北京邮电大学：《数据库设计与开发》第四章 ORACLE 数据库（4-6）Oracle数据库的安全管理 （邓芳）

46 Oracle数据库的安全管理 ORACLE的安全措施 用户标识和鉴定 授权和检查机制 审计技术 用户通过触发器灵活定义自己的安全性措施

4.6 Oracle数据库的安全管理 • ORACLE的安全措施: – 用户标识和鉴定 – 授权和检查机制 – 审计技术 – 用户通过触发器灵活定义自己的安全性措施

用户认证 分类 对于每一个要连接到数据库的用户,数据库必须确认该用 户有访问的权限。 Oracle数据库可以用三种方法来认证:口令认证,操作系 统认证,全局用户认证 口令认证 用户提供[用户名]和[口令], Oracle使用有数据库管理的 用户帐户信息来认证用户。 此时,使用户的口令具有可靠的复杂程度并且用户经常它 们是非常必要的 操作系统认证 通过正在运行数据库服务器的操作系统来认证用户名 全局用户认证 使用外部网络服务来认证全局用户名(G1 obal username)

用户认证 • 分类 – 对于每一个要连接到数据库的用户，数据库必须确认该用 户有访问的权限。 – Oracle数据库可以用三种方法来认证：口令认证，操作系 统认证，全局用户认证。 • 口令认证 – 用户提供[用户名]和[口令]，Oracle使用有数据库管理的 用户帐户信息来认证用户。 – 此时，使用户的口令具有可靠的复杂程度并且用户经常它 们是非常必要的。 • 操作系统认证 – 通过正在运行数据库服务器的操作系统来认证用户名。 • 全局用户认证 – 使用外部网络服务来认证全局用户名（Global username)

Create useR username IDENTIFIEd bY password ALter USeR uSername IDENTiFIEd by new password

– Create USER username IDENTIFIED BY password; – ALTER USER username IDENTIFIED BY new_password

表空间限额:表空间限额,可以控制一个数据库的用 户对数据库中表空间的物理存储空间的分配数量。 用户缺省表空间 用于在用户创建数据库对象时(表或索引),如果 没有指定表空间时存放数据库对象。 创建用户时,如果不加指定,用户的缺省表空间为 SYSTEM表空间。 用户临时表空间 当SQL语句需要临时工作空间时,使用临时表空间。 创建用户时,不指定用户临时表空间,则缺省值为 SYSTEM表空间

• 表空间限额：表空间限额，可以控制一个数据库的用 户对数据库中表空间的物理存储空间的分配数量。 • 用户缺省表空间 – 用于在用户创建数据库对象时（表或索引），如果 没有指定表空间时存放数据库对象。 – 创建用户时，如果不加指定，用户的缺省表空间为 SYSTEM表空间。 • 用户临时表空间 – 当SQL语句需要临时工作空间时，使用临时表空间。 – 创建用户时，不指定用户临时表空间，则缺省值为 SYSTEM表空间

CREATE USER username identiFied By password DEFAULT TABLESPACE tablespace namel TEMPORARY TABLESPACE tablespace name2 ALTER USER username DEFAULT TABLESPACE tablespace name/ TEMPORARY TABLESPACE tablespace name2

CREATE USER username IDENTIFIED BY password DEFAULT TABLESPACE tablespace_name1 TEMPORARY TABLESPACE tablespace_name2; ALTER USER username DEFAULT TABLESPACE tablespace_name1 TEMPORARY TABLESPACE tablespace_name2;

锁定和解锁用户 用户锁定解锁作用 0 racle允许任何时候对用户账号进行锁定和解锁 锁定账号后,用户就不能与 Oracle连接,必须对账 号解锁后才允许用户通过账号访问数据库。 ·锁定解锁时机 当用户临时离开但很快又会回来继续工作。 当某人离开公司,锁定账号比删除账号更合适 新创建用户时,缺省状态是解锁的 ALTER USER username ACcouNT lock/unlock

锁定和解锁用户 • 用户锁定解锁作用 –Oracle允许任何时候对用户账号进行锁定和解锁。 –锁定账号后，用户就不能与Oracle连接，必须对账 号解锁后才允许用户通过账号访问数据库。 • 锁定解锁时机 –当用户临时离开但很快又会回来继续工作。 –当某人离开公司，锁定账号比删除账号更合适。 –新创建用户时，缺省状态是解锁的。 ALTER USER username ACCOUNT lock/unlock;

ORACLE缺省的数据库用户 SYS 该账号拥有数据库字典对象。 · SYSTEM 口令 MANAGER,缺省的数据库管理员账号 · INTERNAL 这是为了向下兼容, Oracle支持的SYS帐号的别名

ORACLE缺省的数据库用户 • SYS – 该账号拥有数据库字典对象。 • SYSTEM – 口令MANAGER，缺省的数据库管理员账号， • INTERNAL – 这是为了向下兼容，Oracle支持的SYS帐号的别名

ORACLE的用户标识和鉴定 ORACLE允许用户重复标识三次 如果三次仍未通过,系统自动退出

ORACLE的用户标识和鉴定 • ORACLE允许用户重复标识三次 • 如果三次仍未通过，系统自动退出

ORACLE的授权与检査机制 ORACLE授权和检查机制的特色 ORACLE的权限包括系统权限和数据库对象的权限 每个用户授予与回收自己创建的数据库对象的权限 DBA负责授予与回收系统权限,也可以授予与回收所 有数据库对象的权限 允许重复授权,即可将某一权限多次授予同一用户, 系统不会出错 允许无效回收,即用户不具有某权限,但回收此权限 的操作仍是成功的

ORACLE的授权与检查机制 • ORACLE授权和检查机制的特色 – ORACLE的权限包括系统权限和数据库对象的权限 – 每个用户授予与回收自己创建的数据库对象的权限 – DBA负责授予与回收系统权限，也可以授予与回收所 有数据库对象的权限 – 允许重复授权，即可将某一权限多次授予同一用户， 系统不会出错 – 允许无效回收，即用户不具有某权限，但回收此权限 的操作仍是成功的

系统权限 80多种系统权限 创建会话 创建表 创建视图 创建用户

系统权限 80多种系统权限 – 创建会话 – 创建表 – 创建视图 – 创建用户