《Oracle11g教程第10章数据库安全操作PPT课件》由会员分享,可在线阅读,更多相关《Oracle11g教程第10章数据库安全操作PPT课件(49页珍藏版)》请在金锄头文库上搜索。
1、第第1010章章 数据库安全操作数据库安全操作主编:刘志成12024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程本章学习导航本章学习导航本章学习导航本章学习导航 22024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程本章学习要点本章学习要点(1)数据库安全)数据库安全概述概述。(2)数据库安全)数据库安全策略策略。(3)使用)使用OEM进行进行用户管理用户管理。(4)使用)使用PL/SQL进行进行用户管理用户管理。(5)使用)使用OEM进行进行角色管理角色管理。(6)使用)使用PL/SQL进行进
2、行角色管理角色管理。(7)授权授权和和撤消权限撤消权限。(8)数据库审计数据库审计。 建议课时:建议课时:8课时课时32024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程10.1数据库安全管理概述 安全管理概述安全管理概述l数据库的安全性是指保护数据库,防止非法操作所造成的数据泄露、数据库的安全性是指保护数据库,防止非法操作所造成的数据泄露、篡改或损坏。在计算机系统中,安全性问题普遍存在,特别是当大量用篡改或损坏。在计算机系统中,安全性问题普遍存在,特别是当大量用户共享数据库中的数据时,安全问题尤其明显。保证数据库安全也成为户共享数据库中的数据
3、时,安全问题尤其明显。保证数据库安全也成为DBA一项最重要的工作一项最重要的工作。42024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程10.1数据库安全管理概述 安全管理概述安全管理概述在在Oracle多用户数据库系统中,安全机制完成以下任务:多用户数据库系统中,安全机制完成以下任务:l 防止未经授权的数据存取;防止未经授权的数据存取;l 防止未经授权的方案对象存取;防止未经授权的方案对象存取;l 控制磁盘使用;控制磁盘使用;l 控制系统资源的使用;控制系统资源的使用;l 审计用户操作。审计用户操作。l 数据库安全可以分为系统安全和数据安全。
4、数据库安全可以分为系统安全和数据安全。l 系统安全包括在系统级别上,控制数据库的存取和使用的机制。系统系统安全包括在系统级别上,控制数据库的存取和使用的机制。系统安全机制检查用户是否被授权连接到数据库,数据库审计是否是活动的,安全机制检查用户是否被授权连接到数据库,数据库审计是否是活动的,用户可以执行哪些系统操作等。用户可以执行哪些系统操作等。l 数据安全包括在方案对象级别上,控制数据库的存取和使用的机制,数据安全包括在方案对象级别上,控制数据库的存取和使用的机制,如哪个用户可以存取指定的方案对象,在方案对象上允许每个用户采取如哪个用户可以存取指定的方案对象,在方案对象上允许每个用户采取的操作
5、,每个方案对象的审计操作。的操作,每个方案对象的审计操作。 52024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程10.2 安全策略 系统安全策略系统安全策略1数据库用户管理数据库用户管理数据库用户是存取数据库中数据库用户是存取数据库中信息的通道信息的通道,必须对数据库用户进行严格的,必须对数据库用户进行严格的安全管理。既可以由安全管理员作为唯一有权限创建、修改和删除数据安全管理。既可以由安全管理员作为唯一有权限创建、修改和删除数据库用户的用户,也可以由多个有权限的管理员来管理数据库用户。库用户的用户,也可以由多个有权限的管理员来管理数据库用户
6、。2用户验证用户验证为了防止数据库用户未经授权访问,为了防止数据库用户未经授权访问,Oracle提供主机操作系统、网络服提供主机操作系统、网络服务和数据库验证等方法对数据库用户实施验证。一般情况下,使用一种务和数据库验证等方法对数据库用户实施验证。一般情况下,使用一种方法验证数据库中的所有用户,但也允许在同一数据库实例中使用多种方法验证数据库中的所有用户,但也允许在同一数据库实例中使用多种验证方法。验证方法。3操作系统安全操作系统安全有时候可以为运行有时候可以为运行Oracle 和数据库应用程序的操作系统环境考虑安全:和数据库应用程序的操作系统环境考虑安全:DBA必须有创建和删除文件的操作系统
7、权限;通常的数据库用户不应该必须有创建和删除文件的操作系统权限;通常的数据库用户不应该有创建和删除文件的操作系统权限;若操作系统识别用户的数据库角色,有创建和删除文件的操作系统权限;若操作系统识别用户的数据库角色,则安全管理员必须拥有操作系统权限,以修改系统账户和安全域。则安全管理员必须拥有操作系统权限,以修改系统账户和安全域。 62024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程10.2 安全策略 数据安全策略数据安全策略数据安全数据安全包括在对象级控制数据库访问和使用的机制,它决定了哪个用包括在对象级控制数据库访问和使用的机制,它决定了哪
8、个用户访问特定方案对象,在对象上允许每个用户的特定类型操作,也可以户访问特定方案对象,在对象上允许每个用户的特定类型操作,也可以定义审计每个方案对象的操作。定义审计每个方案对象的操作。为数据库中数据创建的安全等级决定数据安全策略。若要允许任何用户为数据库中数据创建的安全等级决定数据安全策略。若要允许任何用户创建任何方案对象,或将对象的存取权限授予系统中的其他用户,数据创建任何方案对象,或将对象的存取权限授予系统中的其他用户,数据库将缺乏安全保障。当希望仅有库将缺乏安全保障。当希望仅有DBA或安全管理员有权限创建对象,并或安全管理员有权限创建对象,并向角色和用户授权对象的存取权限时,必须完全控制
9、数据安全。向角色和用户授权对象的存取权限时,必须完全控制数据安全。数据安全应该基于数据的机密程度。若信息是非机密的,数据安全策略数据安全应该基于数据的机密程度。若信息是非机密的,数据安全策略可以不那样严密,否则数据安全策略应该严格控制对象的存取可以不那样严密,否则数据安全策略应该严格控制对象的存取 。 72024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程10.2 安全策略 用户安全策略用户安全策略用户安全策略包括一般用户、最终用户、管理员、应用程序开发人员和用户安全策略包括一般用户、最终用户、管理员、应用程序开发人员和应用程序管理员的安全策略
10、。应用程序管理员的安全策略。1一般用户安全一般用户安全对于一般用户安全,主要考虑口令安全和权限管理问题。对于一般用户安全,主要考虑口令安全和权限管理问题。(1)口令安全)口令安全 (2)权限管理)权限管理 2最终用户安全最终用户安全 3管理员安全管理员安全由于由于SYSTEM和和SYS用户拥有强大的权限,在创建数据库后,应该立即用户拥有强大的权限,在创建数据库后,应该立即修改修改SYSTEM和和SYS用户的口令用户的口令 4应用程序开发人员安全应用程序开发人员安全5应用程序管理员安全应用程序管理员安全82024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例
11、例教教程程课堂案例1用户管理 掌握Oracle中应用OEM和PL/SQL创建用户、修改用户、删除用户的方法和基本步骤 。案例学习目标案例学习目标 OEM创建用户、OEM修改用户、OEM删除用户、PL/SQL创建用户、PL/SQL修改用户、PL/SQL删除用户 。案例知识要点案例知识要点 92024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例1 用户管理 案例完成步骤案例完成步骤1OEM创建用户创建用户 (1)启动)启动OEM后,单击后,单击“数据库实例数据库实例”的的“服务器服务器”页页面中面中“安全性安全性”区域的区域的“用户用户”链
12、接,进入链接,进入“用户用户”页面页面 (2) 单击单击“创建创建”按钮,进入按钮,进入“创建用户创建用户”页面。输入页面。输入新用户名称、口令和确认口令。新用户名称、口令和确认口令。(3)单击)单击“确定确定”按钮,成功创建用户。按钮,成功创建用户。教教师师演演示示讲讲解解102024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例1 用户管理 案例完成步骤案例完成步骤1PL/SQL创建用户创建用户 【例例1-1】创建用户创建用户LIUZC,执行数据库验证方式。,执行数据库验证方式。CREATE USER LIUZC IDENTIFIED
13、BY 123456;【例例1-2】创建用户创建用户WANGYM,执行操作系统验证方式。,执行操作系统验证方式。CREATE USER WANGYM IDENTIFIED EXTERNALLYDEFAULT TABLESPACE USERSTEMPORARY TABLESPACE TEMP;教教师师演演示示讲讲解解112024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例1 用户管理 案例完成步骤案例完成步骤2OEM修改用户修改用户 (1)在)在 “用户用户”页面中,选择需要修改的用户,单击页面中,选择需要修改的用户,单击“编辑编辑”按钮,
14、进入按钮,进入“编辑用户编辑用户”页页。(2)在)在“编辑用户编辑用户”页面中修改用户的信息,如口令、页面中修改用户的信息,如口令、默认表空间、临时表空间、权限和状态等,单击默认表空间、临时表空间、权限和状态等,单击“应用应用”按钮完成用户修改操作按钮完成用户修改操作 。教教师师演演示示讲讲解解122024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例1 用户管理 案例完成步骤案例完成步骤2PL/SQL修改用户修改用户 【例1-3】修改用户LIUZC的密码为LIUZC888,并锁定该用户。ALTER USER LIUZCIDENTIFIE
15、D BY LIUZC888ACCOUNT LOCK;教教师师演演示示讲讲解解132024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例1 用户管理 案例完成步骤案例完成步骤3OEM删除用户删除用户 进进入入OEM后后,进进入入 “用用户户”页页面面,选选择择需需要要删删除除的的用用户户,单单击击“删删除除”按按钮钮,进进入入“确确认认删删除除”页页面面。再再单单击击“是是”按钮即可完成删除用户的操作。按钮即可完成删除用户的操作。教教师师演演示示讲讲解解3PL/SQL删除用户删除用户 【例1-4】删除用户LIUZC及其方案中包含的全部对象。
16、DROP USER LIUJIN CASCADE;142024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例1 用户管理 案例完成步骤案例完成步骤4监控用户监控用户 教教师师演演示示讲讲解解【例1-5】查看当前数据库中所有LIU开始的用户的详细信息并按用户名降序排列。SELECT * FROM ALL_USERS WHERE USERNAME LIKE %LIU%ORDER BY USERNAME DESC;152024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例2角色管理 掌握O
17、racle中应用OEM和PL/SQL创建角色、修改角色、删除角色、启用/禁用角色的方法和基本步骤 。案例学习目标案例学习目标 OEM创建角色、OEM修改角色、OEM删除角色、PL/SQL创建角色、PL/SQL修改角色、PL/SQL删除角色、PL/SQL启用/禁用角色 。案例知识要点案例知识要点 162024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例2 角色管理 角色概述角色概述角色(角色(Role)是具有名称的一组相关权限的组合,即将不同的权限集合在)是具有名称的一组相关权限的组合,即将不同的权限集合在一起就形成了角色。一起就形成了角
18、色。(1)减少权限的授予)减少权限的授予DBA可以将一组相关的用户权限授予某个角色,再将角色授予该组中每个可以将一组相关的用户权限授予某个角色,再将角色授予该组中每个成员,从而不再需要单独为每个用户授予同一批权限。成员,从而不再需要单独为每个用户授予同一批权限。(2)动态权限管理)动态权限管理在一组权限需要修改时,只需要修改角色的权限即可,被授予该组角色的在一组权限需要修改时,只需要修改角色的权限即可,被授予该组角色的所有用户的安全域自动反映该角色的修改。所有用户的安全域自动反映该角色的修改。(3)选择权限的可用性)选择权限的可用性授予用户的角色既可以使之可用,也可以使之不能使用,这就允许在一
19、些授予用户的角色既可以使之可用,也可以使之不能使用,这就允许在一些特定场合中特殊控制用户的权限。特定场合中特殊控制用户的权限。(4)应用程序角色)应用程序角色数据库应用程序可以设计为在用户试图使用该程序时自动使用或不自动使数据库应用程序可以设计为在用户试图使用该程序时自动使用或不自动使用选择的角色。用选择的角色。在在Oracle中进行角色(主要是用户自定义角色)管理主要包括创建角色、中进行角色(主要是用户自定义角色)管理主要包括创建角色、修改角色和删除角色等操作。修改角色和删除角色等操作。 教教师师演演示示讲讲解解172024/7/24O Or ra ac cl le e数数据据库库管管理理与
20、与应应用用实实例例教教程程课堂案例2 角色管理 案例完成步骤案例完成步骤1OEM创建角色创建角色 (1)使用)使用SYS或或SYSTEM用户账户进入用户账户进入OEM,单击,单击OEM中中“数据库实例数据库实例”的的“服务器服务器”页中页中“安全性安全性”区域的区域的“角色角色”链接,进入链接,进入“角色角色”页面页面 。(2)单击)单击“创建创建”按钮,进入按钮,进入“创建角色创建角色”页面。输入页面。输入新角色名称(如:新角色名称(如:super),并选择验证方式。),并选择验证方式。 (3)单击)单击“确定确定”按钮,成功创建角色后将进入按钮,成功创建角色后将进入 “创建创建角色确认角色
21、确认”页面。页面。教教师师演演示示讲讲解解182024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例2 角色管理 案例完成步骤案例完成步骤1PL/SQL创建角色创建角色 【例例2-1】创建角色创建角色GENERAL,由数据库使用口令来验证。,由数据库使用口令来验证。CREATE ROLE GENERALIDENTIFIED BY 123456;可以通过数据字典可以通过数据字典DBA_ROLES查看角色的情况:查看角色的情况:SELECT * FROM DBA_ROLES;教教师师演演示示讲讲解解192024/7/24O Or ra ac
22、cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例2 角色管理 案例完成步骤案例完成步骤2OEM修改角色修改角色 (1)在)在 “角色角色”页面,选择需要修改的角色,单击页面,选择需要修改的角色,单击“编编辑辑”按钮,进入按钮,进入“编辑角色编辑角色”页面页面 。(2)在)在“编辑角色编辑角色”页面中修改角色的信息,如验证类页面中修改角色的信息,如验证类型,单击型,单击“应用应用”按钮完成角色修改操作。按钮完成角色修改操作。 教教师师演演示示讲讲解解202024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例2 角色管理
23、 案例完成步骤案例完成步骤2PL/SQL修改角色修改角色 【例例2-2】修改角色修改角色GENERAL,设置不需要口令就可以使,设置不需要口令就可以使用该角色。用该角色。ALTER ROLE GENERALNOT IDENTIFIED;教教师师演演示示讲讲解解212024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例2 角色管理 案例完成步骤案例完成步骤3OEM删除角色删除角色 进入进入OEM后,在后,在 “角色角色”页面,选择需要删除的角色,页面,选择需要删除的角色,单击单击“删除删除”按钮,进入按钮,进入“确认删除确认删除”页面。再单
24、击页面。再单击“是是”按钮,即可完成删除角色的操作。按钮,即可完成删除角色的操作。 教教师师演演示示讲讲解解3PL/SQL删除角色删除角色 【例2-3】删除角色GENERAL。DROP ROLE GENERAL;222024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例2 角色管理 案例完成步骤案例完成步骤4启用启用/禁用角色禁用角色 【例例2-4】为为GENERAL角色设置密码角色设置密码720518SET ROLE GENERALidentified by 720518;【例例2-5】为用户为用户LIUZC授予角色授予角色CONNEC
25、T、RESOURCE、DBA和和GENERAL角色后,禁用该用户的所有角色。角色后,禁用该用户的所有角色。GRANT CONNECT, RESOURCE,DBA,GENERAL TO LIUZC;以以LIUZC用户登录系统后,使用以下用户登录系统后,使用以下PL/SQL语句禁用该用户的所语句禁用该用户的所有角色:有角色:SET ROLE NONE;如果要启用该用户的如果要启用该用户的CONNECT角色,可以使用以下角色,可以使用以下PL/SQL语句语句启用启用CONNECT角色:角色:SET ROLE CONNECT;教教师师演演示示讲讲解解232024/7/24O Or ra ac cl l
26、e e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例2 角色管理 案例完成步骤案例完成步骤4启用启用/禁用角色禁用角色 角色启用角色启用/禁用后,可以查询数据字典视图禁用后,可以查询数据字典视图SESSION_ROLES查看查看用户的角色情况:用户的角色情况:SELECT * FROM SESSION_ROLES;教教师师演演示示讲讲解解242024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例2 角色管理 案例完成步骤案例完成步骤4启用启用/禁用角色禁用角色 用户所属角色也可以在修改用户的时候进行启用或禁用。用户所属角色也可以
27、在修改用户的时候进行启用或禁用。【例例2-6】修改用户修改用户LIUZC,为其设置默认角色为,为其设置默认角色为CONNECT。ALTER USER LIUZCDEFAULT ROLE CONNECT;【例例2-7】修改用户修改用户LIUZC,禁用该用户的所有角色。,禁用该用户的所有角色。ALTER USER LIUZCDEFAULT ROLE NONE;【例例2-8】修改用户修改用户LIUZC,启用该用户的,启用该用户的GENERAL角色之外的角色之外的所有角色。所有角色。ALTER USER LIUZCDEFAULT ROLE ALL EXCEPT GENERAL;教教师师演演示示讲讲解解
28、252024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例2 角色管理 预定义角色预定义角色Oracle系统的预定义角色是在安装数据库后,由系统自动创建的系统的预定义角色是在安装数据库后,由系统自动创建的一些角色,这些角色已经由系统授予了相应的权限。一些角色,这些角色已经由系统授予了相应的权限。 教教师师演演示示讲讲解解262024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例3权限管理 掌握Oracle中应用OEM和PL/SQL授予系统权限、授予对象权限、回收系统权限、回收对象权限
29、的方法和一般步骤 。案例学习目标案例学习目标 OEM授予系统权限、OEM授予对象权限、OEM回收系统权限、OEM回收对象权限、PL/SQL授予系统权限、PL/SQL授予对象权限、PL/SQL回收系统权限、PL/SQL回收对象权限 。案例知识要点案例知识要点 272024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例3 权限管理 权限概述权限概述Oracle系统使用其系统使用其授权机制授权机制,来实现用户对数据库及其对象的存取控制和,来实现用户对数据库及其对象的存取控制和安全保证。用户必须被授予权限才能在数据库中执行对应的操作。安全保证。用
30、户必须被授予权限才能在数据库中执行对应的操作。权限权限(Privilege)是允许用户对数据库进行数据库操作的权力。权限可)是允许用户对数据库进行数据库操作的权力。权限可以分为以分为系统权限系统权限和和对象权限对象权限两类。系统权限允许用户创建、修改和删除各两类。系统权限允许用户创建、修改和删除各种数据库结构,而对象权限则允许用户对特定对象执行操作。种数据库结构,而对象权限则允许用户对特定对象执行操作。Oracle数据库中通常存在两大类用户:一类是创建和管理数据库结构和对数据库中通常存在两大类用户:一类是创建和管理数据库结构和对象的用户,另一类是需要使用现有对象的应用程序用户。前者需要系统权象
31、的用户,另一类是需要使用现有对象的应用程序用户。前者需要系统权限,后者需要对象权限。限,后者需要对象权限。DBA可以把可以把权限授予权限授予用户,也可以从用户手中用户,也可以从用户手中收回权限收回权限。使用角色则将。使用角色则将多个系统和对象的权限合并在一起,可以将角色授予用户,从而简化权限多个系统和对象的权限合并在一起,可以将角色授予用户,从而简化权限的管理。的管理。 282024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例3 权限管理 案例完成步骤案例完成步骤授予权限授予权限1使用使用OEM授予权限授予权限 (1)进进入入“编编辑辑
32、角角色色”的的“系系统统权权限限”页页面面。在在“编编辑辑角角色色”的的“系统权限系统权限”页面中显示了当前角色的系统权限页面中显示了当前角色的系统权限 。(2)单单击击“编编辑辑列列表表”按按钮钮,进进入入“角角色色”的的“修修改改系系统统权权限限”页面页面 。(3)也也可可以以通通过过OEM为为角角色色或或用用户户设设置置对对象象权权限限,步步骤骤同同系系统统权限。权限。 教教师师演演示示讲讲解解292024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例3 权限管理 案例完成步骤案例完成步骤授予权限授予权限2使用使用PL/SQL授予权
33、限授予权限 GRANT授予系统权限的基本语法格式为:授予系统权限的基本语法格式为:GRANT | , TO | | PUBLIC , WITH ADMIN OPTION;授予对象权限的基本语法格式为:授予对象权限的基本语法格式为:GRANT | ALL PRIVILEGES (列列 , ), ON . | DIRECTORY TO 用户用户| 角色角色 | PUBLIC WITH ADMIN OPTION;教教师师演演示示讲讲解解302024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例3 权限管理 案例完成步骤案例完成步骤授予权限授予权
34、限2使用使用PL/SQL授予权限授予权限 【例例2-9】授予角色授予角色SUPER连接数据库的系统权限。连接数据库的系统权限。GRANT CREATE SESSION TO SUPER;【例例2-10】将角色将角色SUPER角色授予用户角色授予用户LIUZC,使之具有,使之具有连接数据库的权限。连接数据库的权限。GRANT SUPER TO LIUZC;【例例2-11】将查询、添加、修改和删除用户方案将查询、添加、修改和删除用户方案SCOTT中中的用户表的用户表USERS 的权限授予用户的权限授予用户LIUZC,并允许该用户,并允许该用户可以将该权限授予其他用户或角色。可以将该权限授予其他用户
35、或角色。GRANT SELECT ON SCOTT.USERS TO LIUZC WITH GRANT OPTION;GRANT INSERT ON SCOTT.USERS TO LIUZC WITH GRANT OPTION;教教师师演演示示讲讲解解312024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例3 权限管理 案例完成步骤案例完成步骤收回权限收回权限1使用使用OEM收回权限收回权限 进进入入SUPER角角色色的的“编编辑辑角角色色”页页面面,选选择择“对对象象权权限限”选选项项卡卡,显显示示当当前前用用户户的的所所有有对对象象
36、权权限限。选选择择需需要要删删除除的的授授权权选选项项(如如:SELECT)中中。单单击击“删删除除”按按钮钮,收收回指定的对象权限。回指定的对象权限。 教教师师演演示示讲讲解解322024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例3 权限管理 案例完成步骤案例完成步骤回收权限回收权限2使用使用PL/SQL回收权限回收权限 令令REVOKE收回收回系统权限系统权限的基本语法格式为:的基本语法格式为:REVOKE | , FROM | | PUBLIC , REVOKE收回收回对象权限对象权限的基本语法格式为:的基本语法格式为:REVO
37、KE | ALL PRIVILEGES, ON . | DIRECTORY FROM 用户用户| 角色角色 | PUBLIC CASCADE CONSTRAINTS FORCE;【例例2-12】收回用户收回用户LIUZC对用户方案对用户方案SCOTT中的用户表中的用户表USERS进行更新和删除的权限。进行更新和删除的权限。REVOKE DELETE ON SCOTT.USERS FROM LIUZC;REVOKE UPDATE ON SCOTT.USERS FROM LIUZC;【例例2-13】收回角色收回角色SUPER拥有的连接数据库的权限。拥有的连接数据库的权限。REVOKE CREATE
38、 SESSION FROM SUPER;教教师师演演示示讲讲解解332024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例4管理概要文件 掌握Oracle中应用OEM和PL/SQL创建概要文件、修改概要文件、删除概要文件、为用户指定概要文件的方法和一般步骤 。案例学习目标案例学习目标 OEM创建概要文件、OEM修改概要文件、OEM删除概要文件、OEM为用户指定概要文件、PL/SQL创建概要文件、PL/SQL修改概要文件、PL/SQL删除概要文件、PL/SQL为用户指定概要文件 。案例知识要点案例知识要点 342024/7/24O Or r
39、a ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例4管理概要文件案例完成步骤案例完成步骤创建概要文件创建概要文件1使用使用OEM创建概要文件创建概要文件 (1)登登录录到到OEM后后,依依次次选选择择“服服务务器器”、“安安全全性性”,单击,单击“概要文件概要文件”链接,进入链接,进入“概要文件概要文件”页面页面 。 (2)在在概概要要文文件件管管理理页页面面中中单单击击“创创建建”按按钮钮,即即可可进进入下图所示的创建概要文件的入下图所示的创建概要文件的“一般信息一般信息”页面。页面。 教教师师演演示示讲讲解解352024/7/24O Or ra ac cl l
40、e e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例4管理概要文件案例完成步骤案例完成步骤创建概要文件创建概要文件2使用使用PL/SQL创建概要文件创建概要文件 【例4-1】使用命令方式创建概要文件“NEWPRO”,要求空闲时间10分钟,登录3次后锁定,有效期为15天。CREATE PROFILE AMYPROFILELIMITIDLE_TIME 10FAILED_LOGIN_ATTEMPTS 3PASSWORD_LIFE_TIME 15; 教教师师演演示示讲讲解解362024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例4管理
41、概要文件案例完成步骤案例完成步骤管理概要文件管理概要文件1使用使用OEM管理概要文件管理概要文件 概概要要文文件件文文件件创创建建好好之之后后,可可以以在在如如图图10-25所所示示的的概概要要文文件件查查看看页页面面,选选择择要要管管理理的的概概要要文文件件,单单击击“编编辑辑”按按钮钮可可以以对对选选定定的的概概要要文文件件进进行行修修改改操操作作;单单击击“查查看看”按按钮钮,可可以以查查看看所所选选择择的的概概要要文文件件;单单击击“删删除除”按按钮钮,可可以所选择的概要文件。以所选择的概要文件。 教教师师演演示示讲讲解解372024/7/24O Or ra ac cl le e数数据
42、据库库管管理理与与应应用用实实例例教教程程课堂案例4管理概要文件案例完成步骤案例完成步骤管理概要文件管理概要文件2使用使用PL/SQL管理概要文件管理概要文件格式一(用于查看数据字典中的参数信息):格式一(用于查看数据字典中的参数信息):DESC ;格式二(用于查看概要文件的存储信息):格式二(用于查看概要文件的存储信息):SELECT FROM WEHRE expresstion;格式三(修改概要文件):格式三(修改概要文件):ALTER PROFILE语句;语句;格式四(删除概要文件):格式四(删除概要文件):DROP PROFILE ;格式五(为用户分配概要文件):格式五(为用户分配概要
43、文件):ALTER USER PROFILE ;【例例4-2】使用命令方式为使用命令方式为“LIUZC”用户分配概要文件用户分配概要文件“MYPROFILE”。ALTER USER LIUZCPROFILE MYPROFILE;教教师师演演示示讲讲解解382024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程课堂案例5数据库审计 掌握Oracle中应用OEM和PL/SQL创建概要文件、修改概要文件、删除概要文件、为用户指定概要文件的方法和一般步骤 。案例学习目标案例学习目标 OEM创建概要文件、OEM修改概要文件、OEM删除概要文件、OEM为用户
44、指定概要文件、PL/SQL创建概要文件、PL/SQL修改概要文件、PL/SQL删除概要文件、PL/SQL为用户指定概要文件 。案例知识要点案例知识要点 392024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程10.7.1 审计策略 审计策略审计策略 审计的原因主要有以下几种:审计的原因主要有以下几种:l 信息目的信息目的:可以使用审计保存关于系统的特定历史信息,:可以使用审计保存关于系统的特定历史信息,这可以提供有价值的一些内容。这可以提供有价值的一些内容。l 可疑行为可疑行为:可以使用审计踪迹来调查:可以使用审计踪迹来调查Oracle数据库中
45、发数据库中发生的可疑活动。生的可疑活动。明确了使用审计的原因,接着应该遵循审计指导思想。明确了使用审计的原因,接着应该遵循审计指导思想。(1)信息目的的审计)信息目的的审计(2)可疑行为的审计)可疑行为的审计教教师师演演示示讲讲解解402024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程10.7.2 审计类型 审计策略审计策略 1语句审计语句审计语句审计是指对指定的语句审计是指对指定的SQL语句语句进行审计,而不是它操作的进行审计,而不是它操作的方案对象或结构。方案对象或结构。语句审计又可以分为两类:语句审计又可以分为两类:DDL语句审计和语句
46、审计和DML语句审计语句审计,前者审计所有的前者审计所有的CREATE和和DROP TABLE语句,后者审计所语句,后者审计所有的有的SELECT FROM语句。语句。2权限审计权限审计权限审计是对被允许使用系统权限的语句的审计。例如,权限审计是对被允许使用系统权限的语句的审计。例如,SELECT ANY TABLE系统权限的审计。系统权限的审计。3对象审计对象审计对象审计用于审计指定对象上的对象审计用于审计指定对象上的GRANT、REVOKE及指定及指定DML语句。对象审计对于审计对象特权允许的操作,如指定语句。对象审计对于审计对象特权允许的操作,如指定表上的表上的SELECT或或UPDAT
47、E语句。语句。 教教师师演演示示讲讲解解412024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程10.7.3审计踪迹 审计踪迹审计踪迹 1默认的审计事件默认的审计事件(1)实例启动)实例启动(2)实例关闭)实例关闭(3)用管理员权限连接到数据库)用管理员权限连接到数据库2审计审计SQL语句和权限语句和权限 (1)使用)使用OEM进行数据库审计进行数据库审计 教教师师演演示示讲讲解解422024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程10.7.3审计踪迹 审计踪迹审计踪迹 (2)使用)使用PL
48、/SQL语句审计语句审计SQL语句和权限语句和权限 【例5-1】审计用户LIUZC执行的添加、更新和删除表或视图中的数据行的语句。ADDIT INSERT TABLE, UPDATE TABLE, DELETE TABLE BY LIUZC;【例5-2】审计成功执行创建、修改、删除或设置角色的每个语句。ADDIT ROLE WHENEVER SUCCESSFUL;【例5-3】审计使用CREATE ANY TABLE系统权限发出的语句。ADDIT CREATE ANY TABLE;教教师师演演示示讲讲解解432024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实
49、实例例教教程程10.7.3审计踪迹 审计踪迹审计踪迹 3审计对象审计对象 (1)使用)使用OEM进行对象审计进行对象审计 教教师师演演示示讲讲解解442024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程10.7.3审计踪迹 审计踪迹审计踪迹 (2)使用)使用PL/SQL语句审计对象语句审计对象 AUDIT命令实现SQL语句和权限的审计,其基本语法格式为:AUDIT 操作 , ON 方案. | DIRECTORY | DEFAULT BY SESSION | ACCESS WHENEVER NOT SUCCESSFUL ;【例5-4】审计查询SC
50、OTT用户方案中商品表GOODS的SELECT语句。ADDIT SELECT ON SCOTT.GOODS;教教师师演演示示讲讲解解452024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程10.7.3审计踪迹 审计踪迹审计踪迹 4停止审计停止审计 (1)使用)使用OEM停止数据库审计停止数据库审计 在在 “审计设置审计设置”页面中页面中“审计的对象审计的对象”选项卡中,选择指选项卡中,选择指定的要停止的审计对象,单击定的要停止的审计对象,单击“移去移去”按钮,进入按钮,进入“停止审停止审计确认计确认”页面。页面。教教师师演演示示讲讲解解4620
51、24/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程10.7.3审计踪迹 审计踪迹审计踪迹 (2)使用)使用PL/SQL语句停止数据库审计语句停止数据库审计 使用NOAUDIT停止对SQL语句或权限审计的基本语法格式为:NOAUDIT SQL语句 | 权限 , BY , WHENEVER NOT SUCCESSFUL ;其中,各个参数的含义和使用AUDIT命令审计SQL语句或权限中的类似。使用NOAUDIT停止对对象审计的基本语法格式为:NOAUDIT 操作 , ON 方案. | DIRECTORY | DEFAULT WHENEVER NOT S
52、UCCESSFUL ;【例5-5】停止审计用户方案SCOTT中执行查询表或视图的操作。NOAUDIT SELECT TABLE BY SCOTT;教教师师演演示示讲讲解解472024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程(1)创建用户)创建用户“NEWUSER”。(2)查看用户)查看用户“NEWUSER”的信息。的信息。(3)将用户)将用户“NEWUSER”添加到添加到CONNECT角色。角色。任务任务1 1482024/7/24O Or ra ac cl le e数数据据库库管管理理与与应应用用实实例例教教程程(1)使用命令方式创建用户
53、)使用命令方式创建用户“ANOTHERUSER”。(2)使用命令方式修改用户)使用命令方式修改用户“ANOTHERUSER”。(3)使用命令方式收回)使用命令方式收回“ANOTHERUSER”用户所拥有的能对用户所拥有的能对 “SCOTT.BookInfo”表的添加记录操作的权限。表的添加记录操作的权限。(4)使用命令方式删除)使用命令方式删除“ANOTHERUSER”用户。用户。(5)使用命令方式创建名为)使用命令方式创建名为“NEWROLE”的角色,并授予的角色,并授予“DBA”角色。角色。(6)使用命令方式查看)使用命令方式查看DBA_ROLES字典存储的角色信息。字典存储的角色信息。(7)使用命令方式创建概要文件)使用命令方式创建概要文件“NEWPRO”,要求空闲时间,要求空闲时间10分钟,登录分钟,登录3次后锁定,有效期为次后锁定,有效期为15天。天。(8)使用命令方式为)使用命令方式为“ANOTHERUSER”用户分配概要文件用户分配概要文件“NEWPRO”。任务任务2 249
