《Oracle 11g管理与编程基础 教学课件 ppt 作者 王鹏杰 王存睿 郑海旭 Chapt08 数据库的安全性》由会员分享,可在线阅读,更多相关《Oracle 11g管理与编程基础 教学课件 ppt 作者 王鹏杰 王存睿 郑海旭 Chapt08 数据库的安全性(35页珍藏版)》请在金锄头文库上搜索。
1、任课:* Email: *,大型数据库技术(Oracle11g),欢迎全国读者加入教材/课程讨论QQ群:249449451 问题探讨、授课咨询请加作者QQ:535413184,Oracle客户机与服务器结构,T1,T2,Tn,Oracle数据库的安全性,方案 (Schema)的概念 用户管理 权限管理 角色管理 数据库审计,方案的概念,方案是一些数据库对象的集合 方案与用户是一一对应的。,5,创建用户时要指定的参数,用户名、口令 用户默认表空间 用户临时表空间 用户存储空间限额,CREATE USER 用户名 INDENTIFIED BY 口令 EXTERNALLY DEFAULT TABLE
2、SPACE 表空间名 TEMPORARY TABLESPACE 表空间名 QUOTA 整数 K/M ON 表空间名 UNLIMITED,创建用户语法,例:建立用户 CREATE USER operator IDENTIFIED BY oral DEFAULT TABLESPACE userData TEMPORARY TABLESPACE tempUser QUOTA 5M ON userData QUOTA 5M ON tempUser; CREATE USER db_owner IDENTIFIED BY oral DEFAULT TABLESPACE userData TEMPORARY
3、 TABLESPACE tempUser;,创建用户例子,修改用户语法,ALTER USER db_owner INDENTIFIED BY oracle DEFAULT TABLESPACE userdata02; ALTER USER db_owner quota 500m on userData;,修改用户例子,删除用户: DROP USER 用户名 CASCADE 例如: DROP USER bradley CASCADE ;,删除用户,权限分类,对象权限:在某个特定的对象(表、视图、序列、过程、函数或包)上执行特定操作的权限。 系统权限:与特定对象无关或作用于全体对象上的权限。,系统
4、权限分为三类,授予用户建立自己的对象 Create table,create cluster,create sequence等 授予用户可以对某类型的所有对象进行操作: Create any index,execute any procedure,grant any role 授予用户对数据库系统进行操作: Create session,create tablespace, alter system,对象权限,授权语句语法(系统权限),授权语句语法(对象权限),例1:将CREATE SESSION系统权限 授予operator 。 GRANT create session TO operato
5、r ; 例2:将 CREATE TABLE 系统权限 授予operator并允许其再传递。 GRANT create table TO richard WITH ADMIN OPTION ;,授权语句例子,回收权限语法,例:从用户Bill和Mary回收DROP ANY TABLE系统权限。 REVOKE drop any table FROM bill , mary ;,回收权限例子,回收系统权限的级联情况,例1: GRANT select ON dept TO stu10 , stu11 ; 例2: GRANT select , insert(empno , ename) , update(
6、ename) ON emp TO scott WITH GRANT OPTION ;,对象权限的授予例子,例1: REVOKE select ON dept FROM stu10 , stu11 ; 例2: REVOKE all ON emp FROM scott ;,对象权限的回收例子,对象权限的回收的连锁情况,角色是由一个命名的关联权限 组组成,用来维护和控制权限。 角色的特点: 减少授权次数 动态的权限管理,角色定义,用户1,用户1,用户1,权限1,权限2,权限3,权限4,无角色管理的授权示意图,用户1,用户2,用户3,权限1,权限2,权限3,权限4,角色1,有角色管理的授权示意图,26
7、,建立角色,CREATE ROLE sales_clerk;,CREATE ROLE hr_clerk IDENTIFIED BY bonus;,27,修改角色,ALTER ROLE hr_manager NOT IDENTIFIED;,ALTER ROLE sales_clerk IDENTIFIED BY commission;,28,将角色分配给用户,GRANT sales_clerk TO scott;,GRANT hr_manager TO scott WITH ADMIN OPTION;,29,设置缺省角色,ALTER USER scott DEFAULT ROLE hr_cler
8、k, sales_clerk;,ALTER USER scott DEFAULT ROLE ALL;,ALTER USER scott DEFAULT ROLE ALL EXCEPT hr_clerk;,ALTER USER scott DEFAULT ROLE NONE;,30,禁止和激活角色,SET ROLE sales_clerk IDENTIFIED BY commission;,SET ROLE ALL EXCEPT sales_clerk;,SET ROLE NONE;,SET ROLE hr_clerk;,31,收回和删除角色,REVOKE sales_clerk FROM sc
9、ott;,DROP ROLE hr_manager;,32,数据库审计,和审计相关的两个参数 Audit_sys_operations Audit_trail,alter system set audit_sys_operations=TRUE scope=spfile;,alter system set audit_trail=DB scope=spfile;,33,审计级别,语句级(Statement)审计 audit table audit session 权限级(Privilege)审计 audit select any table 对象级(Object)审计 aduit alter, delete, insert on user1.t by scott,34,审计选项,by access / by session by access 每一个被审计的操作都会生成一条audit trail by session 一个会话里面同类型的操作只会生成一条audit trail,默认为by session whenever not successful 操作成功(dba_audit_trail中returncode字段为0) 才审计 操作不成功才审计,童鞋们,下课了。,
