第8章--管理安全性课件.ppt

《第8章--管理安全性课件.ppt》由会员分享，可在线阅读，更多相关《第8章--管理安全性课件.ppt（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Oracle Database 10g基础教程(第二版)第8章 管理安全性第第8章章 管理安全性管理安全性本章概述本章要点教学过程1Oracle Database 10g基础教程(第二版)第8章 管理安全性本章概述本章概述l数据库的安全性是非常重要的。不仅数据库应该数据库的安全性是非常重要的。不仅数据库应该是安全的，整个计算机系统都应该是安全的。例是安全的，整个计算机系统都应该是安全的。例如，有一个金融公司开发了一个用于存储雇员信如，有一个金融公司开发了一个用于存储雇员信息和客户信息的数据库系统，且这种数据库系统息和客户信息的数据库系统，且这种数据库系统是对所有公众开放的，这种系统是会受到许多

2、人是对所有公众开放的，这种系统是会受到许多人“欢迎欢迎”的，但是这种系统能受到公司雇员欢迎的，但是这种系统能受到公司雇员欢迎吗？能受到公司客户欢迎吗？显然不会。因为没吗？能受到公司客户欢迎吗？显然不会。因为没有安全性的数据库后果是不可想象的。有安全性的数据库后果是不可想象的。l本章将全面介绍本章将全面介绍Oracle安全性管理方面的知识。安全性管理方面的知识。2Oracle Database 10g基础教程(第二版)第8章 管理安全性本章要点本章要点l掌握数据库安全的基本概念掌握数据库安全的基本概念l管理用户帐户管理用户帐户l理解和掌握用户和模式理解和掌握用户和模式l理解系统权限的特点和使用理

3、解系统权限的特点和使用l掌握对象权限的特点和使用掌握对象权限的特点和使用l理解基于角色的安全特点理解基于角色的安全特点l掌握掌握PL/SQL和角色和角色3Oracle Database 10g基础教程(第二版)第8章 管理安全性教学过程教学过程8.1 概述概述 8.2 用户用户 8.3 系统权限系统权限 8.4 对象权限对象权限 8.5 数据库角色数据库角色 8.6 PL/SQL和数据库角色和数据库角色 4Oracle Database 10g基础教程(第二版)第8章 管理安全性Oracle Database 10g基础教程(第二版)第8章 管理安全性8.1 概述概述l在在Oracle数据库应

4、用中，我们应该真正地数据库应用中，我们应该真正地理解如何实现安全性，真正地阻止非授权理解如何实现安全性，真正地阻止非授权用户访问数据库中的信息。用户访问数据库中的信息。l在在Oracle数据库中，涉及安全方面的内容数据库中，涉及安全方面的内容包括：用户和模式、系统权限、对象权限、包括：用户和模式、系统权限、对象权限、数据库角色、访问粒度控制等。数据库角色、访问粒度控制等。6Oracle Database 10g基础教程(第二版)第8章 管理安全性Oracle标识符的特点标识符的特点 l无论是用户帐户，还是其他的数据库对象，都需要一个合无论是用户帐户，还是其他的数据库对象，都需要一个合适的名称。

5、适的名称。l如何命名一个数据库对象，并没有一个统一的规则。但是，如何命名一个数据库对象，并没有一个统一的规则。但是，命名一个数据库对象，至少应该使用描述性名称，使用户命名一个数据库对象，至少应该使用描述性名称，使用户看到该对象的名称基本上就能知道该对象的作用。看到该对象的名称基本上就能知道该对象的作用。l如果希望某个名称成为合法的如果希望某个名称成为合法的Oracle标识符，那么它必须标识符，那么它必须遵循如下规则：遵循如下规则：不能是保留字；不能是保留字；它必须使用它必须使用130个字符；个字符；必须以数据库字符集中的字母字符开头；必须以数据库字符集中的字母字符开头；只能包含数据库字符集中的

6、字母字符，以及字符：只能包含数据库字符集中的字母字符，以及字符：#、$、_等；等；不能包含单引号或双引号。不能包含单引号或双引号。7Oracle Database 10g基础教程(第二版)第8章 管理安全性教学过程教学过程8.1 概述概述 8.2 用户用户 8.3 系统权限系统权限 8.4 对象权限对象权限 8.5 数据库角色数据库角色 8.6 PL/SQL和数据库角色和数据库角色 8Oracle Database 10g基础教程(第二版)第8章 管理安全性Oracle Database 10g基础教程(第二版)第8章 管理安全性用户和模式用户和模式 l在在Oracle中，数据库用户和模式是安

7、全的最基本的单元。中，数据库用户和模式是安全的最基本的单元。许多人经常互换地使用术语许多人经常互换地使用术语“用户用户”和和“模式模式”，但是他，但是他们之间是有区别的。数据库模式定义为数据库对象的集合，们之间是有区别的。数据库模式定义为数据库对象的集合，而模式的名称就是拥有或控制这些数据库对象集合的用户而模式的名称就是拥有或控制这些数据库对象集合的用户名称。所有的数据库对象，包括表、视图、索引、触发器、名称。所有的数据库对象，包括表、视图、索引、触发器、Java存储过程、存储过程、PL/SQL程序包、函数等，都归程序包、函数等，都归Oracle数数据库中的一个用户所有。甚至据库中的一个用户所

8、有。甚至Oracle的数据字典、系统目的数据字典、系统目录也是名称为录也是名称为sys的模式的一部分。的模式的一部分。l在在Oracle数据库中，可以存在没有拥有任何数据库对象的数据库中，可以存在没有拥有任何数据库对象的用户用户(不是模式不是模式)，但是不会没有命名的模式或数据库对象，但是不会没有命名的模式或数据库对象集合。集合。10Oracle Database 10g基础教程(第二版)第8章 管理安全性建立用户建立用户 11Oracle Database 10g基础教程(第二版)第8章 管理安全性Oracle Database 10g基础教程(第二版)第8章 管理安全性重置密码重置密码 1

9、3Oracle Database 10g基础教程(第二版)第8章 管理安全性Oracle Database 10g基础教程(第二版)第8章 管理安全性修改表空间修改表空间 lOracle Database 10g有一个与以前版本不同的有一个与以前版本不同的特点，在默认情况下，一些以前存储在特点，在默认情况下，一些以前存储在system表表空间中的内容存储到了空间中的内容存储到了sysaux表空间中。表空间中。l在实际应用中，可能需要改变默认的表空间。在实际应用中，可能需要改变默认的表空间。15Oracle Database 10g基础教程(第二版)第8章 管理安全性修改表空间配额修改表空间配额

10、 l如果新创建了一个用户如果新创建了一个用户dropme，并且为该用户帐，并且为该用户帐户赋予了连接数据库、创建表的权限，但是没有户赋予了连接数据库、创建表的权限，但是没有为其赋予为其赋予sysaux表空间中占用空间的权限。然后，表空间中占用空间的权限。然后，以以dropme帐户身份连接数据库，如果这时执行创帐户身份连接数据库，如果这时执行创建表的操作，则会出现如图建表的操作，则会出现如图8-8所示的所示的ORA-01950号错误消息。号错误消息。l为了允许为了允许dropme帐户可以创建表，可以使用帐户可以创建表，可以使用alter user命令为该帐户赋予命令为该帐户赋予sysaux表空间

11、中的表空间中的配额。然后，重新以配额。然后，重新以dropme身份连接数据库，并身份连接数据库，并且执行创建表的操作。这时可以看到，且执行创建表的操作。这时可以看到，dropme帐帐户具备了创建表的能力。户具备了创建表的能力。16Oracle Database 10g基础教程(第二版)第8章 管理安全性Oracle Database 10g基础教程(第二版)第8章 管理安全性教学过程教学过程8.1 概述概述 8.2 用户用户 8.3 系统权限系统权限 8.4 对象权限对象权限 8.5 数据库角色数据库角色 8.6 PL/SQL和数据库角色和数据库角色 18Oracle Database 10g

12、基础教程(第二版)第8章 管理安全性8.3 系统权限系统权限l在在Oracle数据库中，有两类权限，即对象权限和数据库中，有两类权限，即对象权限和系统权限。对象级别权限是由用户赋予的访问或系统权限。对象级别权限是由用户赋予的访问或操作数据库对象的权限。例如，如果需要向操作数据库对象的权限。例如，如果需要向scott.emp表中插入行的数据库用户必须拥有完表中插入行的数据库用户必须拥有完成这项工作的指定权限。成这项工作的指定权限。l系统权限不是控制对指定数据库对象的访问，而系统权限不是控制对指定数据库对象的访问，而是用来许可对各种特性的访问，或许可是用来许可对各种特性的访问，或许可Oracle数

13、数据库中的特定任务。据库中的特定任务。l在在Oracle Database 10g系统中，常用的系统权系统中，常用的系统权限如表限如表8-1所示。所示。19Oracle Database 10g基础教程(第二版)第8章 管理安全性基本语法格式基本语法格式l向用户赋予系统权限的基本语法格式如下：向用户赋予系统权限的基本语法格式如下：grant system_privilege to username with admin option;l为了向数据库用户赋予指定的系统权限，并且使为了向数据库用户赋予指定的系统权限，并且使其有能力将相同的权限赋予其他用户，则需要在其有能力将相同的权限赋予其他用户，

14、则需要在用户的用户的grant语句中包含语句中包含with admin option子句。子句。为用户赋予任何系统权限时需要多加小心，对为用户赋予任何系统权限时需要多加小心，对admin option权限更是如此。权限更是如此。l与赋予权限相对应的是删除权限。从数据库用户与赋予权限相对应的是删除权限。从数据库用户中删除权限的基本语法格式如下：中删除权限的基本语法格式如下：revoke system_privilege from username;20Oracle Database 10g基础教程(第二版)第8章 管理安全性一个示例一个示例l在如图在如图8-13所示的示例中，首先，以所示的示例中

15、，首先，以system身份身份连接系统，然后创建连接系统，然后创建athos/domas帐户，接着，帐户，接着，以新建的以新建的athos/domas帐户连接数据库，由于该帐户连接数据库，由于该用户没有用户没有create session权限，登录被拒绝，连权限，登录被拒绝，连接失败。接失败。l为了解决图为了解决图8-13中的问题，首先需要以中的问题，首先需要以system身身份连接到数据库，然后为份连接到数据库，然后为athos授予授予create session权限。这时，权限。这时，athos具备了连接数据库的具备了连接数据库的能力。接着再次以能力。接着再次以athos/domas身份连

16、接系统，身份连接系统，这次连接操作成功。该示例过程如图这次连接操作成功。该示例过程如图8-14所示。所示。21Oracle Database 10g基础教程(第二版)第8章 管理安全性教学过程教学过程8.1 概述概述 8.2 用户用户 8.3 系统权限系统权限 8.4 对象权限对象权限 8.5 数据库角色数据库角色 8.6 PL/SQL和数据库角色和数据库角色 22Oracle Database 10g基础教程(第二版)第8章 管理安全性Oracle Database 10g基础教程(第二版)第8章 管理安全性授予对象权限的语法格式授予对象权限的语法格式l授予对象权限的语法格式如下：授予对象权

17、限的语法格式如下：grant object_privilege on object_name to username with grant option;l为了授予数据库用户指定的对象权限，并同时赋为了授予数据库用户指定的对象权限，并同时赋予其将相同的权限赋予其他用户的权限，需要在予其将相同的权限赋予其他用户的权限，需要在用户的用户的grant语句中包括语句中包括with grant option。l与此相对应的，取消数据库用户对象权限的基本与此相对应的，取消数据库用户对象权限的基本语法格式如下：语法格式如下：revoke object_privilege on object_name fro

18、m username;24Oracle Database 10g基础教程(第二版)第8章 管理安全性一个示例一个示例l现在，通过示例介绍如何管理对象权限。作为现在，通过示例介绍如何管理对象权限。作为athos用户用户连接到数据库，然后，为连接到数据库，然后，为scott用户赋予用户赋予mytable表上的表上的select权限。执行过程如图权限。执行过程如图8-22所示。所示。l以以scott账户连接数据库，连接过程如图账户连接数据库，连接过程如图8-23所示，然后所示，然后在在athos.mytable表上执行表上执行select操作，从图中可以看到操作，从图中可以看到操作执行成功。操作执行

19、成功。l作为作为scott用户将用户将mytable表上的表上的select权限授予权限授予system用户，如图用户，如图8-24所示，从返回结果可知，执行操作时出现所示，从返回结果可知，执行操作时出现权限不足的权限不足的ORA-01031错误，授权失败。错误，授权失败。l为了使为了使scott用户具有转授对象权限的能力，需要重新为用户具有转授对象权限的能力，需要重新为scott用户授权，并且使用用户授权，并且使用with grant option选项授权，选项授权，授权过程如图授权过程如图8-25所示。所示。25Oracle Database 10g基础教程(第二版)第8章 管理安全性教学

20、过程教学过程8.1 概述概述 8.2 用户用户 8.3 系统权限系统权限 8.4 对象权限对象权限 8.5 数据库角色数据库角色 8.6 PL/SQL和数据库角色和数据库角色 26Oracle Database 10g基础教程(第二版)第8章 管理安全性Oracle Database 10g基础教程(第二版)第8章 管理安全性一个示例一个示例l在如图在如图8-31所示的示例中，首先，以所示的示例中，首先，以system帐户身份连帐户身份连接数据库；然后将接数据库；然后将create role权限授予权限授予athos用户；接着，用户；接着，以以athos用户身份连接数据库；最后，使用用户身份连

21、接数据库；最后，使用create role命命令创建一个名称为令创建一个名称为assembly_line的新的数据库角色。的新的数据库角色。l接下来将接下来将athos.mytable表上的表上的select、insert、update等权限授予等权限授予assembly_line数据库角色，授权过程如图数据库角色，授权过程如图8-32所示。所示。l可以通过检索可以通过检索user_tab_privs数据字典获得有关数据库角数据字典获得有关数据库角色授权的信息，检索过程如图色授权的信息，检索过程如图8-33所示。从图中可以看到，所示。从图中可以看到，与与assembly_line数据库角色相关

22、的权限有数据库角色相关的权限有3行数据。行数据。28Oracle Database 10g基础教程(第二版)第8章 管理安全性教学过程教学过程8.1 概述概述 8.2 用户用户 8.3 系统权限系统权限 8.4 对象权限对象权限 8.5 数据库角色数据库角色 8.6 PL/SQL和数据库角色和数据库角色 29Oracle Database 10g基础教程(第二版)第8章 管理安全性Oracle Database 10g基础教程(第二版)第8章 管理安全性教学过程教学过程8.1 概述概述 8.2 用户用户 8.3 系统权限系统权限 8.4 对象权限对象权限 8.5 数据库角色数据库角色 8.6 PL/SQL和数据库角色和数据库角色 31