[精选]数据库安全管理教材30977.pptx

数据库安全管理数据库安全管理主要内容主要内容l用户管理 l权限管理 l角色管理l概要文件管理l审计 用户管理用户管理lOracle数据库初始用户 l SYS：是数据库中具有最高权限的数据库管理员，可以启动、修改和关闭数据库，拥有数据字典；l SYSTEM：是一个辅助的数据库管理员lSCOTT：是一个用于测试网络连接的用户，其口令为TIGER。lPUBLIC：实质上是一个用户组，数据库中任何一个用户都属于该组成员。要为数据库中每个用户都授予某个权限，只需把权限授予PUBLIC就可以了。l用户属性l用户身份认证方式l默认表空间l临时表空间l表空间配额 l概要文件 l账户状态身份认证方式（身份认证方式（sysdbasysdba身份）身份）l操作系统认证条件：l文件$ORACLE_HOME/NETWORK/ADMIN/SQLNET.ORA中的SQLNET.AUTHENTICATION_SERVICES=（NTS）l当前登录操作系统的用户必须属于OraDBA组l 方式：lSqlplus /as sysdbalconn/as sysdba身份认证方式（身份认证方式（sysdbasysdba身份）身份）l密码文件认证条件：l初始化参数REMOTE_LOGIN_PASSWORDFILE=Exclusive 或者 Sharedl当前登录操作系统的用户必须属于OraDBA组l 方式：lSqlplus用户名/密码 as sysdbalconn 用户名/密码 as sysdba身份认证方式（身份认证方式（NormalNormal身份）身份）l普通用户的数据库认证方式l密码认证方式：条件：没有条件，任何时候都可以lSqlplus 用户名/密码lconn 用户名/密码l操作系统认证方式：条件：文件$ORACLE_HOME/NETWORK/ADMIN/SQLNET.ORA中的SQLNET.AUTHENTICATION_SERVICES=（NTS）lSqlplus/lconn /创建用户创建用户Create UserIdentified By Default Tablespace Temporary Tablespace Quota 数值K|数值M|Unlimited on 表空间Profile 概要文件名Default role 默认角色Password ExpireAccount Lock|Unlock;举例举例Create user aIdentified by a1234Default tablespace usersQuota 10M on users;l注意l在创建新用户后，必须为用户授予适当的权限，用户才可以进行相应的数据库操作。例如，授予用户CREATE SESSION权限后，用户才可以连接到数据库。修改用户修改用户ALTER USER user_name IDENTIFIEDBY password|EXTERNALLY|GLOBALLY AS external_nameDEFAULT TABLESPACE tablespace_nameTEMPORARY TABLESPACE temp_tablesapce_nameQUOTA n K|M|UNLIMITED ON tablespace_namePROFILE profile_nameDEFAULT ROLE role_list|ALL EXCEPT role_list|NONEPASSWORD EXPIREACCOUNT LOCK|UNLOCK;删除用户删除用户l基本语法lDROP USER user_name CASCADE;l步骤l先删除用户所拥有的对象l再删除用户l将参照该用户对象的其他数据库对象标志为INVALIDl处于连接状态的用户不可删除查询用户信息查询用户信息lALL_USERS：包含数据库所有用户的用户名、用户ID和用户创建时间。lDBA_USERS：包含数据库所有用户的详细信息。lUSER_USERS：包含当前用户的详细信息。lDBA_TS_QUOTAS：包含所有用户的表空间配额信息。lUSER_TS_QUOTAS：包含当前用户的表空间配额信息。lV$SESSION：包含用户会话信息。lV$OPEN_CURSOR：包含用户执行的SQL语句信息。l查看数据库所有用户名及其默认表空间。lSELECT SERNAME,DEFAULT_TABLESPACE lFROM DBA_USERS;l查看数据库中各用户的登录时间、会话号。lSELECT lSID,SERIAL#,LOGON_TIME,USERNAME lFROM V$SESSION;权限管理权限管理l权限管理概述l系统权限管理l对象权限管理l查询权限信息12.3.112.3.1权限管理概述权限管理概述l所谓权限就是执行特定类型SQL命令或访问其他用户的对象的权利。l系统权限：系统权限是指在数据库级别执行某种操作的权限，或针对某一类对象执行某种操作的权限。例如，CREATE SESSION权限、CREATE ANY TABLE权限。l对象权限：对象权限是指对某个特定的数据库对象执行某种操作的权限。例如，对特定表的插入、删除、修改、查询的权限。l授权方法l直接授权：利用GRANT命令直接为用户授权。l间接授权：先将权限授予角色，然后再将角色授予用户。授权授权lGrant 系统权限 to 用户名 with admin optionlGrant sysdba to 用户名lGrant 对象权限 on 对象名 to 用户名with grant option对 象 权 限适 合 对 象对象权限功能说明SELECT表、视图、序列查询数据操作UPDATE表、视图更新数据操作DELETE表、视图删除数据操作INSERT表、视图插入数据操作REFERENCES表在其他表中创建外键时可以引用该表EXECUTE存储过程、函数、包执行PL/SQL存储过程、函数和包READ目录读取目录ALTER表、序列修改表或序列结构INDEX表为表创建索引ALL具有对象权限的所有模式对象某个对象所有对象权限操作集合撤销权限撤销权限lrevoke 系统权限 from 用户名lrevoke sysdba from 用户名lrevoke 对象权限 on 对象名 from 用户名lWITH ADMIN OPTIONl当甲用户授权给乙用户，且激活该选项，则被授权的乙用户具有管理该权限的能力：或者能把得到的权限再授给其他用户丙，或者能回收授出去的权限。l当甲用户收回乙用户的权限后，乙用户曾经授给丙用户的权限仍然存在l与WITH GRANT OPTION比较l当甲用户授权给乙用户，且激活该选项，则被授权的乙用户具有管理该权限的能力：或者能把得到的权限再授给其他用户丙，或者能回收授出去的权限。l当甲用户收回乙用户的权限后，乙用户曾经授给丙用户的权限也被回收。撤销具有撤销具有ADMIN OPTION系统权限系统权限GRANTREVOKEREVOKE CREATE TABLE FROM jeff;用户 权限 对象 DBAJeffEmiJeffEmiDBA撤销具有撤销具有GRANT OPTION对象权限对象权限 GRANT REVOKE Bob Jeff Emi Emi Jeff Bob 查询权限信息查询权限信息nDBA_TAB_PRIVS：包含数据库所有对象的授权信息nALL_TAB_PRIVS：包含数据库所有用户和PUBLIC用户组的对象授权信息nUSER_TAB_PRIVS：包含当前用户对象的授权信息nDBA_COL_PRIVS：包含所有字段已授予的对象权限nALL_COL_PRIVS：包含所有字段已授予的对象权限信息nUSER_COL_PRIVS：包含当前用户所有字段已授予的对象权限信息。nDBA_SYS_PRIVS：包含授予用户或角色的系统权限信息nUSER_SYS_PRIVS：包含授予当前用户的系统权限信。角色角色l具有名称的一组权限的定义。使用角色可以简化对用户的授权，只需要将用户添加到角色中，用户自动具有该角色所有的权限。l系统角色l用户自定义角色OracleOracle数据库角色概述数据库角色概述 l角色的概念l所谓角色就是一系列相关权限的集合预定义角色预定义角色l预定义角色概述l预定义角色是指在Oracle数据库创建时由系统自动创建的一些常用的角色，这些角色已经由系统授予了相应的权限。lDBA可以直接利用预定义的角色为用户授权，也可以修改预定义角色的权限。lOracle数据库中有30多个预定义角色。l可以通过数据字典视图DBA_ROLES查询当前数据库中所有的预定义角色，通过DBA_SYS_PRIVS查询各个预定义角色所具有的系统权限。创建角色创建角色Create role 角色名Not identified|Identified by 口令给角色分配权限给角色分配权限lGrant 系统权限 to 角色名lGrant 对象权限 on 对象名 to 角色名lGrant 角色 to 角色名l说明l给角色授予适当的系统权限、对象权限或已有角色。l在数据库运行过程中，可以为角色增加权限，也可以回收其权限。l给角色授权时应该注意，一个角色可以被授予另一个角色，但不能授予其本身，不能产生循环授权。收回权限收回权限lrevoke 系统权限 from 角色名lrevoke 对象权限 on 对象名 from 角色名lrevoke 角色 from 角色名将用户添加到角色中将用户添加到角色中lGrant 角色名 to 用户名lRevoke 角色名 from 用户名查询角色信息查询角色信息lDBA_ROLESDBA_ROLES：包含数据库中所有角色及其描述包含数据库中所有角色及其描述；lDBA_ROLE_PRIVSDBA_ROLE_PRIVS：包含为数据库中所有用户和角色授予的角色包含为数据库中所有用户和角色授予的角色信息信息；lUSER_ROLE_PRIVSUSER_ROLE_PRIVS：包含为当前用户授予的角色信息；：包含为当前用户授予的角色信息；lROLE_ROLE_PRIVSROLE_ROLE_PRIVS：为角色授予的角色信息；：为角色授予的角色信息；lROLE_SYS_PRIVSROLE_SYS_PRIVS：为角色授予的系统权限信息；：为角色授予的系统权限信息；lROLE_TAB_PRIVSROLE_TAB_PRIVS：为角色授予的对象权限信息；：为角色授予的对象权限信息；lSESSION_PRIVSSESSION_PRIVS：当前会话所具有的系统权限信息；：当前会话所具有的系统权限信息；lSESSION_ROLESSESSION_ROLES：当前会话所具有的角色信息。：当前会话所具有的角色信息。l查询角色CONNECT所具有的系统权限信息。lSELECT*lFROM ROLE_SYS_PRIVS lWHERE ROLE=CONNECT;l查询DBA角色被授予的角色信息。lSELECT*lFROM ROLE_ROLE_PRIVS lWHERE ROLE=DBA;概要文件概要文件l概要文件（PROFILE）是数据库和系统资源限制的集合，是Oracle数据库安全策略的重要组成部分。l利用概要文件，可以限制用户对数据库和系统资源的使用，同时还可以对用户口令进行管理。l在Oracle数据库创建的同时，系统会创建一个名为DEFAULT的默认概要文件。如果没有为用户显式地指定一个概要文件，系统默认将DEFAULT概要文件作为用户的概要文件。l必须将Resource_limit参数设置为true，概要文件才会生效概要文件概要文件lOEM创建lCreate profile limit创建l创建或修改用户时启用概要文件lCREATECREATE PROFILEPROFILE PRO2 LIMITLIMIT CPU_PER_SESSIONCPU_PER_SESSION 6000CPU_PER_CALLCPU_PER_CALL 10CONNECT_TIMECONNECT_TIME 10IDLE_TIMEIDLE_TIME 3SESSIONS_PER_USERSESSIONS_PER_USER 1LOGICAL_READS_PER_SESSIONLOGICAL_READS_PER_SESSION 20LOGICAL_READS_PER_CALLLOGICAL_READS_PER_CALL 2PRIVATE_SGAPRIVATE_SGA DEFAULTDEFAULTCOMPOSITE_LIMITCOMPOSITE_LIMIT DEFAULTDEFAULTPASSWORD_LIFE_TIMEPASSWORD_LIFE_TIME 7PASSWORD_GRACE_TIMEPASSWORD_GRACE_TIME 2PASSWORD_REUSE_MAXPASSWORD_REUSE_MAX 2PASSWORD_REUSE_TIMEPASSWORD_REUSE_TIME unlimitedunlimitedPASSWORD_LOCK_TIMEPASSWORD_LOCK_TIME 1FAILED_LOGIN_ATTEMPTSFAILED_LOGIN_ATTEMPTS 3PASSWORD_VERIFY_FUNCTIONPASSWORD_VERIFY_FUNCTION DEFAULTDEFAULT审计审计l监视和记录所选用户的数据活动，用于调查可疑活动，监视与收集特定数据库活动的记录。l需要先开启审计功能lAlter system set audit_trail=true scope=spfilel重启数据库lOracle 11g默认审计功能是开启的指定审计选项指定审计选项 l审计 SQL 语句：l审计系统权限：l 审计对象权限：AUDIT select any table,create any trigger;AUDIT select any table BY hr BY SESSION;AUDIT table;AUDIT session;AUDIT ALL on hr.employees;AUDIT UPDATE,DELETE on hr.employees BY ACCESS;审计的一些其他选项审计的一些其他选项lby access/by session：lby access每一个被审计的操作都会生成一条audit traillby session一个会话里面同类型的操作只会生成一条audit trail，默认为by sessionlwhenever not successful：lwhenever successful操作成功才审计lwhenever not successful反之。省略该子句的话，不管操作成功与否都会审计。审计相关的数据字典视图审计相关的数据字典视图ldba_audit_trail：保存所有的audit trail，实际上它只是一个基于aud$的视图。ldba_audit_session,dba_audit_object,dba_audit_statement都只是dba_audit_trail的一个子集。ldba_stmt_audit_opts：可以用来查看statement审计级别的audit options，即数据库设置过哪些statement级别的审计。ldba_obj_audit_opts,dba_priv_audit_opts视图功能与之类似l9、静夜四无邻，荒居旧业贫。3月-233月-23Friday,March 17,2023l10、雨中黄叶树，灯下白头人。16:56:5616:56:5616:563/17/2023 4:56:56 PMl11、以我独沈久，愧君相见频。3月-2316:56:5616:56Mar-2317-Mar-23l12、故人江海别，几度隔山川。16:56:5616:56:5616:56Friday,March 17,2023l13、乍见翻疑梦，相悲各问年。3月-233月-2316:56:5616:56:56March 17,2023l14、他乡生白发，旧国见青山。17 三月 20234:56:56 下午16:56:563月-23l15、比不了得就不比，得不到的就不要。三月 234:56 下午3月-2316:56March 17,2023l16、行动出成果，工作出财富。2023/3/17 16:56:5616:56:5617 March 2023l17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。4:56:56 下午4:56 下午16:56:563月-23l9、没有失败，只有暂时停止成功！。3月-233月-23Friday,March 17,2023l10、很多事情努力了未必有结果，但是不努力却什么改变也没有。16:56:5616:56:5616:563/17/2023 4:56:56 PMl11、成功就是日复一日那一点点小小努力的积累。3月-2316:56:5616:56Mar-2317-Mar-23l12、世间成事，不求其绝对圆满，留一份不足，可得无限完美。16:56:5616:56:5616:56Friday,March 17,2023l13、不知香积寺，数里入云峰。3月-233月-2316:56:5616:56:56March 17,2023l14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 三月 20234:56:56 下午16:56:563月-23l15、楚塞三湘接，荆门九派通。三月 234:56 下午3月-2316:56March 17,2023l16、少年十五二十时，步行夺得胡马骑。2023/3/17 16:56:5616:56:5617 March 2023l17、空山新雨后，天气晚来秋。4:56:56 下午4:56 下午16:56:563月-23l9、杨柳散和风，青山澹吾虑。3月-233月-23Friday,March 17,2023l10、阅读一切好书如同和过去最杰出的人谈话。16:56:5616:56:5616:563/17/2023 4:56:56 PMl11、越是没有本领的就越加自命不凡。3月-2316:56:5616:56Mar-2317-Mar-23l12、越是无能的人，越喜欢挑剔别人的错儿。16:56:5616:56:5616:56Friday,March 17,2023l13、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2316:56:5616:56:56March 17,2023l14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 三月 20234:56:56 下午16:56:563月-23l15、最具挑战性的挑战莫过于提升自我。三月 234:56 下午3月-2316:56March 17,2023l16、业余生活要有意义，不要越轨。2023/3/17 16:56:5616:56:5617 March 2023l17、一个人即使已登上顶峰，也仍要自强不息。4:56:56 下午4:56 下午16:56:563月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉