[14-安全.pptVIP

2012年9月 南阳理工学院.软件学院.数据库教研室 第14章 安全 软件学院 主要内容 Oracle数据库安全性概述 用户管理 权限管理 角色管理 概要文件管理 审计 利用OEM进行安全管理 本章要求 了解Oracle数据库安全机制 掌握用户管理 掌握权限管理 掌握角色管理 了解概要文件的作用及其应用 了解审计及其应用 1. 数据库安全性概述 数据库的安全性主要包括两个方面的含义： 一方面是防止非法用户对数据库的访问，未授权的用户不能登录数据库； 另一方面是每个数据库用户都有不同的操作权限，只能进行自己权限范围内的操作。 Oracle数据安全控制机制 用户管理 权限管理 角色管理 表空间设置和配额 用户资源限制 数据库审计 Oracle数据库的安全可以分为两类： 系统安全性：指在系统级控制数据库的存取和使用的机制。包括： 有效的用户名与口令的组合 用户是否被授权可连接数据库 用户创建数据库对象时可以使用的磁盘空间大小 用户的资源限制 是否启动了数据库审计功能 用户可进行哪些系统操作等 数据安全性：指在对象级控制数据库的存取和使用机制。包括： 用户可存取的模式对象 在该对象上允许进行的操作等 2. 用户管理 用户管理概述 创建用户 修改用户 删除用户 查询用户信息 （1）用户管理概述 Oracle数据库初始用户 SYS：是数据库中具有最高权限的数据库管理员，可以启动、修改和关闭数据库，拥有数据字典； SYSTEM：是一个辅助的数据库管理员，不能启动和关闭数据库，但可以进行其他一些管理工作，如创建用户、删除用户等。 SCOTT：是一个用于测试网络连接的用户，其口令为TIGER。 PUBLIC：实质上是一个用户组，数据库中任何一个用户都属于该组成员。要为数据库中每个用户都授予某个权限，只需把权限授予PUBLIC就可以了。 用户属性 用户身份认证方式 默认表空间 临时表空间 表空间配额 概要文件 账户状态 用户身份认证方式 数据库身份认证： 数据库用户口令以加密方式保存在数据库内部 当用户连接数据库时必须输入用户名和口令，通过数据库认证后才可以登录数据库。 外部身份认证：当使用外部身份认证时， 用户的账户由Oracle数据库管理，但口令管理和身份验证由外部服务完成。外部服务可以是操作系统或网络服务。 当用户试图建立与数据库的连接时，数据库不会要求用户输入用户名和口令，而从外部服务中获取当前用户的登录信息。 全局身份认证： 当用户试图建立与数据库连接时，Oracle使用网络中的安全管理服务器(Oracle Enterprise Security Manager)对用户进行身份认证。Oracle的安全管理服务器可以提供全局范围内管理数据库用户的功能。 全局身份认证：当用户试图建立与数据库连接时，Oracle使用网络中的安全管理服务器(Oracle Enterprise Security Manager)对用户进行身份认证。Oracle的安全管理服务器可以提供全局范围内管理数据库用户的功能。 默认表空间 当用户在创建数据库对象时， 如果没有显式地指明该对象在哪个表空间中存储，系统会自动将该数据库对象存储在当前用户的默认表空间中。 如果没有为用户指定默认表空间，则系统将数据库的默认表空间作为用户的默认表空间。 临时表空间 当用户进行排序、汇总和执行连接、分组等操作时，系统首先使用内存中的排序区SORT_AREA_SIZE，如果该区域内存不够，则自动使用用户的临时表空间。 在Oracle 10g中，如果没有为用户指定临时表空间，则系统将数据库的默认临时表空间作为用户的临时表空间。 表空间配额 表空间配额限制用户在永久表空间中可以使用的存储空间的大小，默认情况下，新建用户在任何表空间中都没有任何配额。 用户在临时表空间中不需要配额。 概要文件 每个用户都必须有一个概要文件，从会话级和调用级两个层次限制用户对数据库系统资源的使用，同时设置用户的口令管理策略。如果没有为用户指定概要文件，Oracle将为用户自动指定DEFAULT概要文件。 账户状态 在创建用户的同时，可以设定用户的初始状态，包括用户口令是否过期以及账户是否锁定等。Oracle允许任何时候对帐户进行锁定或解锁。锁定账户后，用户就不能与Oracle数据库建立连接，必须对账户解锁后才允许用户访问数据库。 (2) 创建用户 基本语法 CREATE USER user_name IDENTIFIED [BY password|EXTERNALLY|GLOBALLY AS external_name] [DEFAULT TABLESPACE tablespace_name] [TEMPORARY TABLESPACE temp