第九章-数据库安全性.pptVIP

2006年4月12日 * 9.4 Oracle数据库的安全性措施 ORACLE的安全措施: 用户标识和鉴定 授权和检查机制 审计技术 用户通过触发器灵活定义自己的安全性措施 2006年4月12日 * 一、ORACLE的用户标识和鉴定 ORACLE允许用户重复标识三次 如果三次仍未通过，系统自动退出 2006年4月12日 * 二、ORACLE的授权与检查机制 ORACLE授权和检查机制的特色 ORACLE的权限包括系统权限和数据库对象的权限 采用非集中式的授权机制 每个用户授予与回收自己创建的数据库对象的权限 DBA负责授予与回收系统权限，也可以授予与回收所有数据库对象的权限 允许重复授权，即可将某一权限多次授予同一用户，系统不会出错 允许无效回收，即用户不具有某权限，但回收此权限的操作仍是成功的。 2006年4月12日 * ORACLE的权限 系统权限 数据库对象的权限 2006年4月12日 * 1.系统权限 80多种系统权限 创建会话 创建表 创建视图 创建用户 2006年4月12日 * 系统权限（续） DBA在创建一个用户时需要将其中的一些权限授予该用户 角色 一组系统权限的集合，目的在于简化权限管理。 ORACLE允许DBA定义角色 ORACLE提供的预定义角色 CONNECT RESOURCE DBA 2006年4月12日 * 系统权限（续） CONNECT角色 允许用户登录数据库并执行数据查询和操纵 ALTER TABLE CREATE VIEW / INDEX DROP TABLE / VIEW / INDEX GRANT, REVOKE INSERT, UPDATE, DELETE SELETE AUDIT / NOAUDIT 2006年4月12日 * 系统权限（续） RESOURCE角色 允许用户建表，即执行CREATE TABLE操作 由于创建表的用户将拥有该表，因此他具有对该表的任何权限 2006年4月12日 * 系统权限（续） DBA角色 允许用户执行授权命令，建表，对任何表的数据进行操纵。 DBA角色涵盖了前两种角色，此外还可以执行一些管理操作。 DBA角色拥有最高级别的权限。 2006年4月12日 * 系统权限（续） 例：DBA建立一用户U12后，欲将ALTER TABLE、CREATE VIEW、CREATE INDEX、DROP TABLE、DROP VIEW、DROP INDEX, GRANT,REVOKE、INSERT 、SELETE、UPDATE、DELETE、AUDIT、NOAUDIT等系统权限授予U12 　　 GRANT CONNECT TO U12; 这样就可以省略十几条GRANT语句 2006年4月12日 * 2.数据库对象的权限 ORACLE可以授权的数据库对象 基本表 视图 序列 同义词 存储过程 函数 2006年4月12日 * 数据库对象的权限（续） 基本表的安全性级别 表级 行级 列级 2006年4月12日 * 表级权限 ALTER： 修改表定义 DELETE：删除表记录 INDEX： 在表上建索引 INSERT： 向表中插入数据记录 SELECT：查找表中记录 UPDATE：修改表中的数据 ALL： 上述所有权限 表级授权使用GRANT／REVOKE语句 例： GRANT SELECT ON SC TO U12; 2006年4月12日 * 行级安全性 ORACLE行级安全性由视图间接实现 例：用户U1只允许用户U12查看自己创建的Student表中有关信息系学生的信息，则首先创建视图信息系学生视图S_IS： CREATE VIEW S_IS AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept=IS; 然后将关于该视图的SELECT权限授予U12用户： GRANT SELECT ON S_IS TO U12; 2006年4月12日 * 列级安全性 实现方法 由视图间接实现 直接在基本表上定义 借助视图实现列级安全性 CREATE VIEW S_V AS SELECT Sno.Sname FROM Student； GRANT SELECT ON S_V TO U12; 直接在基本表上定义列级安全性 例：GRANT UPDATE(Sno,Cno) ON SC TO U12; 上一级对