oracle安全管理在数据库设计与开发中的应用.docVIP

目录 ORACLE安全管理在数据库设计与开发中的应用研究 1 一Oracle安全性能 2 1.1合法用户的帐户安全性 2 1.2数据库对象的访问安全性 2 1.3管理全局权限的系统级安全性 3 二 Oracle系统级角色 3 2.1 CONNECT角色 3 2.2 RESOURCE角色 4 2.3 DBA角色 4 2.4其它系统级角色 4 三 用户、角色及其权限管理 5 3.1建立和修改用户 5 3.2删除用户 5 3.3对象级权限管理及角色应用 6 四 登陆期间的口令安全 6 五 安全审计 7 六 数据库应用系统的设计与开发 7 6.1 应用设计 7 6.2 应用开发 8 ORACLE安全管理在数据库设计与开发中的应用究安全性问题一直是围绕着数据库员的噩梦，数据库数据的丢失以及数据库被非法用户的侵入使得数据库管理员身心疲惫不堪。围绕数据库的安全性 问题提出了一些安全性策略，希望对数据库管理员有所帮助。Oracle数据库中的数据，必须先是访问该数据库的一个帐户。这个访问可以是直接访问—通过到一个数据库的用户连接—或间接访问。间接连接访问包括通过在数据库链接中预设权限的访问。每个帐户必须有一个与其相关的口令。一个数据库帐户也可以连接到一个操作系统帐户上。 1.2数据库对象的访问安全性 对数据库中一个对象的访问是通过权限（privilege）来完成的。可以通过grant命令向特定帐户分配访问权限，也可以创建角色（role即权限组）来简化权限的管理。由于角色可以用口令保护且能被动态地允许和禁止，所以它们给数据库增加了一个附加安全层。 1.3管理全局权限的系统级安全性 可以使用角色来管理对用户有效的系统级命令。这些命令包括create table和alter index等，对于每种数据库对象的操作都是由各自的权限授权的。例如，一个用户可以被授予CREATE TABLE权限，而不是CREATE TYPE权限。可以创建一些自定义的系统级角色，这些角色只向用户授予他们在数据库中所需的权限而不是过多的特权。CONNECT和RESOURCE角色分别是最终用户和开发人员所要求的基本系统权限。 具有RESOURCE角色的用户还被授予UNLIMITED TABLESPACE系统权限，使他们在数据库的任何地方都能创建对象。由于有这个附加权限，所以应限制把RESOURCE角色用于开发和测试环境。 二 Oracle系统级角色 2.1 CONNECT角色 CONNECT角色不只给予用户能够在数据库中创建会话的权限。除了CREATE SESSION系统权限外，CONNECT角色还给予用户以下权限: ALTER SESSION、CREATE CLUSTER、CREATE DATABASE LINK、CREATE SEQUENCE、CREATE SYNONYM、CRE ATE TABLE和CREATE VIEW等。然而，用户不具有创建表和簇的能力（这些对象都会占用数据库空间），除非授予用户相应的表空间定额，或被授予RESOURCE角色。 通常CONNECT角色已能够满足所有环境中的最终用户。对于某些开发人员，它也可能满足需求。例如，如果开发人员并不需要创建诸如进程、包、触发器及各种抽象数据类型等数据库对象，那么CONNECT角色就可以满足他的需要。 2.2 RESOURCE角色 RESOURCE角色具有以下系统权限：CREATE CLUSTER、CREATE INDEX TYPE、CRE ATE OPERATOR、CREATE PROCEDURE、CREATE SEQUENCE、CREATE TABL E、CRE ATE TRIGGER和CREATE TYPE。具有RESOURCE角色的用户还被授予UNLIMITED TAB LESPACE权限，因此这些用户可超越为他们定义的空间定额。应该把RESOURCE角色授那些需要创建进程和触发器等PL/SQL对象的开发人员。如果开发人员使用了Objects Option，RESOURCE角色将给予他们CREATE TYPE权限，该权限允许他们创建和执行类型和方法。 如果想要限制开发人员的权限，可以创建自己的角色并授予它某些系统级权限。例如，可以限制开发人员创建表和簇的能力，而允许他们创建索引和过程对象。在这种情况下，便可以创建系统