数据库安全管理123-精选（公开课件）.pptVIP

给角色分配权限 Grant 系统权限 to 角色名 Grant 对象权限 on 对象名 to 角色名 Grant 角色 to 角色名 说明 给角色授予适当的系统权限、对象权限或已有角色。 在数据库运行过程中，可以为角色增加权限，也可以回收其权限。 给角色授权时应该注意，一个角色可以被授予另一个角色，但不能授予其本身，不能产生循环授权。 收回权限 revoke 系统权限 from 角色名 revoke 对象权限 on 对象名 from 角色名 revoke 角色 from 角色名 将用户添加到角色中 Grant 角色名 to 用户名 Revoke 角色名 from 用户名 查询角色信息 DBA_ROLES：包含数据库中所有角色及其描述； DBA_ROLE_PRIVS：包含为数据库中所有用户和角色授予的角色信息； USER_ROLE_PRIVS：包含为当前用户授予的角色信息； ROLE_ROLE_PRIVS：为角色授予的角色信息； ROLE_SYS_PRIVS：为角色授予的系统权限信息； ROLE_TAB_PRIVS：为角色授予的对象权限信息； SESSION_PRIVS：当前会话所具有的系统权限信息； SESSION_ROLES：当前会话所具有的角色信息。。 查询角色CONNECT所具有的系统权限信息。 SELECT * FROM ROLE_SYS_PRIVS WHERE ROLE=CONNECT; 查询DBA角色被授予的角色信息。 SELECT * FROM ROLE_ROLE_PRIVS WHERE ROLE=DBA; 概要文件 概要文件（PROFILE）是数据库和系统资源限制的集合，是Oracle数据库安全策略的重要组成部分。 利用概要文件，可以限制用户对数据库和系统资源的使用，同时还可以对用户口令进行管理。 在Oracle数据库创建的同时，系统会创建一个名为DEFAULT的默认概要文件。如果没有为用户显式地指定一个概要文件，系统默认将DEFAULT概要文件作为用户的概要文件。 必须将Resource_limit参数设置为true，概要文件才会生效 概要文件 OEM创建 Create profile limit创建 创建或修改用户时启用概要文件 审计 监视和记录所选用户的数据活动，用于调查可疑活动，监视与收集特定数据库活动的记录。 需要先开启审计功能 Alter system set audit_trail=true scope=spfile 重启数据库 Oracle 11g默认审计功能是开启的 指定审计选项 审计 SQL 语句： 审计系统权限： 审计对象权限： AUDIT select any table, create any trigger;AUDIT select any table BY hr BY SESSION; AUDIT table; AUDIT session; AUDIT ALL on hr.employees;AUDIT UPDATE,DELETE on hr.employees BY ACCESS; 审计的一些其他选项 by access / by session： by access每一个被审计的操作都会生成一条audit trail by session一个会话里面同类型的操作只会生成一条audit trail，默认为by session whenever [not] successful： whenever successful操作成功才审计 whenever not successful反之。省略该子句的话，不管操作成功与否都会审计。 审计相关的数据字典视图 dba_audit_trail：保存所有的audit trail，实际上它只是一个基于aud$的视图。 dba_audit_session,dba_audit_object,dba_audit_statement都只是dba_audit_trail的一个子集。 dba_stmt_audit_opts：可以用来查看statement审计级别的audit options，即数据库设置过哪些statement级别的审计。 dba_obj_audit_opts,dba_priv_audit_opts视图功能与之类似 Oracle Database 10g：数据库管理 - 课堂练习 I 6-* 撤销系统权限 使用 REVOKE SQL 语句可撤销使用 GRANT 命令直接授予的系统权限。具有 ADMIN OPTION 系统权限的用户可撤销其它任何数据库用户的权限。撤销者与最初被授予权限的用户不一定是同一个用户。 撤销系统权限时不会产生级联影响，无论是否指定了 ADMIN