12.安全分析.ppt

第12章 安全 安全是一个广泛使用的术语，数据传输时的加密，用户登录系统时的用户认证等都属于安全的范畴。 本章只着重于介绍Oracle数据库对用户登录到系统时的安全机制。Oracle数据库系统作为一个大型的软件系统，系统通过设置用户的安全参数以维护数据库的安全性。 数据库的用户管理包括创建用户、设置用户的安全参数、修改用户的安全参数，动态监视用户对数据库进行的操作等。 本章学习目标： 创建用户配置文件，并应用配置文件到用户 理解Oracle数据库的权限管理 掌握Oracle数据库中系统权限和对象权限授予与撤销 理解角色的作用 创建自定义角色 启用各禁用角色 12.1 用户账号 在Oracle数据库中，为了防止非授权数据库用户对数据库进行存取，在创建用户时，可以使用安全参数对用户进行限制。在创建用户账户时，对用户设置的安全参数包括用户名/口令、用户默认表空间、用户临时表空间、空间存取限额和用户配置文件。 创建用户语句： CREATE USER user_name IDENTIFIED BY password [ DEFAULT TABLESPACE tablespace_name TEMPORARY TABLESPACE tablespace_name QUOTA [n [K|M] | UNLIMITED] ON tablesapce_name PROFILE profile_name PASSWORD EXPIRE ACCOUNT [LOCK | UNLOCK] ] 其中各个参数的含义如下： IDENTIFIED BY 设定该用户的登录密码 DEFAULT TABLESPACE表示用户默认表空间，表空间是逻辑存储结构，它与数据文件(物理存储结构)有对应关系，用户创建的数据库模式对象时，如果没有指定表空间，那么该对象就存储在默认表空间中(即与该表空间对应的数据文件) TEMPORAY TABLESPACE临时表空间存储用户在使用order by,group by,join,create index 语句而进行的汇总、连接、创建索引和需要排序的复杂操作时，系统用于存储中间产生的数据的表空间。 QUOTA 用户能在该表空间使用的存储空间(M或K)(能使用多个QUOTA子句)。 PROFILE用户配置文件，如果没有指定，则使用系统默认的用户配置文件。 PASSWORD通过密码到期、失效强制用户修改密码。 ACCOUNT锁定或解锁用户 12.1.1 用户配置文件 配置文件(Profile)Oracle数据库中每个用户都必须拥有一个配置文件，配置文件中设置该用户使用系统资源的限制，同时包括口令管理的策略。 当创建数据库时，oracle会自动创建一个名称为default的配置文件，其中具有默认的资源限制和口令管理策略。 在创建用户时，如果没有为新用户指定配置文件，oracle将自动为它指定default配置文件。 通过使用配置文件，不仅可以对用户所能使用的系统资源进行限制，而且可以对用户的口令进行管理。 配置文件创建语句CREATE PROFILE profile_name LIMITSESSIONS_PER_USER number | unlimitedCPU_PER_SESSION number | unlimitedCPU_PER_CALL number | unlimitedCONNECT_TIME number | unlimitedFAILED_LOGIN_ATTEMPTS number | unlimited PASSWORD_LOCK_TIME number | unlimitedPASSWORD_LIFE_TIME number | unlimited 配置文件主要提供资源限制和口令管理两方面的功能，主要是对设置相关的参数。分别参考下面两张图，分别是资源限制的参数和口令管理的参数。 SESSIONS_PER_USER 用户可以同时连接的会话数 CPU_PER_SESSION 限制用户一次连接使用的CPU总时间 CPU_PER_CALL限制用户每次调用SQL语句占用CPU总时间 CONNECT_TIME限制用户的连接时间 FAILED_LOGIN_ATTEMPTS允许用户登录失败尝试的次数 PASSWORD_LOCK_TIME 登录失败后锁定的天数 12.1.2 修改和删除用户账号 用户创建后，允许对其进行修改： 修改口令ALTER USER user_name IDENTIFIED BY XXX; 修改默认表空间、临时表空间 ALTER USER user_name [DEFAULT | TEMPORARY] TABLESPACE table