运输成本的支出。合理和准确的仓储活动会减少商品的换装、流动,减少作业次数,采取机械化和自动化的仓储作业,都有利于降低仓储作业成本。优良的仓储管理,能对商品实施有效的保管和养护,并进行准确的数量控制,从而大大减少仓储的风险。
[编辑]仓储的保管原则
1、面向通道进行保管。为使物品出入库方便,容易在仓库内移动,基本条件是将物品面向通道保管。
2、尽可能地向高处码放,提高保管效率。有效利用库内容积,应尽量向高处码放,为防止破损,保证安全,应当尽可能使用棚架等保管设备。
3、根据出库频率选定位置。出货和进货频率高的物品,应放在靠近出入口,易于作业的地方;流动性差的物品放在距离出入口稍远的地方;季节性物品则依其季节特性来选定放置的场所。
4、同一品种在同一地方保管。为提高作业效率和保管效率,同一物品或类似物品应放在同一地方保管,员工对库内物品放置位置的熟悉程度直接影响着出入库的时间,将类似的物品放在邻近的地方也是提高效率的重要方法。
5、根据物品重量安排保管的位置。安排放置场所时,重的物品放在下边,把轻的物品放在货架的上方。需要人工搬运的大型物品则以腰部的高度为基准。这对提高效率、保证安全是一项重要的原则。
6、依据形状安排保管方法。依据物品形状来保管也是很重要的,如标推化的商品应放在托盘或货架上来保管。
7、依据先进先出的原则。保管的重要一条是对于易变质、易破损、易腐败的物品;对于机能易退化、老化的物品,应尽可能按先人先出的原则,加快周转。由于商品的多样化、个性化,使用寿命短这一原则是十分重要的。
[编辑]仓库管理作业应注意的问题
1.库存商品要进行定位管理,其含义与商品配置图表的设计相似,即将不同的商品分类、分区管理的原则来存放,并用货架放置。仓库内至少要分为三个区域:第一,大量存储区,即以整箱或栈板方式储存;第二,小量存储区,即将拆零商品放置在陈列架上;第三,退货区,即将准备退换的商品放置在专门的货架上。
2.区位确定后应制作一张配置图,贴在仓库入口处,以便于存取。小量储存区应尽量固定位置,整箱储存区则可弹性运用。若储存空间太小或属冷冻(藏)库,也可以不固定位置而弹性运用。
3.储存商品不可直接与地面接触。一是为了避免潮湿;二是由于生鲜仪器吸规定;三是为了堆放整齐。
4.要注意仓储区的温湿度,保持通风良好,干燥、不潮湿。
5.仓库内要设有防水、防火、防盗等设施,以保证商品安全。
6.商品储存货架应设置存货卡,商品进出要注意先进行出的原则。也可采取色彩管理法,如每周或每月不同颜色的标签,以明显识别进货的日期。
7.仓库管理人员要与订货人员及时进行沟通,以便到货的存放。此外,还要适时提出存货不足的预警通知,以防缺货。
8.仓储存取货原则上应随到随存、随需随取,但考虑到效率与安全,有必要制订作业时间规定。
9.商品进出库要做好登记工作,以便明确保管责任。但有些商品(如冷冻、冷藏商品)为讲究时效,也采取卖场存货与库房存货合一的做法。
10.仓库要注意门禁管理,不得随便入内。