Oracle数据库安全管理PPT课件(-102页).ppt

《Oracle数据库安全管理PPT课件(-102页).ppt》由会员分享，可在线阅读，更多相关《Oracle数据库安全管理PPT课件(-102页).ppt（101页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第10章章 安全管理安全管理主要内容主要内容pOracle数据库安全性概述p用户管理 p权限管理 p角色管理p概要文件管理p审计 p利用OEM进行安全管理本章要求本章要求p了解Oracle数据库安全机制p掌握用户管理p掌握权限管理p掌握角色管理p了解概要文件的作用及其应用p了解审计及其应用10.1 数据库安全性概述数据库安全性概述p数据库的安全性主要包括两个方面的含义：n一方面是防止非法用户对数据库的访问，未授权的用一方面是防止非法用户对数据库的访问，未授权的用户不能登录数据库；户不能登录数据库；n另一方面是每个数据库用户都有不同的操作权限，只另一方面是每个数据库用户都有不同的操作权限，只能

2、进行自己权限范围内的操作。能进行自己权限范围内的操作。pOracle数据安全控制机制 n用户管理用户管理n权限管理权限管理 n角色管理角色管理 n表空间设置和配额表空间设置和配额 n用户资源限制用户资源限制 n数据库审计数据库审计 pOracle数据库的安全可以分为两类：n系统安全性系统安全性p系统安全性是指在系统级控制数据库的存取和使用的机制，包括有效的用户名与口令的组合、用户是否被授权可连接数据库、用户创建数据库对象时可以使用的磁盘空间大小、用户的资源限制、是否启动了数据库审计功能，以及用户可进行哪些系统操作等。n数据安全性数据安全性p数据安全性是指在对象级控制数据库的存取和使用机制，包括

3、用户可存取的模式对象和在该对象上允许进行的操作等。 10.2 用户管理用户管理p用户管理概述 p创建用户 p修改用户 p删除用户 p查询用户信息 10.2.1用户管理概述用户管理概述pOracle数据库初始用户 n SYS：是数据库中具有最高权限的数据库管理员，可：是数据库中具有最高权限的数据库管理员，可以启动、修改和关闭数据库，拥有数据字典；以启动、修改和关闭数据库，拥有数据字典；n SYSTEM：是一个辅助的数据库管理员，不能启动和：是一个辅助的数据库管理员，不能启动和关闭数据库，但可以进行其他一些管理工作，如创建关闭数据库，但可以进行其他一些管理工作，如创建用户、删除用户等。用户、删除用

4、户等。nSCOTT：是一个用于测试网络连接的用户，其口令为：是一个用于测试网络连接的用户，其口令为TIGER。nPUBLIC：实质上是一个用户组，数据库中任何一个：实质上是一个用户组，数据库中任何一个用户都属于该组成员。要为数据库中每个用户都授予用户都属于该组成员。要为数据库中每个用户都授予某个权限，只需把权限授予某个权限，只需把权限授予PUBLIC就可以了。就可以了。p用户属性n用户身份认证方式用户身份认证方式n默认表空间默认表空间n临时表空间临时表空间n表空间配额表空间配额 n概要文件概要文件 n账户状态账户状态n用户身份认证方式用户身份认证方式p数据库身份认证：数据库用户口令以加密方式保

5、存在数据库内部，当用户连接数据库时必须输入用户名和口令，通过数据库认证后才可以登录数据库。 p外部身份认证：当使用外部身份认证时，用户的账户由Oracle数据库管理，但口令管理和身份验证由外部服务完成。外部服务可以是操作系统或网络服务。当用户试图建立与数据库的连接时，数据库不会要求用户输入用户名和口令，而从外部服务中获取当前用户的登录信息。 p全局身份认证：当用户试图建立与数据库连接时，Oracle使用网络中的安全管理服务器（Oracle Enterprise Security Manager）对用户进行身份认证。Oracle的安全管理服务器可以提供全局范围内管理数据库用户的功能。 n默认表空

6、间默认表空间p当用户在创建数据库对象时，如果没有显式地指明该对象在哪个表空间中存储，系统会自动将该数据库对象存储在当前用户的默认表空间中。如果没有为用户指定默认表空间，则系统将数据库的默认表空间作为用户的默认表空间。 n临时表空间临时表空间 p当用户进行排序、汇总和执行连接、分组等操作时，系统首先使用内存中的排序区SORT_AREA_SIZE，如果该区域内存不够，则自动使用用户的临时表空间。在Oracle 10g中，如果没有为用户指定临时表空间，则系统将数据库的默认临时表空间作为用户的临时表空间。n表空间配额表空间配额p表空间配额限制用户在永久表空间中可以使用的存储空间的大小，默认情况下，新建

7、用户在任何表空间中都没有任何配额。p用户在临时表空间中不需要配额。 n概要文件概要文件 p每个用户都必须有一个概要文件，从会话级和调用级两个层次限制用户对数据库系统资源的使用，同时设置用户的口令管理策略。如果没有为用户指定概要文件，Oracle将为用户自动指定DEFAULT概要文件。 n账户状态账户状态p在创建用户的同时，可以设定用户的初始状态，包括用户口令是否过期以及账户是否锁定等。Oracle允许任何时候对帐户进行锁定或解锁。锁定账户后，用户就不能与Oracle数据库建立连接，必须对账户解锁后才允许用户访问数据库。 10.2.2.创建用户创建用户p基本语法nCREATE USER user

8、_name IDENTIFIED nBY password|EXTERNALLY|GLOBALLYn AS external_namenDEFAULT TABLESPACE tablespace_namenTEMPORARY TABLESPACE temp_tablesapce_namenQUOTA n K|M|UNLIMITED ON tablespace_namenPROFILE profile_namenPASSWORD EXPIREnACCOUNT LOCK|UNLOCK;p参数说明nuser_name：用于设置新建用户名用于设置新建用户名，在数据库中用户名必须是在数据库中用户名必须是

9、唯一的唯一的；nIDENTIFIED：用于指明用户身份认证方式；：用于指明用户身份认证方式；nBY password：用于设置用户的数据库身份认证，其中：用于设置用户的数据库身份认证，其中password为用户口令；为用户口令；nEXTERNALLY：用于设置用户的外部身份认证；：用于设置用户的外部身份认证；nGLOBALLY ASexternal_name：用于设置用户的全局身：用于设置用户的全局身份认证，其中份认证，其中external_name为为Oracle的安全管理服务器相的安全管理服务器相关信息关信息；nDEFAULT TABLESPACE：用于设置用户的默认表空间，如果：用于设置

10、用户的默认表空间，如果没有指定，没有指定，Oracle将数据库默认表空间作为用户的默认表空间；将数据库默认表空间作为用户的默认表空间；nTEMPORARY TABLESPACE：用于设置用户的临时表空间；：用于设置用户的临时表空间；nQUOTA：用于指定用户在特定表空间上的配额，即用户在该表：用于指定用户在特定表空间上的配额，即用户在该表空间中可以分配的最大空间中可以分配的最大 空间；空间；nPROFILE：用于为用户指定概要文件，默认值为：用于为用户指定概要文件，默认值为DEFAULT，采用系统默认的概要文件；采用系统默认的概要文件；nPASSWORD EXPIRE：用于设置用户口令的初始状

11、态为过期，：用于设置用户口令的初始状态为过期，用户在首次登录数据库时必须修改口令；用户在首次登录数据库时必须修改口令；nACCOUNT LOCK：用于设置用户初始状态为锁定，默认为不：用于设置用户初始状态为锁定，默认为不锁定；锁定；nACCOUNT UNLOCK：用于设置用户初始状态为不锁定或解除：用于设置用户初始状态为不锁定或解除用户的锁定状态用户的锁定状态p注意n在创建新用户后，必须为用户授予适当的权限，用户在创建新用户后，必须为用户授予适当的权限，用户才可以进行相应的数据库操作。例如，授予用户才可以进行相应的数据库操作。例如，授予用户CREATE SESSION权限后，用户才可以连接到数

12、据权限后，用户才可以连接到数据库。库。p创建数据库用户示例 n创建一个用户创建一个用户user3，口令为，口令为user3，默认表空间为，默认表空间为USERS，在该表空间的配额为，在该表空间的配额为10 MB，初始状态为，初始状态为锁定。锁定。pCREATE USER user3 IDENTIFIED BY user3 pDEFAULT TABLESPACE USERS QUOTA 10M ON USERS ACCOUNT LOCK;n创建一个用户创建一个用户user4，口令为，口令为user4，默认表空间为，默认表空间为USERS，在该表空间的配额为，在该表空间的配额为10 MB。口令设置

13、为。口令设置为过期状态，即首次连接数据库时需要修改口令。概要过期状态，即首次连接数据库时需要修改口令。概要文件为文件为example_profile（假设该概要文件已经创（假设该概要文件已经创建）。建）。pCREATE USER user4 IDENTIFIED BY user4 pDEFAULT TABLESPACE USERS pQUOTA 10M ON USERSpPROFILE example_profile pPASSWORD EXPIRE; p基本语法nALTER USER user_name IDENTIFIEDnBY password|EXTERNALLY|GLOBALLY n

14、AS external_namenDEFAULT TABLESPACE tablespace_namenTEMPORARY TABLESPACE temp_tablesapce_namenQUOTA n K|M|UNLIMITED ON tablespace_namenPROFILE profile_namenDEFAULT ROLE role_list|ALL EXCEPT role_list n|NONEnPASSWORD EXPIREnACCOUNT LOCK|UNLOCK; 10.2.3 修改用户修改用户p参数说明nrole_list：角色列表；：角色列表；nALL ：表示所有角色；：

15、表示所有角色；nEXCEPT role_list：表示除了：表示除了role_list列表中的角列表中的角色之外的其他角色；色之外的其他角色；nNONE：表示没有默认角色。：表示没有默认角色。p注意，指定的角色必须是使用GRANT命令直接授予该用户的角色。p修改数据库用户示例n将用户user3的口令修改为newuser3，同时将该用户解锁。pALTER USER user3 pIDENTIFIED BY newuser3 ACCOUNT UNLOCK;n修改用户user4的默认表空间为ORCLTBS1，在该表空间的配额为20 MB，在USERS表空间的配额为10 MB。pALTER USER

16、user4pDEFAULT TABLESPACE ORCLTBS1 pQUOTA 20M ON ORCLTBS1 pQUOTA 10M ON USERS; p用户的锁定与解锁n某个用户暂时离开工作某个用户暂时离开工作 n某个用户永久离开工作某个用户永久离开工作nDBA创建的特殊用户帐户创建的特殊用户帐户p示例nALTER USER user3 ACCOUNT LOCK; nALTER USER user3 ACCOUNT UNLOCK;10.2.4删除用户删除用户p基本语法nDROP USER user_name CASCADE ;p步骤n先删除用户所拥有的对象先删除用户所拥有的对象n再删除用

17、户再删除用户n将参照该用户对象的其他数据库对象标志为将参照该用户对象的其他数据库对象标志为INVALID10.2.5查询用户信息查询用户信息pALL_USERS：包含数据库所有用户的用户名、用户ID和用户创建时间。pDBA_USERS：包含数据库所有用户的详细信息。pUSER_USERS：包含当前用户的详细信息。 pDBA_TS_QUOTAS：包含所有用户的表空间配额信息。pUSER_TS_QUOTAS：包含当前用户的表空间配额信息。pV$SESSION：包含用户会话信息。pV$OPEN_CURSOR：包含用户执行的SQL语句信息。p查看数据库所有用户名及其默认表空间。nSELECT SERN

18、AME,DEFAULT_TABLESPACE nFROM DBA_USERS; p查看数据库中各用户的登录时间、会话号。nSELECT nSID,SERIAL#,LOGON_TIME,USERNAME nFROM V$SESSION; 10.3 权限管理权限管理p权限管理概述p系统权限管理p对象权限管理p查询权限信息10.3.1权限管理概述权限管理概述p概念n所谓权限就是执行特定类型所谓权限就是执行特定类型SQLSQL命令或访问其他用户的命令或访问其他用户的对象的权利。用户在数据库中可以执行什么样的操作，对象的权利。用户在数据库中可以执行什么样的操作，以及可以对哪些对象进行操作，完全取决于该用

19、户所以及可以对哪些对象进行操作，完全取决于该用户所拥有的权限。拥有的权限。p分类n系统权限：系统权限是指在数据库级别执行某种操作系统权限：系统权限是指在数据库级别执行某种操作的权限，或针对某一类对象执行某种操作的权限。例的权限，或针对某一类对象执行某种操作的权限。例如如，CREATE SESSIONCREATE SESSION权限、权限、CREATE ANY TABLECREATE ANY TABLE权限。权限。n对象权限：对象权限是指对某个特定的数据库对象执对象权限：对象权限是指对某个特定的数据库对象执行某种操作的权限。例如行某种操作的权限。例如，对特定表的插入、删除、，对特定表的插入、删除

20、、修改、查询的权限。修改、查询的权限。p授权方法n直接授权：利用直接授权：利用GRANT命令直接为用户授权。命令直接为用户授权。n间接授权：先将权限授予角色，然后再将角色授予用间接授权：先将权限授予角色，然后再将角色授予用户。户。10.3.2系统权限管理系统权限管理p系统权限分类p系统权限的授权 p系统权限的回收 （1）系统权限分类）系统权限分类p一类是对数据库某一类对象的操作能力，通常带有ANY关键字。例如，CREATE ANY INDEX，ALTER ANY INDEX，DROP ANY INDEX 。p另一类系统权限是数据库级别的某种操作能力。例如，CREATE SESSION。（2）系

21、统权限的授权）系统权限的授权p语法为nGRANT sys_priv_list TO nuser_list|role_list|PUBLIC nWITH ADMIN OPTION;p参数说明：nsys_priv_list：表示系统权限列表：表示系统权限列表，以逗号分隔以逗号分隔；nuser_list：表示用户列表：表示用户列表，以逗号分隔以逗号分隔；nrole_list：表示角色列表，以逗号分隔；：表示角色列表，以逗号分隔；nPUBLIC：表示对系统中所有用户授权；：表示对系统中所有用户授权；nWITH ADMIN OPTION：表示允许系统权限接收：表示允许系统权限接收者再把此权限授予其他用户

22、。者再把此权限授予其他用户。p系统权限授予时需要注意的几点：n只有只有DBA才应当拥有才应当拥有ALTER DATABASE 系统权系统权限。限。n应用程序开发者一般需要拥有应用程序开发者一般需要拥有CREATE TABLE、CREATE VIEW和和CREATE INDEX等系统权限。等系统权限。n普通用户一般只具有普通用户一般只具有CREATE SESSION系统权限。系统权限。n只有授权时带有只有授权时带有WITH ADMIN OPTION子句时，子句时，用户才可以将获得的系统权限再授予其他用户，即系用户才可以将获得的系统权限再授予其他用户，即系统权限的传递性。统权限的传递性。p为PUB

23、LIC用户组授予CREATE SESSION系统权限。nGRANT CREATE SESSION TO PUBLIC;p为用户user1授予CREATE SESSION，CREATE TABLE，CREATE INDEX系统权限。nGRANT CREATE SESSION,CREATE TABLE,CREATE VIEW TO user1; p为用户user2授予CREATE SESSION，CREATE TABLE ，CREATE INDEX系统权限。user2获得权限后，为用户user3授予CREATE TABLE权限。nGRANT CREATE SESSION,CREATE TABLE,

24、nCREATE VIEW TO user2 WITH ADMIN OPTION;nCONNECT user2/user2 ORCL nGRANT CREATE TABLE TO user3;p语法为nREVOKE sys_priv_list nFROM user_list|role_list|PUBLIC;p注意事项n多个管理员授予用户同一个系统权限后，其中一个管理员多个管理员授予用户同一个系统权限后，其中一个管理员回收其授予该用户的系统权限时，该用户将不再拥有相应回收其授予该用户的系统权限时，该用户将不再拥有相应的系统权限。的系统权限。 n为了回收用户系统权限的传递性（授权时使用了为了回收用

25、户系统权限的传递性（授权时使用了WITH ADMIN OPTION子句），必须先回收其系统权限，然子句），必须先回收其系统权限，然后再授予其相应的系统权限。后再授予其相应的系统权限。n如果一个用户获得的系统权限具有传递性，并且给其他用如果一个用户获得的系统权限具有传递性，并且给其他用户授权，那么该用户系统权限被回收后，其他用户的系统户授权，那么该用户系统权限被回收后，其他用户的系统权限并不受影响。权限并不受影响。（3）系统权限的回收）系统权限的回收 10.3 对象权限管理对象权限管理p对象权限分类p对象权限的授权p对象权限的回收 （1）对象权限分类）对象权限分类p在Oracle数据库中共有9种

26、类型的对象权限，不同类型的模式对象有不同的对象权限，而有的对象并没有对象权限，只能通过系统权限进行控制，如簇、索引、触发器、数据库链接等。 对 象 权 限适 合 对 象对象权限功能说明SELECT表、视图、序列查询数据操作UPDATE表、视图更新数据操作DELETE表、视图删除数据操作INSERT表、视图插入数据操作REFERENCES表在其他表中创建外键时可以引用该表EXECUTE存储过程、函数、包执行PL/SQL存储过程、函数和包READ目录读取目录ALTER表、序列修改表或序列结构INDEX表为表创建索引ALL具有对象权限的所有模式对象某个对象所有对象权限操作集合（2）对象权限的授权）对

27、象权限的授权 p语法nGRANT obj_priv_list|ALL ON schema.objectnTO user_list|role_list WITH GRANT OPTION;p参数说明nobj_priv_list：表示对象权限列表，以逗号分隔；：表示对象权限列表，以逗号分隔；nschema.object：表示指定的模式对象，默认为当前：表示指定的模式对象，默认为当前模式中的对象；模式中的对象；nuser_list：表示用户列表，以逗号分隔；：表示用户列表，以逗号分隔；nrole_list：表示角色列表，以逗号分隔；：表示角色列表，以逗号分隔；nWITH GRANT OPTION：表

28、示允许对象权限接收者把：表示允许对象权限接收者把此对象权限授予其他用户。此对象权限授予其他用户。 p将scott模式下的emp表的SELECT，UPDATE，INSERT权限授予user1用户。nGRANT SELECT,INSERT,UPDATEnON scott.emp TO user1;p将scott模式下的emp表的SELECT，UPDATE，INSERT权限授予user2用户。user2用户再将emp表的SELECT，UPDATE权限授予user3用户。nGRANT SELECT,INSERT,UPDATE ON scott.emp TO user2 WITH GRANT OPTIO

29、N;nCONNECT user2/user2ORCLnGRANT SELECT,UPDATE ON scott.emp TO user3;p语法nREVOKE obj_priv_list | ALL ON schema.object FROM user_list|role_list;p注意事项n多个管理员授予用户同一个对象权限后，其中一个管理多个管理员授予用户同一个对象权限后，其中一个管理员回收其授予该用户的对象权限时，该用户不再拥有相员回收其授予该用户的对象权限时，该用户不再拥有相应的对象权限。应的对象权限。n为了回收用户对象权限的传递性（授权时使用了为了回收用户对象权限的传递性（授权时使用

30、了WITH GRANT OPTION子句），必须先回收其对象权限，子句），必须先回收其对象权限，然后再授予其相应的对象权限。然后再授予其相应的对象权限。n如果一个用户获得的对象权限具有传递性（授权时使用如果一个用户获得的对象权限具有传递性（授权时使用了了WITH GRANT OPTION子句），并且给其他用户子句），并且给其他用户授权，那么该用户的对象权限被回收后，其他用户的对授权，那么该用户的对象权限被回收后，其他用户的对象权限也被回收。象权限也被回收。（3）对象权限的回收）对象权限的回收 pWITH ADMIN OPTIONn当甲用户授权给乙用户，且激活该选项，则被授权的当甲用户授权给乙用

31、户，且激活该选项，则被授权的乙用户具有管理该权限的能力：或者能把得到的权限乙用户具有管理该权限的能力：或者能把得到的权限再授给其他用户丙，或者能回收授出去的权限。再授给其他用户丙，或者能回收授出去的权限。n当甲用户收回乙用户的权限后，乙用户曾经授给丙用当甲用户收回乙用户的权限后，乙用户曾经授给丙用户的权限仍然存在户的权限仍然存在p与WITH GRANT OPTION比较n当甲用户授权给乙用户，且激活该选项，则被授权的当甲用户授权给乙用户，且激活该选项，则被授权的乙用户具有管理该权限的能力：或者能把得到的权限乙用户具有管理该权限的能力：或者能把得到的权限再授给其他用户丙，或者能回收授出去的权限。

32、再授给其他用户丙，或者能回收授出去的权限。n当甲用户收回乙用户的权限后，乙用户曾经授给丙用当甲用户收回乙用户的权限后，乙用户曾经授给丙用户的权限也被回收。户的权限也被回收。 DBAGRANTREVOKEJeffEmiJeffEmiDBABobJeffEmiEmiJeffBob10.3.4查询权限信息查询权限信息nDBA_TAB_PRIVS：包含数据库所有对象的授权信息nALL_TAB_PRIVS：包含数据库所有用户和PUBLIC用户组的对象授权信息nUSER_TAB_PRIVS：包含当前用户对象的授权信息nDBA_COL_PRIVS：包含所有字段已授予的对象权限nALL_COL_PRIVS：包

33、含所有字段已授予的对象权限信息nUSER_COL_PRIVS：包含当前用户所有字段已授予的对象权限信息。nDBA_SYS_PRIVS：包含授予用户或角色的系统权限信息nUSER_SYS_PRIVS：包含授予当前用户的系统权限信。10.4角色管理角色管理pOracle数据库角色概述 p预定义角色 p自定义角色p利用角色进行权限管理 p查询角色信息 10.4.1 Oracle数据库角色概述数据库角色概述 p角色的概念n所谓角色就是一系列相关权限的集合所谓角色就是一系列相关权限的集合 MANAGER1 用户 MANAGER2 EMPLOYEE1 EMPLOYEE2 角色 权限 HR_MGR HR_E

34、MP CREATE SESSION CREATE TABLE SELECT ON JOBS INSERT ON JOBS UPDATE ON JOBS 10.4.2 预定义角色预定义角色p预定义角色概述n预定义角色是指在预定义角色是指在Oracle数据库创建时由系统自动创数据库创建时由系统自动创建的一些常用的角色，这些角色已经由系统授予了相建的一些常用的角色，这些角色已经由系统授予了相应的权限。应的权限。nDBA可以直接利用预定义的角色为用户授权，也可以可以直接利用预定义的角色为用户授权，也可以修改预定义角色的权限。修改预定义角色的权限。 nOracle数据库中有数据库中有30多个预定义角色。

35、多个预定义角色。n可以通过数据字典视图可以通过数据字典视图DBA_ROLES查询当前数据库查询当前数据库中所有的预定义角色，通过中所有的预定义角色，通过DBA_SYS_PRIVS查询查询各个预定义角色所具有的系统权限。各个预定义角色所具有的系统权限。 角 色角色具有的部分权限CONNECTCREATE SESSIONRESOURCECREATE CLUSTER，CREATE OPERATOR，CREATE TRIGGER，CREATE TYPE，CREATE SEQUENCE，CREATE INDEXTYPE，CREATE PROCEDURE，CREATE TABLEDBAADMINISTER

36、 DATABSE TRIGGER，ADMINISTER RESOURCE MANAGE，CREATE，CREATE ANY，ALTER，ALTER ANY，DROP，DROP ANY，EXECUTE，EXECUTE ANYEXP_FULL_DATABASEADMINISTER RESOURCE MANAGE，BACKUP ANY TABLE，EXECUTE ANY PROCEDURE，SELECT ANY TABLE，EXECUTE ANY TYPEIMP_FULL_DATABASEADMINISTER DATABSE TRIGGER，ADMINISTER RESOURCE MANAGE，CR

37、EATE ANY，ALTER ANY，DROP，DROP ANY，EXECUTE ANY10.4.3 自定义角色自定义角色p创建角色 p角色权限的授予与回收 p修改角色 p角色的生效与失效 p删除角色 （1）创建角色）创建角色 p语法为nCREATE ROLE role_name NOT IDENTIFIEDIDENTIFIED BY password;p参数说明nrole_name：用于指定自定义角色名称，该名称不：用于指定自定义角色名称，该名称不能与任何用户名或其他角色相同；能与任何用户名或其他角色相同；nNOT IDENTIFIED：用于指定该角色由数据库授权，：用于指定该角色由数据库授

38、权，使该角色生效时不需要口令；使该角色生效时不需要口令；nIDENTIFIED BY password：用于设置角色生效：用于设置角色生效时的认证口令。时的认证口令。 p例如，创建不同类型的角色。nCREATE ROLE high_manager_role;nCREATE ROLE middle_manager_role IDENTIFIED BY middlerole;nCREATE ROLE low_manager_role IDENTIFIED BY lowrole;（2）角色权限的授予与回收）角色权限的授予与回收 p说明n给角色授予适当的系统权限、对象权限或已有角色。给角色授予适当的系

39、统权限、对象权限或已有角色。n在数据库运行过程中，可以为角色增加权限，也可以回在数据库运行过程中，可以为角色增加权限，也可以回收其权限。收其权限。n给角色授权时应该注意，一个角色可以被授予另一个角给角色授权时应该注意，一个角色可以被授予另一个角色，但不能授予其本身，不能产生循环授权。色，但不能授予其本身，不能产生循环授权。p 示例nGRANT CONNECT,CREATE TABLE,CREATE VIEW TO low_manager_role;nGRANT CONNECT,CREATE TABLE,CREATE VIEW TO middle_manager_role;nGRANT CONN

40、ECT,RESOURCE,DBA TO high_manager_role;nGRANT SELECT,UPDATE,INSERT,DELETE ON scott.emp TO high_manager_role;nREVOKE CONNECT FROM low_manager_role;nREVOKE CREATE TABLE,CREATE VIEW FROM middle_manager_role;nREVOKE UPDATE,DELETE ,INSERT ON scott.emp FROM high_manager_role; （3）修改角色）修改角色p概念n修改角色是指修改角色生效或失

41、效时的认证方式，也修改角色是指修改角色生效或失效时的认证方式，也就是说，是否必须经过就是说，是否必须经过Oracle确认才允许对角色进行确认才允许对角色进行修改。修改。p修改角色的语法nALTER ROLE role_name nNOT IDENTIFIED|IDENTIFIED BY password；p示例nALTER ROLE high_manager_role IDENTIFIED BY highrole;nALTER ROLE middle_manager_role NOT IDENTIFIED;（4）角色的生效与失效）角色的生效与失效 p概念n所谓角色的失效是指角色暂时不可用。当一

42、个角色生所谓角色的失效是指角色暂时不可用。当一个角色生效或失效时，用户从角色中获得的权限也生效或失效。效或失效时，用户从角色中获得的权限也生效或失效。因此，通过设置角色的生效或失效，可以动态改变用因此，通过设置角色的生效或失效，可以动态改变用户的权限。户的权限。 n在进行角色生效或失效设置时，需要输入角色的认证在进行角色生效或失效设置时，需要输入角色的认证口令，避免非法设置。口令，避免非法设置。 p语法nSET ROLE role_nameIDENTIFIED BY password |ALL EXCEPT role_name|NONE;p参数说明nrole_name：表示进行生效或失效设置的

43、角色名称表示进行生效或失效设置的角色名称；nIDENTIFIED BY password：用于设置角色生效或失效时的用于设置角色生效或失效时的认证口令认证口令；nALL：表示使当前用户所有角色生效；：表示使当前用户所有角色生效；nEXCEPT role_name：表示除了特定角色外表示除了特定角色外，其余所有角色生其余所有角色生效效；nNONE：表示使当前用户所有角色失效。：表示使当前用户所有角色失效。 p示例nSET ROLE NONE;nSET ROLE high_manager_role IDENTIFIED BY highrole; nSET ROLE middle_manager_r

44、ole,low_manager_low IDENTIFIED BY lowrole; nSET ROLE ALL EXCEPT low_manager_role,middle_manager_role; （5）删除角色）删除角色p语法结构nDROP ROLE role_name;p说明n如果某个角色不再需要，则可以使用如果某个角色不再需要，则可以使用DROP ROLE语句删除角色。角色被删除后，用户通语句删除角色。角色被删除后，用户通过该角色获得的权限被回收。过该角色获得的权限被回收。10.4.4 利用角色进行权限管理利用角色进行权限管理p给用户或角色授予角色p从用户或角色回收角色 p用户角色

45、的激活或屏蔽 （1）给用户或角色授予角色）给用户或角色授予角色p语法nGRANT role_list TO user_list|role_list；p例如，将CONNECT，high_manager_role角色授予用户user1，将RESOURCE，CONNECT角色授予角色middle_manager_role。nGRANT CONNECT,high_manager_role TO user1;nGRANT RESOURCE,CONNECT TO middle_manager_role;（2）从用户或角色回收角色）从用户或角色回收角色p语法为nREVOKE role_list FROM u

46、ser_list|role_list；p例如，回收角色middle_manager_role的RESOURCE，CONNECT角色。nSQLREVOKE RESOURCE,CONNECT FROM middle_manager_role; （3）用户角色的激活或屏蔽）用户角色的激活或屏蔽p语法为nALTER USER user_name DEFAULT ROLE nrole_name|ALL EXCEPT role_name| nNONE; p示例nALTER USER user1 DEFAULT ROLE NONE; nALTER USER user1 DEFAULT ROLE CONNEC

47、T,DBA; nALTER USER user1 DEFAULT ROLE ALL; nALTER USER user1 DEFAULT ROLE ALL EXCEPT DBA; 10.4.5查询角色信息查询角色信息pDBA_ROLES：包含数据库中所有角色及其描述包含数据库中所有角色及其描述；pDBA_ROLE_PRIVS：包含为数据库中所有用户和角包含为数据库中所有用户和角色授予的角色信息色授予的角色信息；pUSER_ROLE_PRIVS：包含为当前用户授予的角色：包含为当前用户授予的角色信息；信息；pROLE_ROLE_PRIVS：为角色授予的角色信息；：为角色授予的角色信息；pROLE

48、_SYS_PRIVS：为角色授予的系统权限信息；：为角色授予的系统权限信息；pROLE_TAB_PRIVS：为角色授予的对象权限信息；：为角色授予的对象权限信息；pSESSION_PRIVS：当前会话所具有的系统权限信息；：当前会话所具有的系统权限信息；pSESSION_ROLES：当前会话所具有的角色信息。：当前会话所具有的角色信息。p查询角色CONNECT所具有的系统权限信息。 nSELECT * nFROM ROLE_SYS_PRIVS nWHERE ROLE=CONNECT; p查询DBA角色被授予的角色信息。nSELECT * nFROM ROLE_ROLE_PRIVS nWHERE

49、 ROLE=DBA;10.5概要文件管理概要文件管理p概要文件概述 p概要文件中参数介绍 p概要文件的管理 10.5.1 概要文件概述概要文件概述p概要文件的作用 p资源限制级别和类型 p启用或停用资源限制 （1）概要文件的作用）概要文件的作用p概要文件（PROFILE）是数据库和系统资源限制的集合，是Oracle数据库安全策略的重要组成部分。p利用概要文件，可以限制用户对数据库和系统资源的使用，同时还可以对用户口令进行管理。p在Oracle数据库创建的同时，系统会创建一个名为DEFAULT的默认概要文件。如果没有为用户显式地指定一个概要文件，系统默认将DEFAULT概要文件作为用户的概要文件

50、。（2）资源限制级别和类型）资源限制级别和类型 p资源限制级别n会话级资源限制：对用户在一个会话过程中所能使用会话级资源限制：对用户在一个会话过程中所能使用的资源进行限制。的资源进行限制。n调用级资源限制：对一条调用级资源限制：对一条SQL语句在执行过程中所能语句在执行过程中所能使用的资源进行限制。使用的资源进行限制。p资源限制类型n CPU使用时间使用时间；n 逻辑读逻辑读；n 每个用户的并发会话数每个用户的并发会话数；n 用户连接数据库的空闲时间用户连接数据库的空闲时间；n 用户连接数据库的时间用户连接数据库的时间；n 私有私有SQL区和区和PL/SQL区的使用。区的使用。（3）启用或停用