安全性概述(数据挖掘)
保护 Microsoft SQL Server Analysis Services 的过程发生在多个级别。 必须保护 Analysis Services 及其数据源的每个实例,以确保只有经过授权的用户才对所选维度、挖掘模型和数据源具有读取或读取/写入权限。 您还必须保护基础数据源以防止未经授权的用户恶意破坏敏感商业信息。 以下主题介绍了保护 Analysis Services 实例的过程。
安全体系结构
请参阅以下资源,了解 Analysis Services 实例的基本安全体系结构,包括 Analysis Services 如何使用 Microsoft Windows 身份验证对用户访问进行身份验证。
为 Analysis Services 配置登录帐户
必须为 Analysis Services 选择适当的登录帐户,并指定此帐户的权限。 必须确保 Analysis Services 登录帐户仅具有执行必要任务所需的权限,包括对基础数据源的适当权限。
对于数据挖掘,与查看或查询模型相比,您需要一组不同的权限来生成和处理模型。 针对模型进行预测是一种查询,不需要管理权限。
保护 Analysis Services 实例
接下来,必须保护 Analysis Services 计算机、Analysis Services 计算机上的 Windows 操作系统、Analysis Services 本身以及 Analysis Services 使用的数据源。
配置对 Analysis Services 的访问权限
为 Analysis Services 实例设置和定义授权用户时,需要确定哪些用户还应有权管理特定数据库对象、哪些用户可以查看对象定义或浏览模型,以及哪些用户能够直接访问数据源。
数据挖掘的特殊注意事项
若要使分析人员或开发人员能够创建和测试数据挖掘模型,必须向分析人员或开发人员授予对存储挖掘模型的数据库的管理权限。 这样,数据挖掘分析人员或开发人员就可以创建或删除与数据挖掘无关的其他对象,包括由其他分析人员或开发人员创建并要使用的数据挖掘对象或数据挖掘解决方案中不包含的 OLAP 对象。
相应地,在创建数据挖掘解决方案时,您必须平衡好分析人员或开发人员开发、测试和优化模型的需要与其他用户的需要,并采取措施对现有数据库对象进行保护。 一种可能的方法是创建独立的数据挖掘专用数据库或为每位分析人员创建单独的数据库。
尽管创建模型需要最高级别的权限,但您可以使用基于角色的安全措施,控制用户为进行其他操作而访问数据挖掘模型,例如处理、浏览或查询。 创建角色时,您可设置特定于数据挖掘对象的权限。 任何角色成员用户都将自动具有与该角色关联的所有权限。
此外,数据挖掘模型还会经常引用包含敏感信息的数据源。 如果挖掘结构和挖掘模型已配置为允许用户从模型钻取结构中的数据,则您必须采取预防措施来屏蔽敏感信息,或限制具有基础数据的访问权限的用户。
如果使用 Integration Services 包清理数据、更新挖掘模型或进行预测,则必须确保 Integration Services 服务拥有存储有模型的数据库的相应权限,以及源数据的相应权限。