数据库系统概论数据库安全性.ppt

1 系统权限 DBA角色 允许用户执行授权命令，建表，对任何表的数据进行操纵。 DBA角色涵盖了前两种角色，此外还可以执行一些管理操作。 DBA角色拥有最高级别的权限。 1系统权限 例：DBA建立一用户U12后，欲将ALTER TABLE、CREATE VIEW、CREATE INDEX、DROP TABLE、DROP VIEW、DROP INDEX, GRANT,REVOKE、INSERT 、SELETE、UPDATE、DELETE、AUDIT、NOAUDIT等系统权限授予U12 　 GRANT CONNECT TO U12; 这样就可以省略十几条GRANT语句 2.数据库对象的权限 ORACLE可以授权的数据库对象 基本表 视图 序列 同义词 存储过程 函数 数据库对象的权限（续） 基本表的安全性级别 表级 行级 列级 数据库对象的权限 表级权限 ALTER： 修改表定义 SELECT：查找表中记录 INSERT： 向表中插入数据记录 DELETE：删除表记录 UPDATE：修改表中的数据 INDEX： 在表上建索引 ALL PRIVILEGES：上述所有权限 数据库对象的权限 表级授权使用GRANT／REVOKE语句 例： GRANT SELECT ON SC TO U12; REVOKE SELECT ON SC FROM U12; 数据库对象的权限 行级安全性 Oracle行级安全性由视图间接实现。 用视图定义表的水平子集，限定用户在视图上的操作。 数据库对象的权限 例：用户U1只允许用户U12查看自己创建的Student表中有关信息系学生的信息，则首先创建视图信息系学生视图S_IS： CREATE VIEW S_IS AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept=IS; 然后将关于该视图的SELECT权限授予U12用户： GRANT SELECT ON S_IS TO U12; 数据库对象的权限 列级安全性 实现方法 由视图间接实现 直接在基本表上定义 数据库对象的权限 列级安全性(续) 借助视图实现列级安全性 CREATE VIEW S_V AS SELECT Sno，Sname FROM Student； GRANT SELECT ON S_V TO U12; 数据库对象的权限 列级安全性(续) 直接在基本表上定义列级安全性 例：GRANT UPDATE(Sno,Cno) ON SC TO U2; REVOKE UPDATE ON SC FROM U2; 数据库对象的权限 上一级对象的权限制约下一级对象的权限 例：当一个用户拥有了对某个表的UPDATE权限 相当于在表的所有列了都拥有UPDATE 权限 数据库对象的权限（续） Oracle对数据库对象的权限采用分散控制方式 允许具有WITH GRANT OPTION的用户把相应权限或其子集传递授予其他用户 Oracle允许循环授权 　　 U1 ─→ U2 ─→ U3 ─→ U4 ↑ │ └──────────┘ Oracle的授权与检查机制（续） Oracle的权限信息记录在数据字典中 当用户进行数据库操作时，Oracle首先根据数据字典中的权限信息，检查操作的合法性。 在Oracle中，安全性检查是任何数据库操作的第一步。 三、Oracle的审计技术 审计分类 用户级审计 系统级审计 用户级审计 由用户设置 用户针对自己创建的数据库表或视图进行审计 审计内容 所有用户对这些表或视图的一切成功和／或不成功的访问要求 所有用户对这些表或视图的各类SQL操作 系统级审计 DBA设置 审计对象和内容 成功或失败的登录要求 GRANT和REVOKE操作 其他数据库级权限下的操作 可以自由设置 AUDIT：设置审计功能 例： AUDIT ALTER,UPDATE ON SC; NOAUDIT：取消审计功能 例： NOAUDIT ALL ON SC; 对哪些表进行审计 对哪些操作进行审计 与审计功能有关的数据字典表 SYS.TABLES：审计设置 SYS.AUDIT_TRAIL：