《华联学院面向移动商务数据库技术课件第13章用户权限与安全》由会员分享,可在线阅读,更多相关《华联学院面向移动商务数据库技术课件第13章用户权限与安全(21页珍藏版)》请在金锄头文库上搜索。
1、1第13章 用户权限与安全 当储户到银行存款、取款时,出于安全方面的考虑,储户必须提供账号和密码,只有账号和密码正确时才能取款。同样,当该问Oracle数据库时,为了确保数据库的安全性,用户也必须提供用户名和密码,然后才能连接到数据库。另外,为了防止合法用户的非法访问,Oracle提供了权限、角色机制,以防止用户非法对数据库进行非法操作。所有这些,共同构成了Oracle数据库的安全机制。2本章知识要点: 用户与模式 创建用户 修改用户 管理用户会话 资源配置文件PROFILE PROFILE密码保护 PROFILE资源保护 管理系统权限 管理对象权限 预定义角色 管理自定义角色313.1 用户
2、和模式 Oracle数据库的安全保护流程可以总结为三个步骤:首先,用户向数据库提供身份识别信息,即提供一个数据库账号。接下来用户还需要证明他们所给出的身份识别信息是有效的,这是通过输入密码实现的,用户输入的密码会经过数据库的核对,决定用户提供的密码是否正确。最后,假设密码是正确的,那么数据库认为身份识别信息是可信赖的。此时,数据库将会在基于身份识别信息的基础上决定用户所拥有的权限,即用户可以数据库执行什么操作。13.2 管理用户 Oracle数据库提供了对用户非常有效的管理方式。管理员可以对用户账户设置各种安全参数,以防止授权用户、非授权用户对数据库进行非法的访问。可以设置的安全参数主要包括用
3、户名/口令、用户默认表空间、用户临时表空间、空间存取限额和用户配置文件。413.2.1 创建用户 创建一个新的数据库用户是使用CREATE USER语句完成的,该语句一般是由DBA用户来执行;如果要以其他用户身份创建用户,则要求用户必须具有CREATE USDER系统权限。5613.2.2 修改用户 在创建用户后,还允许对其进行修改,修改用户信息是使用ALTER USER命令完成的。一般情况下,该命令是由DBA执行的,如果要以其他用户身份修改用户信息,则必须具有ALTER USER系统权限。对用户的修改包括:登录密码、用户默认表空间、临时表空间、磁盘的限额等。713.2.3 删除用户 当删除一
4、个用户时,系统会将该用户账号以及用户模式的信息从数据字典中删除。用户被删除后,用户创建的所有数据库对象也被全部删除。删除用户可以使用DROP USER语句。如果用户当前正连接到数据库,则不能删除该用户,必须等到该用户退出系统后再删除。13.3 资源配置PROFILE 访问Oracle数据库时,必须提供用户名和密码,然后才能连接到数据库。为了防止其他人员窃取用户密码,DBA必须充分考虑用户密码的安全性,以防止非法人员连接到数据库执行非法操作。对于大型数据库管理系统而言,数据库用户众多,并且不同用户担负不同的管理任务,为了有效利用服务器资源,还应该限制不同用户的资源占用。813.3.1 PROFI
5、LE概念 PROFILE作为用户配置文件,它是密码限制、资源限制的命名集合。PROFILE文件作为Oracle安全策略的重要组成部分,利用它可以对数据库用户进行基本的资源限制,并且可以对用户的密码进行管理。913.3.2 使用PROFILE管理密码 当操作人员要连接到Oracle数据库时,需要提供用户和密码。对于黑客或某些人而言,他们可能通过猜想或反复试验来破解密码。为了加强密码的安全性,可以使用PROFILE文件管理密码。PROFILE文件提供了一些密码管理选项,它们提供了强大的密码管理功能,从而确保密码的安全。为了实现密码限制,必须首先建立PROFILE文件。1013.3.3 使用PROF
6、IL管理资源 在大而复杂的多用户数据库环境中,因为用户众多,所以系统资源可能会成为影响性能的主要“瓶颈”。为了有效地利用系统资源,应根据用户所承担任务的不同为其分配合理的资源。PROFILE不仅可用于管理用户密码,还可用于管理用户资源。需要注意,如果使用PROFILE管理资源,必须设置RESOURCE_LIMIT参数设置为TRUE以激活用资源限制。1113.3.4 修改和删除PROFILE 在创建PROFILE文件之后,还可以使用ALTER PROFILE语句修改其中的资源参数和密码参数。例如,下面的语句对PROFILE文件RESOURCE_LIMIT进行修改:12SQL alter prof
7、ile resource_limit limit 2 cpu_per_session 15000 3 sessions_per_user 5 4 cpu_per_call 500 5 password_life_time 30 6 failed_login_attempts 5;配置文件已更改13.3.5 显示PROFILE信息 建立或修改用户时,可以为用户分配PROFILE文件。如果没有为用户分配PROFILE文件,Oracle会自动将DEFAULT分配给用户。通过查询数据字典视图DBA_USERS,可以显示用户使用的PROFILE文件。例如,下面的语句将显示用户DEVELOPER所使用的P
8、ROFILE文件:13SQL select profile 2 from dba_users 3 where username=DEVELOPER;13.4 管理权限 刚建立用户是没有任何权限,这也就意味着该用户不能执行任何操作。如果用户要执行特定的数据库操作,则必须具有系统权限;如果用户要访问其他模式中的对象,则必须具有相应的对象权限。1413.4.1 权限简介 权限(PRIVILEGE)是指执行特定类型的SQL语句,或访问其他模式对象的权利。Oracle的权限可以分成两类:系统权限和对象权限。1513.4.2 管理系统权限 系统权限是指执行特定类型SQL语句的权利。一般情况下,系统权限需要
9、授予数据库管理人员和应用程序开发人员。数据库管理人员还可以将系统权限授予其他用户,并允许用户将该系统权限再授予另外的用户。同时,也可以将系统权限从被授权用户中收回系统权限。 1613.4.3 管理对象权限 对象权限指访问其他用户模式对象的权利。在Oracle数据库中,用户可以直接访问其模式对象,但如果要访问其他用户的模式对象时,必须具有相应的对象权限。17ALTERDELETEEXECUTEINDEXINSERTRREADREFERENCESELECTUPDATEDIRECTORYFUNCTIONPROCEDUREPACKAGESEQUENCETABLEVIEW13.5 管理角色 Oracle
10、的权限是非常繁多的,这就为DBA有效地管理数据库权限带来了困难。另外,数据库的用户经常由几十个、几百个、甚至成千上万。如果管理员为每个用户授予或者撤消相应的系统权限和对象权限,则这个工作量是非常庞大的。为简化权限管理,Oracle提供了角色的概念。1813.5.1 角色的概念 角色是具有名称的一组相关权限的组合,即将不同的权限组合在一起就成形成了角色。可以使用角色为用户授权,同样也可以从用户中回收角色。由于角色集合了多种权限,所以当为用户授予角色时,相当于为用户授予了多种权限。这样就避免了向用户逐一授权,从而简化了用户权限的管理。1913.5.2 预定义角色 系统预定义角色就是在安装数据库后,由系统自动创建的一些的角色,这些角色已经由系统授予了相应的权限。管理员不再需要先创建预定义角色,就可以将它们授予用户。2013.5.3 管理自定义角色 自定义角色是在建立数据库之后由DBA用户建立的角色。该类角色初始没有任何权限,为了使角色起作用,可以为其授予相应的权限。角色不仅可以简化权限管理,还可以通过禁止或激活角色控制权限的可用性。21
