数据库保护(第1部分)详解.ppt

An Introduction to Database System 三、ORACLE的审计技术 审计分类 用户级审计 系统级审计 An Introduction to Database System 三、ORACLE的审计技术 用户级审计 由用户设置 用户针对自己创建的数据库表或视图进行审计 审计内容 所有用户对这些表或视图的一切成功和／或不成功的访问要求 所有用户对这些表或视图的各类SQL操作 An Introduction to Database System ORACLE的审计技术(续) 系统级审计 DBA设置 审计对象和内容 成功或失败的登录要求 GRANT和REVOKE操作 其他数据库级权限下的操作 An Introduction to Database System ORACLE的审计设置 可以自由设置 AUDIT：设置审计功能 例： AUDIT ALTER,UPDATE ON SC; NOAUDIT：取消审计功能 例： NOAUDIT ALL ON SC; 对哪些表进行审计 对哪些操作进行审计 An Introduction to Database System ORACLE的审计技术（续） 与审计功能有关的数据字典表 SYS.TABLES：审计设置 SYS.AUDIT_TRAIL：审计内容 SYSTEM.AUDIT_ACTION An Introduction to Database System ORACLE的审计技术（续） SYS.TABLES： TAB$NAME: 表名； TAB$OWNER：表的拥有者（即创建者）TAB$AUDIT： 审计设置 An Introduction to Database System 5.1.2 Oracle数据库的安全性措施 ORACLE的安全措施: 用户标识和鉴定 授权和检查机制 审计技术 用户通过触发器灵活定义自己的安全性措施 An Introduction to Database System 四、用户定义的安全性措施 用数据库级触发器定义用户级安全性 例：规定只能在工作时间内更新Student表 可以定义如下触发器： An Introduction to Database System 用户定义的安全性措施（续） CREATE OR REPLACE TRIGGER secure_student BEFORE INSERT OR UPDATE OR DELETE ON Student BEGIN IF (TO_CHAR(sysdate,DY) IN (SAT,SUN)) OR (TO_NUMBER(sysdate,HH24) NOT BETWEEN 8 AND 17) THEN RAISE_APPLICATION_ERROR(-20506, You may only change data during normal business hours.) END IF; END; An Introduction to Database System 用户定义的安全性措施（续） 触发器存放在数据字典中 用户每次对Student表执行INSERT、UPDATE或DELETE自动触发该触发器 系统检查当时的系统时间，如是周六或周日，或者不是8点至17点，系统会拒绝执行用户的更新操作，并提示出错信息。 An Introduction to Database System 用户定义的安全性措施（续） 利用触发器进一步细化审计规则，使审计操作的粒度更细 * * An Introduction to Database System 视图机制（续） 例：王平只能检索计算机系学生的信息 先建立计算机系学生的视图CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=CS； An Introduction to Database System 视图机制（续） 在视图上进一步定义存取权限 GRANT SELECT ON CS_Student TO 王平 ； An Introduction to Database System 4. 审计 什么是审计 启用一个专用