网络数据库课件第七讲

网络数据库内蒙古工业大学管理学院王建国（第七讲）上机问题解答第四章ORACLE数据库安全管理4.1用户管理4.2用户概要文件管理4.3权限管理4.4不同用户权限管理4.5表级保护数据安全对于任何一个数据库，安全是首要的。因此，在设计一个数据库时，应合理设计它的安全性机制，使数据库在保证安全的基础上，更充分地发挥性能主要内容4.1用户管理第四章ORACLE数据库安全管理之4.1用户管理4.1.2修改用户4.1.1创建用户4.1.3删除用户4.1.4与用户管理有关的数据字典4.1.1创建用户用安全参数设置来控制用户的存取权限，保证数据库的可靠性。每一个用户创建时有一个口令，并且以后可以由此用户改变ORACLE存储用户名和口令当用户试图联结数据库时，ORACLE检查用户的合法性用户的合法性可由操作系统来检查命令：CREATEUSER用户名IDENTIFIEDBY口令|EXTERNALLY[DEFAULTTABLESPACE表空间名][TEMPORARYTABLESPACE表空间名][QUOTA数值|UNLIMITEDON表空间名][PROFILE文件名]4.1.1创建用户例：建立用户SIDNY。CREATEUSERsidnyIDENTIFIEDBY

carton

DEFAULTTABLESPACEcases_ts TEMPORARYTABLESPACEtemp_ts QUOTA5MONcases_ts QUOTA5MONtemp_ts PROFILE

engineer;4.1.1创建用户4.1.1创建用户4.1.1创建用户4.1.2修改用户修改已有用户的选项。通过ALTER命令来修改：口令缺省实体表空间临时表空间每个表空间的限额PROFILE（资源）文件角色命令：ALTERUSER用户名IDENTIFIEDBY口令|EXTERNALLY[DEFAULTTABLESPACE表空间名][TEMPORARYTABLESPACE表空间名][QUOTA数值|UNLIMITEDON表空间名][PROFILE文件名][DEFAULTROLE角色名]4.1.2修改用户例：修改用户SIDNY的口令为lion，并将使用的表空间默认为TEST1。CREATEUSERsidnyIDENTIFIEDBY

lion

DEFAULTTABLESPACETEST1;注意：用ALTER命令修改用户的选项后，所有原已占用的资源保留一旦0限额被设定，用户拥有的实体仍保留在原表空间中，但不能再使用新的空间4.1.3删除用户将不再使用的用户删除命令：DROPUSER用户名CASCADE CASCADE选项在删除用户之前删除他拥有的所有实体注意：尽量少用CASCADE选项，当用户用CASCADE选项删除时，用户名及其实体从数据字典中移出，并被立即删除当前正连接的用户不能被删除4.1.4与用户管理有关的数据字典视图USER_USERSALL_USERSDBA_USERSUSER_TS_QUOTASDBA_TS_QUOTAS4.2用户概要文件管理第四章ORACLE数据库安全管理之4.2用户概要文件管理4.2.2修改概要文件4.2.1创建概要文件4.2.3删除概要文件4.2.4与概要文件有关的数据字典4.2.1创建概要文件创建用户时，必须给用户指定概要文件，规定用户可用的资源信息。命令如下：CREATEPROFILE概要文件名LIMITSESSION_PER_USER限制一个用户的并发会话个数CPU_PER_SESSION限制一次会话的CPU时间（单位：百分之一秒）CPU_PER_CALL限制一次调用的CPU时间CONNECT_TIME限制一次会话总的使用时间IDLE_TIME限制会话期间连接不活动周期（单位：分）LOGICAL_READS_PER_SESSION限制一次会话中读的数据块的数目LOGICAL_READS_PER_CALL限制处理一个SQL语句一次调用的数据块的数目COMPOSITE_LIMIT限制一次会话总的资源开销PRIVATE_SGA限制一次会话在SGA的共享池可分配的专用空间数目4.2.1创建概要文件——例子（命令行方式）建立概要文件SYSTEM_MANAGER。命令如下：CREATEPROFILEsystem_managerLIMITSESSION_PER_USERUNLIMITEDCPU_PER_SESSION

UNLIMITEDCONNECT_TIME45LOGICAL_READS_PER_SESSION

defaultLOGICAL_READS_PER_CALL10004.2.1创建概要文件——例子（企业管理器方式）选择【开始】/【程序】/【Oracle-OraHome92】/【EnterpriseManagerConsole】，以系统管理员登陆数据库，选择【安全性】下的【概要文件】选项，单击鼠标右键4.2.1创建概要文件——例子（企业管理器方式）在【一般信息】选项卡的相应位置输入正确内容4.2.1创建概要文件——例子（企业管理器方式）在【口令】选项卡做合适的限制指定后，单击创建按钮。4.2.2修改概要文件ALTERPROFILE概要文件名LIMITSESSION_PER_USER限制一个用户的并发会话个数CPU_PER_SESSION限制一次会话的CPU时间（单位：百分之一秒）CPU_PER_CALL限制一次调用的CPU时间CONNECT_TIME限制一次会话总的使用时间IDLE_TIME限制会话期间连接不活动周期（单位：分）LOGICAL_READS_PER_SESSION限制一次会话中读的数据块的数目LOGICAL_READS_PER_CALL限制处理一个SQL语句一次调用的数据块的数目COMPOSITE_LIMIT限制一次会话总的资源开销PRIVATE_SGA限制一次会话在SGA的共享池可分配的专用空间数目命令如下：例：在engineer资源文件中定义5个并行会话的限制ALTERPROFILEengineerLIMITSESSION_PER_USER5;4.2.3删除概要文件命令：DROPPROFILE资源文件名CASCADE4.2.4与概要文件有关的数据字典USER_RESOURCE_LIMITSDBA_PROFILESRESOURCE_COST4.3权限管理第四章ORACLE数据库安全管理之4.3权限管理4.3.2实体权限4.3.1系统权限4.3.3角色管理4.3.1系统权限先介绍两个概念：对象权限：在一个指定的对象（表、视图、过程、函数或包等）上完成一个特殊活动的特权系统权限：完成特殊活动或在一个特殊类型的对象上完成特殊活动的一个特权注意：系统权限不是针对某个特定的用户实体或结构，它是对一类实体的某个特定操作或一类操作。系统权限类型:在某个用户自己的实体上创建表的权限和创建序列生成器的权限对所有实体的一个特定类型包括有在任何用户实体上创建表的权限和在任何用户实体上更新表、视图的权限对系统或一个用户包括创建用户的权限和创建会话的权限（连接数据库）4.3.1系统权限——授予系统权限命令如下：GRANT系统权限名|角色名TO用户名|角色名|PUBLIC[WITHADMINOPTION]用WITHADMINOPTION时注意：获权者可以向其他用户授予或回收权限获权者可进一步授权WITHADMINOPTION回收WITHADMINOPTION不是级联的WITHADMINOPTION权限不能授予角色要想授予系统权限，用户必须已被授予了WITHADMINOPTION例：将CREATESESSION系统权限授予RICHARDGRANTcreatesessionTORichard;4.3.1系统权限——回收系统权限命令如下：REVOKE系统权限名|角色名FROM用户名|角色名|PUBLIC例：从RICHARD,BILL回收DROPANYTABLE系统权限REVOKEdropanytableFROMRichard,Bill;注意：要回收WITHADMINOPTION不是级联的权限，必须是以前授予了WITHADMINOPTION权限系统权限可以被非授权者回收授予或回收的权限，即刻生效4.3.2实体权限只有授予实体权限后，才允许用户对指定的对象进行操作，实体权限的类型随实体不同而不同。4.3.2实体权限——授予实体权限注意：为了授予实体权限，此实体必须是用户自己拥有或已被授予了对此实体的WITHGRANTOPTION实体拥有者可授予其他用户或角色对此实体的所有权限如果授权包括WITHGRANTOPTION，被授权者可将此实体权限授予其他用户实体拥有者自动拥有对此实体的所有权限[WITHGRANTOPTION]如果授权时包括该选项，被授权用户可将权限授予其他用户当授权人的权限被回收时，被授予的WITHGRANTOPTION也将被回收WITHGRANTOPTION不能授予角色命令：

GRANT实体权限名[（列名）]ON实体TO用户名|角色名|PUBLIC[WITHGRANTOPTION]4.3.2实体权限——回收实体权限命令：

REVOKE实体权限名[（列名）]ON实体FROM用户名|角色名|PUBLIC[CASCADECONSTRAINTS]注意：授权者只能向用户收回他授出的权限4.3.3角色管理角色的特点：可以包含系统权限和实体权限不被任何用户拥有，也不属于任何用户实体可以授予其他用户或角色，除了自身以外（即使是间接的）可以对每个授予的用户生效或失效可以要求使之生效的口令角色是由一个命名的关联特权组成，用来维护和控制特权。角色的作用：减少授权次数动态的特权管理选择可用特权4.3.3角色管理——创建角色例1创建一个名为ROLE1的角色：

CREATEROLEROLE1；例2用TIGER作为角色ROLE1的口令

CREATEROLEROLE1IDENTIFIEDBYTIGER；例3创建ROLE2角色并允许操作系统工具存取该角色：

CREATEROLEROLE2IDENTIFIEDEXTERNALLY；命令：CREATEROLE角色名NOTIDENTIFIED|IDENTIFIEDBY口令|EXTERNALLY4.3.3角色管理——将权限授予角色可以一组权限授予角色：

GRANT<权限组>TO角色名例：将创建,修改表,创建过程的权限授予ROLE1角色。

GRANTCREATETABELE, ALTERTABLE,CREATEANYPROCEDURETOROLE1；4.3.3角色管理——将角色授予用户、角色把角色授予指定用户，使角色中的权限发挥作用：

GRANT角色名TO用户名例：将ROLE1角色授予LIPING。 GRANTROLE1TOLIPING；还可以把角色中的权限授予另一个角色：

GRANTROLE1TOROLE2；则ROLE2就拥有了ROLE1的全部权限。还可以在此基础上，继续用GRANT授权语句给ROLE2扩充权限。4.3.3角色管理——修改角色可以用命令改变角色口令生效的方式：

ALTERROLE角色名NOTIDENTIFIED|IDENTIFIEDBY口令|EXTERNALLY 例：修改ROLE1角色，使它不必经过ORACLE系统确认就生效。

ALTERROLEROLE1NOTIDENTIFIED；可以用命令来控制角色，使之有效或无效

SETROLE角色名[ALL|EXCEPT角色|NONE]；例：使ROLE1角色有效