第8章系统安全管理概述.ppt

8.2.4 安全特性 4．类型安全 （1）命名类型的系统权限。Oracle 12c为命名类型（对象类型、VARRAY和嵌套表）定义了系统权限，如表8.4所示。 权 限 说 明 CREATE TYPE 在用户自己的模式中创建命名类型 CREATE ANY TYPE 在所有的模式中创建命名类型 ALTER ANY TABLE 修改任何模式中的命名类型 DROP ANY TABLE 删除任何模式中的命名类型 EXECUTE ANY TYPE 使用和参考任何模式中的命名类型 8.2.4 安全特性 （2）对象权限。如果在命名类型上存在EXECUTE权限，那么用户可以使用命名类型完成定义表、在关系包中定义列及声明命名类型的变量和类型。 （3）创建类型和表权限。 （4）类型访问和对象访问的权限。在列层和表层上的DML命令权限，可以应用到对象列和行对象上。 8. 3 角 色 管 理 8.3.1 角色概述 1．安全应用角色 DBA可以授予安全应用角色运行给定数据库应用时所有必要的权限。然后将该安全应用角色授予其他角色或者用户，应用可以包含几个不同的角色，每个角色都包含不同的权限集合。 2．用户自定义角色 DBA可以为数据库用户组创建用户自定义的角色，赋予一般的权限需要。 3．数据库角色的权限 （1）角色可以被授予系统和方案对象权限。 （2）角色被授予其他角色。 （3）任何角色可以被授予任何数据库对象。 （4）授予用户的角色，在给定的时间里，要么启用，要么禁用。 8.3.1 角色概述 4．角色和用户的安全域 每个角色和用户都包含自己唯一的安全域，角色的安全域包括授予角色的权限。用户安全域包括对应方案中的所有方案对象的权限、授予用户的权限和授予当前起用的用户的角色的权限。用户安全域同样包含授予用户组PUBLIC的权限和角色。 8.3.1 角色概述 5．预定义角色 Oracle系统在安装完成后就有整套的用于系统管理的角色，这些角色称为预定义角色。常见的预定义角色及权限说明如表8.5所示。 角 色 名 权 限 说 明 CONNECT ALTER SESSION, CREATE CLUSTER, CREATE DATABASE LINK, CREATE SEQUENCE, CREATE SESSION, CREATE SYNONYM, CREATE VIEW CREATE TABLE RESOURCE CREATE CLUSTER, CREATE INDEXTYPE, CREATE OPERATOR, CREATE PROCEDURE, CREATE SEQUENCE, CREATE TABLECREATE TRIGGER, CREATE TYPE DBA 拥有所有权限 EXP_FULL_DATABASE SELECT ANY TABLE, BACKUP ANY TABLE, EXECUTE ANY PROCEDURE, EXECUTE ANY TYPE, ADMINISTER RESOURCE MANAGER 在SYS.INCVID、SYSINCFIL和SYS.INCEXP表中有INSERT、DELETE和UPDATE权限; EXECUTE_CATALOG-ROLE, SELECT_CATALOG_ROLE IMP_FULL_DATABASE 执行全数据库导出所需要的权限，包括系统权限列表（用DBA_SYS_PRIVS）和下面角色：EXECUTE_CATALOG_ROLE, SELECT_CATALOG_ROLE DELETE_CATALOG_ROLE 删除权限 EXECUTE_CATALOG_ROLE 在所有目录中有EXECUTE权限（见HS_ADMIN_ROLE） SELECT_CATALOG_ROLE 在所有表和视图中有SELECT权限（见HS_ADMIN_ROLE） 8.3.2 创建用户角色 用CREATE ROLE语句可以在数据库中创建角色，语法格式为： CREATE ROLE 角色名 [NOT IDENTIFIED] [IDENTIFIED {BY 密码∣EXTERNALLY∣GLOBALLY}]; 其中，NOT IDENTIFIED选项表示该角色由数据库授权，不需要口令使它生效。 IDENTIFIED表示在用SET ROLE语句使该角色生效之前必须由指定的方法来授权一个用户。 （1）BY：创建一个局部角色，在使角色生效之前，用户必须指定密码。密码只能是数据库字符集中的单字节字符。 （2）EXTERNALLY：创建一个外部角色。在使角色生效之前，必须由外部服务（如操作系统）来授权用户。 （3）GLOBALLY：创建一个全局角色。在利用SET ROLE语句使角色生效前或在登录时，用户必须