《Oracle9i关系数据库实用教程(第二版)》06.ppt

Oracle的安全管理,第6章,Oracle9i关系数据库,本章内容,6.1 Oracle9i的安全保障机制 6.2 用户管理 6.3 权限和角色 6.4 概要文件 6.5 数据审计,一、 安全性内容 数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 在数据库存储这一级可采用密码技术，当物理存储设备失窃后，它起到保密作用。在数据库系统这一级中提供两种控制：用户标识和鉴定，数据存取控制。,数据库安全可分为二类：系统安全性和数据安全性。 系统安全性是指在系统级控制数据库的存取和使用的机制，包含： （1）有效的用户名/口令的组合。 （2）一个用户是否授权可连接数据库。 （3）用户对象可用的磁盘空间的数量。 （4）用户的资源限制。 （5）数据库审计是否是有效的。 （6）用户可执行哪些系统操作。,在Oracle多用户数据库系统中，安全机制作下列工作： （1）防止非授权的数据库存取。 （2）防止非授权的对模式对象的存取。 （3）控制磁盘使用。 （4）控制系统资源使用。 （5）审计用户动作。,Oracle利用下列机制管理数据库安全性： 数据库用户和模式 权限 角色 存储设置和空间份额 资源限制 审计,二.安全性策略 系统安全性策略 （1）管理数据库用户 （2）用户身份确认 （3）操作系统安全性,2. 用户安全性策略 （1）一般用户的安全性 1）密码的安全性 2）权限管理 （2）终端用户的安全性,3. 数据库管理者安全性策略 （1）保护作为sys和system用户的连接 （2）保护管理者与数据库的连接 （3）使用角色对管理者权限进行管理,4. 应用程序开发者的安全性策略 （1）应用程序开发者和他们的权限 （2）应用程序开发者的环境 1）程序开发者不应与终端用户竞争数据库资源； 2）程序开发者不能损害数据库其他应用产品。 （3）应用程序开发者的空间限制 作为数据库安全性管理者，应该特别地为每个应用程序开发者设置以下的一些限制： 1）开发者可以创建table或index的表空间； 2）在每一个表空间中，开发者所拥有的空间份额。,一.数据库的存取控制 用户鉴别 为了防止非授权的数据库用户的使用，Oracle提供三种确认方法： 操作系统确认，Oracle数据库确认和网络服务确认。,2用户的表空间设置和定额 关于表空间的使用有几种设置选择： 用户的缺省表空间 用户的临时表空间 数据库表空间的空间使用定额,3. 用户资源限制和环境文件 用户可用的各种系统资源总量的限制是用户安全域的部分。利用显式地设置资源限制，安全管理员可防止用户无控制地消耗宝贵的系统资源。资源限制是由环境文件管理。一个环境文件是命名的一组赋给用户的资源限制。另外Oracle为安全管理员在数据库提供是否对环境文件资源限制的选择。 Oracle可限制几种类型的系统资源的使用，每种资源可在会话级、调用级或两者上控制。,在会话级：每一次用户连接到一数据库，建立一会话。每一个会话在执行SQL语句的计算机上耗费CPU时间和内存量进行限制。 在调用级：在SQL语句执行时，处理该语句有几步，为了防止过多地调用系统，Oracle在调用级可设置几种资源限制。,4用户环境文件 用户环境文件是指定资源限制的命名集，可赋给Oracle数据库的有效的用户。利用用户环境文件可容易地管理资源限制。 在许多情况中决定用户的环境文件的合适资源限制的最好的方法是收集每种资源使用的历史信息。,二. 创建用户 使用CREATE USER语句可以创建一个新的数据库用户，执行该语句的用户必须具有CREATE USER系统权限。 在创建用户时必须指定用户的认证方式。一般会通过Oracle数据库对用户身份进行验证，即采用数据库认证方式。在这种情况下，创建用户时必须为新用户指定一个口令，口令以加密方式保存在数据库中。当用户连接数据库时，Oracle从数据库中提取口令来对用户的身份进行验证。,此外，常用的一些子句有： TEMPORARY TABLESPACE子句：为用户指定临时表空间。 PROFILE子句：为用户指定一个概要文件。如果没有为用户显式地指定概要文件，Oracle将自动为他指定DEFAULT概要文件。 DEFAULT ROLE子句：为用户指定默认的角色。 PASSWORD EXPIRE子句：设置用户口令的初始状态为过期 ACCOUNT LOCK子句：设置用户账户的初始状态为锁定，缺省为：ACCOUNT UNLOCK。,三. 修改用户 在创建用户之后，可以使用ALTER USER语句对用户进行修改，执行该语句的用户必须具有ALTER USER系统权限。 例如：利用下面的语句可以修改用户chenjie的认证方式、默认表空间、空间配额： ALTER USER chenjie IDENTIFIED BY chenjie_pw QUATA 10M ON mbl_tbs;,ALTER USER语句最常用的情况是用来修改用户自己的口令，任何用户都可以使用ALTER USERIDENTIFIED BY语句来修改自己的口令，而不需要具有任何其他权限。但是如果要修改其他用户的口令，则必须具有ALTER USER系统权限。,DBA还会经常使用ALTER USER语句锁定或解锁用户账户。例如： ALTER USER chenjie ACCOUNT LOCK; ALTER USER chenjie ACCOUNT UNLOCK;,四、 删除用户 使用DROP USER语句可以删除已有的用户，执行该语句的用户必须具有DROP USER系统权限。 如果用户当前正连接到数据库中，则不能删除这个用户。要删除已连接的用户，首先必须使用ALTER SYSTEMKILL SESSION语句终止他的会话，然后再使用DROP USER语句将其删除。,如果要删除的用户模式中包含有模式对象，必须在DROP USER子句中指定CASCADE关键字，否则Oracle将返回错误信息。例如：利用下面的语句将删除用户chenjie，并且同时删除他所拥有的所有表、索引等模式对象： DROP USER chenjie CASCADE;,一、基本概念 1.权限 权限是执行一种特殊类型的SQL语句或存取另一用户的对象的权力。有两类权限：系统权限和对象权限。 1）系统权限：是执行一处特殊动作或者在对象类型上执行一种特殊动作的权利。 系统权限可授权给用户或角色，一般，系统权限只授予管理人员和应用开发人员，终端用户不需要这些相关功能。 2）对象权限：在指定的表、视图、序列、过程、函数或包上执行特殊动作的权利。,2.角色 为相关权限的命名组，可授权给用户和角色。数据库角色包含下列功能： （1）一个角色可授予系统权限或对象权限。 （2）一个角色可授权给其它角色，但不能循环授权。 （3）任何角色可授权给任何数据库用户。 （4）授权给用户的每一角色可以是可用的或者不可用的。 （5）一个间接授权角色对用户可显式地使其可用或不可用。,一般，建立角色服务有两个目的：为数据库应用管理权限和为用户组管理权限。相应的角色称为应用角色和用户角色。 应用角色是授予的运行数据库应用所需的全部权限。 用户角色是为具有公开权限需求的一组数据库用户而建立的。用户权限管理是受应用角色或权限授权给用户角色所控制，然后将用户角色授权给相应的用户。,ORACEL利用角色更容易地进行权限管理。有下列优点： （1）减少权限管理，不要显式地将同一权限组授权给几个用户，只需将这权限组授给角色，然后将角色授权给每一用户。 （2）动态权限管理，如果一组权限需要改变，只需修改角色的权限，所有授给该角色的全部用户的安全域将自动地反映对角色所作的修改。 （3）权限的选择可用性，授权给用户的角色可选择地使其可用或不可用。 （4）应用可知性，当用户经用户名执行应用时，该数据库应用可查询字典，将自动地选择使角色可用或不可用。 （5）应用安全性，角色使用可由口令保护，应用可提供正确的口令使用角色，如不知其口令，不能使用角色。,二、 创建角色 使用CREATE ROLE语句可以创建一个新的角色，执行该语句的用户必须具有CREATE ROLE系统权限。 例如：利用下面的语句创建了一个名为OPT_ROLE的角色，并且为它授予了一些对象权限和系统权限： CREATE ROLE OPT_ROLE; GRANT SELECT ON sal_history TO OPT_ROLE;,三、 授予权限或角色 1.授予系统权限 在GRANT关键字之后指定系统权限的名称，然后在TO关键字之后指定接受权限的用户名，即可将系统权限授予指定的用户。 例如：利用下面的语句可以相关权限授予用户chenjie： GRANT CREATE USER,ALTER USER,DROP USER TO chenjie WITH ADMIN OPTION;,2授予对象权限 Oracle对象权限指用户在指定的表上进行特殊操作的权利。 在GRANT关键字之后指定对象权限的名称，然后在ON关键字后指定对象名称，最后在TO关键字之后指定接受权限的用户名，即可将指定对象的对象权限授予指定的用户。 使用一条GRANT语句可以同时授予用户多个对象权限，各个权限名称之间用逗号分隔。 有三类对象权限可以授予表或视图中的字段，它们是分别是INSERT，UPDATE和REFERENCES对象权限。,例如：利用下面的语句可以将CUSTOMER表的SELECT和INSERT，UPDATE对象权限授予用户chenqian： GRANT SELECT,INSERT(CUSTOMER_ID,CUSTOMER_name), UPDATE(desc) ON CUSTOMER TO chenqian WITH GRANT OPTION; 在授予对象权限时，可以使用一次关键字ALL或ALL PRIVILEGES将某个对象的所有对象权限全部授予指定的用户。,3授予角色 在GRANT关键字之后指定角色的名称，然后在TO关键字之后指定用户名，即可将角色授予指定的用户。 通过查询sys.dba_sys_privs可以了解每种角色拥有的权利。,四、 回收权限或角色 使用REVOKE语句可以回收己经授予用户（或角色）的系统权限、对象权限与角色，执行回收权限操作的用户同时必须具有授予相同权限的能力。 例如：利用下面的语句可以回收已经授予用户chenqian的SELECT和UPDATE对象权限： REVOKE SELECT,UPDATE ON CUSTOMER FROM chenqian;,五、 激活和禁用角色 一个用户可以同时被授予多个角色，但是并不是所有的这些角色都同时起作用。角色可以处于两种状态：激活状态或禁用状态，禁用状态的角色所具有权限并不生效。 当用户连接到数据库中时，只有他的默认角色（Default Role）处于激活状态。在ALTER USER角色中使用DEFAULT ROLE子句可以改变用户的默认角色。,一、概要文件中的参数 1资源限制参数 2口令策略参数,二、激活和禁用资源限制 修改数据库的资源限制状态有两种方式： 在数据库启动之前，可以通过设置初始化参数RESOURCE_LIMIT来决定资源限制的状态。默认情况下，RESOURCE_LIMIT参数为FALSE。 在数据库启动之后（处于打开状态），可以使用ALTER SYSTEM语句来改变资源限制的状态，执行该语句的用户必须具有ALTER SYSTEM系统权限。,三、管理概要文件 1创建概要文件 使用CREATE PROFILE语句可以创建概要文件，执行该语句的用户必须具有CREATE PROFILE系统权限。 DBA可以根据需要使用下面的语句来修改DEFAULT概要文件中的参数设置： ALTER PROFILE DEFAULT LIMIT .;,2修改概要文件 概要文件在创建之后，可以使用ALTER PROFILE语句来修改其中的资源参数和口令参数，执行该语句的用户必须具有ALTER PROFILE系统权限。 例如：利用下面的语句对概要文件ACCOUNTING_USER进行修改： ALTER PROFILE ACCOUNTING USER LIMIT CPU_PER_CALL DEFAULT LOGICAL_READS_PER_SESSION 2000000;,3删除概要文件 使用DROP PROFILE语句可以删除概要文件，执行该语句的用户必须具有DROP PROFILE系统权限。如果要删除的概要文件已经指定给了用户，则必须在DROP PROFILE语句中使用CASCADE关键字。 例如：利用下面的语句可以删除ACCOUNTING_USER概要文件： DROP PROFILE ACCOUNTING_USER CASCADE;,4指定概要文件 在使用CREATE USER语句创建用户时，可以通过PROFILE子句为新建用户指定概要文件。另外，在使用ALTER USER语句修改用户时也可以为他指定概要文件。 例如：利用下面的语句可以将概要文件ACCOUNTING USER指定给用户JACK： ALTER USER JACK PROFILE ACCOUNTING_USER;,5设置组合资源限制 在创建概要文件时通过COMPOSITE LIMIT子句来指定资源总限额。 例如：利用下面的语句创建的概要文件中将资源总限额设置为20000： CREATE PROFILE clerk LIMIT COMPOSITE_LIMIT 20000 SESSIONS_PER_USER 2 CPU_PER_CALL 1000;,一、审计的功能 审计是对选定的用户动作的监控和记录，通常用于： （1）审查可疑的活动。例如：数据被非授权用户所删除，此时安全管理员可决定对该数据库的所有连接进行审计，以及对数据库的所有表的成功地或不成功地删除进行审计。 （2）监视和收集关于指定数据库活动的数据。,Oracle支持三种审计类型： 语句审计，对某种类型的SQL语句审计，不指定结构或对象。 权限审计，对执行相应动作的系统权限的使用审计。 对象审计，对一特殊模式对象上的指定语句的审计。,Oracle所允许的审计选择限于下列方面： 审计语句的成功执行、不成功执行，或者其两者。 对每一用户会话审计语句执行一次或者对语句每次执行审计一次。 对全部用户或指定用户的活动的审计。,二、审计的使用 1审计登录 AUDIT ANY 特权是发出审计命令所必须的。 AUDIT SESSION完成审计登录。可以用来对所有成功和不成功的与数据库建立连接的尝试进行审计。 AUDIT SESSION WHENEVER NOT SUCCESSFUL仅审计不成功的尝试。 AUDIT SESSION WHENEVER SUCCESSFUL仅审计成功的尝试。 如果审计数据存储在SYS.