數(shù)據(jù)庫安全管理培訓(xùn)課件

數(shù)據(jù)庫安全管理第一頁，共四十六頁。主要內(nèi)容用戶管理權(quán)限管理角色管理概要文件管理審計第二頁，共四十六頁。用戶管理Oracle數(shù)據(jù)庫初始用戶

SYS：是數(shù)據(jù)庫中具有最高權(quán)限的數(shù)據(jù)庫管理員，可以啟動、修改和關(guān)閉數(shù)據(jù)庫，擁有數(shù)據(jù)字典；

SYSTEM：是一個輔助的數(shù)據(jù)庫管理員SCOTT：是一個用于測試網(wǎng)絡(luò)連接的用戶，其口令為TIGER。PUBLIC：實質(zhì)上是一個用戶組，數(shù)據(jù)庫中任何一個用戶都屬于該組成員。要為數(shù)據(jù)庫中每個用戶都授予某個權(quán)限，只需把權(quán)限授予PUBLIC就可以了。第三頁，共四十六頁。用戶屬性用戶身份認證方式默認表空間臨時表空間表空間配額概要文件賬戶狀態(tài)第四頁，共四十六頁。身份認證方式（sysdba身份）操作系統(tǒng)認證條件：文件$ORACLE_HOME/NETWORK/ADMIN/SQLNET.ORA中的SQLNET.AUTHENTICATION_SERVICES=（NTS）當(dāng)前登錄操作系統(tǒng)的用戶必須屬于OraDBA組方式：Sqlplus/assysdbaconn/assysdba第五頁，共四十六頁。身份認證方式（sysdba身份）密碼文件認證條件：初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE=Exclusive

或者Shared當(dāng)前登錄操作系統(tǒng)的用戶必須屬于OraDBA組方式：Sqlplus用戶名/密碼assysdbaconn用戶名/密碼assysdba第六頁，共四十六頁。身份認證方式（Normal身份）普通用戶的數(shù)據(jù)庫認證方式密碼認證方式：條件：沒有條件，任何時候都可以Sqlplus用戶名/密碼conn用戶名/密碼操作系統(tǒng)認證方式：條件：文件$ORACLE_HOME/NETWORK/ADMIN/SQLNET.ORA中的SQLNET.AUTHENTICATION_SERVICES=（NTS）Sqlplus/conn/第七頁，共四十六頁。創(chuàng)建用戶CreateUser<用戶名>IdentifiedBy<口令>DefaultTablespace<默認表空間>TemporaryTablespace<臨時表空間>Quota數(shù)值K|數(shù)值M|Unlimitedon表空間Profile概要文件名Defaultrole默認角色PasswordExpireAccountLock|Unlock;第八頁，共四十六頁。舉例CreateuseraIdentifiedbya1234DefaulttablespaceusersQuota10Monusers;注意在創(chuàng)建新用戶后，必須為用戶授予適當(dāng)?shù)臋?quán)限，用戶才可以進行相應(yīng)的數(shù)據(jù)庫操作。例如，授予用戶CREATESESSION權(quán)限后，用戶才可以連接到數(shù)據(jù)庫。第九頁，共四十六頁。修改用戶ALTERUSERuser_name[IDENTIFIED][BYpassword|EXTERNALLY|GLOBALLYAS'external_name'][DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtemp_tablesapce_name][QUOTAnK|M|UNLIMITEDONtablespace_name][PROFILEprofile_name][DEFAULTROLErole_list|ALL[EXCEPTrole_list]|NONE][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];第十頁，共四十六頁。刪除用戶基本語法DROPUSERuser_name[CASCADE];步驟先刪除用戶所擁有的對象再刪除用戶將參照該用戶對象的其他數(shù)據(jù)庫對象標(biāo)志為INVALID處于連接狀態(tài)的用戶不可刪除第十一頁，共四十六頁。查詢用戶信息ALL_USERS：包含數(shù)據(jù)庫所有用戶的用戶名、用戶ID和用戶創(chuàng)建時間。DBA_USERS：包含數(shù)據(jù)庫所有用戶的詳細信息。USER_USERS：包含當(dāng)前用戶的詳細信息。DBA_TS_QUOTAS：包含所有用戶的表空間配額信息。USER_TS_QUOTAS：包含當(dāng)前用戶的表空間配額信息。V$SESSION：包含用戶會話信息。V$OPEN_CURSOR：包含用戶執(zhí)行的SQL語句信息。第十二頁，共四十六頁。查看數(shù)據(jù)庫所有用戶名及其默認表空間。SELECTSERNAME,DEFAULT_TABLESPACEFROMDBA_USERS;查看數(shù)據(jù)庫中各用戶的登錄時間、會話號。SELECTSID,SERIAL#,LOGON_TIME,USERNAMEFROMV$SESSION;第十三頁，共四十六頁。權(quán)限管理權(quán)限管理概述系統(tǒng)權(quán)限管理對象權(quán)限管理查詢權(quán)限信息第十四頁，共四十六頁。12.3.1權(quán)限管理概述所謂權(quán)限就是執(zhí)行特定類型SQL命令或訪問其他用戶的對象的權(quán)利。系統(tǒng)權(quán)限：系統(tǒng)權(quán)限是指在數(shù)據(jù)庫級別執(zhí)行某種操作的權(quán)限，或針對某一類對象執(zhí)行某種操作的權(quán)限。例如，CREATESESSION權(quán)限、CREATEANYTABLE權(quán)限。對象權(quán)限：對象權(quán)限是指對某個特定的數(shù)據(jù)庫對象執(zhí)行某種操作的權(quán)限。例如，對特定表的插入、刪除、修改、查詢的權(quán)限。第十五頁，共四十六頁。授權(quán)方法直接授權(quán)：利用GRANT命令直接為用戶授權(quán)。間接授權(quán)：先將權(quán)限授予角色，然后再將角色授予用戶。第十六頁，共四十六頁。授權(quán)Grant系統(tǒng)權(quán)限to用戶名[withadminoption]Grantsysdbato用戶名Grant對象權(quán)限on對象名to用戶名[withgrantoption]第十七頁，共四十六頁。對象權(quán)限適合對象對象權(quán)限功能說明SELECT表、視圖、序列查詢數(shù)據(jù)操作UPDATE表、視圖更新數(shù)據(jù)操作DELETE表、視圖刪除數(shù)據(jù)操作INSERT表、視圖插入數(shù)據(jù)操作REFERENCES表在其他表中創(chuàng)建外鍵時可以引用該表EXECUTE存儲過程、函數(shù)、包執(zhí)行PL/SQL存儲過程、函數(shù)和包READ目錄讀取目錄ALTER表、序列修改表或序列結(jié)構(gòu)INDEX表為表創(chuàng)建索引ALL具有對象權(quán)限的所有模式對象某個對象所有對象權(quán)限操作集合第十八頁，共四十六頁。撤銷權(quán)限r(nóng)evoke系統(tǒng)權(quán)限from用戶名revokesysdbafrom用戶名revoke對象權(quán)限on對象名from用戶名第十九頁，共四十六頁。WITHADMINOPTION當(dāng)甲用戶授權(quán)給乙用戶，且激活該選項，則被授權(quán)的乙用戶具有管理該權(quán)限的能力：或者能把得到的權(quán)限再授給其他用戶丙，或者能回收授出去的權(quán)限。當(dāng)甲用戶收回乙用戶的權(quán)限后，乙用戶曾經(jīng)授給丙用戶的權(quán)限仍然存在與WITHGRANTOPTION比較當(dāng)甲用戶授權(quán)給乙用戶，且激活該選項，則被授權(quán)的乙用戶具有管理該權(quán)限的能力：或者能把得到的權(quán)限再授給其他用戶丙，或者能回收授出去的權(quán)限。當(dāng)甲用戶收回乙用戶的權(quán)限后，乙用戶曾經(jīng)授給丙用戶的權(quán)限也被回收。第二十頁，共四十六頁。撤銷具有ADMIN

OPTION系統(tǒng)權(quán)限GRANTREVOKEREVOKECREATETABLEFROMjeff;用戶權(quán)限對象DBAJeffEmiJeffEmiDBA第二十一頁，共四十六頁。撤銷具有GRANT

OPTION對象權(quán)限GRANTREVOKEBobJeffEmiEmiJeffBob第二十二頁，共四十六頁。查詢權(quán)限信息DBA_TAB_PRIVS：包含數(shù)據(jù)庫所有對象的授權(quán)信息ALL_TAB_PRIVS：包含數(shù)據(jù)庫所有用戶和PUBLIC用戶組的對象授權(quán)信息USER_TAB_PRIVS：包含當(dāng)前用戶對象的授權(quán)信息DBA_COL_PRIVS：包含所有字段已授予的對象權(quán)限ALL_COL_PRIVS：包含所有字段已授予的對象權(quán)限信息USER_COL_PRIVS：包含當(dāng)前用戶所有字段已授予的對象權(quán)限信息。DBA_SYS_PRIVS：包含授予用戶或角色的系統(tǒng)權(quán)限信息USER_SYS_PRIVS：包含授予當(dāng)前用戶的系統(tǒng)權(quán)限信。第二十三頁，共四十六頁。角色具有名稱的一組權(quán)限的定義。使用角色可以簡化對用戶的授權(quán)，只需要將用戶添加到角色中，用戶自動具有該角色所有的權(quán)限。系統(tǒng)角色用戶自定義角色第二十四頁，共四十六頁。Oracle數(shù)據(jù)庫角色概述角色的概念所謂角色就是一系列相關(guān)權(quán)限的集合第二十五頁，共四十六頁。預(yù)定義角色預(yù)定義角色概述預(yù)定義角色是指在Oracle數(shù)據(jù)庫創(chuàng)建時由系統(tǒng)自動創(chuàng)建的一些常用的角色，這些角色已經(jīng)由系統(tǒng)授予了相應(yīng)的權(quán)限。DBA可以直接利用預(yù)定義的角色為用戶授權(quán)，也可以修改預(yù)定義角色的權(quán)限。Oracle數(shù)據(jù)庫中有30多個預(yù)定義角色?？梢酝ㄟ^數(shù)據(jù)字典視圖DBA_ROLES查詢當(dāng)前數(shù)據(jù)庫中所有的預(yù)定義角色，通過DBA_SYS_PRIVS查詢各個預(yù)定義角色所具有的系統(tǒng)權(quán)限。第二十六頁，共四十六頁。創(chuàng)建角色Createrole角色名[Notidentified|Identifiedby口令]第二十七頁，共四十六頁。給角色分配權(quán)限Grant系統(tǒng)權(quán)限to角色名Grant對象權(quán)限on對象名to角色名Grant角色to角色名說明給角色授予適當(dāng)?shù)南到y(tǒng)權(quán)限、對象權(quán)限或已有角色。在數(shù)據(jù)庫運行過程中，可以為角色增加權(quán)限，也可以回收其權(quán)限。給角色授權(quán)時應(yīng)該注意，一個角色可以被授予另一個角色，但不能授予其本身，不能產(chǎn)生循環(huán)授權(quán)。第二十八頁，共四十六頁。收回權(quán)限r(nóng)evoke系統(tǒng)權(quán)限from角色名revoke對象權(quán)限on對象名from角色名revoke角色from角色名第二十九頁，共四十六頁。將用戶添加到角色中Grant角色名to用戶名Revoke角色名from用戶名第三十頁，共四十六頁。查詢角色信息DBA_ROLES：包含數(shù)據(jù)庫中所有角色及其描述；DBA_ROLE_PRIVS：包含為數(shù)據(jù)庫中所有用戶和角色授予的角色信息；USER_ROLE_PRIVS：包含為當(dāng)前用戶授予的角色信息；ROLE_ROLE_PRIVS：為角色授予的角色信息；ROLE_SYS_PRIVS：為角色授予的系統(tǒng)權(quán)限信息；ROLE_TAB_PRIVS：為角色授予的對象權(quán)限信息；SESSION_PRIVS：當(dāng)前會話所具有的系統(tǒng)權(quán)限信息；SESSION_ROLES：當(dāng)前會話所具有的角色信息。。第三十一頁，共四十六頁。查詢角色CONNECT所具有的系統(tǒng)權(quán)限信息。SELECT*FROMROLE_SYS_PRIVSWHEREROLE='CONNECT';查詢DBA角色被授予的角色信息。SELECT*FROMROLE_ROLE_PRIVSWHEREROLE='DBA';第三十二頁，共四十六頁。概要文件概要文件（PROFILE）是數(shù)據(jù)庫和系統(tǒng)資源限制的集合，是Oracle數(shù)據(jù)庫安全策略的重要組成部分。利用概要文件，可以限制用戶對數(shù)據(jù)庫和系統(tǒng)資源的使用，同時還可以對用戶口令進行管理。在Oracle數(shù)據(jù)庫創(chuàng)建的同時，系統(tǒng)會創(chuàng)建一個名為DEFAULT的默認概要文件。如果沒有為用戶顯式地指定一個概要文件，系統(tǒng)默認將DEFAULT概要文件作為用戶的概要文件。必須將Resource_limit參數(shù)設(shè)置為true，概要文件才會生效第三十三頁，共四十六頁。概要文件OEM創(chuàng)建Createprofilelimit創(chuàng)建創(chuàng)建或修改用戶時啟用概要文件第三十四頁，共四十六頁。第三十五頁，共四十六頁。第三十六頁，共四十六頁。第三十七頁，共四十六頁。第三十八頁，共四十六頁。第三十九頁，共四十六頁。第四十頁，共四十六頁。CREATE

PROFILE"PRO2"LIMIT

CPU_PER_SESSION6000

CPU_PER_CALL10

CONNECT_TIME10

IDLE_TIME3

SESSIONS_PER_USER1

LOGICAL_READS_PER_SESSION20

LOGICAL_READS_PER_CALL2

PRIVATE_SGA

DEFAULT

COMPOSITE_LIMIT

DEFAULT

PASSWORD_LIFE_TIME7

PASSWORD_GRACE_TIME2

PASSWORD_REUSE_MAX2

PASSWORD_REUSE_TIME

unlimited

PASSWORD_LOCK_TIME1

FAILED_LOGIN_ATTEMPTS3

PASSWORD_VERIFY_FUNCTION

DEFAULT第四十一頁，共四十六頁。審計監(jiān)視和記錄所選用戶的數(shù)據(jù)活動，用于調(diào)查可疑活動，監(jiān)視與收集特定數(shù)據(jù)庫活動的記錄。需要先開啟審計功能Altersystemsetaudit_trail=truescope=spfile重啟數(shù)據(jù)庫Oracle11g默認審計功能是開啟的第四十二頁，共四十六頁。指定審計選項審計SQL語句：

審計系統(tǒng)權(quán)限：

審計對象權(quán)限：AUDITselectanytable,createanytrigger;

AUDITselectanytableBYhrBYSESSION;AUDITtable;AUDITsession;AUDITALLonhr.employees;

AUDITUPDATE,DELETEonhr.employeesBYACCESS;第四十三頁，共四十六頁。審計的一些其他選項

byaccess/bysession：byaccess每一個被審計的操作都會生成一條audittrailbysession一個會話里面同類型的操作只會生成一條audittrail，默認為bysessionwhenever[not]successful：when