Oracle安全管理-new∶Oracle数据库实用教程第六章.ppt

第六章 Oracle安全管理 本章内容 6.1 数据库安全性 6.2 事务与并发 6.3 用户与资源 6.4 权限和角色 6.5 审计 6.6 Oracle封锁机制 6.1 数据库安全性 数据库安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 数据库安全性可分为二类： 系统安全性 数据安全性 系统安全性是指在系统级控制数据库的存取和使用的机制，它主要包括： （1）有效的用户名/口令组合 （2）一个用户是否被授权连接数据库 （3）用户对象可用的磁盘空间的数量 （4）用户的资源限制 （5）数据库审计是否有效 （6）用户可执行哪些系统操作 数据安全性是指在对象级控制数据库的存取和使用的机制，包括哪些用户可存取指定的模式对象及在对象上允许哪些操作类型。 用户的存取权利受用户安全域的设置所控制，用户的安全域是一组特性，它包括用户可用的特权和角色、用户可用的表空间的份额和用户的系统资源限制。 在建立一个数据库的新用户或更改一个已有用户时，安全管理员对用户安全域有下列决策： （1）由数据库系统还是由操作系统维护用户授权信息。 （2）设置用户的缺省表空间和临时表空间。 （3）用户可存的表空间和在表空间中可使用空间份额。 （4）设置用户资源限制的概要文件，该限制规定了用户可用的系统资源的总量。 （5）规定用户具有的特权和角色，可存取相应的对象。 6.2 事务与并发 事务 事务（transaction）是数据库的逻辑工作单元，是用户定义的一组操作序列，如一组SQL语句，一条SQL语句或整个程序。通常情况下，一个应用程序包括多个事务。 事务开始BEGIN 处理 IF 成功 提交COMMIT ELSE 回滚ROLLBACK 事务属性 （1）原子性：事务是数据库最小的工作单元，是不可分的。事务中的操作要么都做，要么都不做。 （2）一致性：事务执行前后，数据库都应处于数据一致的状态。当数据库只包含成功提交事务的结果时，我们就说数据库处于一致性状态。 （3）隔离性：尽管多个事务可以并发，但相互不干扰，隔离性要求事务不查看其他事务的中间阶段。 （4）持久性：事务成功完成后，对数据库的改变必须是持久的。事务成功执行后系统故障，应能恢复对数据库的更改（Undo），如果事务执行时系统出现故障，应该允许系统在重新启动后完成未完成的事务操作（Redo），保证事务的完整性，事务是一个执行单元，也是一个恢复单元。 并发现象 并发操作如果不进行适当的控制，可能导致数据库中数据的不一致性。 并发操作带来的不一致性包括四类：丢失更新、读脏数据、不可重复读和幻像读。 隔离级别 隔离级别表示事务之间的隔离程度，保护指定的事务不受其他事务的干扰。 事务的隔离性要求事务之间相互透明，保证数据的完整性。 SQL-92定义了四个隔离级别 未提交读发生（read uncommitted）：读取数据时，不发出共享锁，也不接受排它锁，出现读脏数据。 提交读（read committed）：读取数据时，使用共享锁，在该级别上，不会出现读脏数据。 可重复读（repeateable read）：持有锁直到事务结束。不会出现读脏数据和不可重复读。 可序列化（serializable）：防止其他用户更新或插入满足事务WHERE子句条件的新行，不会出现幻像读。 6.3 用户与资源 每一个Oracle数据库有一组合法的用户，合法用户可存取该数据库，可运行该数据库的应用。 当建立数据库用户时，对该用户建立一个相应的模式（也称为方案），模式是数据库中用户所拥有所有对象的集合。 资源可以是为用户分配的连接、提供的CPU时间、分配的内存空间、SGA空间大小等。 概要文件不是一般的文件，而是存储在数据字典中对资源进行限制的集合。 创建用户 创建用户必须拥有CREATE USER系统权限 。 创建用户时指定的选项信息有用户名称、验证方式（口令）、概要文件，分配的表空间、用户使用的限额、授予用户的角色、授予用户的权限、锁定状态等。 Create user PYM identified by rabbit Default tablespace USERS Temporary tablespace TEMP QUOTA 5m ON USERS PASSWORD EXPIRE ACCOUNT UNLOCK; 修改用户和删除用户 使用ALTER USER命令可以更改用户的信息，但必须拥有ALTER USER系统权限，数据库用户修改自身口令不需要任何系统权限。 更改用户PYM的口令为ORACLE ALTER USER PYM IDENTIFIED BY ORACLE 更改用户PYM在表空间USE