用户权限与安全.pptVIP

* 第13章 用户权限与安全 当储户到银行存款、取款时，出于安全方面的考虑，储户必须提供账号和密码，只有账号和密码正确时才能取款。同样，当该问Oracle数据库时，为了确保数据库的安全性，用户也必须提供用户名和密码，然后才能连接到数据库。另外，为了防止合法用户的非法访问，Oracle提供了权限、角色机制，以防止用户非法对数据库进行非法操作。所有这些，共同构成了Oracle数据库的安全机制。 * 本章知识要点： 用户与模式 创建用户 修改用户 管理用户会话 资源配置文件PROFILE PROFILE密码保护 PROFILE资源保护 管理系统权限 管理对象权限 预定义角色 管理自定义角色 * 13.1 用户和模式 Oracle数据库的安全保护流程可以总结为三个步骤：首先，用户向数据库提供身份识别信息，即提供一个数据库账号。接下来用户还需要证明他们所给出的身份识别信息是有效的，这是通过输入密码实现的，用户输入的密码会经过数据库的核对，决定用户提供的密码是否正确。最后，假设密码是正确的，那么数据库认为身份识别信息是可信赖的。此时，数据库将会在基于身份识别信息的基础上决定用户所拥有的权限，即用户可以数据库执行什么操作。 13.2 管理用户 Oracle数据库提供了对用户非常有效的管理方式。管理员可以对用户账户设置各种安全参数，以防止授权用户、非授权用户对数据库进行非法的访问。可以设置的安全参数主要包括用户名/口令、用户默认表空间、用户临时表空间、空间存取限额和用户配置文件。 * 13.2.1 创建用户 创建一个新的数据库用户是使用CREATE USER语句完成的，该语句一般是由DBA用户来执行；如果要以其他用户身份创建用户，则要求用户必须具有CREATE USDER系统权限。 * * 13.2.2 修改用户 在创建用户后，还允许对其进行修改，修改用户信息是使用ALTER USER命令完成的。一般情况下，该命令是由DBA执行的，如果要以其他用户身份修改用户信息，则必须具有ALTER USER系统权限。对用户的修改包括：登录密码、用户默认表空间、临时表空间、磁盘的限额等。 * 13.2.3 删除用户 当删除一个用户时，系统会将该用户账号以及用户模式的信息从数据字典中删除。用户被删除后，用户创建的所有数据库对象也被全部删除。删除用户可以使用DROP USER语句。如果用户当前正连接到数据库，则不能删除该用户，必须等到该用户退出系统后再删除。 13.3 资源配置PROFILE 访问Oracle数据库时，必须提供用户名和密码，然后才能连接到数据库。为了防止其他人员窃取用户密码，DBA必须充分考虑用户密码的安全性，以防止非法人员连接到数据库执行非法操作。对于大型数据库管理系统而言，数据库用户众多，并且不同用户担负不同的管理任务，为了有效利用服务器资源，还应该限制不同用户的资源占用。 * 13.3.1 PROFILE概念 PROFILE作为用户配置文件，它是密码限制、资源限制的命名集合。PROFILE文件作为Oracle安全策略的重要组成部分，利用它可以对数据库用户进行基本的资源限制，并且可以对用户的密码进行管理。 * 13.3.2 使用PROFILE管理密码 当操作人员要连接到Oracle数据库时，需要提供用户和密码。对于黑客或某些人而言，他们可能通过猜想或反复试验来破解密码。为了加强密码的安全性，可以使用PROFILE文件管理密码。PROFILE文件提供了一些密码管理选项，它们提供了强大的密码管理功能，从而确保密码的安全。为了实现密码限制，必须首先建立PROFILE文件。 * 13.3.3 使用PROFIL管理资源 在大而复杂的多用户数据库环境中，因为用户众多，所以系统资源可能会成为影响性能的主要“瓶颈”。为了有效地利用系统资源，应根据用户所承担任务的不同为其分配合理的资源。PROFILE不仅可用于管理用户密码，还可用于管理用户资源。需要注意，如果使用PROFILE管理资源，必须设置RESOURCE_LIMIT参数设置为TRUE以激活用资源限制。 * 13.3.4 修改和删除PROFILE 在创建PROFILE文件之后，还可以使用ALTER PROFILE语句修改其中的资源参数和密码参数。例如，下面的语句对PROFILE文件RESOURCE_LIMIT进行修改： * SQL alter profile resource_limit limit 2 cpu_per_session 15000 3 sessions_per_user 5 4 cp