Oracle Database 11g应用与开发教程 教学课件 ppt 作者 978-7-302-31490-5 第13章 安全性管理

第1页,Oracle 11g数据库应用教程,第2页,第13章 安全性管理,本章概述 本章的学习目标 主要内容,第3页,本章概述,安全性是衡量数据库产品性能的重要指标。本章介绍Oracle 11g数据库的安全管理机制，内容包括用户管理，权限管理，角色管理，数据库审计等。,第4页,本章的学习目标： 了解用户、权限、角色的概念及作用 学会创建、修改、删除用户 学会将系统权限和对象权限授予用户，以及回收权限 学会使用系统预定义角色，学会创建自定义角色，以及角色权限的授予和回收 了解数据库审计的概念及作用,第5页,主要内容,13.1 概述 13.2 用户管理 13.3 权限管理 13.4 角色管理 13.5数据库审计 13.6小结 13.7习题,第6页,安全性在数据库管理中占据重要的位置，没有完善的安全机制的保护，可能会导致数据的泄露、损坏或丢失，因此安全性一直是数据库产品性能的重要衡量指标之一。Oracle数据库的安全管理是从用户登录数据库就开始的。数据库访问的安全性主要包括两个方面的含义：一是阻止未授权用户访问数据库；二是每个数据库用户都有不同的操作权限，用户在数据库中的操作将被限制在其权限范围内。,在Oracle数据库中，用户的身份通常被划分为数据库管理员和开发人员，其中数据库管理员承担管理数据库的责任，包括安全性管理、调优、备份策略的制定、数据库出现故障时的数据恢复、保证数据库的可用性等。软件系统的开发人员作为数据库管理员之外的一类使用者，承担软件开发的职责，对数据库的访问要求及技能掌握要求比数据库管理员低，他们需要熟练掌握的SQL及PL/SQL的操作技能，能够快速及高效率地完成对数据库的操作需求，对调优和备份恢复等操作通常不参与。所以，数据库的安全管理通常属于数据库管理员的职责，DBA可以通过管理用户、角色以及权限来控制数据库的安全。但对于软件开发人员来说，掌握一些安全机制及处理方式也是有必要的。,第7页,主要内容,13.1 概述 13.2 用户管理 13.3 权限管理 13.4 角色管理 13.5数据库审计 13.6小结 13.7习题,第8页,13.2 用户管理,用户是数据库的使用者和管理者，用户管理是Oracle数据库安全管理的核心和基础。每个连接到数据库的用户都必须是系统的合法用户，用户要想使用Oracle的系统资源（查询数据、创建表等），就必须要拥有相应的权限。 Oracle数据库的用户管理包括创建用户、修改用户的安全参数、删除用户和查询用户信息等。,第9页,13.2.1 初始用户 在创建Oracle数据库时会自动创建一些用户，例如SYS、SYSTEM、SCOTT等，除了SYS、SYSTEM这两个初始合法的管理员，其余用户在创建后处于锁定状态，需要在安装时或者安装后对其解锁并重新设定口令。这些初始用户有其自身的职责和特点，软件项目一般不建议使用这些初始用户。即针对不同的项目，应该由管理员分配不同的用户，在开发过程中，SCOTT用户可以用来测试数据库的可用性。 l SYS：是数据库中具有最高权限的数据库管理员，可以启动、修改和关闭数据库，拥有数据字典。 l SYSTEM：是辅助数据库管理员，不能启动和关闭数据库，可以进行一些其他的管理工作，例如创建用户、删除用户等。 l SCOTT：数据库的测试用户，默认口令为tiger。在该用户下已经创建了一些数据表，用于用户学习及测试网络连接，包括：EMP表、DEPT表等。,第10页,13.2.2 相关属性,和用户相关的属性包括以下几种。 （1）用户身份认证方式 在用户连接数据库时，必须经过身份认证。Oracle数据库用户有3种身份认证。 数据库身份认证：这种方式即用户名/口令方式，用户口令以加密方式保存在数据库内部，用户连接数据库时必须输入用户名和口令，通过数据库认证后才能登录数据库。这是默认的认证方式。 外部身份认证：用户账户由Oracle数据库管理，但口令管理和身份验证由外部服务完成，外部服务可以是操作系统或网络服务。当用户试图建立与数据库的连接时，数据库不会要求用户输入用户名和口令，而从外部服务中获取当前用户的登录信息。这种方式比较适合在局域网环境下，连接简单，不需要提供用户名和口令，但是需要在创建用户时做一些相应的配置。,第11页,全局身份认证：当用户试图建立与数据库的连接时，Oracle使用网络中的安全管理服务器（Oracle Enterprise Security Manager）对用户进行身份认证。和外部身份认证相同，用户账户由数据库管理，但Oracle不保存口令，当用户登录时，需要通过网络服务验证。Oracle的安全管理服务器可以提供全局范围内管理数据库用户的功能。,（2）表空间配额 表空间配额限制用户在永久表空间中可用的存储空间大小，默认情况下，新用户在任何表空间中都没有任何配额。用户在临时表空间中不需要配额。 （3）默认表空间 用户在创建数据库对象时，如果没有显示指明该对象在哪个空间，那么系统会将该对象自动存储在用户的默认表空间中，即SYSTEM表空间。一般不建议将用户的对象建立在SYSTEM表空间中，所以默认表空间应指定。,第12页,(4) 临时表空间 如果用户执行一些操作例如排序、汇总和表间连接等，系统会首先使用内存中的排序区SORT_AREA_SIZE，如果这块排序区大小不够，则将使用用户的临时表空间。一般使用系统默认临时表空间TEMP作为用户的默认临时表空间。 （5）账户状态 在创建用户时，可以设定用户的初始状态，包括用户口令是否过期、用户账户是否锁定等。已锁定的用户不能访问数据库，必须由管理员进行解锁后才允许访问。数据库管理员可以随时锁定账户或解除锁定。 （6）资源配置 每个用户都有一个资源配置，如果创建用户时没有指定，Oracle会为用户指定默认的资源配置。资源配置的作用是对数据库系统资源的使用加以限制，这些资源包括：口令是否过期，口令输入错误几次后锁定该用户，CPU时间，输入/输出（I/O）以及用户打开的会话数目等。,第13页,13.2.3 创建用户 创建数据库用户的语法如下： CREATE USER user IDENTIFIED BY passwore | EXTERNALLY DEFAULT TABLESPACE tablespace TEMPORARY TABLESPACE tablespace QUOTA integer K | M | UNLIMITED ON tablespace QUOTA integer K | M | UNLIMITED ON tablespace PASSWORD EXPIRE ACCOUNT LOCK | UNLOCK PROFILE profile | DEFAULT,第14页,参数说明： user：要创建的用户名； BY password：用户通过数据库验证方式登录，登录时需要提供的口令； EXTERNALLY：用户需要通过操作系统验证； DEFAULT或TEMPORARY TABLESPACE：为用户指定默认或临时表空间； QUOTA：定义在表空间中允许用户使用的最大空间，可将限额定义为整数字节或千字节/兆字节。其中关键字UNLIMITED用户指定用户可以使用表空间中全部可用空间； PASSWORD EXPIRE：强制用户在使用SQL*Plus登录到数据库时重置口令（该选项仅在用户通过数据库进行验证时有效）； ACCOUNT LOCK | UNLOCK：可用于显示锁定或解除锁定用户账户（UNLOCK为缺省设置）； PROFILE：指定用户的资源配置。,第15页,【例13-1】创建用户rose，口令为zzuli，默认表空间为USERS，在该表空间的配额为50MB。口令设置为过期状态，即首次连接数据库时需要修改口令。(如果在SQL Plus中创建用户成功，最后会显示个 用户已创建。 之类的，最好写在例题下面，表示这是运行成功的代码，你实验一下，看看创建完结果是什么，写到下面。后面的例题都是这样的吧) SQLCREATE USER rose IDENTIFIED BY zzuli 2 DEFAULT TABLESPACE USERS 3 QUOTA 50M ON USERS 4 PASSWORD EXPIRE; 用户已创建。,第16页,13.2.4 修改用户,用户创建后，可以更改用户的属性，如口令、默认表空间、临时表空间、表空间配额、概要文件和用户状态等。但不允许修改用户的名称，除非将其删除。 修改数据库用户使用ALTER USER语句来实现，ALTER USER语句的语法格式为： ALTER USER user_name IDENTIFIED BY PASSWORD | EXTERNALLY | GOLBALLY AS external_name DEFAULT TABLESPACE tablespace_name TEMPORARY TABLESPACE temp_tempspace_name QUOTA n K | M | UNLIMITED ON tablespace_name PROFILE profile_name DEFAULT ROLE role_list | ALL EXCEPT role_list | NONE PASSWORD EXPIRE ACCOUNT LOCK | UNLOCK;,第17页,对其中的参数说明如下。 l role_list：角色列表 l ALL：表示所有角色 l EXCEPT role_list：表示除了role_list列表中角色以外的其他角色。 l NONE：表示没有默认角色。 【例13-2】 修改用户atea的默认表空间为USERS，在该表空间的配额为100MB，在USERS表空间的配额为30MB。命令如下： SQLALTER USER atea 2 DEFAULT TABLESPACE USERS 3 QUOTA 30M ON USERS;,第18页,13.2.5 删除用户,当一个用户不再使用时，可以将其删除。删除用户的语法： DROP USER user_name CASCADE 执行该语句的用户必须具有DROP USER的系统权限。删除用户时需要注意如下几点： （1）如果用户方案中包括任何对象，在删除用户时，必须加上CASCADE短语，Oracle数据库会先删除该用户的所有对象，然后再删除该用户。 （2）如果用户当前正与Oracle服务器连接，则不能删除。 【例13-3】删除用户atea。 SQLDROP USER atea; -如果atea用户的方案中没有对象 SQLDROP USER atea CASCADE; -如果atea用户的方案中有对象,第19页,13.2.6 查询用户信息,如果要获取用户信息，可以通过查询数据字典视图或动态性能视图来实现。 ALL_USERS：包含数据库所有用户的用户名、用户ID和用户创建时间。 DBA_USERS：包含数据库所有用户的详细信息。 USER_USERS：包含当前用户的详细信息。 DBA_TS_QUOTAS：包含所有用户的表空间配额信息。 USER_TS_QUOTAS：包含当前用户的表空间配额信息。 V$SESSION：包含用户会话信息。 V$OPEN_CURSOR：包含用户执行的SQL语句信息。 【例13-4】查找所有用户的默认表空间。（查找的结果应该截图，显示在下面） SQLSELECT user_name, default_tablespace 2 FROM dba_users;,第20页,主要内容,13.1 概述 13.2 用户管理 13.3 权限管理 13.4 角色管理 13.5 数据库审计 13.6 小结 13.7 习题,第21页,在用户创建完成后，仅仅表示该用户在Oracle系统中进行了注册而已，这样