基本的网络与数据安全管理知识课件.ppt

1、第第4 4章章 基本的网络与数基本的网络与数据安全管理知识据安全管理知识 24.1 Oracle Net4.2 基本的数据与系统安全管理基本的数据与系统安全管理本章目录34.1 Oracle Net4.1.1 Oracle Net的作用的作用4.1.2 本地管理模式的本地管理模式的Oracle Net客户端配置客户端配置4.1.3 本地本地Net服务名配置文件服务名配置文件4.1.4 Oracle Net服务器端的配置服务器端的配置 44.2 基本的数据与系统安全管理基本的数据与系统安全管理 OracleOracle数据库提供了用户、角色、数据库提供了用户、角色、同义词、系统与实体权限及其授权

2、来同义词、系统与实体权限及其授权来保证保证OracleOracle数据库系统及其中数据的数据库系统及其中数据的安全。安全。54.2.1 数据库系统特权数据库系统特权 传统的传统的Oracle数据库系统特权包括数据库系统特权包括CONNECT，RESOURCE和和DBA。每 一 个 数 据 库 用 户 必 须 具 有每 一 个 数 据 库 用 户 必 须 具 有CONNECT特权才能登录到特权才能登录到Oracle数数据库中，据库中，CONNECT特权用户是权限特权用户是权限最低的用户。最低的用户。6拥有该特权的用户能够进行下列操作：拥有该特权的用户能够进行下列操作：（1）登录到）登录到Orac

3、le数据库和修改口令数据库和修改口令（2）对自己拥有的表进行查询、删除、）对自己拥有的表进行查询、删除、修改和插入操作修改和插入操作（3）查询经过授权的其他用户的数据，）查询经过授权的其他用户的数据，包括基表和视图包括基表和视图7 （4）插入、修改、删除经过授权的）插入、修改、删除经过授权的其他用户的表其他用户的表（5）创建自己拥有的表的视图、同）创建自己拥有的表的视图、同义词和数据库链路义词和数据库链路（6）完成经过授权的基于表或基于）完成经过授权的基于表或基于用户的数据卸载用户的数据卸载8R E S O U R C E 特 权 除 了 具 有特 权 除 了 具 有CONNECT用户的一切权

4、限外，还可用户的一切权限外，还可以进行下列操作：以进行下列操作：（1）创建基表、视图、索引、聚簇）创建基表、视图、索引、聚簇和序列生成器和序列生成器（2）授予和回收其他用户对其所拥）授予和回收其他用户对其所拥有的数据库实体的存取特权有的数据库实体的存取特权（3）对自己拥有的表、索引、聚簇）对自己拥有的表、索引、聚簇等数据库实体的存取活动进行审计等数据库实体的存取活动进行审计9DBA特权是系统中的最高级别特权，特权是系统中的最高级别特权，可执行创建用户、卸出系统数据等特可执行创建用户、卸出系统数据等特权操作。由于其权限太大，可能对系权操作。由于其权限太大，可能对系统及数据产生破坏，因此应严格限制

5、统及数据产生破坏，因此应严格限制该特权被授权给一般用户。该特权被授权给一般用户。104.2.2 对象访问特权对象访问特权 1对于表的存取特权对于表的存取特权ALTER：可以修改基表的定义：可以修改基表的定义DELETE：可以对基表进行删除：可以对基表进行删除INDEX：可以为基表创建索引：可以为基表创建索引INSERT：可以对表进行插入：可以对表进行插入SELECT：可以对表进行查询：可以对表进行查询UPDATE：可以对表进行修改：可以对表进行修改112关于视图的存取特权关于视图的存取特权SELECT：可以对视图进行查询：可以对视图进行查询INSERT：可以对视图进行插入：可以对视图进行插入U

6、PDATE：可以对视图进行修改：可以对视图进行修改DELETE：可以对视图进行删除：可以对视图进行删除123关于同义词的存取特权关于同义词的存取特权 因为同义词必须基于某一数据库实体因为同义词必须基于某一数据库实体，因此与同义词相应的存取特权便转，因此与同义词相应的存取特权便转移到相应的实体上，即同义词存取特移到相应的实体上，即同义词存取特权与其相应的实体是一致的。权与其相应的实体是一致的。134关于序列生成器的存取特权关于序列生成器的存取特权ALTER：可以修改序列生成器的定义：可以修改序列生成器的定义SELECT：可以使用序列生成器来生成主关：可以使用序列生成器来生成主关键字值所需要的序列

7、号键字值所需要的序列号5关于存储过程关于存储过程/函数的存取特函数的存取特权权EXECUTE：可以执行存储过程或调用函数：可以执行存储过程或调用函数144.2.3 创建用户与角色创建用户与角色1创建用户创建用户创建用户的语法如下：创建用户的语法如下：CREATE USER user IDENTIFIED BY password|EXTERNALLY DEFAULT TABLESPACE TABLESPACETEMPORARY TABLESPACE TABLESPACE15QUOTA n K|M|UNLIMITED ON TABLESPACEPASSWORD EXPIREACCOUNT LOCK

8、|UNLOCK PROFILE profile|DEFAULT ;16修改用户的语法如下：修改用户的语法如下：ALTER USER user IDENTIFIED BY password|EXTERNALLY DEFAULT TABLESPACE TABLESPACETEMPORARY TABLESPACE TABLESPACE;删除用户的语法如下：删除用户的语法如下：DROP USER user CASCADE;172创建角色创建角色创建角色的语法如下：创建角色的语法如下：CREATE ROLE role NOT IDENTIFIED|IDENTIFIED BY PASSWORD|EXTER

9、NALLY ;修改角色的语法如下：修改角色的语法如下：ALTER ROLE role;NOT IDENTIFIED|IDENTIFIED BY PASSWORD|EXTERNALLY ;删除角色的语法如下：删除角色的语法如下：DROP ROLE role;18例例:创建表创建表tab08的拥有者用户的拥有者用户stu08和数据和数据操纵者用户操纵者用户stu08_1，创建角色，创建角色r08，通过，通过授权也可操纵表授权也可操纵表tab08中数据。（参见后面中数据。（参见后面的例子）。的例子）。connect system/systemoradb;DROP USER stu08 CASCADE

10、;CREATE USER stu08 IDENTIFIED BY stu08 DEFAULT TABLESPACE USERS TEMPORARY TABLESPACE TEMP;DROP USER stu08_1 CASCADE;CREATE USER stu08_1 identified by stu08_1;DROP ROLE r08;CREATE ROLE r08;194.2.4 数据库系统特权的授予与回收数据库系统特权的授予与回收授予系统特权的语法如下：授予系统特权的语法如下：GRANT system_privilege|role TO user|role|PUBLIC WITH A

11、DMIN OPTION;回收系统特权的语法为：回收系统特权的语法为：REVOKE system_privilege|role FROM user|role|PUBLIC;20例例:为用户为用户stu08和和stu08_1授予数据库系授予数据库系统特权。统特权。conn system/systemoradbGRANT CREATE SESSION,CREATE TABLE TO stu08_1;GRANT CREATE SESSION,CREATE TABLE,DBA TO stu08;214.2.5 创建同义词创建同义词创建同义词的语法如下：创建同义词的语法如下：CREATE PUBLIC S

12、YNONYM synonym_name FOR schema.objectdblink;22例例:创建同义词之例。创建同义词之例。-以以stu08用户连接数据库用户连接数据库connect stu08/stu08oradb;-创建表创建表tab08DROP TABLE tab08;CREATE TABLE tab08(name varchar2(20),age number(3);-为表创建私有同义词为表创建私有同义词sy_tab08和公共同义词和公共同义词sypub_tab08CREATE SYNONYM sy_tab08 FOR tab08;CREATE PUBLIC SYNONYM sy

13、pub_tab08 FOR tab08;234.2.6 数据库对象访问权限的授予与回收数据库对象访问权限的授予与回收数据库对象特权的授权语法如下：数据库对象特权的授权语法如下：GRANT object_privilege|ALL (column_list)ON schema.objectTO user|role|PUBLIC WITH GRANT OPTION;数据库对象特权的回收语法如下：数据库对象特权的回收语法如下：REVOKE object_privilege|ALL ON schema.object FROM user|role|PUBLIC CASCADE CONSTRAINTS;2

14、4例例:对象特权授权之例。对象特权授权之例。-将表将表tab08的插入、查询数据权限授予角色的插入、查询数据权限授予角色r08、用户、用户scottconn stu08/stu08oradbGRANT INSERT,SELECT ON tab08 TO scott,r08;-将角色将角色r08授予用户授予用户stu08_1-注意，本例中注意，本例中stu08_1用户通过角色用户通过角色r08获得了对基表获得了对基表tab08的的INSERT和和SELECT权限。权限。GRANT r08 TO stu08_1;-下面用同义词下面用同义词sy_tab08向表向表tab08中插入数据。执行如下语中插

15、入数据。执行如下语句：句：INSERT INTO sy_tab08 VALUES(zhangsan,18);INSERT INTO sy_tab08 VALUES(lisi,20);25commit;-执行下面的语句来体会执行下面的语句来体会Oracle数据访问的权限控制。数据访问的权限控制。-用用scott连接数据库，只能对表连接数据库，只能对表tab08执行插入、选择操作，不能执行执行插入、选择操作，不能执行更新、删除操作。更新、删除操作。-执行如下语句提示权限不足执行如下语句提示权限不足UPDATE stu08.tab08 SET age=20;DELETE FROM stu08.tab

16、08 WHERE name=zhangsan;commit;-而执行而执行INSERT、SELECT 操作却可以。如执行如下语句：操作却可以。如执行如下语句：INSERT INTO stu08.tab08 VALUES(caochao,20);commit;SELECT*FROM stu08.tab08;26-用用stu08_1连接数据库。连接数据库。stu08_1也是只能对表也是只能对表tab08执行插入执行插入、选择操作，、选择操作，-不能执行更新、删除操作。执行如下语句将出错，提示权限不能执行更新、删除操作。执行如下语句将出错，提示权限不足不足UPDATE stu08.tab08 SET

17、 age=20;DELETE FROM stu08.tab08 WHERE name=zhangsan;commit;-而执行而执行INSERT、SELECT 操作却可以，如如下语句操作却可以，如如下语句INSERT INTO stu08.tab08 VALUES(libai,19);commit;SELECT*FROM stu08.tab08;27例例:列特权授权之例。列特权授权之例。-将将HR雇员表的雇员表的EMPLOYEE_ID,FIRST_NAME,LAST_NAME列修改权限授予列修改权限授予SCOTTconn hr/hroradbGRANT UPDATE(EMPLOYEE_ID,F

18、IRST_NAME,LAST_NAME)ON employeesTO scott WITH GRANT OPTION;-查看将哪些表中的哪些列上的哪些访问权限授予了哪些用查看将哪些表中的哪些列上的哪些访问权限授予了哪些用户户SELECT*FROM USER_COL_PRIVS_MADE;-SCOTT用户查看自己获得了哪些用户的哪些表的哪些列的用户查看自己获得了哪些用户的哪些表的哪些列的哪些访问权限哪些访问权限28conn scott/tigeroradbSELECT*FROM USER_COL_PRIVS_RECD;-HR用户回收用户回收SCOTT用户对表用户对表employees的列修改权限

19、的列修改权限conn hr/hroradbREVOKE UPDATE ON employees FROM scott;294.2.7 一般的数据安全方法一般的数据安全方法 一般情况下，可使用同义词来一般情况下，可使用同义词来保护系统中真实的表名称，用角色保护系统中真实的表名称，用角色简化授权，创建数据操纵用户来隐简化授权，创建数据操纵用户来隐藏数据的真正拥有者，以此达到保藏数据的真正拥有者，以此达到保护数据安全的目的。护数据安全的目的。30本章小结本章小结 Oracle Net Oracle Net 是是 Oracle Net Services Oracle Net Services 的组件之

20、的组件之一，它支持客户机应用程序到一，它支持客户机应用程序到 Oracle Oracle 数据库服务器的数据库服务器的网络会话。一旦建立了网络会话，网络会话。一旦建立了网络会话，Oracle Net Oracle Net 将充当将充当客户机应用程序和数据库服务器间的数据传递工具。它客户机应用程序和数据库服务器间的数据传递工具。它负责建立和维护客户机应用程序与数据库服务器之间的负责建立和维护客户机应用程序与数据库服务器之间的连接及交换信息。连接及交换信息。Oracle Net Oracle Net 能够执行这些任务是因能够执行这些任务是因为它位于网络中的每个计算机上，为此需要在客户计算为它位于网络中的每个计算机上，为此需要在客户计算机和服务器计算机上配置机和服务器计算机上配置Oracle NetOracle Net。