第六章Oracle的安全管理.ppt

Oracle的安全管理 2.角色 为相关权限的命名组，可授权给用户和角色。数据库角色包含下列功能： （1）一个角色可授予系统权限或对象权限。 （2）一个角色可授权给其它角色，但不能循环授权。 （3）任何角色可授权给任何数据库用户。 （4）授权给用户的每一角色可以是可用的或者不可用的。一个用户的安全域仅包含当前对该用户可用的全部角色的权限。 （5）一个间接授权角色对用户可显式地使其可用或不可用。 在一个数据库中，每一个角色名必须唯一。角色名与用户不同，角色不包含在任何模式中，所以建立角色的用户被删除时不影响该角色。 一般，建立角色服务有两个目的：为数据库应用管理权限和为用户组管理权限。相应的角色称为应用角色和用户角色。 应用角色是授予的运行数据库应用所需的全部权限。 用户角色是为具有公开权限需求的一组数据库用户而建立的。用户权限管理是受应用角色或权限授权给用户角色所控制，然后将用户角色授权给相应的用户。 ORACEL利用角色更容易地进行权限管理。有下列优点： （1）减少权限管理，不要显式地将同一权限组授权给几个用户，只需将这权限组授给角色，然后将角色授权给每一用户。 （2）动态权限管理，如果一组权限需要改变，只需修改角色的权限，所有授给该角色的全部用户的安全域将自动地反映对角色所作的修改。 （3）权限的选择可用性，授权给用户的角色可选择地使其可用或不可用。 （4）应用可知性，当用户经用户名执行应用时，该数据库应用可查询字典，将自动地选择使角色可用或不可用。 （5）应用安全性，角色使用可由口令保护，应用可提供正确的口令使用角色，如不知其口令，不能使用角色。 使用CREATE ROLE语句可以创建一个新的角色，执行该语句的用户必须具有CREATE ROLE系统权限。 在角色刚刚创建时，它并不具有任何权限，这时的角色是没有用处的。因此，在创建角色之后，通常会立即为它授予权限。例如：利用下面的语句创建了一个名为OPT_ROLE的角色，并且为它授予了一些对象权限和系统权限： CREATE ROLE OPT_ROLE; GRANT SELECT ON sal_history TO OPT_ROLE; GRANT INSERT,UPDATE ON mount_entry TO OPT_ROLE; GRANT CREATE VIEW TO OPT_ROLE; 6.3.2 创建角色 在创建角色时必须为角色命名，新建角色的名称不能与任何数据库用户或其他角色的名称相同。 与用户类似，角色也需要进行认证。在执行CREATE ROLE语句创建角色时，默认地将使用NOT IDENTIFIED子句，即在激活和禁用角色时不需要进行认证。如果需要确保角色的安全性，可以在创建角色时使用IDENTIFIED子句来设置角色的认证方式。与用户类似，角色也可以使用两种方式进行认证。 使用ALTER ROLE语句可以改变角色的口令或认证方式。例如：利用下面的语句来修改OPT_ROLE角色的口令（假设角色使用的是数据库认证方式）： ALTER ROLE OPT_ROLE IDENTIFIED BY accts*new; 1．授予系统权限 2．授予对象权限 6.3.3 授予权限或角色 3．授予角色 1.授予系统权限 在GRANT关键字之后指定系统权限的名称，然后在TO关键字之后指定接受权限的用户名，即可将系统权限授予指定的用户。 例如：利用下面的语句可以相关权限授予用户chenjie： GRANT CREATE USER,ALTER USER,DROP USER TO chenjie WITH ADMIN OPTION; 2．授予对象权限 Oracle对象权限指用户在指定的表上进行特殊操作的权利。 在GRANT关键字之后指定对象权限的名称，然后在ON关键字后指定对象名称，最后在TO关键字之后指定接受权限的用户名，即可将指定对象的对象权限授予指定的用户。 使用一条GRANT语句可以同时授予用户多个对象权限，各个权限名称之间用逗号分隔。 有三类对象权限可以授予表或视图中的字段，它们是分别是INSERT，UPDATE和REFERENCES对象权限。 例如：利用下面的语句可以将CUSTOMER表的SELECT和INSERT，UPDATE对象权限授予用户chenqian： GRANT SELECT,INSERT(CUSTOMER_ID,CUSTOMER_name), UPDATE(desc) ON CUSTOMER TO chenqian WITH GRANT OPTION; 在授予对象权限时，可以使用一次关键字ALL或ALL PRIVILEGES将某个对象的所有对象权限全部授予指定的用户。 3．授予角色 在GRANT关