权限管理及资源限制管理几个方面介绍oracle数据库的安全性策略.ppt

第8章 安全管理 内容提要 本章从数据库用户管理、权限管理及资源限制管理几个方面介绍Oracle数据库的安全性策略。 数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。Oracle作为一种大型的数据库系统，其安全问题更为突出。为此，Oracle数据库一面要检查用户的合法性，只有合法的用户才能登录到数据库系统；另一方面数据库系的各个用户有着不同的管理和操作权限，登录后只能在自己所拥有权限范围内执行相应的操作。 8.1 用户管理 用户是定义在数据库中的一个名称，它是Oracle数据库的基本访问控制机制。当用户 要连接到Oracle数据库以进行数据访问时，必须要提供合法的用户名及其口令，如CONNECT scott／tiger。 Oracle数据库是可以为多个用户共享使用的，一个数据库中通常会包含多个用户。数 据库在新建后通常会自动建好一些用户，其中最重要的有sys和system两个管理员用户及 scott等一些普通用户。 数据库每个用户都可以拥有自己的对象，一个用户所拥有对象的集合称为一个模式，用户与模式具有一一对应的关系，并且两者名称相同。不同模式中可以具有相同的数据库对象名，即不同用户下的对象名称可以相同。对象的访问格式为[模式名.]对象名，只有访问自己模式对象时，模式名才可以省略。 例如，用户userl和用户user2都建立有名称为t的表。用户userl的表t属于userl模式，user2的表t属于user2模式。用户userl如果要访问自己模式的表t，访问格式t或userl．t都是可以的，但是如果访问user2模式对象t，则必须使用user2．t格式。 数据库管理员可以定义和创建新的数据库用户，可以为用户更改口令，可以锁定某用户禁止其登录数据库，总之，用户管理工作是数据库管理员的职责之一。 创建用户必须具有CREATE USER系统权限。通常情况下只有数据库管理员或安全管理员才拥有CREATE USER权限。 创建用户时除了指定用户名外，还要指出验证方式、默认使用表空间、空间使用限额、 用户是否被锁定、用于资源限制的概要文件等选项。验证方式包括数据库口令验证、操作 系统验证。数据库口令验证要求用户登录时必须要提供口令。 例如，创建新用户jwcuser： SQLCREATE USER]WCUSer IDENTIFIED BY welcomel35 DEFAULT TABLESPACE edu TEMPORARY TABLESPACE temp QUOTA 10M ON edu QUOTA 2M ON users PASSWORD EXPIRE； 该命令创建的用户为jwcuser，采用数据库口令验证，口令为welcomel35；存储对象默认使用edu表空间，临时表空间为temp QUOTA选项指定该用户在某个表空间的最大使用空间(默认情况下，用户在任何表空间上都没有限额)，此处意即在edu表空间上最多 可使用10MB空间、在users表空间上使用限额为2MB；PASSWORD EXPIRE选项指示口令过期，这要求用户第一次登录时就要更改口令。 又如，创建用户rscuser： SQLCREATE USER rscuser IDENT工F工ED EXTERNALLY DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA UNLIMITED ON users； 创建的用户rscuser采用操作系统验证，存储对象默认使用users表空间，且在该表空间上所能使用的存储空间不受限制，临时表空间为temp。 下面命令所创建的用户为testuser，口令以数字开头(此时需要双引号)，所建用户处于锁定状态被禁止登录数据库。 SQLCREATE USER testuser IDENTIF工ED BY ”123456” ACCOUNT LOCK； 由于没有指明默认表空间，因此将采用SYSTEM作为用户默认的表空间，考虑到系统 性能问题，建议指明一个非系统表空间。 8.1.2 特权用户 特权用户是指具有特殊权限(SYSDBA或SYSOPER)的数据库用户，这类用户主要用于执行数据库的维护操作，例如，启动和关闭数据库、建立数据库、备份和恢复等任务。 从Oracle9i开始，当建立实例服务时会建立名称为sys的特权用户。另外，当将初始化参数REMOTE-LOGIN_PASSWORDFILE设置为EXCLUSIVE时，还可以将SY