Oracle的安全管理.pptx
《Oracle的安全管理.pptx》由会员分享,可在线阅读,更多相关《Oracle的安全管理.pptx(69页珍藏版)》请在咨信网上搜索。
1、OracleOracle的安全的安全的安全的安全管理管理管理管理本章学习目标本章学习目标 数据库安全性问题一直是人们关注的焦点,数据库数据的丢失以及数据库被非法用户的侵入对于任何一个应用系统来说都是至关重要的问题。确保信息安全的重要基础在于数据库的安全性能。第六章第六章 Oracle的安全管理的安全管理本章内容安排本章内容安排本章内容安排本章内容安排 6.1 Oracle9i 6.1 Oracle9i的安全保障机制的安全保障机制的安全保障机制的安全保障机制 6.2 6.2 用户管理用户管理用户管理用户管理 6.3 6.3 权限和角色权限和角色权限和角色权限和角色 6.4 6.4 概要文件概要文
2、件概要文件概要文件 6.5 6.5 数据审计数据审计数据审计数据审计 6.1 Oracle9i6.1 Oracle9i的安全保障机制的安全保障机制6.1.1 6.1.1 安全性内容安全性内容安全性内容安全性内容 6.1.2 6.1.2 安全性策略安全性策略安全性策略安全性策略 数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。在数据库存储这一级可采用密码技术,当物理存储设备失窃后,它起到保密作用。在数据库系统这一级中提供两种控制:用户标识和鉴定,数据存取控制。数据库安全可分为二类:系统安全性和数据安全性。系统安全性是指在系统级控制数据库的存取和使用的机制,包含:(1)
3、有效的用户名/口令的组合。(2)一个用户是否授权可连接数据库。(3)用户对象可用的磁盘空间的数量。(4)用户的资源限制。(5)数据库审计是否是有效的。(6)用户可执行哪些系统操作。6.1.1 安全性内容安全性内容在Oracle多用户数据库系统中,安全机制作下列工作:(1)防止非授权的数据库存取。(2)防止非授权的对模式对象的存取。(3)控制磁盘使用。(4)控制系统资源使用。(5)审计用户动作。用户要存取一对象必须有相应的权限授给该用户。已授权的用户可任意地可将它授权给其它用户,由于这个原因,这种安全性类型叫做任意型。Oracle利用下列机制管理数据库安全性:数据库用户和模式权限角色存储设置和空
4、间份额资源限制审计 1系统安全性策略 2用户安全性策略6.1.2 安全性策略 3数据库管理者安全性策略4应用程序开发者的安全性策略1.系统安全性策略系统安全性策略(1)管理数据库用户(2)用户身份确认(3)操作系统安全性1)数据库管理员必须有create和delete文件的操作系统权限。2)一般数据库用户不应该有create或delete与数据库相关文件的操作系统权限。3)如果操作系统能为数据库用户分配角色,那么安全性管理者必须有修改操作系统帐户安全性区域的操作系统权限。2.用户安全性策略用户安全性策略(1)一般用户的安全性 1)密码的安全性 2)权限管理(2)终端用户的安全性3.数据库管理者
5、安全性策略数据库管理者安全性策略(1)保护作为sys和system用户的连接(2)保护管理者与数据库的连接(3)使用角色对管理者权限进行管理4.应用程序开发者的安全性策略应用程序开发者的安全性策略(1)应用程序开发者和他们的权限(2)应用程序开发者的环境 1)程序开发者不应与终端用户竞争数据库资源;2)程序开发者不能损害数据库其他应用产品。(3)应用程序开发者的空间限制作为数据库安全性管理者,应该特别地为每个应用程序开发者设置以下的一些限制:1)开发者可以创建table或index的表空间;2)在每一个表空间中,开发者所拥有的空间份额。6.2.2 6.2.2 创建用户创建用户创建用户创建用户
6、6.2.3 6.2.3 修改用户修改用户修改用户修改用户 6.2.4 6.2.4 删除用户删除用户删除用户删除用户 6.2.1 6.2.1 数据库的存取控制数据库的存取控制数据库的存取控制数据库的存取控制 6.2 用户管理1 1用户鉴别用户鉴别2 2用户的表空间设置和定额用户的表空间设置和定额6.2.1 数据库的存取控制3 3用户资源限制和环境文件用户资源限制和环境文件4 4用户环境文件用户环境文件1.用户鉴别用户鉴别为了防止非授权的数据库用户的使用,Oracle提供三种确认方法:操作系统确认,Oracle数据库确认和网络服务确认。由操作系统鉴定用户的优点是:1)用户能更快,更方便地联入数据库
7、。2)通过操作系统对用户身份确认进行集中控制:如果操作系统与数据库用户信息一致,那么Oracle无须存储和管理用户名以及密码。3)用户进入数据库和操作系统审计信息一致。2 2用户的表空间设置和定额用户的表空间设置和定额 关于表空间的使用有几种设置选择:用户的缺省表空间用户的临时表空间数据库表空间的空间使用定额3.用户资源限制和环境文件用户资源限制和环境文件用户可用的各种系统资源总量的限制是用户安全域的部分。利用显式地设置资源限制,安全管理员可防止用户无控制地消耗宝贵的系统资源。资源限制是由环境文件管理。一个环境文件是命名的一组赋给用户的资源限制。另外Oracle为安全管理员在数据库提供是否对环
8、境文件资源限制的选择。Oracle可限制几种类型的系统资源的使用,每种资源可在会话级、调用级或两者上控制。在会话级:每一次用户连接到一数据库,建立一会话。每一个会话在执行SQL语句的计算机上耗费CPU时间和内存量进行限制。在调用级:在SQL语句执行时,处理该语句有几步,为了防止过多地调用系统,Oracle在调用级可设置几种资源限制。有下列资源限制:(1)为了防止无控制地使用CPU时间,Oracle可限制每次Oracle调用的CPU时间和在一次会话期间Oracle调用所使用的CPU的时间,以0.01秒为单位。(2)为了防止过多的I/O,Oracle可限制每次调用和每次会话的逻辑数据块读的数目。(
9、3)Oracle在会话级还提供其它几种资源限制。每个用户的并行会话数的限制。会话空闲时间的限制,如果一次会话的Oracle调用之间时间达到该空闲时间,当前事务被回滚,会话被中止,会话资源返回给系统。每次会话可消逝时间的限制,如果一次会话期间超过可消逝时间的限制,当前事务被回滚,会话被删除,该会话的资源被释放。每次会话的专用SGA空间量的限制。4用户环境文件用户环境文件用户环境文件是指定资源限制的命名集,可赋给Oracle数据库的有效的用户。利用用户环境文件可容易地管理资源限制。在许多情况中决定用户的环境文件的合适资源限制的最好的方法是收集每种资源使用的历史信息。6.2.2 创建用户使用CREA
10、TE USER语句可以创建一个新的数据库用户,执行该语句的用户必须具有CREATE USER系统权限。在创建用户时必须指定用户的认证方式。一般会通过Oracle数据库对用户身份进行验证,即采用数据库认证方式。在这种情况下,创建用户时必须为新用户指定一个口令,口令以加密方式保存在数据库中。当用户连接数据库时,Oracle从数据库中提取口令来对用户的身份进行验证。使用IDENTIFIED BY子句为用户设置口令,这时用户将通过数据库来进行身份认证。如果要通过操作系统来对用户进行身份认证,则必须使用IDENTIFIED EXTERNAL BY子句。使用DEFAULT TABLESPACE子句为用户指
11、定默认表空间。如果没有指定默认表空间,Oracle会把SYSTEM表空间作为用户的默认表空间。为用户指定了默认表空间之后,还必须使用QUOTA子句来为用户在默认表空间中分配的空间配额。此外,常用的一些子句有:TEMPORARY TABLESPACE子句:为用户指定临时表空间。PROFILE子句:为用户指定一个概要文件。如果没有为用户显式地指定概要文件,Oracle将自动为他指定DEFAULT概要文件。DEFAULT ROLE子句:为用户指定默认的角色。PASSWORD EXPIRE子句:设置用户口令的初始状态为过期。ACCOUNT LOCK子句:设置用户账户的初始状态为锁定,缺省为:ACCOU
12、NT UNLOCK。在建立新用户之后,通常会需要使用GRANT语句为他授予CREATE SESSION系统权限,使他具有连接到数据库中的能力。或为新用户直接授予Oracle中预定义的CONNECT角色。6.2.3 修改用户在创建用户之后,可以使用ALTER USER语句对用户进行修改,执行该语句的用户必须具有ALTER USER系统权限。例如:利用下面的语句可以修改用户chenjie的认证方式、默认表空间、空间配额:ALTER USER chenjieIDENTIFIED BY chenjie_pwQUATA 10M ON mbl_tbs;ALTER USER语句最常用的情况是用来修改用户自己
13、 的 口 令,任 何 用 户 都 可 以 使 用 ALTER USERIDENTIFIED BY语句来修改自己的口令,而不需要具有任何其他权限。但是如果要修改其他用户的口令,则必须具有ALTER USER系统权限。DBA还会经常使用ALTER USER语句锁定或解锁用户账户。例如:ALTER USER chenjie ACCOUNT LOCK;ALTER USER chenjie ACCOUNT UNLOCK;6.2.4 删除用户使用DROP USER语句可以删除已有的用户,执行该语句的用户必须具有DROP USER系统权限。如果用户当前正连接到数据库中,则不能删除这个用户。要删除已连接的用户
14、,首先必须使用ALTER SYSTEMKILL SESSION语句终止他的会话,然后再使用DROP USER语句将其删除。如果要删除的用户模式中包含有模式对象,必须在DROP USER子句中指定CASCADE关键字,否则Oracle将返回错误信息。例如:利用下面的语句将删除用户chenjie,并且同时删除他所拥有的所有表、索引等模式对象:DROP USER chenjie CASCADE;6.3.2 6.3.2 创建角色创建角色创建角色创建角色 6.3.3 6.3.3 授予权限或角色授予权限或角色授予权限或角色授予权限或角色 6.3.4 6.3.4 回收权限或角色回收权限或角色回收权限或角色回
15、收权限或角色 6.3.1 6.3.1 基本概念基本概念基本概念基本概念 6.3 权限和角色 6.3.5 6.3.5 激活和禁用角色激活和禁用角色激活和禁用角色激活和禁用角色 1 1权限权限2 2角色角色6.3.1 基本概念1.权限权限 权限是执行一种特殊类型的SQL语句或存取另一用户的对象的权力。有两类权限:系统权限和对象权限。1)系统权限:是执行一处特殊动作或者在对象类型上执行一种特殊动作的权利。系统权限可授权给用户或角色,一般,系统权限只授予管理人员和应用开发人员,终端用户不需要这些相关功能。2)对象权限:在指定的表、视图、序列、过程、函数或包上执行特殊动作的权利。2.角色角色为相关权限的
16、命名组,可授权给用户和角色。数据库角色包含下列功能:(1)一个角色可授予系统权限或对象权限。(2)一个角色可授权给其它角色,但不能循环授权。(3)任何角色可授权给任何数据库用户。(4)授权给用户的每一角色可以是可用的或者不可用的。一个用户的安全域仅包含当前对该用户可用的全部角色的权限。(5)一个间接授权角色对用户可显式地使其可用或不可用。在一个数据库中,每一个角色名必须唯一。角色名与用户不同,角色不包含在任何模式中,所以建立角色的用户被删除时不影响该角色。一般,建立角色服务有两个目的:为数据库应用管理权限和为用户组管理权限。相应的角色称为应用角色和用户角色。应用角色是授予的运行数据库应用所需的
17、全部权限。用户角色是为具有公开权限需求的一组数据库用户而建立的。用户权限管理是受应用角色或权限授权给用户角色所控制,然后将用户角色授权给相应的用户。ORACEL利用角色更容易地进行权限管理。有下列优点:(1)减少权限管理,不要显式地将同一权限组授权给几个用户,只需将这权限组授给角色,然后将角色授权给每一用户。(2)动态权限管理,如果一组权限需要改变,只需修改角色的权限,所有授给该角色的全部用户的安全域将自动地反映对角色所作的修改。(3)权限的选择可用性,授权给用户的角色可选择地使其可用或不可用。(4)应用可知性,当用户经用户名执行应用时,该数据库应用可查询字典,将自动地选择使角色可用或不可用。
18、(5)应用安全性,角色使用可由口令保护,应用可提供正确的口令使用角色,如不知其口令,不能使用角色。使用CREATE ROLE语句可以创建一个新的角色,执行该语句的用户必须具有CREATE ROLE系统权限。在角色刚刚创建时,它并不具有任何权限,这时的角色是没有用处的。因此,在创建角色之后,通常会立即为它授予权限。例如:利用下面的语句创建了一个名为OPT_ROLE的角色,并且为它授予了一些对象权限和系统权限:CREATE ROLE OPT_ROLE;GRANT SELECT ON sal_history TO OPT_ROLE;GRANT INSERT,UPDATE ON mount_entry
19、 TO OPT_ROLE;GRANT CREATE VIEW TO OPT_ROLE;6.3.2 创建角色在创建角色时必须为角色命名,新建角色的名称不能与任何数据库用户或其他角色的名称相同。与用户类似,角色也需要进行认证。在执行CREATE ROLE语句创建角色时,默认地将使用NOT IDENTIFIED子句,即在激活和禁用角色时不需要进行认证。如果需要确保角色的安全性,可以在创建角色时使用IDENTIFIED子句来设置角色的认证方式。与用户类似,角色也可以使用两种方式进行认证。使用ALTER ROLE语句可以改变角色的口令或认证方式。例如:利用下面的语句来修改OPT_ROLE角色的口令(假设
20、角色使用的是数据库认证方式):ALTER ROLE OPT_ROLE IDENTIFIED BY accts*new;1 1授予系统权限授予系统权限2 2授予对象权限授予对象权限6.3.3 授予权限或角色3 3授予角色授予角色1.授予系统权限授予系统权限在GRANT关键字之后指定系统权限的名称,然后在TO关键字之后指定接受权限的用户名,即可将系统权限授予指定的用户。例如:利用下面的语句可以相关权限授予用户chenjie:GRANT CREATE USER,ALTER USER,DROP USER TO chenjieWITH ADMIN OPTION;2授予对象权限授予对象权限 Oracle对
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Oracle 安全管理
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。