数据库第四章数据库安全性.ppt

4.2 数据库安全性控制
4.2.1 用户身份鉴别 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授权与回收 4.2.5 数据库角色 4.2.6 强制存取控制方法
第四章 Oracle安全性控制
1.用户管理 2.模式 3.权限管理 4.角色管理
1.用户管理
• 用户管理是Oracle实现安全性的一个重要方法，只有 通过用户验证，用户才能访问数据库。
• 合法权限检查 – 每当用户发出存取数据库的操作请求后，DBMS查找数据字典，根 据安全规则进行合法权限检查，若用户的操作请求超出了定义的 权限，系统将拒绝执行此操作。
4.2.2 存取控制
常用存取控制方法 • 在自主存取控制中（Discretionary Access Control ，简称DAC）
4.1 数据库安全性概述
• 问题的提出 –数据库的一大特点是数据可以共享 –数据库系统中的数据共享不能是无条件的共享 例：银行储蓄数据、客户档案、 市场营销策略、销售计划 –数据共享必然带来数据库的安全性问题
• 数据库的安全性是指保护数据库以防止不合法的使用所 造成的数据泄漏、更改或破坏
4.1 数据库安全性概述
• 默认情况下，用户引用的对象是与自己同名模式中的对象，如果 要引用其他模式中的对象，需要在该对象名之前指明对象所属模 式。
2. 模式
• 如果用户以NORMAL身份登录，则进入同名模式。 • 若以SYSDBA身份登录，则进入SYS模式。 • 如果以SYSOPER身份登录，则进入PUBLIC模式。
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
– 同一用户对于不同的数据对象有不同的存取权限 – 不同的用户对同一对象也有不同的权限 – 用户还可将其拥有的存取权限转授给其他用户 • 在强制存取控制中（Mandatory Access Control，简称 MAC） – 每一个数据对象被标以一定的密级 – 每一个用户也被授予某一个级别的许可证 – 对于任意一个对象，只有具有合法许可证的用户才可以存取
4.2.1 用户身份鉴别
• 用户身份鉴别是数据库管理系统提供的最外层安全保护 措施。
• 基本方法
– 系统提供一定的方式让用户标识自己的名字或身份； – 系统内部记录着所有合法用户的标识； – 每次用户要求进入系统时，由系统核对用户提供的身份标识； – 通过鉴定后才提供使用数据库管理系统的权限。
4.2.1 用户身份鉴别
• 命令格式：
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
常用的用户身份鉴别方法有： 1.静态口令鉴别
当前常用的鉴别方法。静态口令一般由用户自己设定，鉴别时只 要按要求输入正确的口令，系统将允许用户使用数据库管理系统。 2.动态口令鉴别 目前较为安全的鉴别方式。这种方式的口令是动态变化的，每次 鉴别时均需使用动态产生的新口令登录数据库管理系统，即采用 一次一密的方法。
4.2 数据库安全性控制
在一般计算机系统中，安全措施是一级一级层层设置的
用户
DBMS
ቤተ መጻሕፍቲ ባይዱ
OS
DB
用户标识 和鉴定
数据库 安全保护
操作系统 安全保护
计算机系统的安全模型
密码存储
4.2 数据库安全性控制
4.2.1 用户身份鉴别 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授权与回收 4.2.5 数据库角色 4.2.6 强制存取控制方法
• 命令格式：
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
第4章 数据库安全性
主讲教师：杨丽丽 E-mail:yll@nwsuaf.edu.cn Tel: 17709213676，87091337(O)
第四章 数据库安全性
4.1 数据库安全性概述 4.2 数据库安全性控制 4.3 视图机制 4.4 审计 4.5 数据加密 4.6 其他安全性保护 4.7 小结
第四章 Oracle安全性控制
1.用户管理 2.模式 3.权限管理 4.角色管理
2. 模式

是指一系列逻辑数据结构或对象的集合。

• 模式与用户相对应，一个模式只能被一个数据库用户所拥有，并 且模式的名称与这个用户的名称相同
• 通常情况下，用户所创建数据库对象都保存在与自己同名的模式 中。
• 同一模式中数据库对象的名称必须唯一，而在不同模式中的数据
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 命令格式：
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 命令格式：
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 命令格式：
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
• 存取控制机制包括两部分 – 定义用户权限，并将用户权限登记到数据字典中 – 合法权限检查
• 用户权限定义和合法权检查机制一起组成了DBMS的安 全子系统
4.2.2 存取控制
• 定义用户权限，并将用户权限登记到数据字典中 – 用户对某一数据对象的操作权力称为权限。DBMS系统提供适当的 语言来定义用户权限，这些定义经过编译后存放在数据字典中， 被称做安全规则或授权规则。
• 命令格式：
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
4.2 数据库安全性控制
4.2.1 用户身份鉴别 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授权与回收 4.2.5 数据库角色 4.2.6 强制存取控制方法
4.2.2 存取控制
• 数据库安全最重要的一点就是确保只授权给有资格的 用户访问数据库的权限，同时令所有未被授权的人员 无法接近数据，这主要通过数据库系统的存取控制机 制实现。
1.用户管理
• 修改用户：修改用户信息使用alter user语句，
其语句格式与create user 语句格式相同。
alter user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]
对数据库安全性产生威胁的因素主要有以下几个方面： 1.非授权用对数据库的恶意存取和破坏
一些黑客和犯罪分子在用户存取数据库时猎取用户名和用户口令， 然后假冒合法用户偷取、修改甚至破坏用户数据。 2.数据库中重要或敏感的数据被泄露 黑客和敌对分子千方百计盗窃数据库中的重要数据，一些机密信 息被泄露。 3.安全环境的脆弱性 数据库的安全性与计算机系统的安全性，包括计算机硬件、操作 系统、网络系统等的安全性是紧密联系的。
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
修改用户 [例2] 将用户u1的口令修改为过期状态。
alter user u1 password expire
1.用户管理
• 删除用户：一般以dba的身份去删除某个用户，如果用 其它用户去删除用户则需要具有 drop user的权限。 命令格式： drop user 用户名 [cascade]
• 如果指定cascade，将会删除这个用户所拥有的所有对 象。
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 创建的新用户是没有任何权限的，甚至连登录数据库的权 限都没有，需要为其指定相应的权限。
[例1] 创建用户u1，并为其分配口令。 create user u1 identified by 123456 default tablespace users temporary tablespace temp quota unlimited on users
4.2.1 用户身份鉴别
常用的用户身份鉴别方法有： 3.生物特征鉴别
是一种通过生物特征进行认证的技术，其中，生物特征是指生物 体唯一具有的，可测量、识别和验证的稳定生物特征，如指纹、 虹膜和掌纹等。 4.智能卡鉴别 智能卡是一种不可复制的硬件，内置集成电路的芯片，具有硬件 加密功能。智能卡由用户随身携带，登录数据库管理系统时用户 将智能卡插入专用的读卡器进行身份验证。
[quota {整数[K | M]| unlimited} on 表空间名] [quota {整数[K | M]| unlimited} on 表空间名]
[password expire] [account {lock | unlock}]
[profile {概要文件名 | default}]
1.用户管理
• 用户管理包括创建用户、修改用户和删除用户 • 创建用户：在oracle中要创建一个新的用户，一般当
前用户是具有dba(数据库管理员)的权限才能使用。
1.用户管理
• 命令格式：
create user 用户名 identified {by 口令 | externally}
[default tablespace 默认表空间名] [temporary tablespace 临时表空间名]