數據庫安全管理.ppt

1、第6章 數據庫安全管理,課程描述 介紹Oracle數據庫的認證方法、用戶管理、權限管理和角色管理,本章知識點,Oracle認證方法 用戶管理 角色管理,6.1Oracle認證方法,操作系統(tǒng)身份認證 網絡身份認證 Oracle數據庫身份認證 數據庫管理員認證,操作系統(tǒng)身份認證,例：通過操作系統(tǒng)認證的用戶可以通過下面的命令啟動SQL*Plus，而不需要輸入用戶名和密碼： SQLPLUS /,網絡身份認證,網絡層的認證能力由第3方的SSL協(xié)議處理。 SSL是Secure Socket Layer的縮寫，即安全套接字層。它是一個應用層協(xié)議，可以用于數據庫的用戶身份認證。 網絡層身份認證使用第3方網絡認

2、證服務，例如DCE、Kerberos、PKI、RADIUS等。,Oracle數據庫身份認證,連接中的密碼加密：加密算法采用改進的DES和3DES算法，加密過程在數據傳輸之前完成。 賬戶鎖定: Oracle可以設置連接登錄失敗n次后，Oracle將鎖定用戶賬戶。 密碼生存周期 檢測歷史密碼 驗證密碼復雜度,數據庫管理員認證,數據庫管理員的認證方式,數據庫管理員認證,在SQL*Plus中，如果采用操作系統(tǒng)認證方式登錄，可以使用如下命令： CONNECT / AS SYSDBA 或者： CONNECT / AS SYSOPER 【例】創(chuàng)建密碼文件myPwdFile.ora，SYS用戶的密碼為sysp

3、wd，SYSDBA和SYSOPER用戶的最大數量為50，代碼如下： ORAPWD FILE=myPwdFile.ora PASSWORD=syspwd ENTRIES=50,數據庫管理員認證,初始化參數REMOTE_LOGIN_PASSWORDFILE可以指定密碼文件的使用方法，它可以設置為如下3種值： NONE。Oracle數據庫認定密碼文件不存在，所有的連接都必須是安全連接。 EXCLUSIVE（默認值）?？梢蕴砑?、修改和刪除用戶，也可以修改SYS用戶的密碼。 SHARED。共享的密碼文件不允許被修改，因此不允許添加新用戶，也不能修改SYS或其他SYSDBA、SYSOPER用戶的密碼。,數

4、據庫管理員認證,GRANT命令為用戶授予權限。 【例】向用戶adm授予SYSDBA權限： GRANT SYSDBA TO adm; REVOKE命令撤銷用戶的授權。 【例】撤銷用戶adm的SYSDBA權限： REVOKE SYSDBA FROM adm;,數據庫管理員認證,通過視圖V$PWFILE_USERS查看密碼文件的內容。 【例】使用SQL語句查看代碼文件的內容： SQL SELECT * FROM V$PWFILE_USERS; USERNAME SYSDB SYSOP - - SYS TRUE TRUE,用戶管理,創(chuàng)建用戶 修改用戶 權限管理語句 刪除用戶,創(chuàng)建用戶,顯示用戶信息,創(chuàng)

5、建用戶,“創(chuàng)建用戶”頁面,選擇表空間,創(chuàng)建用戶,查看新建用戶NEWUSER的信息,創(chuàng)建用戶,CREATE USER語句在數據庫中創(chuàng)建新用戶。 CREATE USER IDENTIFIED BY DEFAULT TABLESPACE TEMPORARY TABLESPACE ; 【例】創(chuàng)建管理用戶USERMAN： CREATE USER USERMAN IDENTIFIED BY USERMAN;,修改用戶,編輯用戶頁面,修改用戶,ALTER USER語句也可以修改用戶信息。 （1）修改密碼密碼。 【例】將用戶USERMAN的密碼修改為NewPassword： ALTER USER USERMA

6、N IDENTIFIED BY NewPassword; （2）PASSWORD EXPIRE關鍵詞設置密碼過期。 【例】設置用戶USERMAN的密碼立即過期，它在下一次登錄時必須修改密碼： ALTER USER USERMAN PASSWORD EXPIRE; （3）ACCOUNT LOCK關鍵詞鎖定用戶。 【例】鎖定用戶USERMAN，使其無法登錄到數據庫： ALTER USER USERMAN ACCOUNT LOCK; （4）ACCOUNT UNLOCK關鍵詞解鎖用戶。 【例】解除對用戶USERMAN的鎖定： ALTER USER USERMAN ACCOUNT UNLOCK;,權限管

7、理語句,系統(tǒng)權限設置頁面,權限管理語句,修改系統(tǒng)權限頁面,權限管理語句,GRANT語句可以將權限授予指定的用戶或角色。 （1）授予系統(tǒng)權限： GRANT TO 【例】對于用戶USERMAN授予SYSDBA權限： GRANT SYSDBA TO USERMAN; （2）授予數據對象權限： GRANT ON TO 【例】對用戶USERMAN授予表USERS的SELECT、INSERT、UPDATE、DELETE權限： GRANT SELECT ON USERMAN.USERS TO USERMAN; GRANT INSERT ON USERMAN.USERS TO USERMAN; GRANT U

8、PDATE ON USERMAN.USERS TO USERMAN; GRANT DELETE ON USERMAN.USERS TO USERMAN;,權限管理語句,（3）REVOKE語句可以撤銷用戶的角色或權限： REVOKE FROM 【例】撤銷用戶USERMAN的系統(tǒng)權限： REVOKE SYSDBA FROM USERMAN;,刪除用戶,確認刪除頁面,撤銷表空間,DROP USER語句也可以刪除指定的用戶。 【例】刪除用戶USERMAN： DROP USER USERMAN;,6.3角色管理,Oracle系統(tǒng)角色 創(chuàng)建角色 對角色授權 指定用戶的角色 修改角色 刪除角色,Oracle

9、系統(tǒng)角色,常用的Oracle預定義系統(tǒng)角色,創(chuàng)建角色,顯示角色信息,創(chuàng)建角色,創(chuàng)建角色頁面,創(chuàng)建角色,查看角色MYROLL的信息,創(chuàng)建角色,【例】使用CREATE ROLE語句創(chuàng)建角色： CREATE ROLE MYROLE IDENTIFIED BY myrollpwd IDENTIFIED BY子句可以指定角色的密碼。,對角色授權,系統(tǒng)權限設置頁面,對角色授權,修改系統(tǒng)權限頁面,指定用戶的角色,GRANT命令為用戶指定角色。 【例】將角色CONNECT指定給用戶USERMAN： GRANT CONNECT TO USERMAN; REVOKE命令為取消用戶的角色。 【例】撤銷USERMAN用戶的CONNECT角色： REVOKE CONNECT FROM USERMAN;,修改角色,