第13章安全性管理.pptxVIP

;本章概述 ; 本章的学习目标： ● 了解用户、权限、角色的概念及作用 ● 学会创建、修改、删除用户 ● 学会将系统权限和对象权限授予用户，以及回收权限 ● 学会使用系统预定义角色，学会创建自定义角色，以及角色权限的授予和回收 ● 了解数据库审计的概念及作用;主要内容; 安全性在数据库管理中占据重要的位置，没有完善的安全机制的保护，可能会导致数据的泄露、损坏或丢失，因此安全性一直是数据库产品性能的重要衡量指标之一。Oracle数据库的安全管理是从用户登录数据库就开始的。数据库访问的安全性主要包括两个方面的含义：一是阻止未授权用户访问数据库；二是每个数据库用户都有不同的操作权限，用户在数据库中的操作将被限制在其权限范围内。;主要内容;13.2 用户管理;13.2.1 初始用户 在创建Oracle数据库时会自动创建一些用户，例如SYS、SYSTEM、SCOTT等，除了SYS、SYSTEM这两个初始合法的管理员，其余用户在创建后处于锁定状态，需要在安装时或者安装后对其解锁并重新设定口令。这些初始用户有其自身的职责和特点，软件项目一般不建议使用这些初始用户。即针对不同的项目，应该由管理员分配不同的用户，在开发过程中，SCOTT用户可以用来测试数据库的可用性。 l SYS：是数据库中具有最高权限的数据库管理员，可以启动、修改和关闭数据库，拥有数据字典。 l SYSTEM：是辅助数据库管理员，不能启动和关闭数据库，可以进行一些其他的管理工作，例如创建用户、删除用户等。 l SCOTT：数据库的测试用户，默认口令为tiger。在该用户下已经创建了一些数据表，用于用户学习及测试网络连接，包括：EMP表、DEPT表等。;13.2.2 相关属性;全局身份认证：当用户试图建立与数据库的连接时，Oracle使用网络中的安全管理服务器（Oracle Enterprise Security Manager）对用户进行身份认证。和外部身份认证相同，用户账户由数据库管理，但Oracle不保存口令，当用户登录时，需要通过网络服务验证。Oracle的安全管理服务器可以提供全局范围内管理数据库用户的功能。; (4) 临时表空间 如果用户执行一些操作例如排序、汇总和表间连接等，系统会首先使用内存中的排序区SORT_AREA_SIZE，如果这块排序区大小不够，则将使用用户的临时表空间。一般使用系统默认临时表空间TEMP作为用户的默认临时表空间。 （5）账户状态 在创建用户时，可以设定用户的初始状态，包括用户口令是否过期、用户账户是否锁定等。已锁定的用户不能访问数据库，必须由管理员进行解锁后才允许访问。数据库管理员可以随时锁定账户或解除锁定。 （6）资源配置 每个用户都有一个资源配置，如果创建用户时没有指定，Oracle会为用户指定默认的资源配置。资源配置的作用是对数据库系统资源的使用加以限制，这些资源包括：口令是否过期，口令输入错误几次后锁定该用户，CPU时间，输入/输出（I/O）以及用户打开的会话数目等。;13.2.3 创建用户 创建数据库用户的语法如下： CREATE USER user IDENTIFIED {BY passwore | EXTERNALLY} [DEFAULT TABLESPACE tablespace ] [TEMPORARY TABLESPACE tablespace] [QUOTA {integer [K | M] | UNLIMITED} ON tablespace [QUOTA {integer [K | M] | UNLIMITED} ON tablespace ]…] [PASSWORD EXPIRE] [ACCOUNT {LOCK | UNLOCK}] [PROFILE {profile | DEFAULT}];参数说明： user：要创建的用户名； BY password：用户通过数据库验证方式登录，登录时需要提供的口令； EXTERNALLY：用户需要通过操作系统验证； DEFAULT或TEMPORARY TABLESPACE：为用户指定默认或临时表空间； QUOTA：定义在表空间中允许用户使用的最大空间，可将限额定义为整数字节或千字节/兆字节。其中关键字UNLIMITED用户指定用户可以使用表空间中全部可用空间； PASSWORD EXPIRE：强制用户在使用SQL*Plus登录到数据库时重置口令（该选项仅在用户通过数据库进行验证时有效）； ACCOUNT LOCK | UNLOCK：可用于显示锁定或解除锁定用户账户（UNLOCK为缺省设置）； PROFILE：指定用户的资源配置。;【例