《Oracle9i关系数据库实用教程》电子教案第六章 Oracle的安全管理_

Oracle的安全管理本章学习目标数据库安全性问题一直是人们关注的焦点，数据库数据的丢失以及数据库被非法用户的侵入对于任何一个应用系统来说都是至关重要的问题。确保信息安全的重要基础在于数据库的安全性能。第六章Oracle的安全管理本章内容安排6.1Oracle9i的安全保障机制6.2用户管理6.3权限和角色6.4概要文件6.5数据审计6.1Oracle9i的安全保障机制6.1.1安全性内容6.1.2安全性策略数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。在数据库存储这一级可采用密码技术，当物理存储设备失窃后，它起到保密作用。在数据库系统这一级中提供两种控制：用户标识和鉴定，数据存取控制。数据库安全可分为二类：系统安全性和数据安全性。系统安全性是指在系统级控制数据库的存取和使用的机制，包含：（1）有效的用户名/口令的组合。（2）一个用户是否授权可连接数据库。（3）用户对象可用的磁盘空间的数量。（4）用户的资源限制。（5）数据库审计是否是有效的。（6）用户可执行哪些系统操作。6.1.1安全性内容在Oracle多用户数据库系统中，安全机制作下列工作：（1）防止非授权的数据库存取。（2）防止非授权的对模式对象的存取。（3）控制磁盘使用。（4）控制系统资源使用。（5）审计用户动作。用户要存取一对象必须有相应的权限授给该用户。已授权的用户可任意地可将它授权给其它用户，由于这个原因，这种安全性类型叫做任意型。Oracle利用下列机制管理数据库安全性：•数据库用户和模式•权限•角色•存储设置和空间份额•资源限制•审计1．系统安全性策略2．用户安全性策略6.1.2安全性策略3．数据库管理者安全性策略4．应用程序开发者的安全性策略1.系统安全性策略（1）管理数据库用户（2）用户身份确认（3）操作系统安全性1）数据库管理员必须有create和delete文件的操作系统权限。2）一般数据库用户不应该有create或delete与数据库相关文件的操作系统权限。3）如果操作系统能为数据库用户分配角色，那么安全性管理者必须有修改操作系统帐户安全性区域的操作系统权限。2.用户安全性策略（1）一般用户的安全性1）密码的安全性2）权限管理（2）终端用户的安全性3.数据库管理者安全性策略（1）保护作为sys和system用户的连接（2）保护管理者与数据库的连接（3）使用角色对管理者权限进行管理4.应用程序开发者的安全性策略（1）应用程序开发者和他们的权限（2）应用程序开发者的环境1）程序开发者不应与终端用户竞争数据库资源；2）程序开发者不能损害数据库其他应用产品。（3）应用程序开发者的空间限制作为数据库安全性管理者，应该特别地为每个应用程序开发者设置以下的一些限制：1）开发者可以创建table或index的表空间；2）在每一个表空间中，开发者所拥有的空间份额。6.2.2创建用户6.2.3修改用户6.2.4删除用户6.2.1数据库的存取控制6.2用户管理1．用户鉴别2．用户的表空间设置和定额6.2.1数据库的存取控制3．用户资源限制和环境文件4．用户环境文件1.用户鉴别为了防止非授权的数据库用户的使用，Oracle提供三种确认方法：操作系统确认，Oracle数据库确认和网络服务确认。由操作系统鉴定用户的优点是：1）用户能更快，更方便地联入数据库。2）通过操作系统对用户身份确认进行集中控制：如果操作系统与数据库用户信息一致，那么Oracle无须存储和管理用户名以及密码。3）用户进入数据库和操作系统审计信息一致。2．用户的表空间设置和定额关于表空间的使用有几种设置选择：•用户的缺省表空间•用户的临时表空间•数据库表空间的空间使用定额3.用户资源限制和环境文件用户可用的各种系统资源总量的限制是用户安全域的部分。利用显式地设置资源限制，安全管理员可防止用户无控制地消耗宝贵的系统资源。资源限制是由环境文件管理。一个环境文件是命名的一组赋给用户的资源限制。另外Oracle为安全管理员在数据库提供是否对环境文件资源限制的选择。Oracle可限制几种类型的系统资源的使用，每种资源可在会话级、调用级或两者上控制。在会话级：每一次用户连接到一数据库，建立一会话。每一个会话在执行SQL语句的计算机上耗费CPU时间和内存量进行限制。在调用级：在SQL语句执行时，处理该语句有几步，为了防止过多地调用系统，Oracle在调用级可设置几种资源限制。有下列资源限制：（1）为了防止无控制地使用CPU时间，Oracle可限制每次Oracle调用的CPU时间和在一次会话期间Oracle调用所使用的CPU的时间，以0.01秒为单位。（2）为了防止过多的I/O，Oracle可限制每次调用和每次会话的逻辑数据块读的数目。（3）Oracle在会话级还提供其它几种资源限制。•每个用户的并行会话数的限制。•会话空闲时间的限制，如果一次会话的Oracle调用之间时间达到该空闲时间，当前事务被回滚，会话被中止，会话资源返回给系统。•每次会话可消逝时间的限制，如果一次会话期间超过可消逝时间的限制，当前事务被回滚，会话被删除，该会话的资源被释放。•每次会话的专用SGA空间量的限制。4．用户环境文件用户环境文件是指定资源限制的命名集，可赋给Oracle数据库的有效的用户。利用用户环境文件可容易地管理资源限制。在许多情况中决定用户的环境文件的合适资源限制的最好的方法是收集每种资源使用的历史信息。6.2.2创建用户使用CREATEUSER语句可以创建一个新的数据库用户，执行该语句的用户必须具有CREATEUSER系统权限。在创建用户时必须指定用户的认证方式。一般会通过Oracle数据库对用户身份进行验证，即采用数据库认证方式。在这种情况下，创建用户时必须为新用户指定一个口令，口令以加密方式保存在数据库中。当用户连接数据库时，Oracle从数据库中提取口令来对用户的身份进行验证。使用IDENTIFIEDBY子句为用户设置口令，这时用户将通过数据库来进行身份认证。如果要通过操作系统来对用户进行身份认证，则必须使用IDENTIFIEDEXTERNALBY子句。使用DEFAULTTABLESPACE子句为用户指定默认表空间。如果没有指定默认表空间，Oracle会把SYSTEM表空间作为用户的默认表空间。为用户指定了默认表空间之后，还必须使用QUOTA子句来为用户在默认表空间中分配的空间配额。此外，常用的一些子句有：①TEMPORARYTABLESPACE子句：为用户指定临时表空间。②PROFILE子句：为用户指定一个概要文件。如果没有为用户显式地指定概要文件，Oracle将自动为他指定DEFAULT概要文件。③DEFAULTROLE子句：为用户指定默认的角色。④PASSWORDEXPIRE子句：设置用户口令的初始状态为过期。⑤ACCOUNTLOCK子句：设置用户账户的初始状态为锁定，缺省为：ACCOUNTUNLOCK。在建立新用户之后，通常会需要使用GRANT语句为他授予CREATESESSION系统权限，使他具有连接到数据库中的能力。或为新用户直接授予Oracle中预定义的CONNECT角色。6.2.3修改用户在创建用户之后，可以使用ALTERUSER语句对用户进行修改，执行该语句的用户必须具有ALTERUSER系统权限。例如：利用下面的语句可以修改用户chenjie的认证方式、默认表空间、空间配额：ALTERUSERchenjieIDENTIFIEDBYchenjie_pwQUATA10MONmbl_tbs;ALTERUSER语句最常用的情况是用来修改用户自己的口令，任何用户都可以使用ALTERUSER…IDENTIFIEDBY语句来修改自己的口令，而不需要具有任何其他权限。但是如果要修改其他用户的口令，则必须具有ALTERUSER系统权限。DBA还会经常使用ALTERUSER语句锁定或解锁用户账户。例如：ALTERUSERchenjieACCOUNTLOCK;ALTERUSERchenjieACCOUNTUNLOCK;6.2.4删除用户使用DROPUSER语句可以删除已有的用户，执行该语句的用户必须具有DROPUSER系统权限。如果用户当前正连接到数据库中，则不能删除这个用户。要删除已连接的用户，首先必须使用ALTERSYSTEM…KILLSESSION语句终止他的会话，然后再使用DROPUSER语句将其删除。如果要删除的用户模式中包含有模式对象，必须在DROPUSER子句中指定CASCADE关键字，否则Oracle将返回错误信息。例如：利用下面的语句将删除用户chenjie，并且同时删除他所拥有的所有表、索引等模式对象：DROPUSERchenjieCASCADE;6.3.2创建角色6.3.3授予权限或角色6.3.4回收权限或角色6.3.1基本概念6.3权限和角色6.3.5激活和禁用角色1．权限2．角色6.3.1基本概念1.权限权限是执行一种特殊类型的SQL语句或存取另一用户的对象的权力。有两类权限：系统权限和对象权限。1）系统权限：是执行一处特殊动作或者在对象类型上执行一种特殊动作的权利。系统权限可授权给用户或角色，一般，系统权限只授予管理人员和应用开发人员，终端用户不需要这些相关功能。2）对象权限：在指定的表、视图、序列、过程、函数或包上执行特殊动作的权利。2.角色为相关权限的命名组，可授权给用户和角色。数据库角色包含下列功能：（1）一个角色可授予系统权限或对象权限。（2）一个角色可授权给其它角色，但不能循环授权。（3）任何角色可授权给任何数据库用户。（4）授权给用户的每一角色可以是可用的或者不可用的。一个用户的安全域仅包含当前对该用户可用的全部角色的权限。（5）一个间接授权角色对用户可显式地使其可用或不可用。在一个数据库中，每一个角色名必须唯一。角色名与用户不同，角色不包含在任何模式中，所以建立角色的用户被删除时不影响该角色。一般，建立角色服务有两个目的：为数据库应用管理权限和为用户组管理权限。相应的角色称为应用角色和用户角色。应用角色是授予的运行数据库应用所需的全部权限。用户角色是为具有公开权限需求的一组数据库用户而建立的。用户权限管理是受应用角色或权限授权给用户角色所控制，然后将用户角色授权给相应的用户。ORACEL利用角色更容易地进行权限管理。有下列优点：（1）减少权限管理，不要显式地将同一权限组授权给几个用户，只需将这权限组授给角色，然后将角色授权给每一用户。（2）动态权限管理，如果一组权限需要改变，只需修改角色的权限，所有授给该角色的全部用户的安全域将自动地反映对角色所作的修改。（3）权限的选择可用性，授权给用户的角色可选择地使其可用或不可用。（4）应用可知性，当用户经用户名执行应用时，该数据库应用可查询字典，将自动地选择使角色可用或不可用。（5）应用安全性，角色使用可由口令保护，应用可提供正确的口令使用角色，如不知其口令，不能使用角色。使用CREATEROLE语句可以创建一个新的角色，执行该语句的用户必须具有CREATEROLE系统权限。在角色刚刚创建时，它并不具有任何权限，这时的角色是没有用处的。因此，在创建角色之后，通常会立即为它授予权限。例如：利用下面的语句创建了一个名为OPT_ROLE的角色，并且为它授予了一些对象权限和系统权限：CREATEROLEOPT_ROLE;GRANTSELECTONsal_historyTOOPT_ROLE;GRANTINSERT,UPDATEONmount_entryTOOPT_ROLE;GRANTCREATEVIEWTOOPT_ROLE;6.3.2创建角色在创建角色时必须为角色命名，新建角色的名称不能与任何数据库用户或其他角色的名称相同。与用户类似，角色也需要进行认证。在执行CREATEROLE语句创建角色时，默认地将使用NOTIDENTIFIED子句，即在激活和禁用角色时不需要进行认证。如果需要确保角色的安全性，可以在创建角色时使用IDENTIFIED子句来设置角色的认证方式。与用户类似，角色也可以使用两种方式进行认证。使