[第15章数据库安全.pptVIP

目标 计算机安全性概述 计算机安全这个通用术语所涉及的领域比较广泛。国际标准化组织为“计算机安全”给出的定义如下“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。” 计算机系统三类安全性问题 计算机安全除了涉及到计算机系统本身的技术问题之外，还涉及到诸如管理、安全法律等问题。计算机系统的安全性问题概括起来可分为三大类 ： 政策法律 技术安全 管理安全 可信计算机系统评测标准 数据库安全性控制 Oracle中的权限管理 Oracle数据库的第一层安全体系就是建立相应的权限分级。权限是用户对一项功能的执行权力。在Oracle中，根据系统管理方式不同，将权限分为系统权限与实体权限两类。系统权限是指是否被授权用户可以连接到数据库上，在数据库中可以进行哪些系统操作。而实体权限是指用户对具体的模式实体所拥有的权限。 数据库系统权限 数据库系统权限允许用户执行特定的命令集。指在系统级控制数据库的存取和使用的机制，即执行某种SQL语句的能力。例如，是否能启动、停止数据库，是否能修改数据库参数，是否能连接到数据库，是否能创建、删除、更改方案对象等。它一般是针对某一类方案对象或非方案对象的某种操作的全局性能力。例如，CREATE TABLE权限允许用户创建表。 授予系统权限语句的格式如下： Grant CREATE SESSION TO username; Grant CREATE TABLE TO username; Grant UNLIMITED TABLESPACE TO username; 撤销系统权限语句的格式如下： REVOKE CREATE SESSION FROM username; REVOKE CREATE TABLE FROM username; REVOKE UNLIMITED TABLESPACE FROM username; 数据库对象权限 数据库对象权限使得用户能够对各个对象进行某些操作。指在对象级控制数据库的存取和使用的机制，即访问其他用户的方案对象的能力。例如，用户可以存取哪个用户的方案中的哪个对象，是否能对该对象进行查询、插入、更新等。对象权限一般是针对其他用户的某个特定的方案对象的某种操作的局部性能力，DELETE权限允许用户删除表或视图的行，SELECT权限允许用户通过select语句从表、视图、序列或快照中查询信息。 授予对象权限的语句的格式如下 ： GRANT SELECT ON tablename TO public ; GRANT SELECT ON tablename TO username; GRANT ALL ON tablename TO username; 撤销对象权限的语句的格式如下 ： REVOKE SELECT ON tablename FROM public ; REVOKE SELECT ON tablename FROM username; REVOKE ALL ON tablename FROM username; Oracle系统权限与对象权限分类 Oracle数据库的对象主要是指：表、索引、视图、序列、同义词、过程、函数、包、触发器。创建对象的用户拥有该对象的所有对象权限，不需要再额外进行授予。所以，对象权限的设置实际上是为对象的所有者给其他用户提供操作该对象的某种权力的一种方法。Oracle数据库中总共有9种不同的对象权限。 Oracle中的角色管理 Oracle的角色就是一组权限的集合，这些权限包括系统权限与对象权限。Oracle可以用角色来简化权限管理。 Oracle数据库系统预先定义了CONNECT、RESOURCE、DBA、EXP_FULL_DATABASE等角色。通过查询sys.dba_sys_privs可以了解每种角色拥有的权限。 Oracle中角色管理与使用 Oracle中角色管理与使用 Oracle中角色管理与使用 Oracle中的用户管理 系统管理员（DBA） 参与决定数据库中的信息内容和结构 参与确定数据库存贮结构和存取策略 定义数据的安全性要求和完整性约束 监控数据库的使用和运行 负责数据库的结构重组和性能改进 Oracle中的用户管理 最终用户 偶然用户 简单用户 复杂用户 Oracle用户管理 Oracle用户管理 小结 第十五章 数据库安全 Evaluati