基本的網(wǎng)絡(luò)與數(shù)據(jù)安全管理知識(shí)課件

第4章

基本的網(wǎng)絡(luò)與數(shù)據(jù)安全管理知識(shí)

第4章

基本的網(wǎng)絡(luò)與數(shù)據(jù)安全管理知識(shí)

4.1OracleNet4.2基本的數(shù)據(jù)與系統(tǒng)安全管理本章目錄4.1OracleNet本章目錄4.1OracleNet4.1.1OracleNet的作用4.1.2本地管理模式的OracleNet客戶端配置4.1.3本地Net服務(wù)名配置文件4.1.4OracleNet服務(wù)器端的配置

4.1OracleNet4.2基本的數(shù)據(jù)與系統(tǒng)安全管理Oracle數(shù)據(jù)庫(kù)提供了用戶、角色、同義詞、系統(tǒng)與實(shí)體權(quán)限及其授權(quán)來保證Oracle數(shù)據(jù)庫(kù)系統(tǒng)及其中數(shù)據(jù)的安全。

4.2基本的數(shù)據(jù)與系統(tǒng)安全管理4.2.1數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)傳統(tǒng)的Oracle數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)包括CONNECT，RESOURCE和DBA。每一個(gè)數(shù)據(jù)庫(kù)用戶必須具有CONNECT特權(quán)才能登錄到Oracle數(shù)據(jù)庫(kù)中，CONNECT特權(quán)用戶是權(quán)限最低的用戶。

4.2.1數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)傳統(tǒng)的Oracle數(shù)據(jù)庫(kù)系擁有該特權(quán)的用戶能夠進(jìn)行下列操作：（1）登錄到Oracle數(shù)據(jù)庫(kù)和修改口令（2）對(duì)自己擁有的表進(jìn)行查詢、刪除、修改和插入操作（3）查詢經(jīng)過授權(quán)的其他用戶的數(shù)據(jù)，包括基表和視圖擁有該特權(quán)的用戶能夠進(jìn)行下列操作：（4）插入、修改、刪除經(jīng)過授權(quán)的其他用戶的表（5）創(chuàng)建自己擁有的表的視圖、同義詞和數(shù)據(jù)庫(kù)鏈路（6）完成經(jīng)過授權(quán)的基于表或基于用戶的數(shù)據(jù)卸載（4）插入、修改、刪除經(jīng)過授權(quán)的其他用戶的表RESOURCE特權(quán)除了具有CONNECT用戶的一切權(quán)限外，還可以進(jìn)行下列操作：（1）創(chuàng)建基表、視圖、索引、聚簇和序列生成器（2）授予和回收其他用戶對(duì)其所擁有的數(shù)據(jù)庫(kù)實(shí)體的存取特權(quán)（3）對(duì)自己擁有的表、索引、聚簇等數(shù)據(jù)庫(kù)實(shí)體的存取活動(dòng)進(jìn)行審計(jì)RESOURCE特權(quán)除了具有CONNECT用戶的一切權(quán)限外，DBA特權(quán)是系統(tǒng)中的最高級(jí)別特權(quán)，可執(zhí)行創(chuàng)建用戶、卸出系統(tǒng)數(shù)據(jù)等特權(quán)操作。由于其權(quán)限太大，可能對(duì)系統(tǒng)及數(shù)據(jù)產(chǎn)生破壞，因此應(yīng)嚴(yán)格限制該特權(quán)被授權(quán)給一般用戶?；镜木W(wǎng)絡(luò)與數(shù)據(jù)安全管理知識(shí)課件4.2.2對(duì)象訪問特權(quán)1．對(duì)于表的存取特權(quán)ALTER：可以修改基表的定義DELETE：可以對(duì)基表進(jìn)行刪除INDEX：可以為基表創(chuàng)建索引INSERT：可以對(duì)表進(jìn)行插入SELECT：可以對(duì)表進(jìn)行查詢UPDATE：可以對(duì)表進(jìn)行修改4.2.2對(duì)象訪問特權(quán)2．關(guān)于視圖的存取特權(quán)SELECT：可以對(duì)視圖進(jìn)行查詢INSERT：可以對(duì)視圖進(jìn)行插入U(xiǎn)PDATE：可以對(duì)視圖進(jìn)行修改DELETE：可以對(duì)視圖進(jìn)行刪除2．關(guān)于視圖的存取特權(quán)3．關(guān)于同義詞的存取特權(quán)因?yàn)橥x詞必須基于某一數(shù)據(jù)庫(kù)實(shí)體，因此與同義詞相應(yīng)的存取特權(quán)便轉(zhuǎn)移到相應(yīng)的實(shí)體上，即同義詞存取特權(quán)與其相應(yīng)的實(shí)體是一致的。3．關(guān)于同義詞的存取特權(quán)4．關(guān)于序列生成器的存取特權(quán)ALTER：可以修改序列生成器的定義SELECT：可以使用序列生成器來生成主關(guān)鍵字值所需要的序列號(hào)5．關(guān)于存儲(chǔ)過程/函數(shù)的存取特權(quán)EXECUTE：可以執(zhí)行存儲(chǔ)過程或調(diào)用函數(shù)4．關(guān)于序列生成器的存取特權(quán)4.2.3創(chuàng)建用戶與角色1．創(chuàng)建用戶創(chuàng)建用戶的語法如下：CREATEUSERuser[IDENTIFIED[BYpassword|EXTERNALLY]][DEFAULTTABLESPACETABLESPACE][TEMPORARYTABLESPACETABLESPACE]4.2.3創(chuàng)建用戶與角色[QUOTA{n[K|M]|UNLIMITED}ONTABLESPACE][PASSWORDEXPIRE][ACCOUNT{LOCK|UNLOCK}][PROFILE{profile|DEFAULT}];[QUOTA{n[K|M]|UNLIMITED}修改用戶的語法如下：ALTERUSERuser[IDENTIFIED[BYpassword|EXTERNALLY]][DEFAULTTABLESPACETABLESPACE][TEMPORARYTABLESPACETABLESPACE]……;刪除用戶的語法如下：DROPUSERuser[CASCADE];修改用戶的語法如下：2．創(chuàng)建角色創(chuàng)建角色的語法如下：CREATEROLErole[NOTIDENTIFIED|IDENTIFIED[BYPASSWORD|EXTERNALLY]];修改角色的語法如下：ALTERROLErole;[NOTIDENTIFIED|IDENTIFIED[BYPASSWORD|EXTERNALLY]];刪除角色的語法如下：DROPROLErole;2．創(chuàng)建角色例:創(chuàng)建表tab08的擁有者用戶stu08和數(shù)據(jù)操縱者用戶stu08_1，創(chuàng)建角色r08，通過授權(quán)也可操縱表tab08中數(shù)據(jù)。（參見后面的例子）。connectsystem/system@oradb;DROPUSERstu08CASCADE;CREATEUSERstu08IDENTIFIEDBYstu08DEFAULTTABLESPACEUSERSTEMPORARYTABLESPACETEMP;DROPUSERstu08_1CASCADE;CREATEUSERstu08_1identifiedbystu08_1;DROPROLEr08;CREATEROLEr08;例:創(chuàng)建表tab08的擁有者用戶stu08和數(shù)據(jù)操縱者用戶4.2.4數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)的授予與回收授予系統(tǒng)特權(quán)的語法如下：GRANT{system_privilege|role}TO{user|role|PUBLIC}[WITHADMINOPTION];回收系統(tǒng)特權(quán)的語法為：REVOKE{system_privilege|role}FROM{user|role|PUBLIC};4.2.4數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)的授予與回收例:為用戶stu08和stu08_1授予數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)。connsystem/system@oradbGRANTCREATESESSION,CREATETABLETOstu08_1;GRANTCREATESESSION,CREATETABLE,DBATOstu08;基本的網(wǎng)絡(luò)與數(shù)據(jù)安全管理知識(shí)課件4.2.5創(chuàng)建同義詞創(chuàng)建同義詞的語法如下：CREATE[PUBLIC]SYNONYMsynonym_nameFORschema.object[@dblink];4.2.5創(chuàng)建同義詞例:創(chuàng)建同義詞之例。--以stu08用戶連接數(shù)據(jù)庫(kù)connectstu08/stu08@oradb;--創(chuàng)建表tab08DROPTABLEtab08;CREATETABLEtab08(namevarchar2(20),agenumber(3));--為表創(chuàng)建私有同義詞sy_tab08和公共同義詞sypub_tab08CREATESYNONYMsy_tab08FORtab08;CREATEPUBLICSYNONYMsypub_tab08FORtab08;例:創(chuàng)建同義詞之例。4.2.6數(shù)據(jù)庫(kù)對(duì)象訪問權(quán)限的授予與回收數(shù)據(jù)庫(kù)對(duì)象特權(quán)的授權(quán)語法如下：GRANT{object_privilege|ALL}[(column_list)]ONschema.objectTO[user|role|PUBLIC]WITHGRANTOPTION;數(shù)據(jù)庫(kù)對(duì)象特權(quán)的回收語法如下：REVOKE{object_privilege|ALL}ONschema.objectFROM{user|role|PUBLIC}[CASCADECONSTRAINTS];4.2.6數(shù)據(jù)庫(kù)對(duì)象訪問權(quán)限的授予與回收例:對(duì)象特權(quán)授權(quán)之例。--將表tab08的插入、查詢數(shù)據(jù)權(quán)限授予角色r08、用戶scottconnstu08/stu08@oradbGRANTINSERT,SELECTONtab08TOscott,r08;--將角色r08授予用戶stu08_1--注意，本例中stu08_1用戶通過角色r08獲得了對(duì)基表tab08的INSERT和SELECT權(quán)限。GRANTr08TOstu08_1;--下面用同義詞sy_tab08向表tab08中插入數(shù)據(jù)。執(zhí)行如下語句：INSERTINTOsy_tab08VALUES('zhangsan',18);INSERTINTOsy_tab08VALUES('lisi',20);例:對(duì)象特權(quán)授權(quán)之例。commit;--執(zhí)行下面的語句來體會(huì)Oracle數(shù)據(jù)訪問的權(quán)限控制。--用scott連接數(shù)據(jù)庫(kù)，只能對(duì)表tab08執(zhí)行插入、選擇操作，不能執(zhí)行更新、刪除操作。--執(zhí)行如下語句提示權(quán)限不足UPDATEstu08.tab08SETage=20;DELETEFROMstu08.tab08WHEREname='zhangsan';commit;--而執(zhí)行INSERT、SELECT操作卻可以。如執(zhí)行如下語句：INSERTINTOstu08.tab08VALUES('caochao',20);commit;SELECT*FROMstu08.tab08;commit;--用stu08_1連接數(shù)據(jù)庫(kù)。stu08_1也是只能對(duì)表tab08執(zhí)行插入、選擇操作，--不能執(zhí)行更新、刪除操作。執(zhí)行如下語句將出錯(cuò)，提示權(quán)限不足UPDATEstu08.tab08SETage=20;DELETEFROMstu08.tab08WHEREname='zhangsan';commit;--而執(zhí)行INSERT、SELECT操作卻可以，如如下語句INSERTINTOstu08.tab08VALUES('libai',19);commit;SELECT*FROMstu08.tab08;--用stu08_1連接數(shù)據(jù)庫(kù)。stu08_1也是只能對(duì)表t例:列特權(quán)授權(quán)之例。--將HR雇員表的EMPLOYEE_ID,FIRST_NAME,LAST_NAME列修改權(quán)限授予SCOTTconnhr/hr@oradbGRANTUPDATE(EMPLOYEE_ID,FIRST_NAME,LAST_NAME)ONemployeesTOscottWITHGRANTOPTION;--查看將哪些表中的哪些列上的哪些訪問權(quán)限授予了哪些用戶SELECT*FROMUSER_COL_PRIVS_MADE;--SCOTT用戶查看自己獲得了哪些用戶的哪些表的哪些列的哪些訪問權(quán)限例:列特權(quán)授權(quán)之例。connscott/tiger@oradbSELECT*FROMUSER_COL_PRIVS_RECD;--HR用戶回收SCOTT用戶對(duì)表employees的列修改權(quán)限connhr/hr@oradbREVOKEUPDATEONemployeesFROMscott;connscott/tiger@oradb4.2.7一般的數(shù)據(jù)安全方法一般情況下，可使用同義詞來保護(hù)系統(tǒng)中真實(shí)的表名稱，用角色簡(jiǎn)化授權(quán)，創(chuàng)建數(shù)據(jù)操縱用戶來隱藏?cái)?shù)據(jù)的真正擁有者，以此達(dá)到保護(hù)數(shù)據(jù)安全的目的。4.2.7一般的數(shù)據(jù)安全方法本章小結(jié)

OracleNet是OracleNetServices的組件之一，它支持客戶機(jī)應(yīng)用程序到Oracle數(shù)據(jù)庫(kù)服務(wù)器的網(wǎng)絡(luò)會(huì)話。一旦建立了網(wǎng)絡(luò)會(huì)話，OracleNet將充當(dāng)客戶機(jī)應(yīng)用程序和數(shù)據(jù)庫(kù)服務(wù)器間的數(shù)據(jù)傳遞工具。它負(fù)責(zé)建立和維護(hù)客戶機(jī)應(yīng)用程序與數(shù)據(jù)庫(kù)服務(wù)器之間的連接及交換信息。OracleNet能夠執(zhí)行這些任務(wù)是因?yàn)樗挥诰W(wǎng)絡(luò)中的每個(gè)計(jì)算機(jī)上，為此需要在客戶計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)上配置OracleNet。

本章小結(jié)第4章

基本的網(wǎng)絡(luò)與數(shù)據(jù)安全管理知識(shí)

第4章

基本的網(wǎng)絡(luò)與數(shù)據(jù)安全管理知識(shí)

4.1OracleNet4.2基本的數(shù)據(jù)與系統(tǒng)安全管理本章目錄4.1OracleNet本章目錄4.1OracleNet4.1.1OracleNet的作用4.1.2本地管理模式的OracleNet客戶端配置4.1.3本地Net服務(wù)名配置文件4.1.4OracleNet服務(wù)器端的配置

4.1OracleNet4.2基本的數(shù)據(jù)與系統(tǒng)安全管理Oracle數(shù)據(jù)庫(kù)提供了用戶、角色、同義詞、系統(tǒng)與實(shí)體權(quán)限及其授權(quán)來保證Oracle數(shù)據(jù)庫(kù)系統(tǒng)及其中數(shù)據(jù)的安全。

4.2基本的數(shù)據(jù)與系統(tǒng)安全管理4.2.1數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)傳統(tǒng)的Oracle數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)包括CONNECT，RESOURCE和DBA。每一個(gè)數(shù)據(jù)庫(kù)用戶必須具有CONNECT特權(quán)才能登錄到Oracle數(shù)據(jù)庫(kù)中，CONNECT特權(quán)用戶是權(quán)限最低的用戶。

4.2.1數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)傳統(tǒng)的Oracle數(shù)據(jù)庫(kù)系擁有該特權(quán)的用戶能夠進(jìn)行下列操作：（1）登錄到Oracle數(shù)據(jù)庫(kù)和修改口令（2）對(duì)自己擁有的表進(jìn)行查詢、刪除、修改和插入操作（3）查詢經(jīng)過授權(quán)的其他用戶的數(shù)據(jù)，包括基表和視圖擁有該特權(quán)的用戶能夠進(jìn)行下列操作：（4）插入、修改、刪除經(jīng)過授權(quán)的其他用戶的表（5）創(chuàng)建自己擁有的表的視圖、同義詞和數(shù)據(jù)庫(kù)鏈路（6）完成經(jīng)過授權(quán)的基于表或基于用戶的數(shù)據(jù)卸載（4）插入、修改、刪除經(jīng)過授權(quán)的其他用戶的表RESOURCE特權(quán)除了具有CONNECT用戶的一切權(quán)限外，還可以進(jìn)行下列操作：（1）創(chuàng)建基表、視圖、索引、聚簇和序列生成器（2）授予和回收其他用戶對(duì)其所擁有的數(shù)據(jù)庫(kù)實(shí)體的存取特權(quán)（3）對(duì)自己擁有的表、索引、聚簇等數(shù)據(jù)庫(kù)實(shí)體的存取活動(dòng)進(jìn)行審計(jì)RESOURCE特權(quán)除了具有CONNECT用戶的一切權(quán)限外，DBA特權(quán)是系統(tǒng)中的最高級(jí)別特權(quán)，可執(zhí)行創(chuàng)建用戶、卸出系統(tǒng)數(shù)據(jù)等特權(quán)操作。由于其權(quán)限太大，可能對(duì)系統(tǒng)及數(shù)據(jù)產(chǎn)生破壞，因此應(yīng)嚴(yán)格限制該特權(quán)被授權(quán)給一般用戶。基本的網(wǎng)絡(luò)與數(shù)據(jù)安全管理知識(shí)課件4.2.2對(duì)象訪問特權(quán)1．對(duì)于表的存取特權(quán)ALTER：可以修改基表的定義DELETE：可以對(duì)基表進(jìn)行刪除INDEX：可以為基表創(chuàng)建索引INSERT：可以對(duì)表進(jìn)行插入SELECT：可以對(duì)表進(jìn)行查詢UPDATE：可以對(duì)表進(jìn)行修改4.2.2對(duì)象訪問特權(quán)2．關(guān)于視圖的存取特權(quán)SELECT：可以對(duì)視圖進(jìn)行查詢INSERT：可以對(duì)視圖進(jìn)行插入U(xiǎn)PDATE：可以對(duì)視圖進(jìn)行修改DELETE：可以對(duì)視圖進(jìn)行刪除2．關(guān)于視圖的存取特權(quán)3．關(guān)于同義詞的存取特權(quán)因?yàn)橥x詞必須基于某一數(shù)據(jù)庫(kù)實(shí)體，因此與同義詞相應(yīng)的存取特權(quán)便轉(zhuǎn)移到相應(yīng)的實(shí)體上，即同義詞存取特權(quán)與其相應(yīng)的實(shí)體是一致的。3．關(guān)于同義詞的存取特權(quán)4．關(guān)于序列生成器的存取特權(quán)ALTER：可以修改序列生成器的定義SELECT：可以使用序列生成器來生成主關(guān)鍵字值所需要的序列號(hào)5．關(guān)于存儲(chǔ)過程/函數(shù)的存取特權(quán)EXECUTE：可以執(zhí)行存儲(chǔ)過程或調(diào)用函數(shù)4．關(guān)于序列生成器的存取特權(quán)4.2.3創(chuàng)建用戶與角色1．創(chuàng)建用戶創(chuàng)建用戶的語法如下：CREATEUSERuser[IDENTIFIED[BYpassword|EXTERNALLY]][DEFAULTTABLESPACETABLESPACE][TEMPORARYTABLESPACETABLESPACE]4.2.3創(chuàng)建用戶與角色[QUOTA{n[K|M]|UNLIMITED}ONTABLESPACE][PASSWORDEXPIRE][ACCOUNT{LOCK|UNLOCK}][PROFILE{profile|DEFAULT}];[QUOTA{n[K|M]|UNLIMITED}修改用戶的語法如下：ALTERUSERuser[IDENTIFIED[BYpassword|EXTERNALLY]][DEFAULTTABLESPACETABLESPACE][TEMPORARYTABLESPACETABLESPACE]……;刪除用戶的語法如下：DROPUSERuser[CASCADE];修改用戶的語法如下：2．創(chuàng)建角色創(chuàng)建角色的語法如下：CREATEROLErole[NOTIDENTIFIED|IDENTIFIED[BYPASSWORD|EXTERNALLY]];修改角色的語法如下：ALTERROLErole;[NOTIDENTIFIED|IDENTIFIED[BYPASSWORD|EXTERNALLY]];刪除角色的語法如下：DROPROLErole;2．創(chuàng)建角色例:創(chuàng)建表tab08的擁有者用戶stu08和數(shù)據(jù)操縱者用戶stu08_1，創(chuàng)建角色r08，通過授權(quán)也可操縱表tab08中數(shù)據(jù)。（參見后面的例子）。connectsystem/system@oradb;DROPUSERstu08CASCADE;CREATEUSERstu08IDENTIFIEDBYstu08DEFAULTTABLESPACEUSERSTEMPORARYTABLESPACETEMP;DROPUSERstu08_1CASCADE;CREATEUSERstu08_1identifiedbystu08_1;DROPROLEr08;CREATEROLEr08;例:創(chuàng)建表tab08的擁有者用戶stu08和數(shù)據(jù)操縱者用戶4.2.4數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)的授予與回收授予系統(tǒng)特權(quán)的語法如下：GRANT{system_privilege|role}TO{user|role|PUBLIC}[WITHADMINOPTION];回收系統(tǒng)特權(quán)的語法為：REVOKE{system_privilege|role}FROM{user|role|PUBLIC};4.2.4數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)的授予與回收例:為用戶stu08和stu08_1授予數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)。connsystem/system@oradbGRANTCREATESESSION,CREATETABLETOstu08_1;GRANTCREATESESSION,CREATETABLE,DBATOstu08;基本的網(wǎng)絡(luò)與數(shù)據(jù)安全管理知識(shí)課件4.2.5創(chuàng)建同義詞創(chuàng)建同義詞的語法如下：CREATE[PUBLIC]SYNONYMsynonym_nameFORschema.object[@dblink];4.2.5創(chuàng)建同義詞例:創(chuàng)建同義詞之例。--以stu08用戶連接數(shù)據(jù)庫(kù)connectstu08/stu08@oradb;--創(chuàng)建表tab08DROPTABLEtab08;CREATETABLEtab08(namevarchar2(20),agenumber(3));--為表創(chuàng)建私有同義詞sy_tab08和公共同義詞sypub_tab08CREATESYNONYMsy_tab08FORtab08;CREATEPUBLICSYNONYMsypub_tab08FORtab08;例:創(chuàng)建同義詞之例。4.2.6數(shù)據(jù)庫(kù)對(duì)象訪問權(quán)限的授予與回收數(shù)據(jù)庫(kù)對(duì)象特權(quán)的授權(quán)語法如下：GRANT{object_privilege|ALL}[(column_list)]ONschema.objectTO[user|role|PUBLIC]WITHGRANTOPTION;數(shù)據(jù)庫(kù)對(duì)象特權(quán)的回收語法如下：REVOKE{object_privilege|ALL}ONschema.objectFROM{user|role|PUBLIC}[CASCADECONSTRAINTS];4.2.6數(shù)據(jù)庫(kù)對(duì)象訪問權(quán)限的授予與回收例:對(duì)象特權(quán)授權(quán)之例。--將表tab08的插入、查詢數(shù)據(jù)權(quán)限授予角色r08、用戶scottconnstu08/stu08@oradbGRANTINSERT,SELECTONtab08TOscott,r08;--將角色r08授予用戶stu08_1--注意，本例中stu08_1用戶通過角色r08獲得了對(duì)基表tab08的INSERT和SELECT權(quán)限。GRANTr08TOstu08_1;--下面用同義詞sy_tab08向表tab08中插入數(shù)據(jù)。執(zhí)行如下語句：INSERTINTOsy_tab08VALUES('zhangsan',18);INSERTINTOsy_tab08VALUES('lisi',20);例:對(duì)象特權(quán)授權(quán)之例。commit;--執(zhí)行下面的語句來體會(huì)Oracle數(shù)據(jù)訪問的權(quán)限控制。--用scott連接數(shù)據(jù)庫(kù)，只能對(duì)表tab08執(zhí)行插入、選擇操作，不能執(zhí)行更新、刪除操作。--執(zhí)行如下語句提示權(quán)限不足UPDATEstu08.tab08SETage=20;DELETEFROMstu08.tab08WHEREname='zhangsan';commit;--而執(zhí)行INSERT、SELECT操作卻可以。如執(zhí)行如下語句：INSERTINTOstu08.tab08VALUES('caochao',20);commit;SELECT*FROMstu08.tab08;commit;--用stu08_1連接數(shù)據(jù)庫(kù)。stu08_1也是只能對(duì)表tab08執(zhí)行插入、選擇