Oracle数据库管理与开发第9章 系统安全管理.pptVIP

3．过程安全 过程方案的对象权限（其中包括独立的过程、函数和包）只有EXECUTE权限，将这个权限授予需要执行的过程或需要编译另一个需要调用它的过程。 （1）过程对象。具有某个过程的EXECUTE对象权限的用户可以执行该过程，也可以编译引用该过程的程序单元。过程调用时不会检查权限。具有EXECUTE ANY PROCEDURE系统权限的用户可以执行数据库中的任何过程。当用户需要创建过程时，必须拥有CREATE PROCEDURE系统权限或者是CREATE ANY PROCEDURE系统权限。当需要修改过程时，需要ALTER ANY PROCEDURE系统权限。 拥有过程的用户必须拥有在过程体中引用的方案对象的权限。为了创建过程，必须为过程引用的所有对象授予用户必要的权限。 （2）包对象。拥有包的EXECUTE对象权限的用户，可以执行包中的任何公共过程和函数，能够访问和修改任何公共包变量的值。对于包不能授予EXECUTE权限，当为数据库应用开发过程、函数和包时，要考虑建立安全性。 安全特性 4．类型安全 （1）命名类型的系统权限。Oracle为命名类型（对象类型、VARRAY和嵌套表）定义了系统权限，如下表所示。 安全特性 权限 说明 CREATE TYPE 在用户自己的模式中创建命名类型 CREATE ANY TYPE 在所有的模式中创建命名类型 ALTER ANY TYPE 修改任何模式中的命名类型 DROP ANY TYPE 删除任何模式中的命名类型 EXECUTE ANY TYPE 使用和参考任何模式中的命名类型 （2）对象权限。如果在命名类型上存在EXECUTE权限，那么用户可以使用命名类型完成定义表、在关系包中定义列及声明命名类型的变量和类型。 （3）创建类型和表权限。 ① 在创建类型时，必须满足以下要求。 如果在自己模式上创建类型，则必须拥有CREATE TYPE系统权限；如果需要在其他用户上创建类型，则必须拥有CREATE ANY TYPE系统权限。 类型的所有者必须显式授予访问定义类型引用的其它类型的EXECUTE权限，或者授予EXECUTE ANY TYPE系统权限，所有者不能通过角色获取所需的权限。 如果类型所有者需要访问其它类型，则必须已经接受EXECUTE权限或者是EXECUTE ANY TYPE系统权限。 ② 如果使用类型创建表，则必须满足以下要求。 表的所有者必须显式授予EXECUTE对象权限，能够访问所有引用的类型，或者授予EXECUTE ANY TYPE系统权限。 如果表的所有者需要访问其他用户的表，则必须在GRANT OPTION选项中接受参考类型的EXECUTE对象权限，或者在ADMIN OPTION中接受EXECUTE ANY TYPE系统权限。 （4）类型访问和对象访问的权限。在列层和表层的DML命令权限，可以应用到对象列和行对象上。 安全特性 3 角色管理 主要内容 角色概述 01 创建用户角色 02 管理用户角色 03 角色概述 角色是一个独立的数据库实体，它包括一组权限。也就是说，角色是包括一个或者多个权限的集合，它并不被哪个用户所拥有。角色可以被授予任何用户，也可以从用户中将角色收回。 使用角色可以简化权限的管理，可以仅用一条语句就能从用户那里授予或回收权限，而不必对用户一一授权。使用角色还可以实现权限的动态管理，比如，随着应用的变化可以增加或者减少角色的权限，这样通过改变角色的权限，就实现了改变多个用户的权限。 角色概述 角色、用户及权限是一组关系密切的对象，既然角色是一组权限的集合，那么，它只有被授予某个用户才能有意义，可以用如图所示的图形来帮助我们理解角色、用户及权限的关系。 创建用户角色 create role role_name [ not identified | identified by [password] | [exeternally] | [globally]] 创建用户角色的语法： SQL create role designer identified by 123456; 创建一个名为designer的角色，该角色的口令为123456 试一试 1．查看角色所包含的权限 查看角色权限通常使用ROLE_SYS_PRIVS数据字典。例如，查询角色designer被属于的权限有哪些，代码及运行结果如下。 SQL select * from role_sys_privs where role = DESIGNER; 管理用户角色 2．修改角色密码 修改角色密码包括取消角色密码和修改角色密码两种情况，可以使用ALTER ROLE语句来实现。 管理用户角色 SQL