《Oracle數(shù)據(jù)庫應(yīng)用開發(fā)及實(shí)踐》課件09-第9章 用戶管理與安全

-1-本章目標(biāo)了解計(jì)算機(jī)三類安全性問題

了解數(shù)據(jù)庫安全性的概念及安全控制的機(jī)制

了解Oracle11g的安全機(jī)制

掌握使用Oracle實(shí)現(xiàn)權(quán)限管理

掌握使用Oracle實(shí)現(xiàn)角色管理掌握使用Oracle實(shí)現(xiàn)用戶管理-2-政策法律類：

通過建立與信息安全相關(guān)的法律、法規(guī)，使不法分子懾于法律的威嚴(yán)，不敢輕舉妄動(dòng)。技術(shù)安全類：

各網(wǎng)絡(luò)使用機(jī)構(gòu)和單位應(yīng)建立相關(guān)的信息安全管理辦法，加強(qiáng)內(nèi)部管理，建立審計(jì)和跟蹤體系，提高整體信息安全意識(shí)。管理安全類：

采用具有一定安全性的硬件、軟件的實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存儲(chǔ)的數(shù)據(jù)進(jìn)行安全保護(hù)。計(jì)算機(jī)安全性概述-3-D級(jí)：最低級(jí)別，保留D級(jí)的目的是為了將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)，統(tǒng)統(tǒng)歸于D組。C1級(jí)：只提供了非常初級(jí)的自主安全保護(hù)。C2級(jí)：實(shí)際是安全產(chǎn)品的最低檔次，提供受控的存取保護(hù)，即將C1級(jí)進(jìn)一步細(xì)化B1級(jí)：標(biāo)記安全保護(hù)B2級(jí)：結(jié)構(gòu)化保護(hù)B3級(jí)：安全域A1級(jí)：驗(yàn)證設(shè)計(jì)可信計(jì)算機(jī)系統(tǒng)評(píng)測標(biāo)準(zhǔn)-4-用戶標(biāo)識(shí)與鑒別：是系統(tǒng)提供的最外層的安全保護(hù)措施。授權(quán)：是指對(duì)用戶存取權(quán)限的規(guī)定和限制。用戶存取權(quán)限控制：定義用戶權(quán)限合法權(quán)限檢查視圖定義與查詢修改：通過視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來數(shù)據(jù)庫安全性控制-1-5-數(shù)據(jù)加密：數(shù)據(jù)加密是保護(hù)數(shù)據(jù)在存儲(chǔ)和傳遞過程中不被竊取或修改的有效手段數(shù)據(jù)加密標(biāo)準(zhǔn)公開密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)安全審計(jì)：監(jiān)視措施，費(fèi)事費(fèi)空間用戶審計(jì)系統(tǒng)審計(jì)數(shù)據(jù)庫安全性控制-2-6-系統(tǒng)管理員（DBA）參與決定數(shù)據(jù)庫中的信息內(nèi)容和結(jié)構(gòu)參與確定數(shù)據(jù)庫存貯結(jié)構(gòu)和存取策略定義數(shù)據(jù)的安全性要求和完整性約束監(jiān)控?cái)?shù)據(jù)庫的使用和運(yùn)行最終用戶

偶然用戶：這些用戶不經(jīng)常訪問數(shù)據(jù)庫簡單用戶：數(shù)據(jù)庫中的絕大多數(shù)最終用戶都是簡單用戶復(fù)雜用戶：復(fù)雜用戶包括一些具有特殊技術(shù)背景的最終用戶 數(shù)據(jù)庫系統(tǒng)用戶概述-7-Oracle用戶是Oracle數(shù)據(jù)庫的使用者和管理者用戶管理是Oracle數(shù)據(jù)庫安全管理的核心和基礎(chǔ)用戶的賬戶和密碼與用戶相關(guān)聯(lián)與用戶相關(guān)聯(lián)的屬性是用戶的默認(rèn)表空間如果用戶不需要再訪問某些賬戶，這些賬戶通常就會(huì)被鎖定Oracle用戶概述-8-創(chuàng)建用戶：語句創(chuàng)建：CREATEUSER圖形化創(chuàng)建修改用戶：ALTERUSER更改用戶密碼更改用戶的臨時(shí)或默認(rèn)表空間更改一個(gè)現(xiàn)存的磁盤限額或分配一個(gè)新磁盤限額更改用戶的資源文件分配更改用戶的默認(rèn)角色將用戶密碼注銷為用戶賬戶上鎖或解鎖刪除用戶：DROPUSERusername[CASCADE]如果用戶擁有數(shù)據(jù)庫對(duì)象，則必須在DROPUSER語句中使用CASCADE選項(xiàng)刪除用戶Oracle用戶管理-9-Oracle系統(tǒng)權(quán)限：語句/圖形界面分配系統(tǒng)權(quán)限并查詢回收系統(tǒng)權(quán)限

Oracle對(duì)象權(quán)限對(duì)象主要指：表、索引、視圖、序列、同義詞、過程、函數(shù)、包、觸發(fā)器

Oracle中的權(quán)限管理GRANTCREATESESSIONTOusername;GRANTCREATETABLETOusername;SELECT*FROMsession_privs;REVOKECREATETABLEFROMusername;REVOKECREATESESSIONFROMusername;GRANTSELECTONtablenameTOpublic;REVOKESELECTONtablenameFROMpublic;-10-CONNECT、RESOURCE、DBA：主要是用于數(shù)據(jù)庫管理DELETE_GATALOG_ROLE、EXECUTE_CATALOG_ROLE、SELECT_CATLOG_ROLE：主要用于訪問數(shù)據(jù)字典視圖和包EXP_FULL_DATABASE、IMP_FULL_DATABASE：用于數(shù)據(jù)導(dǎo)入導(dǎo)出時(shí)使用AQ_USER_ROLE、AQ_ADMINISTRATOR_ROLE：用于實(shí)現(xiàn)Oracle高級(jí)查詢功能SNMPAGENT：用于使用Oracle中的工具oracleenterprisemanager和IntelligentAgentRECOVERY_CATALOG_OWNER：用于創(chuàng)建擁有恢復(fù)庫的用戶HS_ADMIN_ROLE：當(dāng)DBA使用Oracle的heterogeneous服務(wù)時(shí)，需要使用此角色訪問數(shù)據(jù)字典

Oracle中角色概述-11-創(chuàng)建角色：給角色授予權(quán)限：從角色中撤銷已授予的權(quán)限或角色：刪除一個(gè)角色：將角色授予用戶或其他角色：Oracle中角色管理與使用CREATEROLE角色名稱[NOTIDENTIFIED|IDENTIFIED{BY密碼|USING[模式.]包|EXTREMELY|GLOBALLY}];GRANT系統(tǒng)權(quán)限1|已有角色1[，系統(tǒng)權(quán)限2|已有角色2，…]TO角色1[,角色2,…][WITHADMINOPTION];REVOKE{系統(tǒng)權(quán)限1[,系統(tǒng)權(quán)限2,…]|ALL[PRIVILEGES]|角色1[,角色2]}FROM角色1,[角色2,…];GRANT角色1[,角色2,…]TO{用戶1[,用戶2,…]|PUBLIC}[WITHADMINOPTION];DROPROLErole_name;-12-建立u1用戶,并賦予createsession權(quán)限和resource角色：切換用戶,使用u1登陸。用戶管理實(shí)例conn/assysdbacreateuseru1identifiedby123;grantcreatesession,resourcetou1;alteruseru1defaulttablespaceusers;connu1/123-13-數(shù)據(jù)庫安全性是指保護(hù)數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄漏、更改或破壞計(jì)算機(jī)系統(tǒng)的安全性分為技術(shù)安全類、管理安全類和政策法律類三大類Oracle安全措施主要有用戶標(biāo)識(shí)和鑒定、授權(quán)和檢查機(jī)制、審計(jì)技術(shù)三大類數(shù)據(jù)庫安全性所關(guān)心的主要是DBMS的存取