第十六章-系统安全管理

第16章系统安全管理

知识点回顾触发器的概念触发器类型及创建方法理解和应用触发器2本章目标掌握用户的创建与管理理解权限的创建与管理理解角色的创建与管理了解概要文件和数据字典视图了解审计功能3用户管理为了保证数据及其操作的安全，数据库系统必须具备完善的安全管理机制。Oracle有一套严格的用户管理机制，新创建的用户只有通过管理员授权才能获得系统数据库的使用权，否则该用户只有连接数据库的权利。创建用户：可采用CREATEUSER命令创建一个新用户4CREATEUSERuser_nameIDENTIFIEDBYpass_word[oridentifiedexeternally][oridentifiedgloballyas‘CN=user’][defaulttablespacetablespace_default][temporarytablespacetablespace_temp][quota[integerk[m]][unlimited]]ontablesapce_specify1[,quota[integerk[m]][unlimited]]ontablesapce_specify2[,…]…ONtablespace_specifyn[profilesprofile_name][accountlockoraccountunlock]用户管理创建用户5CREATEUSERinspurIDENTIFIEDBYtigerDEFAULTTABLESPACEusersTEMPORARYTABLESPACEtempQUOTA10MONusers;用户管理——管理用户2-1管理用户就是对已有的用户信息进行修改和删除等操作。1.修改用户

创建好用户后有时会对用户的设置有所改变，比如说修改用户口令，改变用户默认表空间、临时表空间、资源限制和磁盘配额等.示例1：修改用户inspur密码。示例2：解锁被锁住的用户。6ALTERUSERinspurIDENTIFIEDBY123456;ALTERUSERinspurACCOUNTUNLOCK;用户管理——管理用户2-22.删除用户

数据库管理员有时会需要删除一些废弃的用户，删除的同时该用户下所有的数据文件会被一起删除，所以谨慎使用。具体删除的示例如下： CASCADE:级联删除选项。当删除的用户中没有任何数据库对象，该关键字可以省略；如果用户包含数据库对象，则必须加CASCADE选项，此时会连同该用户所拥有的对象一起删除。7DROPUSERinspurCASCADE;权限管理在Oracle数据库中，权限有系统权限和对象权限两类。对数据库系统级的操作都可以称为系统权限，对表对象、序列、触发器等操作的权限称为对象权限。8权限管理——系统权限管理2-1授予权限，语法如下：示例：授予用户系统权限session9GRANTsys_privi|roleTOuser|role|public[WITHADMINOPTION]GRANTCREATEsessionTOinspurWITHADMINOPTION权限管理——系统权限管理2-2撤销权限，语法如下：示例：撤销inspur的session权限10REVOKEsys_privi|roleFROMuser|role|publicREVOKEcreatesessionFROMinspur权限管理——对象权限管理2-1授予权限，语法格式如下：示例：给用户inspur授予表soctt.emp的select、insert、delete和update权限11GRANTobj_privi|allcolumnONschema.objectTOuser|role|public[WITHADMINOPTION]|[WITHHIERARCHYOPTION]GRANTselect,insert,delete,updateONscott.empTOinspur;权限管理——对象权限管理2-2撤销权限，语法格式如下：obj_privi:表示对象的权限。public：保留字，代表Oracle系统的所有权限。CASCADECONSTRAINTS级联，表示有关联关系的权限也被撤销示例：从inspur用户中撤销scott.emp表的update和delete权限12REVOKEobj_privi|allONschema.objectFROMuser|role|publicCASCADECONSTRAINTSREVOKEdelete,updateONscott.empTOinspur;角色管理在数据库中角色并不是某个用户独有，而是用户可以根据权限的需求不同，授予用户不同的角色。角色就是在数据库中由数据库管理员定义的权限集合，方便对不同用户的权限授予，仅一条语句就能授予或回收权限，而不用对用户一一授权。角色、用户和权限的关系如下图：13角色管理——创建角色语法格式如下：示例：创建一个名为designer的角色，该角色的口令为12345614CREATEROLErole_name[notidentified|identifiedby[password]|[exeternally]|[globally]];CREATEROLEdesignerIDENTIFIEDBY123456;角色管理——管理角色3-11查看角色包含的权限。示例：查询DBA角色有哪些权限2修改角色密码。包括取消角色密码和修改角色密码两种情况。示例：首先取消designer角色的密码，然后再重新给该角色设置一个密码15ALTERROLEdesignerNOTIDENTIFIED;SELECT*FROMROLE_SYS_PRIVSWHERErole='DBA';ALTERROLEdesignerIDENTIFIEDBY456789;角色管理——管理角色3-23设置当前用户要生效的角色。示例：把designer角色授予inspur用户

由于一个用户可以同时拥有多个角色，所以也可以设置哪些角色生效哪些角色不生效。示例：设置带有密码的角色designer生效16SETROLEdesignerIDENTIFIEDBY123456;GRANTdesignerTOinspur;角色管理——管理角色3-34删除角色。示例：删除角色designer

删除角色使用DROPROLE语句。删除角色后，原来拥有该角色的用户将不再拥有该角色，也将失去角色对应的权限。17DROPROLEdesigner;概要文件和数据字典视图所谓概要文件，就是一份描述如何使用系统资源的配置文件。将概要文件赋予某个数据库用户，在用户连接并访问数据库服务器时，系统就按照概要文件给他分配系统资源。有的时候我们也称之为配置文件，其主要作用包括如下两点：1、管理数据库口令及验证方式。2、管理数据库系统资源。18使用概要文件管理密码3-1创建PROFILE文件，语法格式如下：参数说明：resource_parameters：要设置的资源参数。password_parameters：要设置的密码参数。19CREATEPROFILEprofile_nameLIMIT{resource_parameters|password_parameters}[resource_parameters|password_parameters]...;使用概要文件管理密码3-2

账户锁定：是指用户在连续输入多少次错误密码后，数据库系统会自动锁定该用户的账户，同时可以规定账户的锁定时间。FAILED_LOGIN_ATEMPTS：该参数表示用户在登录到数据库时允许密码错误的次数。PASSWORD_LOCK_TIME：该参数用于指定账户被锁定的天数。示例：创建PROFILE文件，要求设置连续失败次数为5，超过该次数后，账户将被锁定7天，并使用ALTERUSER语句将PROFILE文件分配给用户inspur，代码如下。20CREATEPROFILElock_accountLIMITFAILED_LOGIN_ATTEMPTS5PASSWORD_LOCK_TIME7;ALTERUSERinspurPROFILElock_account;使用概要文件管理密码3-3

密码过期时间：为了防止其他人员破解账户的密码，管理员可以强制普通用户定期改变密码。PASSWORD_LIFE_TIME：设置用户密码的有效时间，单位为天数。PASSWORD_GRACE_TIME：该参数用于设置口令失效的“宽限时间”。示例：创建PROFILE文件，要求设置用户的密码有效期为90天，密码宽限期为10天，并将该PROFILE文件分配给用户inspur。21CREATEPROFILEpassword_lift_timeLIMITPASSWORD_LIFE_TIME90PASSWORD_GRACE_TIME10;ALTERUSERinspurPROFILEpassword_lift_time;使用概要文件管理资源

在大而复杂的多用户数据库环境中，系统资源可能会成为影响性能的主要瓶颈，为了有效地利用系统资源，应该根据用户所承担任务的不同为其分配合理资源。PROFILE不仅可用于管理用户密码，还可以用于管理用户资源。

22数据字典数据字典是Oracle存放数据库内部信息的地方，用来描述数据库内部的运行和管理情况。比如一个数据表的所有者、所属表空间、创建时间、用户访问权限等，这些信息都可以在数据字典中查找到。23审计审计用来监视和记录所选用