數(shù)據(jù)庫(kù)安全管理培訓(xùn)課件

數(shù)據(jù)庫(kù)安全管理第一頁(yè)，共四十六頁(yè)。主要內(nèi)容用戶管理權(quán)限管理角色管理概要文件管理審計(jì)第二頁(yè)，共四十六頁(yè)。用戶管理Oracle數(shù)據(jù)庫(kù)初始用戶

SYS：是數(shù)據(jù)庫(kù)中具有最高權(quán)限的數(shù)據(jù)庫(kù)管理員，可以啟動(dòng)、修改和關(guān)閉數(shù)據(jù)庫(kù)，擁有數(shù)據(jù)字典；

SYSTEM：是一個(gè)輔助的數(shù)據(jù)庫(kù)管理員SCOTT：是一個(gè)用于測(cè)試網(wǎng)絡(luò)連接的用戶，其口令為TIGER。PUBLIC：實(shí)質(zhì)上是一個(gè)用戶組，數(shù)據(jù)庫(kù)中任何一個(gè)用戶都屬于該組成員。要為數(shù)據(jù)庫(kù)中每個(gè)用戶都授予某個(gè)權(quán)限，只需把權(quán)限授予PUBLIC就可以了。第三頁(yè)，共四十六頁(yè)。用戶屬性用戶身份認(rèn)證方式默認(rèn)表空間臨時(shí)表空間表空間配額概要文件賬戶狀態(tài)第四頁(yè)，共四十六頁(yè)。身份認(rèn)證方式（sysdba身份）操作系統(tǒng)認(rèn)證條件：文件$ORACLE_HOME/NETWORK/ADMIN/SQLNET.ORA中的SQLNET.AUTHENTICATION_SERVICES=（NTS）當(dāng)前登錄操作系統(tǒng)的用戶必須屬于OraDBA組方式：Sqlplus/assysdbaconn/assysdba第五頁(yè)，共四十六頁(yè)。身份認(rèn)證方式（sysdba身份）密碼文件認(rèn)證條件：初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE=Exclusive

或者Shared當(dāng)前登錄操作系統(tǒng)的用戶必須屬于OraDBA組方式：Sqlplus用戶名/密碼assysdbaconn用戶名/密碼assysdba第六頁(yè)，共四十六頁(yè)。身份認(rèn)證方式（Normal身份）普通用戶的數(shù)據(jù)庫(kù)認(rèn)證方式密碼認(rèn)證方式：條件：沒(méi)有條件，任何時(shí)候都可以Sqlplus用戶名/密碼conn用戶名/密碼操作系統(tǒng)認(rèn)證方式：條件：文件$ORACLE_HOME/NETWORK/ADMIN/SQLNET.ORA中的SQLNET.AUTHENTICATION_SERVICES=（NTS）Sqlplus/conn/第七頁(yè)，共四十六頁(yè)。創(chuàng)建用戶CreateUser<用戶名>IdentifiedBy<口令>DefaultTablespace<默認(rèn)表空間>TemporaryTablespace<臨時(shí)表空間>Quota數(shù)值K|數(shù)值M|Unlimitedon表空間Profile概要文件名Defaultrole默認(rèn)角色PasswordExpireAccountLock|Unlock;第八頁(yè)，共四十六頁(yè)。舉例CreateuseraIdentifiedbya1234DefaulttablespaceusersQuota10Monusers;注意在創(chuàng)建新用戶后，必須為用戶授予適當(dāng)?shù)臋?quán)限，用戶才可以進(jìn)行相應(yīng)的數(shù)據(jù)庫(kù)操作。例如，授予用戶CREATESESSION權(quán)限后，用戶才可以連接到數(shù)據(jù)庫(kù)。第九頁(yè)，共四十六頁(yè)。修改用戶ALTERUSERuser_name[IDENTIFIED][BYpassword|EXTERNALLY|GLOBALLYAS'external_name'][DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtemp_tablesapce_name][QUOTAnK|M|UNLIMITEDONtablespace_name][PROFILEprofile_name][DEFAULTROLErole_list|ALL[EXCEPTrole_list]|NONE][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];第十頁(yè)，共四十六頁(yè)。刪除用戶基本語(yǔ)法DROPUSERuser_name[CASCADE];步驟先刪除用戶所擁有的對(duì)象再刪除用戶將參照該用戶對(duì)象的其他數(shù)據(jù)庫(kù)對(duì)象標(biāo)志為INVALID處于連接狀態(tài)的用戶不可刪除第十一頁(yè)，共四十六頁(yè)。查詢用戶信息ALL_USERS：包含數(shù)據(jù)庫(kù)所有用戶的用戶名、用戶ID和用戶創(chuàng)建時(shí)間。DBA_USERS：包含數(shù)據(jù)庫(kù)所有用戶的詳細(xì)信息。USER_USERS：包含當(dāng)前用戶的詳細(xì)信息。DBA_TS_QUOTAS：包含所有用戶的表空間配額信息。USER_TS_QUOTAS：包含當(dāng)前用戶的表空間配額信息。V$SESSION：包含用戶會(huì)話信息。V$OPEN_CURSOR：包含用戶執(zhí)行的SQL語(yǔ)句信息。第十二頁(yè)，共四十六頁(yè)。查看數(shù)據(jù)庫(kù)所有用戶名及其默認(rèn)表空間。SELECTSERNAME,DEFAULT_TABLESPACEFROMDBA_USERS;查看數(shù)據(jù)庫(kù)中各用戶的登錄時(shí)間、會(huì)話號(hào)。SELECTSID,SERIAL#,LOGON_TIME,USERNAMEFROMV$SESSION;第十三頁(yè)，共四十六頁(yè)。權(quán)限管理權(quán)限管理概述系統(tǒng)權(quán)限管理對(duì)象權(quán)限管理查詢權(quán)限信息第十四頁(yè)，共四十六頁(yè)。12.3.1權(quán)限管理概述所謂權(quán)限就是執(zhí)行特定類型SQL命令或訪問(wèn)其他用戶的對(duì)象的權(quán)利。系統(tǒng)權(quán)限：系統(tǒng)權(quán)限是指在數(shù)據(jù)庫(kù)級(jí)別執(zhí)行某種操作的權(quán)限，或針對(duì)某一類對(duì)象執(zhí)行某種操作的權(quán)限。例如，CREATESESSION權(quán)限、CREATEANYTABLE權(quán)限。對(duì)象權(quán)限：對(duì)象權(quán)限是指對(duì)某個(gè)特定的數(shù)據(jù)庫(kù)對(duì)象執(zhí)行某種操作的權(quán)限。例如，對(duì)特定表的插入、刪除、修改、查詢的權(quán)限。第十五頁(yè)，共四十六頁(yè)。授權(quán)方法直接授權(quán)：利用GRANT命令直接為用戶授權(quán)。間接授權(quán)：先將權(quán)限授予角色，然后再將角色授予用戶。第十六頁(yè)，共四十六頁(yè)。授權(quán)Grant系統(tǒng)權(quán)限to用戶名[withadminoption]Grantsysdbato用戶名Grant對(duì)象權(quán)限on對(duì)象名to用戶名[withgrantoption]第十七頁(yè)，共四十六頁(yè)。對(duì)象權(quán)限適合對(duì)象對(duì)象權(quán)限功能說(shuō)明SELECT表、視圖、序列查詢數(shù)據(jù)操作UPDATE表、視圖更新數(shù)據(jù)操作DELETE表、視圖刪除數(shù)據(jù)操作INSERT表、視圖插入數(shù)據(jù)操作REFERENCES表在其他表中創(chuàng)建外鍵時(shí)可以引用該表EXECUTE存儲(chǔ)過(guò)程、函數(shù)、包執(zhí)行PL/SQL存儲(chǔ)過(guò)程、函數(shù)和包READ目錄讀取目錄ALTER表、序列修改表或序列結(jié)構(gòu)INDEX表為表創(chuàng)建索引ALL具有對(duì)象權(quán)限的所有模式對(duì)象某個(gè)對(duì)象所有對(duì)象權(quán)限操作集合第十八頁(yè)，共四十六頁(yè)。撤銷權(quán)限r(nóng)evoke系統(tǒng)權(quán)限from用戶名revokesysdbafrom用戶名revoke對(duì)象權(quán)限on對(duì)象名from用戶名第十九頁(yè)，共四十六頁(yè)。WITHADMINOPTION當(dāng)甲用戶授權(quán)給乙用戶，且激活該選項(xiàng)，則被授權(quán)的乙用戶具有管理該權(quán)限的能力：或者能把得到的權(quán)限再授給其他用戶丙，或者能回收授出去的權(quán)限。當(dāng)甲用戶收回乙用戶的權(quán)限后，乙用戶曾經(jīng)授給丙用戶的權(quán)限仍然存在與WITHGRANTOPTION比較當(dāng)甲用戶授權(quán)給乙用戶，且激活該選項(xiàng)，則被授權(quán)的乙用戶具有管理該權(quán)限的能力：或者能把得到的權(quán)限再授給其他用戶丙，或者能回收授出去的權(quán)限。當(dāng)甲用戶收回乙用戶的權(quán)限后，乙用戶曾經(jīng)授給丙用戶的權(quán)限也被回收。第二十頁(yè)，共四十六頁(yè)。撤銷具有ADMIN

OPTION系統(tǒng)權(quán)限GRANTREVOKEREVOKECREATETABLEFROMjeff;用戶權(quán)限對(duì)象DBAJeffEmiJeffEmiDBA第二十一頁(yè)，共四十六頁(yè)。撤銷具有GRANT

OPTION對(duì)象權(quán)限GRANTREVOKEBobJeffEmiEmiJeffBob第二十二頁(yè)，共四十六頁(yè)。查詢權(quán)限信息DBA_TAB_PRIVS：包含數(shù)據(jù)庫(kù)所有對(duì)象的授權(quán)信息ALL_TAB_PRIVS：包含數(shù)據(jù)庫(kù)所有用戶和PUBLIC用戶組的對(duì)象授權(quán)信息USER_TAB_PRIVS：包含當(dāng)前用戶對(duì)象的授權(quán)信息DBA_COL_PRIVS：包含所有字段已授予的對(duì)象權(quán)限ALL_COL_PRIVS：包含所有字段已授予的對(duì)象權(quán)限信息USER_COL_PRIVS：包含當(dāng)前用戶所有字段已授予的對(duì)象權(quán)限信息。DBA_SYS_PRIVS：包含授予用戶或角色的系統(tǒng)權(quán)限信息USER_SYS_PRIVS：包含授予當(dāng)前用戶的系統(tǒng)權(quán)限信。第二十三頁(yè)，共四十六頁(yè)。角色具有名稱的一組權(quán)限的定義。使用角色可以簡(jiǎn)化對(duì)用戶的授權(quán)，只需要將用戶添加到角色中，用戶自動(dòng)具有該角色所有的權(quán)限。系統(tǒng)角色用戶自定義角色第二十四頁(yè)，共四十六頁(yè)。Oracle數(shù)據(jù)庫(kù)角色概述角色的概念所謂角色就是一系列相關(guān)權(quán)限的集合第二十五頁(yè)，共四十六頁(yè)。預(yù)定義角色預(yù)定義角色概述預(yù)定義角色是指在Oracle數(shù)據(jù)庫(kù)創(chuàng)建時(shí)由系統(tǒng)自動(dòng)創(chuàng)建的一些常用的角色，這些角色已經(jīng)由系統(tǒng)授予了相應(yīng)的權(quán)限。DBA可以直接利用預(yù)定義的角色為用戶授權(quán)，也可以修改預(yù)定義角色的權(quán)限。Oracle數(shù)據(jù)庫(kù)中有30多個(gè)預(yù)定義角色?？梢酝ㄟ^(guò)數(shù)據(jù)字典視圖DBA_ROLES查詢當(dāng)前數(shù)據(jù)庫(kù)中所有的預(yù)定義角色，通過(guò)DBA_SYS_PRIVS查詢各個(gè)預(yù)定義角色所具有的系統(tǒng)權(quán)限。第二十六頁(yè)，共四十六頁(yè)。創(chuàng)建角色Createrole角色名[Notidentified|Identifiedby口令]第二十七頁(yè)，共四十六頁(yè)。給角色分配權(quán)限Grant系統(tǒng)權(quán)限to角色名Grant對(duì)象權(quán)限on對(duì)象名to角色名Grant角色to角色名說(shuō)明給角色授予適當(dāng)?shù)南到y(tǒng)權(quán)限、對(duì)象權(quán)限或已有角色。在數(shù)據(jù)庫(kù)運(yùn)行過(guò)程中，可以為角色增加權(quán)限，也可以回收其權(quán)限。給角色授權(quán)時(shí)應(yīng)該注意，一個(gè)角色可以被授予另一個(gè)角色，但不能授予其本身，不能產(chǎn)生循環(huán)授權(quán)。第二十八頁(yè)，共四十六頁(yè)。收回權(quán)限r(nóng)evoke系統(tǒng)權(quán)限from角色名revoke對(duì)象權(quán)限on對(duì)象名from角色名revoke角色from角色名第二十九頁(yè)，共四十六頁(yè)。將用戶添加到角色中Grant角色名to用戶名Revoke角色名from用戶名第三十頁(yè)，共四十六頁(yè)。查詢角色信息DBA_ROLES：包含數(shù)據(jù)庫(kù)中所有角色及其描述；DBA_ROLE_PRIVS：包含為數(shù)據(jù)庫(kù)中所有用戶和角色授予的角色信息；USER_ROLE_PRIVS：包含為當(dāng)前用戶授予的角色信息；ROLE_ROLE_PRIVS：為角色授予的角色信息；ROLE_SYS_PRIVS：為角色授予的系統(tǒng)權(quán)限信息；ROLE_TAB_PRIVS：為角色授予的對(duì)象權(quán)限信息；SESSION_PRIVS：當(dāng)前會(huì)話所具有的系統(tǒng)權(quán)限信息；SESSION_ROLES：當(dāng)前會(huì)話所具有的角色信息。。第三十一頁(yè)，共四十六頁(yè)。查詢角色CONNECT所具有的系統(tǒng)權(quán)限信息。SELECT*FROMROLE_SYS_PRIVSWHEREROLE='CONNECT';查詢DBA角色被授予的角色信息。SELECT*FROMROLE_ROLE_PRIVSWHEREROLE='DBA';第三十二頁(yè)，共四十六頁(yè)。概要文件概要文件（PROFILE）是數(shù)據(jù)庫(kù)和系統(tǒng)資源限制的集合，是Oracle數(shù)據(jù)庫(kù)安全策略的重要組成部分。利用概要文件，可以限制用戶對(duì)數(shù)據(jù)庫(kù)和系統(tǒng)資源的使用，同時(shí)還可以對(duì)用戶口令進(jìn)行管理。在Oracle數(shù)據(jù)庫(kù)創(chuàng)建的同時(shí)，系統(tǒng)會(huì)創(chuàng)建一個(gè)名為DEFAULT的默認(rèn)概要文件。如果沒(méi)有為用戶顯式地指定一個(gè)概要文件，系統(tǒng)默認(rèn)將DEFAULT概要文件作為用戶的概要文件。必須將Resource_limit參數(shù)設(shè)置為true，概要文件才會(huì)生效第三十三頁(yè)，共四十六頁(yè)。概要文件OEM創(chuàng)建Createprofilelimit創(chuàng)建創(chuàng)建或修改用戶時(shí)啟用概要文件第三十四頁(yè)，共四十六頁(yè)。第三十五頁(yè)，共四十六頁(yè)。第三十六頁(yè)，共四十六頁(yè)。第三十七頁(yè)，共四十六頁(yè)。第三十八頁(yè)，共四十六頁(yè)。第三十九頁(yè)，共四十六頁(yè)。第四十頁(yè)，共四十六頁(yè)。CREATE

PROFILE"PRO2"LIMIT

CPU_PER_SESSION6000

CPU_PER_CALL10

CONNECT_TIME10

IDLE_TIME3

SESSIONS_PER_USER1

LOGICAL_READS_PER_SESSION20

LOGICAL_READS_PER_CALL2

PRIVATE_SGA

DEFAULT

COMPOSITE_LIMIT

DEFAULT

PASSWORD_LIFE_TIME7

PASSWORD_GRACE_TIME2

PASSWORD_REUSE_MAX2

PASSWORD_REUSE_TIME

unlimited

PASSWORD_LOCK_TIME1

FAILED_LOGIN_ATTEMPTS3

PASSWORD_VERIFY_FUNCTION

DEFAULT第四十一頁(yè)，共四十六頁(yè)。審計(jì)監(jiān)視和記錄所選用戶的數(shù)據(jù)活動(dòng)，用于調(diào)查可疑活動(dòng)，監(jiān)視與收集特定數(shù)據(jù)庫(kù)活動(dòng)的記錄。需要先開啟審計(jì)功能Altersystemsetaudit_trail=truescope=spfile重啟數(shù)據(jù)庫(kù)Oracle11g默認(rèn)審計(jì)功能是開啟的第四十二頁(yè)，共四十六頁(yè)。指定審計(jì)選項(xiàng)審計(jì)SQL語(yǔ)句：

審計(jì)系統(tǒng)權(quán)限：

審計(jì)對(duì)象權(quán)限：AUDITselectanytable,createanytrigger;

AUDITselectanytableBYhrBYSESSION;AUDITtable;AUDITsession;AUDITALLonhr.employees;

AUDITUPDATE,DELETEonhr.employeesBYACCESS;第四十三頁(yè)，共四十六頁(yè)。審計(jì)的一些其他選項(xiàng)

byaccess/bysession：byaccess每一個(gè)被審計(jì)的操作都會(huì)生成一條audittrailbysession一個(gè)會(huì)話里面同類型的操作只會(huì)生成一條audittrail，默認(rèn)為bysessionwhenever[not]successful：when