搜索
题目Oracle10g数据库概述学院:学与计算机科学数学院专业:计算机科学与技术.班级:.学号:.姓名:.Oracle10g数据库安全1、Oracle数据库安全概述服务器上的数据对于一个企业或事业单位来说可能是最重要的资源,保护这些数据对企业和事业单位意义重大。如今大型关系型数据库多数单位都使用的是Oracle数据库,数据库的安全性是指允许或者禁止用户在数据库上进行的操作。Oracle数据库的安全理涉及很多方面,比如控制数据的一致性和并行性,建立不同安全域的用户组与用户,以及不同客户连接的不同权限,管理员对不同用户的角色和权限的控制,建立足够有效的审计安全策略等等。笔者重点介绍Oracle数据库中的角色和不同角色的权限问题。2、Oracle数据库中的角色在Oracle数据库中,角色对管理员来说是一个简单然而却又是功能非常强的机制。当据库较小,访问数据库的用户不多时,对用户在每一个表上要求的特定访问进行授权还是可以接受的;然而随着数据库的增大和用户的增多,权限管理就比较麻烦了。操作系统采用用户组的概念来描述分配给不同用户的系统资源的访问权限问题,Oracle数据库则采用“角色”的概念来组织不同的权限,角色可以分配给其他用户和角色,角色的一些特性能大大简化在数据库中的权限管理。在实际运用中,通常角色由数据库管理员定义,然后再由DBA将权限分配给基于这些角色的用户。数据库管理员需要经常为数据库的各种不同应用创建不同的角色,然后将不同的权限授予这些角色,一个应用可以包含几个不同的角色,每个角色都有不同的权限集合。视故障规律和故障机理的研究,加强日常维护、检查和预修。故障管理的展开程序有以下八个方面:(1)做好宣传教育工作,使操作和维修工人自觉地对机械设备故障进行认真记录、统计和分析,提出合理化建议。(2)紧密结合本企业生产实际和机械设备状况的特点,把在用机械设备分成A、B、C三类,以确定故障管理的重点。(3)采用监测仪器,对重点机械设备的重点部位进行有计划的监测,以及时发现故障和征兆、劣化的信息。一般机械设备也要通过人的感官及一般检测工具进行日常点检、巡回检查、定期检查、完好状态检查等,着重掌握易出故障的部位、机构及零件的技术状态和异常现象的信息。同时,要制订检查标准,确定机械设备正常、异常和故障的界限。(4)开展故障分析,培训维修工掌握故障分析方法。(5)记录必须完整准确。故障记录是实现故障管理的基础资料,又是进行故障分析和处理的原始依据。维修工人在现场进行检查和故障修理后,应按照“机械设备故障修理单”的内容认真填写,机械技术员按月统计分析并报送机械设备管理主管,按程序将有关故障上报主管部门,并反馈给机械设备制造单位。(6)机械设备技术员除日常掌握故障情况外,应按月汇集“故障修理单”和维修记录。通过对故障数据的统计、整理和分析,计算出各类机械设备的故障频率和平均故障间隔期,分析单台机械设备的故障动态和重点故障原因,找出故障的发生规律,以便突出重点、采取对策,将故障信息整理分析资料反馈到管理部门,便于安排预防修理或改进措施计划,还可以作为修改定期检查间隔期、检查内容和标准的依据。(7)根据统计整理的资料,可以绘出统计分析图表,如单台机械设备故障动态统计分析表是维修班组对故障及其他进行目视管理的有效方法,既便于管理人员和维修工人及时掌握各类型机械设备发生故障的情况,又能在确定维修对策时有明确目标。通过维修工人的日常巡回检查和设备状态检查,取得状态信息和故障征兆,以及有关记录和分析资料,由机械设备技术员或修理组长针对各类型机械设备存在的问题,及时安排日常维修,充利用生产空隙时间或节假日,做到预防在前,以控制和减少故障发生。数据库角色具有如下特性:(1)角色可以被授予系统和方案对象权限。(2)角色可以被授予不同的数据库用户不同的权限。(3)角色可以被授予其他角色。(4)角色可以被启用或禁用。(5)角色可以被授予,也可以被回收。角色的名称在数据库中必须具有唯一性,不能同名。Oracle预定义了好几个角色:DBA、RESOURCE、CONNECT、EXP_FULL_DATABASE等。下图演示了创建角色并将系统权限授予角色。角色的创建和管理、权限分配还可以通过SQL命令的方式来进行。创建角色并授予权限:CREATEROLErole_nameGRANTsystem_priv|roleTOrole修改角色:ALTERROLErole_name删除角色:Droprolerole_name合理创建和授予角色合理的权限,可以最大限度地保证Oracle数据库系统的安全。3、Oracle数据库中的权限权限是指执行某种操作和访问某些对象的权力。比如数据库中要进行诸如创建数据库、表、执行SQL语句、查询数据、创建数据库对象等等都需要具有进行这类活动所需的权限。权限被分配给不同的角色以至用户,用户才能完成一定的应用。数据库管理员可以显式的将权限分配给用户,也可以将权限授予角色,然后为用户添加这个角色。由于角色机制使得权限的分配和管理简单化,所以数据库管理员应当将权限分配给角色,而不是直接分配给用户。Oracle数据库中的权限主要有以下两类:(1)系统权限。系统权限是指执行系统内部特定操作的权力。比如创建数据库、删除数据库、删除数据表中的数据等都需要具有系统权限。Oracle数据库中包括60多种系统权限。(2)对象权限。方案对象权限是指对特定方案对象执行操作的权力。Oracle数据库中的方案对象主要有:表、视图、存储过程、函数等。系统权限主要有:Createsession:创建连接到数据库。Createtable:建立数据表。Createview:建立视图。Createprocedure:建立过程。Createuser:建立用户。对象权限主要有:SELECT:读取表、视图、序列中的行。UPDATE:更新表、视图和序列中的行。DELETE:删除表、视图中的数据。INSERT:向表和视图中插入数据。EXECUTE:执行类型、函数、包和过程。ALTER:修改表、序列、同义词中的结构。权限授予角色后还可以通过两种方式回收权限,一种是使用OracleEnterpriseManage;一种是使用SQL语句:RE-VOKEsystem_priv|roleFROMUSER。对表、视图、存储过程等的操作必须具有相应的权限,这是维护Oracle数据库对象安全的强大屏障。比如要创建视图,则必须具备以下权限:(1)授予CREATEVIEW系统权限或者CREATEANYVIEW系统权限。(2)显式授予SELECT、INSERT、UPDATE和DELETE对象权限,显式授予SELECTANYTABLE、INSERTANYTA-BLE、UPDATEANYTABLE、DELETEANYTABLE系统权限。(3)视图可以为表的信息提供基于值的安全性。(4)视图能够访问基表的所选择的列的数据。相应的,对表、过程等对象的操作也需要具备相应的权限。这样Oracle数据库中各种对象的安全通过权限的合理配置得到有效保证。4、Oracle数据库10g的安全性和身份管理Oracle数据库10g为Oracle身份管理提供了一种安全、可伸缩的基础。Oracle互联网目录(OID)是作为一个运行在Oracle数据库10g上的应用程序来实施的,使OID能够在一个单一服务器上或者某个网格中的各个节点上支持数T字节的目录信息。Oracle数据库10g凭借诸如虚拟私有数据库等这样强大的功能来保护原始数据。重要的数据库安全性特性包括:企业用户安全性。Oracle数据库10g的企业用户安全性特性,涵盖企业访问权限管理和共享的模式(schemas),允许每个用户访问数据,同时支持在Oracle互联网目录中进行集中的用户管理。用户权限(由角色来体现)和对象约束条件(由访问控制清单来体现)可以存储在OID数据库中。虚拟私有数据库。虚拟私有数据库(VPD)允许开发人员将安全政策附加到应用程序表、视图或同义词中。安全性政策可以使用安全应用上下文(SecureApplicationContext)来确定如何运用这个政策。Oracle数据库10g还在虚拟私有数据库中引入了与列相关的安全性政策执行机制,以及可以选择的列遮蔽机制。Oracle标签安全性。Oracle数据库10g允许在Oracle身份管理基础设施中集中创建Oracle标签安全性政策。通过使用Oracle互联网目录,人们可以在一个集中的位置创建Oracle标签安全性政策,从而简化在企业或网格中的所有数据库中进行安全性保障和管理的过程。可以在一个位置管理机构的敏感性标签及应用程序用户安全性许可证。细粒度的审计。任何有效的安全性政策的一个重要方面都是维护系统的活动记录,来确保用户对自己的行为负责。Oracle在Oracle数据库的现有强大而全面的审计功能的基础上,又纳入了细粒度的审计功能。如果用户错误地使用了数据访问权限,则这种功能可以作为机构的预警系统,也可以作为对数据库本身入侵的检测系统。代理认证。Oracle数据库10g支持代理认证,它通过允许将一个SSL证书(X.509证书或DN)传送到数据库来识别(而不是认证)用户,从而提供三层安全性功能。该数据库利用DN或证书,在Oracle互联网目录或另一个基于LDAP的目录中查找用户。代理认证与Oracle企业用户安全性的集成还使用户身份能够在一个应用程序的所有层面上得到维护,而对用户只需在目录中创建一次即可。Oracle高级安全性,Oracle高级安全性利用企业现有的安全框架来提供一些功能强大的认证解决方案,其中包括Kerberos、公共密钥密码技术、RADIUS和针对Oracle数据库10g的分布式计算环境。本版本中的一项新功能是通过存储在文件系统、Oracle互联网目录或CRL分部点(DistributionPoints)中的证书撤销清单来X509v3证书撤销信息的功能。5、总结Oracle数据库中数据的安全是单位的重要工作,而数据库安全管理中的重要机制就是角色与权限分配。权限分配是制约用户权力的机制,也是维护数据库安全的重要手段。通过将一定的系统权限或者对象权限授予一定的角色,然后将角色分配给不同的用户或者用户组,简化了Oracle数据库中的权限管理,提高了权限管理的效能。总之,角色和权限是Oracle数据库系统里对数据库安全起到关键作用,同时也是保障Oracle数据库系统安全的非常强大的一种机制。