第5章 Oracle 10G 安全机制.pptVIP

第5章 Oracle 10G 安全机制 数据库中的数据的安全性主要涉及到以下几个方面： 身份验证：保证只有合法的用户才能登录并使用数据库。 访问控制：即使是合法用户，也要控制用户对数据库对象的访问，拒绝非授权访问，防止信息泄密。 可审计性：哪怕是非法用户的入侵行为和破坏行为也能跟踪，恢复数据。 语义保密性：数据库中的数据以某种加密的形式存储，这样非法用户即使得到数据文件也无法利用。 用户帐号管理 创建用户帐号 创建用户的语法格式如下所示： CREATE USER 用户名 IDENTIFIED BY 口令 [DEFAULT TABLESPACE 默认表空间] [TEMPORARY TABLESPACE 临时表空间] [QUOTA[数值K| M] | [ UMLIMITED] ON 表空间名] [PROFILE 概要文件名] [ACCOUNT LOCK ] | [ACCOUNT UNLOCK] 缺省表空间 DEFAULT TABLESPACE tablename 临时表空间 TEMPORARY TABLESPACE tempname 配额 限制用户所能使用的存储空间的大小。默认情况下，新建用户在任何表空间都不具任何配额 QUOTA…… ON tablename 用户在临时表空间中不需要配额，在临时表空间中创建的所有临时段都属于SYS模式 用户的帐号有两种状态，DBA可以通过设置状态的方法使账户可用或不可用。 一．帐号锁定 锁定帐号可以使某个帐号不可用。 ALTER USER username ACCOUNT LOCK; 二．账户解锁 该状态下，帐号可以正常登陆。 ALTER USER username ACCOUNTUNLOCK; 创建用户示例 CREATE USER test IDENTIFIED BY pwd DEFAULT TABLESPACE USERS TEMPORARY TABLESPACE TEMP QUOTA 5M ON USERS; 注意 新创建的用户并不能直接连接到数据库中，因为它不具有CREATE SESSION系统权限，因此，在新建数据库用户后，通常需要使用GRANT语句为用户授予CREATE SESSION权限 修改用户账号 修改用户账号的语法格式如下所示： ALTER USER 用户名 IDENTIFIED BY口令 [DEFAULT TABLESPACE 默认表空间] [TEMPORARY TABLESPACE 临时表空间] [QUOTA[数值K| M] | [ UMLIMITED] ON 表空间名] [PROFILE 概要文件名] [ACCOUNT LOCK ] | [ACCOUNT UNLOCK] 删除用户账号 删除用户账号的语法格式如下所示： DROP USER username CASCADE; 其中CASCADE表示级联，即删除用户之前，先删除它所拥有的实体。 权限管理 权限是执行某一种操作的能力，在Oracle数据库中是利用权限来进行安全管理的，Oracle系统通过授予和撤销权限来实现对数据库安全的访问控制，这些权限可以分为两类： 系统权限：指在系统级控制数据库的存取和使用的机制。如是否能启动、停止数据库。是否能修改数据库参数等。Oracle提供了众多的系统权限，每一种系统权限指明用户进行某一种或某一类特定的数据库操作。系统权限中带有ANY关键字指明该权限的范围为数据库中的所有方案。 对象权限：对象权限指在特定数据库对象上执行某项操作的能力。与系统权限相比，对象权限主要是在Oracle对象上能够执行的操作，如查询、插入、修改、删除、执行等。这里的Oracle对象主要包括表、视图、聚簇、索引、序列、快照、函数、包等。不同的Oracle对象具有不同的对象权限，如表具有插入的对象权限，而序列却没有，而序列具有的执行对象权限表也没有。 授予系统特权的语法如下： GRANT { system_privilege | role } TO { user | role | PUBLIC } [WITH ADMIN OPTION] ; WITH ADMIN OPTION：允许得到权限的用户将权限转授其他用户 PUBLIC：表示系统中所有用户（用于简化授权） 系统权限授予时需要注意的几点： 只有DBA才应当拥有ALTER DATABASE 系统权限。 应用程序开发者一般需要拥有CREATE TABLE、CREATE VIEW和CREATE INDEX等系统权限。 普通用户