基本的网络与数据安全管理知识

第4章

基本的网络与数据安全管理知识

基本的网络与数据安全管理知识全文共30页，当前为第1页。4.1OracleNet4.2基本的数据与系统安全管理本章目录基本的网络与数据安全管理知识全文共30页，当前为第2页。4.1OracleNet4.1.1OracleNet的作用4.1.2本地管理模式的OracleNet客户端配置4.1.3本地Net服务名配置文件4.1.4OracleNet服务器端的配置

基本的网络与数据安全管理知识全文共30页，当前为第3页。4.2基本的数据与系统安全管理

Oracle数据库提供了用户、角色、同义词、系统与实体权限及其授权来保证Oracle数据库系统及其中数据的安全。

基本的网络与数据安全管理知识全文共30页，当前为第4页。4.2.1数据库系统特权

传统的Oracle数据库系统特权包括CONNECT，RESOURCE和DBA。每一个数据库用户必须具有CONNECT特权才能登录到Oracle数据库中，CONNECT特权用户是权限最低的用户。

基本的网络与数据安全管理知识全文共30页，当前为第5页。拥有该特权的用户能够进行下列操作：（1）登录到Oracle数据库和修改口令（2）对自己拥有的表进行查询、删除、修改和插入操作（3）查询经过授权的其他用户的数据，包括基表和视图基本的网络与数据安全管理知识全文共30页，当前为第6页。

（4）插入、修改、删除经过授权的其他用户的表（5）创建自己拥有的表的视图、同义词和数据库链路（6）完成经过授权的基于表或基于用户的数据卸载基本的网络与数据安全管理知识全文共30页，当前为第7页。RESOURCE特权除了具有CONNECT用户的一切权限外，还可以进行下列操作：（1）创建基表、视图、索引、聚簇和序列生成器（2）授予和回收其他用户对其所拥有的数据库实体的存取特权（3）对自己拥有的表、索引、聚簇等数据库实体的存取活动进行审计基本的网络与数据安全管理知识全文共30页，当前为第8页。DBA特权是系统中的最高级别特权，可执行创建用户、卸出系统数据等特权操作。由于其权限太大，可能对系统及数据产生破坏，因此应严格限制该特权被授权给一般用户。基本的网络与数据安全管理知识全文共30页，当前为第9页。4.2.2对象访问特权

1．对于表的存取特权ALTER：可以修改基表的定义DELETE：可以对基表进行删除INDEX：可以为基表创建索引INSERT：可以对表进行插入SELECT：可以对表进行查询UPDATE：可以对表进行修改基本的网络与数据安全管理知识全文共30页，当前为第10页。2．关于视图的存取特权SELECT：可以对视图进行查询INSERT：可以对视图进行插入UPDATE：可以对视图进行修改DELETE：可以对视图进行删除基本的网络与数据安全管理知识全文共30页，当前为第11页。3．关于同义词的存取特权因为同义词必须基于某一数据库实体，因此与同义词相应的存取特权便转移到相应的实体上，即同义词存取特权与其相应的实体是一致的。基本的网络与数据安全管理知识全文共30页，当前为第12页。4．关于序列生成器的存取特权ALTER：可以修改序列生成器的定义SELECT：可以使用序列生成器来生成主关键字值所需要的序列号5．关于存储过程/函数的存取特权EXECUTE：可以执行存储过程或调用函数基本的网络与数据安全管理知识全文共30页，当前为第13页。4.2.3创建用户与角色1．创建用户创建用户的语法如下：CREATEUSERuser[IDENTIFIED[BYpassword|EXTERNALLY]][DEFAULTTABLESPACETABLESPACE][TEMPORARYTABLESPACETABLESPACE]基本的网络与数据安全管理知识全文共30页，当前为第14页。[QUOTA{n[K|M]|UNLIMITED}ONTABLESPACE][PASSWORDEXPIRE][ACCOUNT{LOCK|UNLOCK}][PROFILE{profile|DEFAULT}];基本的网络与数据安全管理知识全文共30页，当前为第15页。修改用户的语法如下：ALTERUSERuser[IDENTIFIED[BYpassword|EXTERNALLY]][DEFAULTTABLESPACETABLESPACE][TEMPORARYTABLESPACETABLESPACE]……;删除用户的语法如下：DROPUSERuser[CASCADE];基本的网络与数据安全管理知识全文共30页，当前为第16页。2．创建角色创建角色的语法如下：CREATEROLErole[NOTIDENTIFIED|IDENTIFIED[BYPASSWORD|EXTERNALLY]];修改角色的语法如下：ALTERROLErole;[NOTIDENTIFIED|IDENTIFIED[BYPASSWORD|EXTERNALLY]];删除角色的语法如下：DROPROLErole;基本的网络与数据安全管理知识全文共30页，当前为第17页。例:

创建表tab08的拥有者用户stu08和数据操纵者用户stu08_1，创建角色r08，通过授权也可操纵表tab08中数据。（参见后面的例子）。connectsystem/system@oradb;DROPUSERstu08CASCADE;CREATEUSERstu08IDENTIFIEDBYstu08DEFAULTTABLESPACEUSERSTEMPORARYTABLESPACETEMP;DROPUSERstu08_1CASCADE;CREATEUSERstu08_1identifiedbystu08_1;DROPROLEr08;CREATEROLEr08;基本的网络与数据安全管理知识全文共30页，当前为第18页。4.2.4数据库系统特权的授予与回收授予系统特权的语法如下：GRANT{system_privilege|role}TO{user|role|PUBLIC}[WITHADMINOPTION];回收系统特权的语法为：REVOKE{system_privilege|role}FROM{user|role|PUBLIC};基本的网络与数据安全管理知识全文共30页，当前为第19页。例:

为用户stu08和stu08_1授予数据库系统特权。connsystem/system@oradbGRANTCREATESESSION,CREATETABLETOstu08_1;GRANTCREATESESSION,CREATETABLE,DBATOstu08;基本的网络与数据安全管理知识全文共30页，当前为第20页。4.2.5创建同义词创建同义词的语法如下：CREATE[PUBLIC]SYNONYMsynonym_nameFORschema.object[@dblink];基本的网络与数据安全管理知识全文共30页，当前为第21页。例:

创建同义词之例。--以stu08用户连接数据库connectstu08/stu08@oradb;--创建表tab08DROPTABLEtab08;CREATETABLEtab08(namevarchar2(20),agenumber(3));--为表创建私有同义词sy_tab08和公共同义词sypub_tab08CREATESYNONYMsy_tab08FORtab08;CREATEPUBLICSYNONYMsypub_tab08FORtab08;基本的网络与数据安全管理知识全文共30页，当前为第22页。4.2.6数据库对象访问权限的授予与回收数据库对象特权的授权语法如下：GRANT{object_privilege|ALL}[(column_list)]ONschema.objectTO[user|role|PUBLIC]WITHGRANTOPTION;数据库对象特权的回收语法如下：REVOKE{object_privilege|ALL}ONschema.objectFROM{user|role|PUBLIC}[CASCADECONSTRAINTS];基本的网络与数据安全管理知识全文共30页，当前为第23页。例:对象特权授权之例。--将表tab08的插入、查询数据权限授予角色r08、用户scottconnstu08/stu08@oradbGRANTINSERT,SELECTONtab08TOscott,r08;--将角色r08授予用户stu08_1--注意，本例中stu08_1用户通过角色r08获得了对基表tab08的INSERT和SELECT权限。GRANTr08TOstu08_1;--下面用同义词sy_tab08向表tab08中插入数据。执行如下语句：INSERTINTOsy_tab08VALUES('zhangsan',18);INSERTINTOsy_tab08VALUES('lisi',20);基本的网络与数据安全管理知识全文共30页，当前为第24页。commit;--执行下面的语句来体会Oracle数据访问的权限控制。--用scott连接数据库，只能对表tab08执行插入、选择操作，不能执行更新、删除操作。--执行如下语句提示权限不足UPDATEstu08.tab08SETage=20;DELETEFROMstu08.tab08WHEREname='zhangsan';commit;--而执行INSERT、SELECT操作却可以。如执行如下语句：INSERTINTOstu08.tab08VALUES('caochao',20);commit;SELECT*FROMstu08.tab08;基本的网络与数据安全管理知识全文共30页，当前为第25页。--用stu08_1连接数据库。stu08_1也是只能对表tab08执行插入、选择操作，--不能执行更新、删除操作。执行如下语句将出错，提示权限不足UPDATEstu08.tab08SETage=20;DELETEFROMstu08.tab08WHEREname='zhangsan';commit;--而执行INSERT、SELECT操作却可以，如如下语句INSERTINTOstu08.tab08VALUES('libai',19);commit;SELECT*FROMstu08.tab08;基本的网络与数据安全管理知识全文共30页，当前为第26页。例:列特权授权之例。--将HR雇员表的EMPLOYEE_ID,FIRST_NAME,LAST_NAME列修改权限授予SCOTTconnhr/hr@oradbGRANTUPDATE(EMPLOYEE_ID,FIRST_NAME,LAST_NAME)ONemployeesTOscottWITHGRANTOPTION;--查看将哪些表中的哪些列上的哪些访问权限授予了哪些用户SELECT*FROMUSER_COL_PRIVS_MADE;--SCOTT用户查看自己获得了哪些用户的哪些表的哪些列的哪些访问权限基本的网络与数据安全管理知识全文共30页，当前为第27页。connscott/tiger@oradbSELECT*FROMUSER_COL_PRIVS_RECD;--HR用户回收SCOTT用户对表employees的列修改权限connhr/hr@oradbREVOKEUPDATEONemployeesFROMscott;基本的网络与数据安全管理知识全文共30页，当前为第28页。4.2.7一般的数据安全方法一般情况下，可使用同义词来保护系统中真实的表名称，用角色简化授权，创建数据操纵用户来隐藏数据的真正拥有者，以此达到保护数据安全的目的。基本的网络与数据安全管理