第12章实现数据库安全--《Oracle数据库基础与应用教程》书籍教案选编.ppt

《Oracle数据库基础与应用教程》书籍教案;本书内容：;第12章 实现数据库安全;;12.1 用户;1．数据库身份验证 2．外部身份验证 3．全局身份验证;12.1.2 用户简介; 用户分为预定义用户和自定义用户两大类。 预定义用户是在Oracle数据库安装好以后，自动创建的一些常用的用户。 每一种预定义用户都用于执行一些特定的管理任务，已经拥有了相应的系统权限，常用的预定义用户如表12-1所示。;表12-1 常用预定义用户;续表 ;12.1.3 创建用户; 要登录到Oracle数据库，用户必须要拥有CREATE SESSION系统权限。 因此在创建用户之后，应该给予用户至少CREATE SESSION系统权限。 表12-2列出了CREATE USER语句各参数的描述信息。;表12-2 CREATE USER语句参数;12.1.4 修改用户;1．指定用户密码过期 2．更改用户默认角色 3．更改用户密码 4．更改用户默认表空间 5．更改用户默认临时表空间 6．更改用户表空间配额 7．锁定或解锁用户;12.1.5 删除用户 ;12.2 角色; 角色是一组权限的集合，将角色授予一个用户，这个用户就拥有了这个角色的所有权限。 使用角色的主要目的就是为了简化权限的管理，只要将角色授予这一组用户，接下来就只要针对角色进行管理就可以了。 ; 在Oracle应用中，经常将权限分配给角色（如将CREATE TABLE和CREATE USER权限分配给CLERK角色），然后再将角色分配给用户（如将角色CLERK分配给用户David和Rachel），如图12-1所示。;图12-1 用户、角色和权限关系; 角色一般具有以下特性。 使用GRANT和REVOKE语句可以为角色授予和撤销权限。 角色可以授予给任何除自身之外的角色和用户。 角色可以由系统权限和对象权限组成。;可以启用和禁用角色。 可以为角色指定一个密码。 角色不被任何用户拥有，不在任何方案内。 角色在数据字典中有各自的描述。 ;12.2.2 预定义角色;表12-4 常用预定义角色;续表 ;12.2.3 创建角色;12.2.4 启用当前会话的角色; 会话期间，可以使用SET ROLE语句为会话多次启用或禁用当前启用的角色。 不过SET ROLE的效果是临时的，只是当前会话有效，其他的会话无效，当结束当前会话后再登录，又只有默认角色的权限了。 ;12.2.5 修改角色;12.2.6 删除角色;12.3 授予和撤销权限;1．对象权限;表12-7 对象权限; 不同的方案对象具有不同的对象权限，有些方案对象没有对应的对象权限。 表12-8列出了常用的方案对象上可以授予的对象权限。 ;表12-8 权限与方案对象;2．系统权限; 要查找已授予用户的系统权限，可以查询DBA_SYS_PRIVS数据字典视图。 表12-9列出了常用的系统权限。 ;表12-9 常用系统权限;续表;续表;续表;续表 ;续表;续表;续表;12.3.2 授予权限;1．授予系统权限和角色;2．授予对象权限;12.3.3 撤销权限;1．撤销系统权限和角色;2．撤销对象权限;12.3.4 查看用户当前可用的权限;12.4 概要文件; 当创建一个用户时，如果不指定相应的概要文件，那么Oracle将为其指定一个默认的概要文件。 如果一个用户疯狂地使用资源，那么就会造成数据库资源的缺乏；或者是一个不合法的使用者疯狂地对一个用户的密码进行破解，那么很可能会造成信息的泄露与丢失。; 在概要文件中使用资源限制的设置， 如果要使其生效，必须更改RESOURCE_ LIMIT初始化参数为true（此参数的默认 值为false）。; 创建Oracle数据库时，会自动创建名为DEFAULT的概要文件，默认DEFAULT概要文件没有进行任何资源限制。 默认为用户分配DEFAULT概要文件，将该概要文件赋予每一个创建的用户。 DEFAULT概要文件中大部分参数的值都是UNLIMITED。 ; 使用概要文件时需要注意以下事项。 创建概要文件时，如果只设置了部分密码限制或资源限制参数，其他参数会自动使用默认值（DEFAULT概要文件的相应参数）。 创建用户时，如果不指定概要文件，会自动将DEFAULT概要文件分配给相应的数据库用户。;一个用户只能分配一个概要文件。如果要同时管理用户的密码和资源，那么在创建概要文件时应该同时指定密码限制和资源限制参数。 使用概要文件管理密码时，密码管理总是处于被激活状态，但是如果使用概要文件管理资源，必须要激活资源限制。