oracle4.ppt

课程 Oracle的用户和权限管理 本章学习目标 数据库安全性问题一直是人们关注的焦点，数据库数据的丢失以及数据库被非法用户的侵入对于任何一个应用系统来说都是至关重要的问题。确保信息安全的重要基础在于数据库的安全性能。 第五章 Oracle的用户和权限管理 本章内容安排 5.1 用户管理 5.2 权限和角色 5.3 概要文件 5.1.2 创建用户 5.1.3 修改用户 5.1.4 删除用户 5.1.1 数据库的存取控制 用户管理 1．用户鉴别 2．用户的表空间设置和定额 3．用户资源限制和环境文件 4．用户环境文件 用户鉴别 为了防止非授权的数据库用户的使用，Oracle提供三种确认方法： 操作系统确认、Oracle数据库确认网络服务确认。 由操作系统鉴定用户的优点是： 1）用户能更快，更方便地联入数据库。 2）通过操作系统对用户身份确认进行集中控制：如果操作系统与数据库用户信息一致，那么Oracle无须存储和管理用户名以及密码。 3）用户进入数据库和操作系统审计信息一致。 用户的表空间设置和定额 关于表空间的使用有几种设置选择： 用户的缺省表空间 用户的临时表空间 数据库表空间的空间使用定额 用户资源限制和环境文件 用户可用的各种系统资源总量的限制是用户安全域的部分。利用显式地设置资源限制，安全管理员可防止用户无控制地消耗宝贵的系统资源。资源限制是由环境文件管理。一个环境文件是命名的一组赋给用户的资源限制。另外Oracle为安全管理员在数据库提供是否对环境文件资源限制的选择。 Oracle可限制几种类型的系统资源的使用，每种资源可在会话级、调用级或两者上控制。 在会话级：每一次用户连接到一数据库，建立一会话。每一个会话在执行SQL语句的计算机上耗费CPU时间和内存量进行限制。 在调用级：在SQL语句执行时，处理该语句有几步，为了防止过多地调用系统，Oracle在调用级可设置几种资源限制。 有下列资源限制： （1）为了防止无控制地使用CPU时间，Oracle可限制每次Oracle调用的CPU时间和在一次会话期间Oracle调用所使用的CPU的时间，以0.01秒为单位。 （2）为了防止过多的I/O，Oracle可限制每次调用和每次会话的逻辑数据块读的数目。 （3）Oracle在会话级还提供其它几种资源限制。 每个用户的并行会话数的限制。 会话空闲时间的限制，如果一次会话的Oracle调用之间时间达到该空闲时间，当前事务被回滚，会话被中止，会话资源返回给系统。 每次会话可消逝时间的限制，如果一次会话期间超过可消逝时间的限制，当前事务被回滚，会话被删除，该会话的资源被释放。 每次会话的专用SGA空间量的限制。 用户环境文件 用户环境文件是指定资源限制的命名集，可赋给Oracle数据库的有效的用户。利用用户环境文件可容易地管理资源限制。 在许多情况中决定用户的环境文件的合适资源限制的最好的方法是收集每种资源使用的历史信息。 创建用户 使用CREATE USER语句可以创建一个新的数据库用户，执行该语句的用户必须具有CREATE USER系统权限。 在创建用户时必须指定用户的认证方式。一般会通过Oracle数据库对用户身份进行验证，即采用数据库认证方式。在这种情况下，创建用户时必须为新用户指定一个口令，口令以加密方式保存在数据库中。当用户连接数据库时，Oracle从数据库中提取口令来对用户的身份进行验证。 使用IDENTIFIED BY子句为用户设置口令，这时用户将通过数据库来进行身份认证。如果要通过操作系统来对用户进行身份认证，则必须使用IDENTIFIED EXTERNAL BY子句。 使用DEFAULT TABLESPACE子句为用户指定默认表空间。如果没有指定默认表空间，Oracle会把SYSTEM表空间作为用户的默认表空间。为用户指定了默认表空间之后，还必须使用QUOTA子句来为用户在默认表空间中分配的空间配额。 此外，常用的一些子句有： ①