第十六章-系統(tǒng)安全管理

第16章系統(tǒng)安全管理

知識點回顧觸發(fā)器的概念觸發(fā)器類型及創(chuàng)建方法理解和應用觸發(fā)器2本章目標掌握用戶的創(chuàng)建與管理理解權(quán)限的創(chuàng)建與管理理解角色的創(chuàng)建與管理了解概要文件和數(shù)據(jù)字典視圖了解審計功能3用戶管理為了保證數(shù)據(jù)及其操作的安全，數(shù)據(jù)庫系統(tǒng)必須具備完善的安全管理機制。Oracle有一套嚴格的用戶管理機制，新創(chuàng)建的用戶只有通過管理員授權(quán)才能獲得系統(tǒng)數(shù)據(jù)庫的使用權(quán)，否則該用戶只有連接數(shù)據(jù)庫的權(quán)利。創(chuàng)建用戶：可采用CREATEUSER命令創(chuàng)建一個新用戶4CREATEUSERuser_nameIDENTIFIEDBYpass_word[oridentifiedexeternally][oridentifiedgloballyas‘CN=user’][defaulttablespacetablespace_default][temporarytablespacetablespace_temp][quota[integerk[m]][unlimited]]ontablesapce_specify1[,quota[integerk[m]][unlimited]]ontablesapce_specify2[,…]…ONtablespace_specifyn[profilesprofile_name][accountlockoraccountunlock]用戶管理創(chuàng)建用戶5CREATEUSERinspurIDENTIFIEDBYtigerDEFAULTTABLESPACEusersTEMPORARYTABLESPACEtempQUOTA10MONusers;用戶管理——管理用戶2-1管理用戶就是對已有的用戶信息進行修改和刪除等操作。1.修改用戶

創(chuàng)建好用戶后有時會對用戶的設(shè)置有所改變，比如說修改用戶口令，改變用戶默認表空間、臨時表空間、資源限制和磁盤配額等.示例1：修改用戶inspur密碼。示例2：解鎖被鎖住的用戶。6ALTERUSERinspurIDENTIFIEDBY123456;ALTERUSERinspurACCOUNTUNLOCK;用戶管理——管理用戶2-22.刪除用戶

數(shù)據(jù)庫管理員有時會需要刪除一些廢棄的用戶，刪除的同時該用戶下所有的數(shù)據(jù)文件會被一起刪除，所以謹慎使用。具體刪除的示例如下： CASCADE:級聯(lián)刪除選項。當刪除的用戶中沒有任何數(shù)據(jù)庫對象，該關(guān)鍵字可以省略；如果用戶包含數(shù)據(jù)庫對象，則必須加CASCADE選項，此時會連同該用戶所擁有的對象一起刪除。7DROPUSERinspurCASCADE;權(quán)限管理在Oracle數(shù)據(jù)庫中，權(quán)限有系統(tǒng)權(quán)限和對象權(quán)限兩類。對數(shù)據(jù)庫系統(tǒng)級的操作都可以稱為系統(tǒng)權(quán)限，對表對象、序列、觸發(fā)器等操作的權(quán)限稱為對象權(quán)限。8權(quán)限管理——系統(tǒng)權(quán)限管理2-1授予權(quán)限，語法如下：示例：授予用戶系統(tǒng)權(quán)限session9GRANTsys_privi|roleTOuser|role|public[WITHADMINOPTION]GRANTCREATEsessionTOinspurWITHADMINOPTION權(quán)限管理——系統(tǒng)權(quán)限管理2-2撤銷權(quán)限，語法如下：示例：撤銷inspur的session權(quán)限10REVOKEsys_privi|roleFROMuser|role|publicREVOKEcreatesessionFROMinspur權(quán)限管理——對象權(quán)限管理2-1授予權(quán)限，語法格式如下：示例：給用戶inspur授予表soctt.emp的select、insert、delete和update權(quán)限11GRANTobj_privi|allcolumnONschema.objectTOuser|role|public[WITHADMINOPTION]|[WITHHIERARCHYOPTION]GRANTselect,insert,delete,updateONscott.empTOinspur;權(quán)限管理——對象權(quán)限管理2-2撤銷權(quán)限，語法格式如下：obj_privi:表示對象的權(quán)限。public：保留字，代表Oracle系統(tǒng)的所有權(quán)限。CASCADECONSTRAINTS級聯(lián)，表示有關(guān)聯(lián)關(guān)系的權(quán)限也被撤銷示例：從inspur用戶中撤銷scott.emp表的update和delete權(quán)限12REVOKEobj_privi|allONschema.objectFROMuser|role|publicCASCADECONSTRAINTSREVOKEdelete,updateONscott.empTOinspur;角色管理在數(shù)據(jù)庫中角色并不是某個用戶獨有，而是用戶可以根據(jù)權(quán)限的需求不同，授予用戶不同的角色。角色就是在數(shù)據(jù)庫中由數(shù)據(jù)庫管理員定義的權(quán)限集合，方便對不同用戶的權(quán)限授予，僅一條語句就能授予或回收權(quán)限，而不用對用戶一一授權(quán)。角色、用戶和權(quán)限的關(guān)系如下圖：13角色管理——創(chuàng)建角色語法格式如下：示例：創(chuàng)建一個名為designer的角色，該角色的口令為12345614CREATEROLErole_name[notidentified|identifiedby[password]|[exeternally]|[globally]];CREATEROLEdesignerIDENTIFIEDBY123456;角色管理——管理角色3-11查看角色包含的權(quán)限。示例：查詢DBA角色有哪些權(quán)限2修改角色密碼。包括取消角色密碼和修改角色密碼兩種情況。示例：首先取消designer角色的密碼，然后再重新給該角色設(shè)置一個密碼15ALTERROLEdesignerNOTIDENTIFIED;SELECT*FROMROLE_SYS_PRIVSWHERErole='DBA';ALTERROLEdesignerIDENTIFIEDBY456789;角色管理——管理角色3-23設(shè)置當前用戶要生效的角色。示例：把designer角色授予inspur用戶

由于一個用戶可以同時擁有多個角色，所以也可以設(shè)置哪些角色生效哪些角色不生效。示例：設(shè)置帶有密碼的角色designer生效16SETROLEdesignerIDENTIFIEDBY123456;GRANTdesignerTOinspur;角色管理——管理角色3-34刪除角色。示例：刪除角色designer

刪除角色使用DROPROLE語句。刪除角色后，原來擁有該角色的用戶將不再擁有該角色，也將失去角色對應的權(quán)限。17DROPROLEdesigner;概要文件和數(shù)據(jù)字典視圖所謂概要文件，就是一份描述如何使用系統(tǒng)資源的配置文件。將概要文件賦予某個數(shù)據(jù)庫用戶，在用戶連接并訪問數(shù)據(jù)庫服務器時，系統(tǒng)就按照概要文件給他分配系統(tǒng)資源。有的時候我們也稱之為配置文件，其主要作用包括如下兩點：1、管理數(shù)據(jù)庫口令及驗證方式。2、管理數(shù)據(jù)庫系統(tǒng)資源。18使用概要文件管理密碼3-1創(chuàng)建PROFILE文件，語法格式如下：參數(shù)說明：resource_parameters：要設(shè)置的資源參數(shù)。password_parameters：要設(shè)置的密碼參數(shù)。19CREATEPROFILEprofile_nameLIMIT{resource_parameters|password_parameters}[resource_parameters|password_parameters]...;使用概要文件管理密碼3-2

賬戶鎖定：是指用戶在連續(xù)輸入多少次錯誤密碼后，數(shù)據(jù)庫系統(tǒng)會自動鎖定該用戶的賬戶，同時可以規(guī)定賬戶的鎖定時間。FAILED_LOGIN_ATEMPTS：該參數(shù)表示用戶在登錄到數(shù)據(jù)庫時允許密碼錯誤的次數(shù)。PASSWORD_LOCK_TIME：該參數(shù)用于指定賬戶被鎖定的天數(shù)。示例：創(chuàng)建PROFILE文件，要求設(shè)置連續(xù)失敗次數(shù)為5，超過該次數(shù)后，賬戶將被鎖定7天，并使用ALTERUSER語句將PROFILE文件分配給用戶inspur，代碼如下。20CREATEPROFILElock_accountLIMITFAILED_LOGIN_ATTEMPTS5PASSWORD_LOCK_TIME7;ALTERUSERinspurPROFILElock_account;使用概要文件管理密碼3-3

密碼過期時間：為了防止其他人員破解賬戶的密碼，管理員可以強制普通用戶定期改變密碼。PASSWORD_LIFE_TIME：設(shè)置用戶密碼的有效時間，單位為天數(shù)。PASSWORD_GRACE_TIME：該參數(shù)用于設(shè)置口令失效的“寬限時間”。示例：創(chuàng)建PROFILE文件，要求設(shè)置用戶的密碼有效期為90天，密碼寬限期為10天，并將該PROFILE文件分配給用戶inspur。21CREATEPROFILEpassword_lift_timeLIMITPASSWORD_LIFE_TIME90PASSWORD_GRACE_TIME10;ALTERUSERinspurPROFILEpassword_lift_time;使用概要文件管理資源

在大而復雜的多用戶數(shù)據(jù)庫環(huán)境中，系統(tǒng)資源可能會成為影響性能的主要瓶頸，為了有效地利用系統(tǒng)資源，應該根據(jù)用戶所承擔任務的不同為其分配合理資源。PROFILE不僅可用于管理用戶密碼，還可以用于管理用戶資源。

22數(shù)據(jù)字典數(shù)據(jù)字典是Oracle存放數(shù)據(jù)庫內(nèi)部信息的地方，用來描述數(shù)據(jù)庫內(nèi)部的運行和管理情況。比如一個數(shù)據(jù)表的所有者、所屬表空間、創(chuàng)建時間、用戶訪問權(quán)限等，這些信息都可以在數(shù)據(jù)字典中查找到。23審計審計用來監(jiān)視和記錄所選用