第11章安全管理.ppt

1、第11章安全管理，主要内容，数据库安全用户管理权限管理角色管理配置文件管理，本章要求，了解Oracle数据库安全机制掌握用户管理掌握权限管理掌握角色管理了解配置文件的功能和应用，11.1数据库安全概述，数据库安全意味着防止非法用户访问数据库和防止用户非法操作。Oracle数据安全控制机制包括用户管理权限管理角色管理表空间设置和配额用户资源限制数据库审核：系统安全和数据安全，11.2 Oracle数据库安全管理，用户管理权限管理角色管理配置文件管理，11.2.1用户管理，数据库初始用户属性的创建、修改、删除和查询，数据库初始用户，在SYS数据库中具有最高权限的DBA，可以启动、修改和关闭数据库，

2、有一个辅助DBA的数据字典系统，不能启动和关闭数据库，但可以做一些其他管理工作。用于测试网络连接的公共用户组设置必要的对象权限和系统权限、用户属性、身份验证方法、数据库身份验证、外部身份验证、全局身份验证、默认表空间、临时表空间、表空间配额配置文件限制用户使用数据库系统资源、设置用户密码管理策略、帐户状态是否过期以及是否锁定。基本语法创建用户用户名由密码标识|外部|全局作为外部_名称默认表空间_名称临时表空间_临时表空间_名称配额n K|M|表空间_名称配置文件_名称密码过期帐户锁定|解锁无限制，11.2.2。创建用户，注意新创建的用户不能直接连接到数据库，因为它没有CREATE SESSIO

3、N系统权限。因此，在创建新的数据库用户后，通常需要使用GRANT语句向用户授予CREATE SESSION权限。用户表空间设置DEFAULT TABLESPACE tablename临时表空间tempname配额限制了用户可以使用的存储空间大小。默认情况下，新用户在任何表空间中都没有任何配额。表名上的配额用户不需要临时表空间中的配额，并且在临时表空间中创建的所有临时段都属于系统模式。创建一个用户示例。示例1:将用户创建为用户3，将密码创建为用户3，将默认表空间创建为用户，该表空间中的配额为10MB，初始状态为锁定。创建由用户3标识的用户3默认表空间用户配额10M用户帐户锁定；示例2:将用户创建

4、为用户4，将密码创建为用户4，将默认表空间创建为用户，将修改后的表空间中的配额创建为10Mb。密码状态已过期。配置文件是示例_配置文件。创建由用户4标识的用户4默认表空间用户配额10m用户配置文件示例_配置文件密码过期；创建配置文件示例_配置文件限制失败_登录_尝试次数4 _密码锁定_时间1；创建由pwd默认表空间用户标识的用户测试临时表空间临时用户配额5M；创建用户示例，基本语法更改由密码标识的用户用户名|外部|全局作为外部_名称默认表空间_名称临时表空间_临时表空间_临时表空间_名称配额n K | M |无限制表空间_名称配置文件_名称默认角色_列表|除角色_列表之外的所有角色|无密码过期

5、帐户锁定|解锁，11.2.3修改用户，更改用户测试默认表空间用户临时表空间临时配额10m用户；修改用户示例，锁定和解锁用户，以及锁定用户。用户暂时离开工作，用户永久离开工作。数据库管理员创建的特殊用户帐户更改了“更改用户测试帐户锁定”；解锁用户更改用户测试帐户解锁；示例1，修改用户user3的密码，同时解锁。更改由newuser3帐户解锁标识的用户user3示例2:修改用户user4的默认表空间，该表空间的配额为20MB，用户表空间的配额为10mb。更改用户用户4默认表空间orcltbs 1配额20m用户orcltbs 1配额10m用户；11.2.4删除用户，基本语法DROP USER use

6、r _ name CASCADE步骤1:首先删除用户拥有的对象，然后删除将用户对象称为无效案例的其他数据库对象，并删除用户用户4。丢弃用户用户4；all _ user sdba _ user suser _ user sdba _ ts _ quotas user _ ta _ quotas v $ session v $ open _ cursor，11.2.5查询用户，示例1，检查数据库中的所有用户名及其表空间，从DBA _ users中选择username，default _ tablespace示例2:检查数据库中每个用户的登录时间和会话号。从v $会话中选择sid、序列号、登录时间、

7、用户名；11.3权限管理，权限管理概述系统权限授予和回收对象权限授予和回收查询权限信息，11.3.1权限管理概述，所谓权限就是执行特定类型的SQL命令或访问其他用户对象的权限。Oracle中用户权限的分类系统权限：在数据库级别执行操作的权限，或对某个类对象执行操作的权限。对象权限对特定数据库对象执行特定操作的直接授权和间接授权访问，11.3.2系统权限管理，系统权限分类，特定数据库对象的操作能力，通常带有ANY关键字，数据库级操作能力，系统权限授予语法结构：授予系统_列表|角色_列表|公共与管理选项；示例：授予CREATE SESSION系统权限将create session to PUBLI

8、C授予PUBLIC用户组；授予系统权限时需要注意的几点：只有数据库管理员应该拥有ALTER DATABASE系统权限。一般来说，应用程序开发人员需要系统权限，如创建表、创建视图和创建索引。普通用户通常只有CREATE SESSION系统权限。只有当授权中存在WITH ADMIN OPTION子句时，用户才能将获得的系统权限授予其他用户，即系统权限的传递性。示例1。向PUBLIC用户组授予创建会话系统权限。向公众授予创建会话权限；示例2:向用户user3授予系统权限。授予用户创建会话、创建表、创建视图的权限3；示例3:向用户2授予系统权限。用户2获得权限后，向用户3授予创建表、授予创建会话、创建

9、表和创建视图的权限，并向用户4授予管理选项。将创建表授予用户4，从用户列表|角色列表中撤销sys _ priv _ list注意：在多个管理员授予用户相同的系统权限后，当其中一个管理员收回授予该用户的系统权限时，该用户将不再拥有系统权限。为了收回用户系统权限的传递性(在授权中使用了WITH ADMIN OPTION子句)，有必要在授予用户相应的系统权限之前收回用户的系统权限。如果用户的系统权限是可传递的(在授权时使用WITH ADMIN OPTION子句)并授权给其他用户，则在用户的系统权限被回收后，其他用户的系统权限不会受到影响。对象权限分类授权架构上的对象权限grantobj _ priv

10、 _ list | all的语法结构。带有授予选项的对象到用户列表|角色列表示例：将scott模式下emp表的SELECT、UPDATE和INSERT权限授予user1用户。向用户1授予scott.emp上的选择、插入和更新权限；11.3对象权限管理，对象权限恢复的语法结构撤销obj _ priv _ list |所有模式。用户列表|角色列表中的对象；需要注意的几点：在多个管理员授予用户相同的对象权限后，当一个管理员收回授予用户的对象权限时，不会影响用户从其他管理员处获得的对象权限。为了收回用户对象权限的传递性(在授权中使用了WITH GRANT OPTION子句)，有必要先收回他们的对象权限

11、，然后再授予他们相应的对象权限。如果用户获得的对象权限是可传递的(在授权时使用了“授予选项”条款)，并且其他用户被授权，则该用户的对象权限将被回收，其他用户的对象权限也将被回收。带有管理选项选项，当用户A授权用户B并且该选项被激活时，授权用户B有能力管理该权限：它可以将所获得的权限授予其他用户C，或者它可以收回所授予的权限。在用户A收回用户B的权利后，用户B曾经授予用户C的权利仍然存在。、带管理选项、带数据库管理员、授予、撤销、杰夫、电磁干扰、杰夫、电磁干扰、数据库管理员、带授予选项、如果这个选项被激活，授权用户B有能力管理这个权限：要么它可以将获得的权限重新授予其他用户C，要么它可以收回授予

12、的权限。当用户甲收回用户乙的权利时，用户乙曾经授予用户丙的权利也一并收回。、授予、撤销，带有授予选项、Bob、Jeff、EMI、EMI、Jeff、Bob、11.3.4、DBA_TAB_PRIVS:包括数据库ALL_TAB_PRIVS中所有对象的授权信息：包括数据库USER_TAB_PRIVS中所有用户和公共用户组的授权信息：包括所有字段ALL_COL_PRIVS授予的对象权限：包括所有字段USER_COL_PRIVS授予的对象权限：包括当前用户DBA_SYS_PRIVS的所有字段：包括授予的系统权限信息，例如，查询当前用户的系统权限从用户系统权限中选择*；11.4角色管理，角色概述分类数据库系统预定义的角色用户定义的角色管理定义，授权，修改，有效性和失效，删除，按角色查询用户的间接授权，11.4.1 Oracle角色概述，角色概念所谓的角色是一系列相关权限的集合，11 . 4 . 2可访问的角色类型，用户定义的角色由系统预定义；11.4.3。用户定义的角色，创建角色语法结构创建未由密码标识的角色名称示例创建角色高级_经理_角色创