Oracle的安全管理培训教案.pptxVIP

Oracle的安全管理;本章学习目标 数据库安全性问题一直是人们关注的焦点，数据库数据的丢失以及数据库被非法用户的侵入对于任何一个应用系统来说都是至关重要的问题。确保信息安全的重要基础在于数据库的安全性能。;本章内容安排;6.1 Oracle9i的安全保障机制;数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 在数据库存储这一级可采用密码技术，当物理存储设备失窃后，它起到保密作用。在数据库系统这一级中提供两种控制：用户标识和鉴定，数据存取控制。 数据库安全可分为二类：系统安全性和数据安全性。 系统安全性是指在系统级控制数据库的存取和使用的机制，包含： （1）有效的用户名/口令的组合。 （2）一个用户是否授权可连接数据库。 （3）用户对象可用的磁盘空间的数量。 （4）用户的资源限制。 （5）数据库审计是否是有效的。 （6）用户可执行哪些系统操作。;在Oracle多用户数据库系统中，安全机制作下列工作： （1）防止非授权的数据库存取。 （2）防止非授权的对模式对象的存取。 （3）控制磁盘使用。 （4）控制系统资源使用。 （5）审计用户动作。 用户要存取一对象必须有相应的权限授给该用户。已授权的用户可任意地可将它授权给其它用户，由于这个原因，这种安全性类型叫做任意型。 Oracle利用下列机制管理数据库安全性： ?数据库用户和模式 ?权限 ?角色 ?存储设置和空间份额 ?资源限制 ?审计 ;;;;;; 6.2.2 创建用户 ;;;;;;;;;;;;;;;;6.3.2 创建角色 ;;;;;;使用CREATE ROLE语句可以创建一个新的角色，执行该语句的用户必须具有CREATE ROLE系统权限。 在角色刚刚创建时，它并不具有任何权限，这时的角色是没有用处的。因此，在创建角色之后，通常会立即为它授予权限。例如：利用下面的语句创建了一个名为OPT_ROLE的角色，并且为它授予了一些对象权限和系统权限： CREATE ROLE OPT_ROLE; GRANT SELECT ON sal_history TO OPT_ROLE; GRANT INSERT,UPDATE ON mount_entry TO OPT_ROLE; GRANT CREATE VIEW TO OPT_ROLE;;在创建角色时必须为角色命名，新建角色的名称不能与任何数据库用户或其他角色的名称相同。 与用户类似，角色也需要进行认证。在执行CREATE ROLE语句创建角色时，默认地将使用NOT IDENTIFIED子句，即在激活和禁用角色时不需要进行认证。如果需要确保角色的安全性，可以在创建角色时使用IDENTIFIED子句来设置角色的认证方式。与用户类似，角色也可以使用两种方式进行认证。 使用ALTER ROLE语句可以改变角色的口令或认证方式。例如：利用下面的语句来修改OPT_ROLE角色的口令（假设角色使用的是数据库认证方式）： ALTER ROLE OPT_ROLE IDENTIFIED BY accts*new;;;;;;;; 使用REVOKE语句可以回收己经授予用户（或角色）的系统权限、对象权限与角色，执行回收权限操作的用户同时必须具有授予相同权限的能力。 例如：利用下面的语句可以回收已经授予用户chenqian的SELECT和UPDATE对象权限： REVOKE SELECT,UPDATE ON CUSTOMER FROM chenqian; 利用下面的语句可以回收已经授予用户chenjie的CREATE ANY TABLE系统权限： REVOKE CREATE ANY TABLE FROM chenjie; 利用下面的语句可以回收己经授予用户chenjie的OPT_ROLE角色： REVOKE OPT_ROLE FROM chenjie;;在回收对象权限时，可以使用关键字ALL或ALL PRIVILEGES将某个对象的所有对象权限全部回收。 例如：利用下面的语句可以回收己经授予用户chenqian的CUSTOMER表的所有对象权限： REVOKE ALL ON CUSTOMER FROM chenjie;; 一个用户可以同时被授予多个角色，但是并不是所有的这些角色都同时起作用。角色可以处于两种状态：激活状态或禁用状态，禁用状态的角色所具有权限并不生效。 当用户连接到数据库中时，只有他的默认角色（Default Role）处于激活状态。在ALTER USER角色中使用DEFAULT ROLE子句可以改变用户的默认角色。 例如：如果要将用户所拥有的一个角色设置为默认角色，可以使用下面的语句： ALTER USER chenjie DEFAULT ROLE co