Oracle9i关系数据库实用教程（第二版） 蔡立军及教学大纲 06新.ppt

本章内容 6.1 Oracle9i的安全保障机制 6.2 用户管理 6.3 权限和角色 6.4 概要文件 6.5 数据审计 四、 回收权限或角色 使用REVOKE语句可以回收己经授予用户（或角色）的系统权限、对象权限与角色，执行回收权限操作的用户同时必须具有授予相同权限的能力。 例如：利用下面的语句可以回收已经授予用户chenqian的SELECT和UPDATE对象权限： REVOKE SELECT,UPDATE ON CUSTOMER FROM chenqian; 五、 激活和禁用角色 一个用户可以同时被授予多个角色，但是并不是所有的这些角色都同时起作用。角色可以处于两种状态：激活状态或禁用状态，禁用状态的角色所具有权限并不生效。 当用户连接到数据库中时，只有他的默认角色（Default Role）处于激活状态。在ALTER USER角色中使用DEFAULT ROLE子句可以改变用户的默认角色。 一、概要文件中的参数 1．资源限制参数 2．口令策略参数 §6.4 概要文件 * Oracle的安全管理 第6章 Oracle9i关系数据库 一、 安全性内容 数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 在数据库存储这一级可采用密码技术，当物理存储设备失窃后，它起到保密作用。在数据库系统这一级中提供两种控制：用户标识和鉴定，数据存取控制。 §6.1 Oracle9i的安全保障机制 数据库安全可分为二类：系统安全性和数据安全性。 系统安全性是指在系统级控制数据库的存取和使用的机制，包含： （1）有效的用户名/口令的组合。 （2）一个用户是否授权可连接数据库。 （3）用户对象可用的磁盘空间的数量。 （4）用户的资源限制。 （5）数据库审计是否是有效的。 （6）用户可执行哪些系统操作。 在Oracle多用户数据库系统中，安全机制作下列工作： （1）防止非授权的数据库存取。 （2）防止非授权的对模式对象的存取。 （3）控制磁盘使用。 （4）控制系统资源使用。 （5）审计用户动作。 Oracle利用下列机制管理数据库安全性： ?数据库用户和模式 ?权限 ?角色 ?存储设置和空间份额 ?资源限制 ?审计 二.安全性策略 系统安全性策略 （1）管理数据库用户 （2）用户身份确认 （3）操作系统安全性 2. 用户安全性策略 （1）一般用户的安全性 1）密码的安全性 2）权限管理 （2）终端用户的安全性 3. 数据库管理者安全性策略 （1）保护作为sys和system用户的连接 （2）保护管理者与数据库的连接 （3）使用角色对管理者权限进行管理 4. 应用程序开发者的安全性策略 （1）应用程序开发者和他们的权限 （2）应用程序开发者的环境 1）程序开发者不应与终端用户竞争数据库资源； 2）程序开发者不能损害数据库其他应用产品。 （3）应用程序开发者的空间限制 作为数据库安全性管理者，应该特别地为每个应用程序开发者设置以下的一些限制： 1）开发者可以创建table或index的表空间； 2）在每一个表空间中，开发者所拥有的空间份额。 一.数据库的存取控制 用户鉴别 为了防止非授权的数据库用户的使用，Oracle提供三种确认方法： 操作系统确认，Oracle数据库确认和网络服务确认。 §6.2 用户管理 2．用户的表空间设置和定额 关于表空间的使用有几种设置选择： ?用户的缺省表空间 ?用户的临时表空间 ?数据库表空间的空间使用定额 3. 用户资源限制和环境文件 用户可用的各种系统资源总量的限制是用户安全域的部分。利用显式地设置资源限制，安全管理员可防止用户无控制地消耗宝贵的系统资源。资源限制是由环境文件管理。一个环境文件是命名的一组赋给用户的资源限制。另外Oracle为安全管理员在数据库提供是否对环境文件资源限制的选择。 Oracle可限制几种类型的系统资源的使用，每种资源可在会话级、调用级或两者上控制。 在会话级：每一次用户连接到一数据库，建立一会话。每一个会话在执行SQL语句的计算机上耗费CPU时间和内存量进行限制。 在调用级：在SQL语句执行时，处理该语句有几步，为了防止过多地调用系统，Oracle在调用级可设置几种资源限制。 4．用户环境文件 用户环境文件是指定资源限制的命名集，可赋给Oracle数据库的有效的用户。利用用户环境文件可容易地管理资源限制。 在许多情况中决定用户的环境文件的合适资源限制的最好的方法是收集每种资源使用的历史信息。 二. 创建用户 使用CREATE USER语句可以创建一个新的数据库用户，执行该语句的用户必须