数据库系统及其应用09.ppt

⑶ 常用存取控制方法 自主存取控制（Discretionary Access Control ，简称DAC） C2级 灵活 强制存取控制（Mandatory Access Control， 简称 MAC） B1级 严格 “备”则“倍” 有准备、有规划的人生更精彩！ 例9.4 通过创建角色来实现将一组权限授予某一个用户。 ⑴ 建立角色SC_ ROLE CREATE ROLE SC_ROLE; ⑵ 给角色SC_ ROLE授权 GRANT SELECT, UPDATE, INSERT ON SCORETO SC_ ROLE; ⑶ 将角色的权限授予用户TEACHER GRANT SC_ROLE TO TEACHER; ⑷ 收回角色SC_ ROLE的部分权限 REVOKE UPDATE, INSERT ON SCOREFROM SC_ROLE; 9.5 Oracle数据库的安全性措施 Oracle数据库的安全分为两类：系统安全性和数据安全性。Oracle数据安全控制机制包括6个方面。 Oracle的安全措施主要有四个方面： 用户管理：用户标识与鉴定； 权限管理：角色与权限机制； 视图技术； 审计技术； 除此之外，Oracle还允许用户通过触发器灵活定义自己的安全性措施。 1. 用户标识与鉴定 Oracle最外层的安全性措施是让用户标识自己的名字，然后由系统进行核实。Oracle允许用户重复标识三次，如果三次未通过，系统自动退出。 注册控制可以防止非Oracle用户注册到Oracle数据库。 图9.6 Oracle 登录窗口 对于已经注册到Oracle数据库的用户进行存取权限的控制，即赋予用户一定的权限。 角色是一组系统权限的集合，目的在于简化权限管理。通过把角色分配给某个用户，实际上就是把该角色所代表的一组权限一起分配给了某个用户。 2. 角色与权限机制 Oracle授权和检查机制的特色 Oracle的权限包括系统权限和数据库对象的权限 采用非集中式的授权机制 每个用户授予与回收自己创建的数据库对象的权限 DBA负责授予与回收系统权限，也可以授予与回收所有数据库对象的权限 允许重复授权：即可将某一权限多次授予同一用户，系统不会出错 允许无效回收：即用户不具有某权限，但回收此权限的操作仍是成功的。 Oracle对数据库对象的权限采用分散控制方式 允许具有WITH GRANT OPTION的用户把相应权限或其子集传递授予其他用户 Oracle的权限信息记录在数据字典中 当用户进行数据库操作时，Oracle首先根据数据字典中的权限信息，检查操作的合法性 ⑴ 系统权限 100多种系统权限 创建会话 创建表 创建视图 创建用户 DBA在创建一个用户时需要将其中的一些权限授予该用户 Oracle预定义角色 Oracle允许DBA定义角色 Oracle提供的预定义角色 CONNECT RESOURCE DBA ① 有CONNECT特权的用户 要访问Oracle数据库，用户必须具有CONNECT特权。 具有CONNECT角色的用户可以登录数据库，执行数据查询和操纵。 具有CONNECT特权的用户能做以下操作： 访问Oracle数据库及修改口令； 查询、删除、修改和插入自己拥有的表； 查询经过授权的其他用户的表和视图； 插入、修改、删除经过授权的其他用户的表； 建立自己拥有的表的视图和同义词，但不能建立新表、索引和簇； 完成对经过授权的基于表或基于用户的数据卸载。 ② 有RESOURCE特权的用户 具有RESOURCE角色的用户，除了能进行以上CONNECT特权所能进行的操作外，还可以做以下操作： 具有RESOURCE特权的用户能做以下操作： 建立数据库、索引和簇； 把自己拥有的对表、索引和簇的各种权限使用GRANT授予其他Oracle用户； 通过使用REVOKE，把授予某些用户对自己拥有的表、索引和簇的权限收回； 可以使用AUDIT机制来控制对自己拥有的表、索引和簇的存取活动进行审计。 ③ 有DBA特权的用户 如果用户具有了DBA特权，那么用户就有了对数据库进行存取的各种权限（最高权限）。DBA角色的用户，除了拥有前两种特权之外，还拥有以下非常重要的权限： 具有DBA特权的用户能做以下操作： 能对任何用户的数据进行访问，并对其执行任何的SQL语句； 授予和收回用户对Oracle数据库的访问权限； 修改任何用户的口令； 建立全体Oracle用户都可以使用的公共同义词； 创建表空间和回退段； 完成整个数据库的维护操作； 控制