oracle数据库已看ch09安全管理

1、第9讲安全管理目标通过本章学习，您将可以:创建用户创建角色使用GRANT 和 REVOKE 语句赋予和回收权限创建数据库联接 问题：怎样保证数据库的安全？问题1 谁能够进入系统？如何保存密码？问题2 进入系统能做什么？受什么限制？问题3谁做了哪些操作？有什么异常？问题4如何实现动态的安全？用户管理鉴别合法用户和非法用户权限管理区分合法用户的权限审计问题对重要操作进行审计和追踪高效管理动态调整用户和权限用户可执行哪些系统操作有效用户名/口令的组合用户是否授权可连接数据库用户的资源限制数据库审计是否有效系统安全性1系统安全性是指在系统级控制数据库的存取和使用的机制安全性内容用户对象可用的磁盘空间的

2、数量安全性内容控制系统资源使用防止非授权用户对数据库的数据进行存取操作防止不合法的使用所造成的数据泄露、更改或破坏审计用户动作控制磁盘使用Oracle10g数据安全性2. 数据安全性防止非授权的对模式对象的存取操作Oracle 10g的安全机制权限审计角色存储设置和空间份额数据库用户和模式安全性内容资源限制安全性策略系统用户管理者开发者 管理数据库用户 用户身份确认 操作系统安全性 一般用户的安全性 终端用户的安全性 保护作为sys和system用户的连接 保护管理者与数据库的连接 使用角色对管理者权限进行管理 应用程序开发者和他们的权限 应用程序开发者的环境 应用程序开发者的空间限制数据库的

3、存取控制关于表空间的使用有几种设置选择：用户的缺省表空间用户的临时表空间数据库表空间的空间使用定额为了防止非授权的数据库用户的使用，Oracle提供三种确认方法：操作系统确认，Oracle数据库确认和网络服务确认。用户可用的各种系统资源总量的限制是用户安全域的部分。利用显式地设置资源限制，安全管理员可防止用户无控制地消耗宝贵的系统资源。1. 用户鉴别2. 表空间设置和定额3. 用户资源限制和环境文件4. 环境文件指定资源限制的命名集，可赋给Oracle数据库的有效的用户。利用用户环境文件可容易地管理资源限制。引例 传统的授权管理方法用户维护如果新增大量同权限的用户?权限维护新加入了表和删除了表

4、呢？高效管理如何动态调整用户和权限？控制用户权限数据库管理员用户用户名和密码权限权限数据库安全性:系统安全性数据安全性系统权限: 对于数据库的权限对象权限: 操作数据库对象的权限方案: 一组数据库对象集合, 例如表, 视图,和序列系统权限系统权限（System Privilege）向用户提供了执行某一种或某一类型的数据库操作的能力，有近100种系统权限。超过一百多种 100 有效的权限数据库管理员具有高级权限以完成管理任务，例如:创建新用户删除用户删除表备份表注意：系统权限不是控制对指定数据库对象的访问，而是用来许可对各种特性的访问，或许可Oracle数据库中的特定任务。创建用户DBA 使用

5、CREATE USER 语句创建用户CREATE USER scottIDENTIFIED BY tiger;User created.CREATE USER user IDENTIFIED BY password;用户的系统权限用户创建之后, DBA 会赋予用户一些系统权限以应用程序开发者为例, 一般具有下列系统权限:CREATE SESSION（创建会话）CREATE TABLE（创建表）CREATE SEQUENCE（创建序列）CREATE VIEW（创建视图）CREATE PROCEDURE（创建过程）GRANT privilege , privilege.TO user , user

6、| role, PUBLIC.;赋予系统权限 DBA 可以赋予用户特定的权限GRANT create session, create table, create sequence, create viewTO scott;Grant succeeded.角色不使用角色分配权限使用角色分配权限权限用户Manager默认角色CONNECT：为临时用户而设的，所具有的权限只有在对其他用户的表有访问权时，才可以运用。RESOURCE：为可靠的、正式的用户而设的，可以建立自己的表、序列、过程、触发器、索引等。DBA：数据库管理员角色，拥有系统的所有权限，包括所有的操作权限及能给其他用户授权的权限。角色是

7、权限的集合创建角色并赋予权限CREATE ROLE manager;Role created. GRANT create table, create view TO manager; Grant succeeded. GRANT manager TO DEHAAN, KOCHHAR; Grant succeeded. 创建角色为角色赋予权限将角色赋予用户修改密码DBA 可以创建用户和修改密码用户本人可以使用ALTER USER 语句修改密码ALTER USER scott IDENTIFIED BY lion;User altered.权限管理数据库权限的类型-对象权限对象权限控制用户是否能在

8、特定数据库对象（如表、视图或存储过程）上执行特定类型的操作对象权限适用对象允许的操作SELECT表、视图、序列查询UPDATE表、视图或其中的字段更新DELETE表和视图删除行INSERT表、视图或其中的字段插入行EXECUTE存储过程，存储函数与程序包执行PL/SQL存储对象READ目录读取目录INDEX表在表上建立索引REFERENCES表或其中字段在其他表中创建的外键能引用表或表中的字段ALTER表或序列修改表或序列的结构对象权限不同的对象具有不同的对象权限对象的拥有者拥有所有权限对象的拥有者可以向外分配权限 GRANTobject_priv (columns) ONobject TOu

9、ser|role|PUBLIC WITH GRANT OPTION;分配对象权限分配表 EMPLOYEES 的查询权限分配表中各个列的更新权限GRANT selectON employeesTO sue, rich;Grant succeeded.GRANT update (department_name, location_id)ON departmentsTO scott, manager;Grant succeeded.角色是权限的集合WITH GRANT OPTION 和 PUBLIC 关键字WITH GRANT OPTION 使用户同样具有分配权限的权利向数据库中所有用户分配权限GR

10、ANT select, insertON departmentsTO scottWITH GRANT OPTION;Grant succeeded.GRANT selectON alice.departmentsTO PUBLIC;Grant succeeded.查询权限分配情况 数据字典视图描述ROLE_SYS_PRIVS角色拥有的系统权限ROLE_TAB_PRIVS角色拥有的对象权限USER_ROLE_PRIVS用户拥有的角色USER_TAB_PRIVS_MADE用户分配的关于表对象权限USER_TAB_PRIVS_RECD用户拥有的关于表对象权限USER_COL_PRIVS_MADE用户

11、分配的关于列的对象权限USER_COL_PRIVS_RECD用户拥有的关于列的对象权限USER_SYS_PRIVS用户拥有的系统权限收回对象权限使用 REVOKE 语句收回权限使用 WITH GRANT OPTION 子句所分配的权限同样被收回REVOKE privilege , privilege.|ALLON objectFROM user, user.|role|PUBLICCASCADE CONSTRAINTS;收回对象权限举例REVOKE select, insertON departmentsFROM scott;Revoke succeeded.数据库联接数据库联接使用户可以在本

12、地访问远程数据库 本地数据库远程数据库SELECT * FROM ; databaseEMP Table数据库联接创建数据库联接使用SQL 语句访问远程数据库CREATE PUBLIC DATABASE LINK USING sales;Database link created.SELECT * FROM ;账户的锁定概要文件中的参数使用概要文件可以实现如下三种口令策略口令的复杂度口令的过期时间创建概要文件2. 使用SQL命令创建概要文件使用CREATE PROFILE语句可以创建概要文件，执行该语句的用户必须具有CREATE PROFILE系统权限。CREATE PROFIlE LIMIT profile_name resource_parameters | password_parameters resource_parameters为资源限制参数，password_parameters为口令策略参数。定义审计通常用于调查可疑活动和监视与收集特定数据库活动的数据.类型审计操作类型包括登录企图、对象访问和数据库操作。内容审计记录包