华联学院面向移动商务数据库技术课件第13章用户权限与安全

1第13章

用户权限与安全当储户到银行存款、取款时，出于安全方面的考虑，储户必须提供账号和密码，只有账号和密码正确时才能取款。同样，当该问Oracle数据库时，为了确保数据库的安全性，用户也必须提供用户名和密码，然后才能连接到数据库。另外，为了防止合法用户的非法访问，Oracle提供了权限、角色机制，以防止用户非法对数据库进行非法操作。所有这些，共同构成了Oracle数据库的安全机制。2本章知识要点：用户与模式创建用户修改用户管理用户会话资源配置文件PROFILEPROFILE密码保护PROFILE资源保护管理系统权限管理对象权限预定义角色管理自定义角色313.1用户和模式

Oracle数据库的安全保护流程可以总结为三个步骤：首先，用户向数据库提供身份识别信息，即提供一个数据库账号。接下来用户还需要证明他们所给出的身份识别信息是有效的，这是通过输入密码实现的，用户输入的密码会经过数据库的核对，决定用户提供的密码是否正确。最后，假设密码是正确的，那么数据库认为身份识别信息是可信赖的。此时，数据库将会在基于身份识别信息的基础上决定用户所拥有的权限，即用户可以数据库执行什么操作。13.2管理用户Oracle数据库提供了对用户非常有效的管理方式。管理员可以对用户账户设置各种安全参数，以防止授权用户、非授权用户对数据库进行非法的访问。可以设置的安全参数主要包括用户名/口令、用户默认表空间、用户临时表空间、空间存取限额和用户配置文件。413.2.1创建用户

创建一个新的数据库用户是使用CREATEUSER语句完成的，该语句一般是由DBA用户来执行；如果要以其他用户身份创建用户，则要求用户必须具有CREATEUSDER系统权限。5613.2.2修改用户

在创建用户后，还允许对其进行修改，修改用户信息是使用ALTERUSER命令完成的。一般情况下，该命令是由DBA执行的，如果要以其他用户身份修改用户信息，则必须具有ALTERUSER系统权限。对用户的修改包括：登录密码、用户默认表空间、临时表空间、磁盘的限额等。713.2.3删除用户

当删除一个用户时，系统会将该用户账号以及用户模式的信息从数据字典中删除。用户被删除后，用户创建的所有数据库对象也被全部删除。删除用户可以使用DROPUSER语句。如果用户当前正连接到数据库，则不能删除该用户，必须等到该用户退出系统后再删除。13.3资源配置PROFILE

访问Oracle数据库时，必须提供用户名和密码，然后才能连接到数据库。为了防止其他人员窃取用户密码，DBA必须充分考虑用户密码的安全性，以防止非法人员连接到数据库执行非法操作。对于大型数据库管理系统而言，数据库用户众多，并且不同用户担负不同的管理任务，为了有效利用服务器资源，还应该限制不同用户的资源占用。813.3.1PROFILE概念PROFILE作为用户配置文件，它是密码限制、资源限制的命名集合。PROFILE文件作为Oracle安全策略的重要组成部分，利用它可以对数据库用户进行基本的资源限制，并且可以对用户的密码进行管理。913.3.2使用PROFILE管理密码

当操作人员要连接到Oracle数据库时，需要提供用户和密码。对于黑客或某些人而言，他们可能通过猜想或反复试验来破解密码。为了加强密码的安全性，可以使用PROFILE文件管理密码。PROFILE文件提供了一些密码管理选项，它们提供了强大的密码管理功能，从而确保密码的安全。为了实现密码限制，必须首先建立PROFILE文件。1013.3.3使用PROFIL管理资源

在大而复杂的多用户数据库环境中，因为用户众多，所以系统资源可能会成为影响性能的主要“瓶颈”。为了有效地利用系统资源，应根据用户所承担任务的不同为其分配合理的资源。PROFILE不仅可用于管理用户密码，还可用于管理用户资源。需要注意，如果使用PROFILE管理资源，必须设置RESOURCE_LIMIT参数设置为TRUE以激活用资源限制。1113.3.4修改和删除PROFILE

在创建PROFILE文件之后，还可以使用ALTERPROFILE语句修改其中的资源参数和密码参数。例如，下面的语句对PROFILE文件RESOURCE_LIMIT进行修改：12SQL>alterprofileresource_limitlimit2cpu_per_session150003sessions_per_user54cpu_per_call5005password_life_time306failed_login_attempts5;配置文件已更改13.3.5显示PROFILE信息

建立或修改用户时，可以为用户分配PROFILE文件。如果没有为用户分配PROFILE文件，Oracle会自动将DEFAULT分配给用户。通过查询数据字典视图DBA_USERS，可以显示用户使用的PROFILE文件。例如，下面的语句将显示用户DEVELOPER所使用的PROFILE文件：13SQL>selectprofile2fromdba_users3whereusername='DEVELOPER';13.4管理权限

刚建立用户是没有任何权限，这也就意味着该用户不能执行任何操作。如果用户要执行特定的数据库操作，则必须具有系统权限；如果用户要访问其他模式中的对象，则必须具有相应的对象权限。1413.4.1权限简介

权限（PRIVILEGE）是指执行特定类型的SQL语句，或访问其他模式对象的权利。Oracle的权限可以分成两类：系统权限和对象权限。1513.4.2管理系统权限

系统权限是指执行特定类型SQL语句的权利。一般情况下，系统权限需要授予数据库管理人员和应用程序开发人员。数据库管理人员还可以将系统权限授予其他用户，并允许用户将该系统权限再授予另外的用户。同时，也可以将系统权限从被授权用户中收回系统权限。

1613.4.3管理对象权限

对象权限指访问其他用户模式对象的权利。在Oracle数据库中，用户可以直接访问其模式对象，但如果要访问其他用户的模式对象时，必须具有相应的对象权限。17ALTERDELETEEXECUTEINDEXINSERTRREADREFERENCESELECTUPDATEDIRECTORY√FUNCTION√PROCEDURE√PACKAGE√SEQUENCE√√TABLE√√√√√√√VIEW√√√√13.5管理角色 Oracle的权限是非常繁多的，这就为DBA有效地管理数据库权限带来了困难。另外，数据库的用户经常由几十个、几百个、甚至成千上万。如果管理员为每个用户授予或者撤消相应的系统权限和对象权限，则这个工作量是非常庞大的。为简化权限管理，Oracle提供了角色的概念。1813.5.1角色的概念

角色是具有名称的一组相关权限的组合，即将不同的权限组合在一起就成形成了角色。可以使用角色为用户授权，同样也可以从用户中回收角色。由于角色集合了多种权限，所以当为用户授予角色时，相当于为用户授予了多种权限。这样就避免了向用户逐一授权，从而简化了用户权限的管理。1913.5.2预定义角色

系统预定义角色就是在安装数据库后，由系统自动创建