Oracle的安全管理培训教案.pptxVIP

Oracle的安全管理;本章学习目标 数据库安全性问题一直是人们关注的焦点，数据库数据的丢失以及数据库被非法用户的侵入对 于任何一个应用系统来说都是至关重要的问题。 确保信息安全的重要基础在于数据库的安全性能。;本章内容安排;6.1 Oracle9i的安全保障机制;数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 在数据库存储这一级可采用密码技术，当物理存储设备失窃后，它起到保密作用。在数据库系统这一级中提供两种控制：用户标识和鉴定，数据存取控制。 数据库安全可分为二类：系统安全性和数据安全性。 系统安全性是指在系统级控制数据库的存取和使用的机制，包含： 有效的用户名/口令的组合。 一个用户是否授权可连接数据库。 用户对象可用的磁盘空间的数量。 用户的资源限制。 数据库审计是否是有效的。 用户可执行哪些系统操作。;在Oracle多用户数据库系统中，安全机制作下列工作：;6.1.2 安全性策略;1. 系统安全性策略;2. 用户安全性策略;3. 数据库管理者安全性策略;4. 应用程序开发者的安全性策略;数据库的存取控制 创建用户 修改用户 删除用户;1．用户鉴别;1. 用户鉴别;2．用户的表空间设置和定额;3. 用户资源限制和环境文件;在会话级：每一次用户连接到一数据库，建立一会话。每一个会话在执行SQL语句的计算机上耗费CPU时间和内存量进行限制。 在调用级：在SQL语句执行时，处理该语句有几步，为了防止过多地调用系统，Oracle在调用级可设置几种资源限制。;有下列资源限制： （1）为了防止无控制地使用CPU时间，Oracle可限制每次Oracle调用的CPU时间和在一次会话期间Oracle调用所使用的CPU的时间，以0.01秒为单位。;4．用户环境文件;6.2.2 创建用户;使用IDENTIFIED BY子句为用户设置口令，这时用户将通过数据库来进行身份认证。如果要通过操作系统来对用户进行身份认证，则必须使用IDENTIFIED EXTERNAL BY子句。;此外，常用的一些子句有：;6.2.3 修改用户;ALTER USER语句最常用的情况是用来修改用户自己的口令，任何用户都可以使用ALTER USER…IDENTIFIED BY语句来修改自己的口令，而不需要具有任何其他权限。但是如果要修???其他用户的口令，则必须具有ALTER USER系统权限。;DBA还会经常使用ALTER USER语句锁定或解锁用户账户。例如：;6.2.4 删除用户;如果要删除的用户模式中包含有模式对象，必须在 DROP USER子句中指定CASCADE关键字，否则Oracle将返 回错误信息。例如：利用下面的语句将删除用户chenjie，并且同时删除他所拥有的所有表、索引等模式对象：;6.3 权限和角色;权限 角色;1.权限;2.角色;一般，建立角色服务有两个目的：为数据库应用管理权限和为用户组管理权限。相应的角色称为应用角色和用户角色。;ORACEL利用角色更容易地进行权限管理。有下列优点：;使用CREATE ROLE语句可以创建一个新的角色，执行该语句的用户必须具有CREATE ROLE系统权限。 在角色刚刚创建时，它并不具有任何权限，这时的角色是没有用处的。因此，在创建角色之后，通常会立即为它授予权限。例如：利用下面的语句创建了一个名为OPT_ROLE的角色，并且 为它授予了一些对象权限和系统权限： CREATE ROLE OPT_ROLE; GRANT SELECT ON sal_history TO OPT_ROLE; GRANT INSERT,UPDATE ON mount_entry TO OPT_ROLE; GRANT CREATE VIEW TO OPT_ROLE;;在创建角色时必须为角色命名，新建角色的名称不能与任何数据库用户或其他角色的名称相同。;1．授予系统权限;1.授予系统权限 在GRANT关键字之后指定系统权限的名称，然后在TO关键字之后指定接受权限的用户名，即可将系统权限授予指定的用户。 例如：利用下面的语句可以相关权限授予用户chenjie： GRANT CREATE USER,ALTER USER,DROP USER TO chenjie WITH ADMIN OPTION;;2．授予对象权限;例如：利用下面的语句可以将CUSTOMER表的SELECT和 INSERT，UPDATE对象权限授予用户chenqian：;3．授予角色;例如：利用下面的语句可以将DBA角色授予用户chenjie：;使用REVOKE语句可以回收己经授予用户（或角色）的系统权限、对象权限与角色，执行回收权限操作的用户同时必须具有授予相同权限的能力。 例如：利用下面的语句可以回收已经授予用户chenqian的SEL