九安全（一）.doc

九、安全（一） 9.1安全体系 Oracle的安全体系包括： ????????? 物理层安全性：数据库所在节点必须在物理上得到可靠的保护。 ????????? 用户层安全性：那些用户可以使用数据库，使用数据库的那些对象，具有什么样的权限。 ????????? 操作系统层安全性：操作系统安全。 ????????? 网络层安全性：通过分发wallet、数字证书、SSL安全套接字和数据密钥来保证网络层安全。 当然我不可能在这里将整个oracle的安全体系全部阐述完。看看比较重要一些东西。 9.2 概要文件 概要文件是oracle安全的重要组成部分，利用概要文件可以对数据库用户进行基本的资源限制，并且可以对用户的口令进行管理。  上图列出了概要文件的基本语法。 当然我们也通过控制台来完成上述配置。  上图显示了通过OEM控制台来完成同样的SQL语句，还是图形的比较方便。 9.3用户 1．创建用户的语法： CREATE USER user IDENTIFIED {BY password | EXTERNALLY} [DEFAULT TABLESPACE tablespace] [TEMPORARY TABLESPACE tablespace] [QUOTA {integer [K|M] | UNLIMITED} ON tablespace] ... [PROFILE profile] 例如：  当然这个时候我们创建的coffee_liu这个用户还不能连接到数据库，因为没有给他授予权限。 下面我们给coffee_liu授予连接到数据库的权限。 Grant create session to coffee_liu; 或者直接将connect角色付给coffee_liu Grant connect to coffee_liu; 2．修改用户 语法： ALTER USER user [IDENTIFIED {BY password | EXTERNALLY}] [DEFAULT TABLESPACE tablespace] [TEMPORARY TABLESPACE tablespace] [QUOTA {integer [K|M] | UNLIMITED} ON tablespace] ... [PROFILE profile] [DEFAULT ROLE { role [, role] ... | ALL [EXCEPT role [, role] ...] | NONE}] 例如： Alter user coffee_liu Identified by coffee_liu ;//修改自己的密码 作为管理员来说，我们还可以锁定帐号、使帐号过期和删除帐号 Alter user coffee_liu account lock;//锁定 Alter user coffee_liu account unlock;//解锁 Alter user coffee_liu password expire;//使密码过期 Drop user coffee_liu cascade;//删除帐号 9.4权限/角色 Oracle通过系统权限和用户权限来限制用户可以干什么，不可以干什么。 角色是命名的权限合集，其可以用来简化权限管理工作。实际上我们可以将权限直接赋予用户，也可以将很多的特定的权限打包分配给角色，然后将角色再分配给用户。这个原理有点像，我们windows地下的：用户-用户组-权限的关系，角色相当于用户组。 对于权限来说又可分为： ????????? 系统权限：在数据库级别执行某种操作，或者针对某一类的模式或非模式对象执行某种操作的能力。 ????????? 对象权限：针对某个特定的模式对象执行各种操作的权力 系统权限：这里只列出了一部分，打字实在很累。 权限 所能实现的操作 分析 ANALYZE ANY 分析数据库中的任何表、簇或索引 审计 AUDIT ANY 审计数据库中的任何模式对象 AUDIT SYSTEM 启用与停用语句和特权的审计选项 簇 CREATE CLUSTER 在自有的模式中创建一个簇 CREATE ANY CLUSTER 在任何一个模式中创建一个簇；操作类似于 CREATE ANY TABLE ALTER ANY CLUSTER 改变数据库中的任何一个簇 DROP ANY CLUSTER 删除数据库中的任何一个簇 数据库 ALTER DATA BA