第7章系统安全管理概要.ppt

第7章 系统安全管理 7.1 用户 7.1.1 创建用户 7.1.2 管理用户 7.2 权限和角色 7.2.1 角色 7.2.2 创建角色 7.2.3 管理角色 7.2.4 权限管理 7.1.2 管理用户 (2)REVOKE命令 语法格式： REVOKE 系统级权限|角色|对象级权限 [ON 对象名] [,系统权限|角色|对象级权限[ON 对象名]…] FROM 用户名|角色名; 【例7.5】为用户user1授予connect角色、alter any role系统级权限、在usepi方案表teacher中的DELETE对象级权限。 Grant alter any role to user1 with admin option; Grant delete on userp.teacher to user1 with grant option; Grant connect to user1 with admin option; 7.2.1 角色 1. 两种角色 (1) 安全应用角色。DBA可以授予安全应用角色运行给定数据库应用时所有必要 的权限。然后将该安全应用角色授予其他角色或者用户，应用可以包含几个不同 的角色，每个角色都包含不同的权限集合。 (2) 用户角色。DBA可以为数据库用户组创建用户角色，赋予一般的权限需要。 2. 数据库角色 (1) 角色可以被授予系统和方案对象权限。 (2) 角色被授予其他角色。 (3) 任何角色可以被授予任何数据库对象。 (4) 授予用户的角色，在给定的时间里，要么启用，要么禁用。 3. 角色和用户的安全域 每个角色和用户都包含自己唯一的安全域，角色的安全域包括授予角色的权限。 用户安全域包括对应方案中的所有方案对象的权限，授予用户的权限和授予当前 起用的用户的角色的权限。用户安全域同样包含授予用户组PUBLIC的权限和角 色。 4. 预定义角色 Oracle系统在按照完成后就有整套的用于系统管理的角色，这些角色称为预定义 角色。Oracle 10g的预定义角色比以前版本有所增加，表7－1是Oracle 10g预定 义角色。 7.2.1 角色 表7-1 Oracle10g预定角色 表7-1 Oracle10g预定角色 7.2.2 创建角色 1. 利用OEM创建角色 创建角色的方法和创建用户的方法类似，使用的界面也有许多相同之处。 在图7.1所示的界面中，选中“角色”单击左键，进入“角色搜索”界面，如图7.18所示。 图7.18角色搜索界面 7.2.2 创建角色 图7.18界面列出所有已存在的角色。单击“创建”按钮，进入“创建角色”界面，如图7.19所示，该界面包括“一般信息”、“角色”、“系统权限”、“对象权限”和“使用者组切换组”5个选项页面。 图7.19创建角色─ 一般信息界面 7.2.2 创建角色 (1) “一般信息”选项页面：在“名称”文本框输入新角色名称，如WORLD。Oracle提供了下列4种确定启用角色时验证的方法： 无：启用角色时不用口令验证。 口令：需要口令验证，口令正确才能使用角色。 外部：验证操作系统中的用户。 全局：用户在多个数据库中被全局标识。 如果选择“口令”，则需要输入两次相同的口令。在此选择“无”选项。 (2) 角色选项页面：角色选项页面如图7.20所示。在该选项页面中，可以把某个 角色赋予新角色，这样新角色就继承了相应角色的权限。这个选项页面中的信息 和创建用户的角色选项卡类似。 在此把DBA和CONNECT角色赋予新角色，这样新角色拥有了DBA和CONNECT 角色同样的权限。 (3) 系统权限选项页面：系统权限选项页面如图7.21所示。在界面中授予 新角色系统权限使之继承相应的权限。该选项页面的信息和操作方法与 创建用户的系统权限选项页面类似。 在此授予SYSDBA系统权限 7.2.2 创建角色 图7.20创建角色—角色选项页面 图7.21创建角色—系统权限选项页面 7.2.2 创建角色 (4) 对象权限选项页面：对象权限选项界面如图7.22所示。在该界面中授予新角色对象权 限使之继承相应的权限。该选项页面的信息和操作方法与图创建用户的系统权限选项页面 类似。 根据需要授予新角色相应的对象权限。 图7.22创建角色—对象权限选项页面 7.2.2 创建角色 (5) 使用者组切换权限选项页面：使用者组选项界面如图7.23所示。在该选项页面中，可 以将新角色授予相应的使用者权限。该选项页面的信息和操作方法与创建用户的系统权限 选项页面类似。 根据需要授予新角色相应的使用者权限。 确认5个选项页面设置无误后，单击“确定”按钮，创建成功后系统返回到图7.18所示界