【文档说明】Oracle数据库第9章--用户和安全管理课件.ppt，共(65)页，2.124 MB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-92288.html

以下为本文档部分文字说明：

1第9章用户和安全管理主讲人：朱亚兴安全管理对于数据库系统来讲至关重要。数据库安全是一个极为突出的问题，数据库数据的丢失以及数据库被非法用户侵入或者被非授权用户访问和篡改对于任何一个应用系统来说都会造成危害。2工作情境：为了保证Ora

cle系统数据的安全性，采取了哪些安全机制？任务分析3Oracle用户用户是数据库的使用者和管理者。Oracle系统中，用户是允许访问数据库系统的有效帐户，是可以对数据库资源进行访问的实体。Oracle数据库通过创建用户帐户并为此帐户授予相应的数据库权限等安全参数，用户才能够访问数据库

和进行相应的操作。用户管理是Oracle数据库安全管理的核心和基础。任务分解4任务1：创建新用户。任务2：修改、删除和查看用户信息。任务3：对用户授予和回收系统权限。任务4：对用户授予和回收对象权限。任务5：创

建角色和对角色授权。任务6：管理角色。任务7：管理概要文件。5任务1任务1.创建新用户。6创建用户管理决策创建用户数据库管理员对用户进行下列决策：（1）指定数据库用户的身份认证方式。（2）设置用户的默认表空间和临

时表空间。（3）指定表空间配额（4）设置用户资源限制的环境文件（5）设置账户状态7利用OEM创建用户8使用SQL语句创建新用户语法格式：9创建用户例【例9.1】创建用户hr_user,口令为hr_user

，默认表空间是HRM，大小是20MB，临时表空间是temp。①创建一个数据库用户必须具有DBA权限的用户来执行。connectsystem/password;②使用如下SQL语句。CREATEUSER

hr_userIDENTIFIEDBYhr_userDEFAULTTABLESPACEHRMTEMPORARYTABLESPACEtempQUOTA20MONHRM;10用户管理：授权CREATESESSION系统权限允许用户在数据库上建立会话过程，这是用户帐号必须具

有的最低权限。【例9.2】为用户hr_user授予权限CREATESESSION。①授权。GRANTCREATESESSIONTOhr_user;②以新用户连接。CONNECThr_user/hr_user;

实训1掌握创建数据库用户的方法。完成了任务1，请尝试实训112任务2任务2.修改、删除和查看用户信息。13利用OEM修改用户14使用SQL语句修改用户信息【例9.3】修改用户hr_user的认证方式、默认表空间、空间配额。ALTE

RUSERhr_userIDENTIFIEDBYhr_userQUOTA25MONhrm;【例9.4】更改用户hr_user的默认表空间。ALTERUSERhr_userDEFAULTTABLESPACEusertabTemporar

yTABLESPACEtemp;【例9.5】修改用户hr_user的口令ALTERUSERhr_userIdentifiedbyhr_user3;15使用SQL语句修改用户信息【例9.6】修改用户的状态，锁定hr_user帐户以及解除锁定。①修改数据库用户必须具有ALTE

RUSER权限的用户来执行。②使用ALTERUSER命令锁定账号。ALTERUSERhr_userACCOUNTLOCK;③使用原数据库用户账号连接数据库。④使用具有ALTERUSER权限的用户重新连接。⑤使用ALTERUSER命令解除账号锁定。ALTERUSERhr_

userACCOUNTUNLOCK;⑥再次使用原数据库用户账号连接数据库。16使用SQL语句修改用户信息【例9.7】修改用户hr_user的密码为立即失效。①使用具有ALTERUSER权限的用户重新连接。②使用ALTERUSER命令修改密码为立即实效

。alteruserhr_userpasswordexpire;③再次使用原数据库用户账号连接数据库。④使用原数据库用户账号和更改后的新密码连接数据库。讨论：如果用户忘记密码？17利用OEM删除用户18利用SQL命令删除用户【例9.8】删除用户hr_user，并且同时删除其拥有的表、索引

等数据库对象。DROPUSERhr_userCASCADE;19查看用户信息数据字典视图：20使用SQL语句查看用户信息【例9.9】查看用户HR_USER的名称、用户标识、锁定日期、账号状态、默认表空间信息。select

username,user_id,lock_date,account_status,default_tablespacefromDBA_USERSwhereusername='HR_USER';实训2掌握修改数据库用户的方法。完成了任务2，请尝试实训

2任务3任务3.对用户授予和回收系统权限。创建完用户后，他不能做任何事情，还必须进行授权。这个任务需要学习权限管理的相关知识。23权限管理系统权限p:271-274。带ANY权限和不带ANY权限。系统权限允许用户执行一种特殊的数据库操作或一类数据库操作。24OEM授权25利用SQL命

令授予系统权限语法：26利用SQL命令级联授权27利用SQL命令回收系统权限语法：28回收级联授权的系统权限DBAGRANTREVOKEUSERAUSERBUSERAUSERBDBA回收级联授权的系统

权限实训3掌握对用户授予和回收系统权限的方法。完成了任务3，请尝试实训3任务4任务4.对用户授予和回收对象权限。对象权限是指访问其他用户模式对象的权力。对象权限的设置实际上是对象的所有者给其他用户提供操作该

对象的某种权力的一种方法。32对象权限Oracle数据库中总共有9种不同的对象权限。P:279常用的对象权限包括对某个数据库对象中数据的查询、插入、修改、删除等权限。对于表TABLE对象而言，ALL表示ALTER、DELETE、INDEX、SELECT、INSERT、UPDATE、REFER

ENCES权限对于PROCEDURE存储过程，ALL表示EXECUTE权限。33OEM授予对象权限34利用SQL命令授予对象权限ALL或ALLPRIVILEGES将某个对象的所有对象权限全部授予指定的用户。PUBLIC，授予数据库的所有用户。WITHGRANTOPTIO

N表示被授权的用户、角色可以将相应的对象权限授予其他用户SQL>GRANTALLONEMPTOHR_USER;SQL>GRANTALLONEMPTOPUBLIC;语法：35利用SQL命令回收对象权限语法36级联授予对象权限37级联回收对象权限回收级联授予的对象权限39查询系

统权限与系统权限有关的表与视图40查询对象权限与对象权限有关的表与视图实训4掌握对用户授予和回收对象权限的方法。完成了任务4，请尝试实训4任务5任务5.创建角色和对角色授权。42什么是角色？创建一个新角色。对角色进行授权管理。

将此角色授予用户。43角色管理角色:介于权限和用户之间,是一组系统权限和对象权限的集合。引入角色优点：①减少权限管理的工作量。②实现动态权限管理。③权限的选择具有可用性和灵活性。④应用安全性。系统预定义角色自定义角色44角色管理系统预定义角色CONNECT:连接到数据库,最终用

户角色.RESOURCE:申请资源创建对象,开发人员角色.DBA:具有全部系统权限,可以创建用户.IMP_FULL_DATABASE:装入全部数据库内容.EXP_FULL_DATABASE:卸出全部数据库内容.DELE_CATALOG_ROLE:能删除审计表中记录.SELECT_C

ATALOG_ROLE:查询数据字典.EXECUTE_CATALOG_ROLE:执行过程和函数.45查询角色与授权【例9.24】查询当前数据库的所有预定义角色。select*fromdba_roles;【例9.25】为用

户HR_USER授予CONNECT和RESOURCE角色。grantconnect,resourcetohr_user;46在OEM中创建角色47利用SQL命令创建角色和授权语法：实训5掌握创建角色和对角色

授权的方法。完成了任务5，请尝试实训5任务6任务6.管理角色。49如何管理角色呢？50利用OEM管理角色51利用SQL命令管理角色语法：ALTERROLErole_name[NOTIDENTIFIED][IDENTIFIEDBYpassword]【例9.28】取消角色manager的口令。A

LTERROLEmanagernotidentified;【例9.29】回收己经授予用户teacher的OPT_ROLE角色：REVOKEOPT_ROLEFROMteacher;【例9.30】删除角色man

agerDROPROLEmanager;52角色的激活或屏蔽语法：ALTERUSERuser_nameDEFAULTROLE[ROLE_NAME]|[ALL[EXCEPTROLE_NAME]]|[none];【例9.31】将用

户某些角色设置为默认角色。ALTERUSERhr_userDEFAULTROLECONNECT,HR_ROLE;【例9.32】屏蔽用户的所有角色。ALTERUSERhr_userDEFAULTROLENO

NE;或者，可以用下面的SET语句。SETROLEnone;【例9.33】激活用户的所有角色。ALTERUSERhr_userDEFAULTROLEALL;或者，可以用下面的SET语句。SETROLEALL;53查询角色信息①DBA_RO

LES视图：查看当前数据库中存在的所有角色。②SESSION_ROLES视图：用户当前启用的角色。③ROLE_ROLE_PRIVS视图：查看角色与权限授予情况，以及是否有传递权限情况。④DBA_ROLE_PRIVS视图：用户（或角色）与角色之间的授予关系。⑤USER_ROLE_PRIVS

视图：查看用户授予的角色。⑥ROLE_SYS_PRIVS视图：查看系统权限授予情况。⑦DBA_SYS_PRIVS视图：查看每种角色拥有的权利。54查询角色信息【例9.34】查询用户HR_USER所具有的角色。①使用HR_USER用户连接数据库。CONNHR_USER/HR_USER②通过数据字典

USER_ROLE_PRIVS查询所具有的角色。selectUSERNAME,GRANTED_ROLE,ADMIN_OPTIONfromuser_role_privs;55查询角色信息【例9.35】查询哪些

角色已经授予哪些用户。①使用sys用户连接数据库。②通过数据字典DBA_ROLE_PRIVS查询哪些角色已经授予哪些用户。selectGRANTEE,GRANTED_ROLE,ADMIN_OPTIONFromdba_role_pri

vs;【例9.36】查询CONNECT和RESOURCE角色授予了哪些权限①使用sys用户连接数据库。connsys/passwordassysdba;②通过数据字典ROLE_SYS_PRIVS查询哪些角色已经授予哪些用户。selectrole,privilegefromROLE_S

YS_PRIVSwhererolein('CONNECT','RESOURCE');实训6掌握管理角色的方法。完成了任务6，请尝试实训6任务7任务7.管理概要文件。什么是概要文件？58概要文件内容概要文件内容:是数据库和系统资源限制的集合实例为用户分配一些系统资源，如CPU

的使用、分配SGA的空间大小、连接数据库的会话数、用户口令期限等。概要文件作用：限制资源使用管理用户账号口令59概要文件作用限制资源使用①每个会话或每个语句的CPU时间（以百分之一秒计）。②每个会话或每个语句的逻辑磁盘I/O。③每个用户的并发数据库会话。④每个会话的最大连接时间和空闲时间。

⑤可供多进程服务器会话使用的最大的服务器内存。管理账户口令策略①帐户的锁定②口令的过期时间③口令的复杂度④允许用户口令可以持续使用的时间⑤指定用户在能够重复使用一个旧口令前必须经过的天数。60利用OEM创建和管理概要文件在【企

业管理器】中创建概要文件概要文件的修改将概要文件分配给用户概要文件的删除61利用SQL命令创建和管理概要文件创建概要文件CREATEPROFILEprofile_nameLIMITresource_parameters|password_parameters说明：profi

le_name将要创建的概要文件的名字resource_parameters：对一个用户指定资源限制的参数password_parameters：口令参数修改概要文件将概要文件分配给用户删除概要文件62查询概要文件信息与概要文件相关的表和视图：USER_PASSWORD_LIMITSU

SER_RESOURCE_LIMITSDBA_PROFILES实训7掌握管理概要文件的方法。完成了任务7，请尝试实训7小结Oracle通过使用用户管理、权限与角色、概要文件等措施来保护数据库的安全。Oracle用户管理的机制是Oracle系统安全性的一个重要方面。权限是执行一种特殊类型的

SQL语句或存取另一用户的对象的权力。Oracle将权限分为有两类：系统权限和对象权限。角色是一组系统权限和对象权限的集合,角色使得授予权限变得简单。一个角色可授予系统权限或对象权限，任何角色可授权给任何数据库用户。概要文件是O

racle安全策略的重要组成部分。概要文件用来限制由用户使用的系统和数据库资源，并管理口令限制。谢谢!65