《用戶權(quán)限與安全》PPT課件.ppt

第12章用戶權(quán)限與安全 12 1數(shù)據(jù)庫安全性概述12 2用戶管理12 3用戶配置文件12 4權(quán)限管理12 5角色管理12 6審計(jì) 2 本章要點(diǎn) 掌握用戶的創(chuàng)建與管理了解用戶配置文件的作用掌握如何使用用戶配置文件限制用戶使用的資源了解Oracle中的權(quán)限理解系統(tǒng)權(quán)限與對象權(quán)限的區(qū)別了解角色與權(quán)限的區(qū)別掌握角色的創(chuàng)建與管理掌握如何為角色授予權(quán)限掌握如何為用戶授予權(quán)限或角色 12 1數(shù)據(jù)庫安全性概述 數(shù)據(jù)庫的安全性主要包括兩個方面的含義 一方面是防止非法用戶對數(shù)據(jù)庫的訪問 未授權(quán)的用戶不能登錄數(shù)據(jù)庫 另一方面是每個數(shù)據(jù)庫用戶都有不同的操作權(quán)限 只能進(jìn)行自己權(quán)限范圍內(nèi)的操作 Oracle數(shù)據(jù)安全控制機(jī)制用戶管理權(quán)限管理角色管理表空間設(shè)置和配額用戶資源限制數(shù)據(jù)庫審計(jì) 3 Oracle數(shù)據(jù)庫的安全可以分為兩類 系統(tǒng)安全性系統(tǒng)安全性是指在系統(tǒng)級控制數(shù)據(jù)庫的存取和使用的機(jī)制 包括有效的用戶名與口令的組合 用戶是否被授權(quán)可連接數(shù)據(jù)庫 用戶創(chuàng)建數(shù)據(jù)庫對象時可以使用的磁盤空間大小 用戶的資源限制 是否啟動了數(shù)據(jù)庫審計(jì)功能 以及用戶可進(jìn)行哪些系統(tǒng)操作等 數(shù)據(jù)安全性數(shù)據(jù)安全性是指在對象級控制數(shù)據(jù)庫的存取和使用機(jī)制 包括用戶可存取的模式對象和在該對象上允許進(jìn)行的操作等 4 12 2用戶管理 創(chuàng)建用戶修改用戶刪除用戶管理用戶會話 5 Oracle數(shù)據(jù)庫初始用戶SYS 是數(shù)據(jù)庫中具有最高權(quán)限的數(shù)據(jù)庫管理員 可以啟動 修改和關(guān)閉數(shù)據(jù)庫 擁有數(shù)據(jù)字典 SYSTEM 是一個輔助的數(shù)據(jù)庫管理員 不能啟動和關(guān)閉數(shù)據(jù)庫 但可以進(jìn)行其他一些管理工作 如創(chuàng)建用戶 刪除用戶等 SCOTT 是一個用于測試網(wǎng)絡(luò)連接的用戶 其口令為TIGER 6 7 12 2 1創(chuàng)建用戶 創(chuàng)建用戶需要使用CREATEUSER語句 其語法如下 CREATEUSERuser nameIDENTIFIEDBYpassword DEFAULTTABLESPACEdefault tablespace name TEMPORARYTABLESPACEtomporary tablespace name QUOTAquota K M UNLIMITEDONtablespace name PROFILEprofile name PASSWORDEXPIRE ACCOUNTLOCK UNLOCK 創(chuàng)建數(shù)據(jù)庫用戶示例 創(chuàng)建用戶需要具有CREATEUSER權(quán)限 下列語句將創(chuàng)建一個user3用戶 口令為user3 默認(rèn)表空間為USERS 在該表空間的配額為10MB 初始狀態(tài)為鎖定 CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEusersQUOTA10MONusersACCOUNTLOCK 創(chuàng)建數(shù)據(jù)庫用戶示例 2 創(chuàng)建一個用戶wang 口令為wang 默認(rèn)表空間為users 在該表空間的配額為10MB 口令設(shè)置為過期狀態(tài) 即首次連接數(shù)據(jù)庫時需要修改口令 配置文件為example profile 假設(shè)該配置文件已經(jīng)創(chuàng)建 CREATEUSERwangIDENTIFIEDBYwangDEFAULTTABLESPACEusersQUOTA10MONusersPROFILEexample profilePASSWORDEXPIRE 注意 在創(chuàng)建新用戶后 必須為用戶授予適當(dāng)?shù)臋?quán)限 用戶才可以進(jìn)行相應(yīng)的數(shù)據(jù)庫操作 例如 授予用戶CREATESESSION權(quán)限后 用戶才可以連接到數(shù)據(jù)庫 10 12 2 2修改用戶 對創(chuàng)建好的用戶可以使用ALTERUSER語句進(jìn)行修改 修改時可以針對用戶不同的參數(shù) 修改用戶的口令A(yù)LTERUSERuser3IDENTIFIEDBYnewuser3 修改用戶口令為過期ALTERUSERuser3PASSWORDEXPIRE 說明 如果用戶口令是過期狀態(tài) 則使用該用戶連接數(shù)據(jù)庫時 Oracle將強(qiáng)制用戶更新口令 修改用戶的狀態(tài)為鎖定或解鎖ALTERUSERuser3ACCOUNTLOCK ALTERUSERuser3ACCOUNTUNLOCK 4 將用戶user3的口令修改為newuser3 同時將該用戶解鎖 ALTERUSERuser3IDENTIFIEDBYnewuser3ACCOUNTUNLOCK 5 修改用戶wang的默認(rèn)表空間為myspace 在該表空間的配額為20MB 在users表空間的配額為10MB ALTERUSERwangDEFAULTTABLESPACEmyspaceQUOTA20MONmyspaceQUOTA10MONusers 12 12 2 3刪除用戶 基本語法DROPUSERuser name CASCADE 說明如果該用戶已經(jīng)在數(shù)據(jù)庫中創(chuàng)建了內(nèi)容 則必須指定CASCADE關(guān)鍵字 表示在刪除該用戶的同時 刪除該用戶創(chuàng)建的所有內(nèi)容 示例DROPUSERusers DROPUSERusersCASCADE 13 12 2 4管理用戶會話 1 監(jiān)視用戶會話信息Oracle提供了動態(tài)視圖v session 通過該視圖可以了解當(dāng)前數(shù)據(jù)庫中的用戶會話信息 參見教材P267 2 終止用戶會話數(shù)據(jù)庫管理員可以在需要的時候使用ALTERSYSTEM語句終止用戶的會話 其語法形式如下 ALTERSYSTEMKILLSESSION sid serial 其中 sid與serial 的值可以通過查詢動態(tài)視圖v session獲得 例如 ALTERSYSTEMKILLSESSION 136 341 查詢用戶信息 ALL USERS 包含數(shù)據(jù)庫所有用戶的用戶名 用戶ID和用戶創(chuàng)建時間DBA USERS 包含數(shù)據(jù)庫所有用戶的詳細(xì)信息USER USERS 包含當(dāng)前用戶的詳細(xì)信息DBA TS QUOTAS 包含所有用戶的表空間配額信息USER TS QUOTAS 包含當(dāng)前用戶的表空間配額信息V SESSION 包含用戶會話信息V OPEN CURSOR 包含用戶執(zhí)行的SQL語句信息 15 12 3用戶配置文件 配置文件 PROFILE 是數(shù)據(jù)庫和系統(tǒng)資源限制的集合 是Oracle數(shù)據(jù)庫安全策略的重要組成部分 利用配置文件 可以限制用戶對數(shù)據(jù)庫和系統(tǒng)資源的使用 同時還可以對用戶口令進(jìn)行管理 在Oracle數(shù)據(jù)庫創(chuàng)建的同時 系統(tǒng)會創(chuàng)建一個名為DEFAULT的默認(rèn)配置文件 如果沒有為用戶顯式地指定一個配置文件 系統(tǒng)默認(rèn)將DEFAULT配置文件作為用戶的配置文件 資源限制級別和類型 資源限制級別會話級資源限制 對用戶在一個會話過程中所能使用的資源進(jìn)行限制 調(diào)用級資源限制 對一條SQL語句在執(zhí)行過程中所能使用的資源進(jìn)行限制 資源限制類型CPU使用時間 邏輯讀 每個用戶的并發(fā)會話數(shù) 用戶連接數(shù)據(jù)庫的空閑時間 用戶連接數(shù)據(jù)庫的時間 私有SQL區(qū)和PL SQL區(qū)的使用 17 12 3 1創(chuàng)建用戶配置文件 系統(tǒng)管理員也可以自行創(chuàng)建配置文件 創(chuàng)建配置文件需要使用CREATEPROFILE語句 其語法參見教材P268 創(chuàng)建一個名為pwd profile的配置文件 如果用戶連續(xù)4次登錄失敗 則鎖定該賬戶 10天后該賬戶自動解鎖 CREATEPROFILEpwd profileLIMITFAILED LOGIN ATTEMPTS4PASSWORD LOCK TIME10 創(chuàng)建用戶配置文件的示例 創(chuàng)建一個名為res profile的配置文件 要求每個用戶最多可以創(chuàng)建4個并發(fā)會話 每個會話持續(xù)時間最長為60分鐘 如果會話在連續(xù)20分鐘內(nèi)空閑 則結(jié)束會話 每個會話的私有SQL區(qū)為100KB 每個SQL語句占用CPU時間總量不超過10秒 CREATEPROFILEres profileLIMITSESSIONS PER USER4CONNECT TIME60IDLE TIME20PRIVATE SGA100KCPU PER CALL100 19 12 3 2將配置文件分配給用戶 可以在創(chuàng)建用戶時為用戶指定配置文件CREATEUSERzhangsanIDENTIFIEDBY12345PROFILEres profile 也可以在修改用戶時為用戶指定配置文件 ALTERUSERzhangsanPROFILEpwd profile 除此之外 要想讓配置文件生效 還需要將參數(shù)resource limit的值改為TRUE 可使用SHOWPARAMETER語句查看該參數(shù) 具體語句如下 ALTERSYSTEMSETresource limit TRUE 20 12 3 3查看配置文件信息 通過數(shù)據(jù)字典dba profiles 可以查看系統(tǒng)默認(rèn)配置文件DEFAULT和自行創(chuàng)建的用戶配置文件的參數(shù)設(shè)置 例如 查看系統(tǒng)默認(rèn)配置文件DEFAULT的參數(shù)設(shè)置情況 查詢語句如下 SELECTprofile resource name limitFROMdba profilesWHEREprofile DEFAULT 其中 profile表示配置文件名 resource name表示參數(shù)名 limit表示參數(shù)值 21 12 4權(quán)限管理 一個新的用戶被創(chuàng)建后 該用戶還無法操作數(shù)據(jù)庫 還需要為該用戶授予相關(guān)的權(quán)限 權(quán)限是指在數(shù)據(jù)庫中執(zhí)行某種操作的權(quán)力 例如連接數(shù)據(jù)庫 在數(shù)據(jù)庫中創(chuàng)建與操作數(shù)據(jù)庫對象等權(quán)限 Oracle中的權(quán)限主要分為系統(tǒng)權(quán)限與對象權(quán)限 系統(tǒng)權(quán)限 一般由數(shù)據(jù)庫管理員授予 是指對整個Oracle系統(tǒng)的操作權(quán)限 例如連接數(shù)據(jù)庫 創(chuàng)建與管理表或視圖等 對象權(quán)限 可由數(shù)據(jù)庫管理員 對象所有者授予 是指用戶對數(shù)據(jù)庫中對象的操作權(quán)限 例如對某一個表的插入 修改和刪除記錄等權(quán)限 22 12 4 1系統(tǒng)權(quán)限 通過數(shù)據(jù)字典system privilege map可以查看Oracle中的系統(tǒng)權(quán)限 其中常用的系統(tǒng)權(quán)限如表12 1所示 參見教材P272 系統(tǒng)權(quán)限授予時需要注意的幾點(diǎn) 應(yīng)用程序開發(fā)者一般需要擁有CREATETABLE CREATEVIEW和CREATEINDEX等系統(tǒng)權(quán)限 普通用戶一般只具有CREATESESSION系統(tǒng)權(quán)限 只有授權(quán)時帶有WITHADMINOPTION子句時 用戶才可以將獲得的系統(tǒng)權(quán)限再授予其他用戶 即系統(tǒng)權(quán)限的傳遞性 23 授予系統(tǒng)權(quán)限 向用戶授予系統(tǒng)權(quán)限需要使用GRANT語句 其語法如下 GRANTsystem privilege TO user name role name PUBLIC WITHADMINOPTION 示例 SQL GRANTCREATESESSION CREATETABLE CREATEVIEWTOuser1 SQL CONNECTsystem managerSQL GRANTCREATESESSION CREATETABLE CREATEVIEWTOuser2WITHADMINOPTION SQL CONNECTuser2 user2SQL GRANTCREATETABLETOli 12 4 1系統(tǒng)權(quán)限 查看用戶的系統(tǒng)權(quán)限可通過數(shù)據(jù)字典user sys privs和dba sys privs查看用戶哪些系統(tǒng)權(quán)限 字段含義如下 Username 用戶名 privilege 用戶擁有的系統(tǒng)權(quán)限 admin option 用戶是否有權(quán)力將該權(quán)限授予其他用戶 其值為YES表示有 為NO表示沒有 25 撤消系統(tǒng)權(quán)限 撤消用戶的權(quán)限需要使用REVOKE語句 其語法如下 REVOKEsystem privilege FROM user name role name PUBLIC 示例 SQL REVOKECREATEVIEWFROMuser1 SQL GRANTCREATESESSION CREATETABLE CREATEVIEWTOuser2WITHADMINOPTION SQL CONNECTuser2 user2SQL GRANTCREATESESSIONTOli SQL CONNECTsystem managerSQL REVOKECREATESESSIONFROMuser2 請問 li是否有CREATESESSION權(quán)限 26 12 4 2對象權(quán)限 Oracle中的常見對象與其對象權(quán)限之間的對應(yīng)關(guān)系如表12 2所示 參見教材P275 1 授予對象權(quán)限授予對象權(quán)限同樣需要使用GRANT語句 其語法如下 GRANTobject privilege ALL PRIVILEGES ONobject nameTO user name role name PUBLIC WITHGRANTOPTION 2 撤消對象權(quán)限撤消對象權(quán)限也需要使用REVOKE語句 其語法如下 REVOKEobject privilege ALL PRIVILEGES ONobject nameFROM username role name PUBLIC 對象權(quán)限的授權(quán)和收權(quán)示例 SQL GRANTALLONscott empTOuser1 SQL GRANTSELECT deptno dname ONdeptTOuser2 SQL GRANTSELECT INSERT UPDATEONscott empTOuser2WITHGRANTOPTION SQL CONNECTuser2 user2SQL GRANTSELECT UPDATEONscott empTOli SQL CONNECTscott tigerSQL REVOKEUPDATEONscott empFROMuser1 SQL REVOKESELECTONscott empFROMuser2 請問 li是否有查詢emp表的權(quán)限 WITHADMINOPTION與WITHGRANTOPTION比較 WITHADMINOPTION當(dāng)甲用戶授權(quán)給乙用戶 且激活該選項(xiàng) 則被授權(quán)的乙用戶具有管理該權(quán)限的能力 或者能把得到的權(quán)限再授給其他用戶丙 或者能回收授出去的權(quán)限 當(dāng)甲用戶收回乙用戶的權(quán)限后 乙用戶曾經(jīng)授給丙用戶的權(quán)限仍然存在WITHGRANTOPTION當(dāng)甲用戶授權(quán)給乙用戶 且激活該選項(xiàng) 則被授權(quán)的乙用戶具有管理該權(quán)限的能力 或者能把得到的權(quán)限再授給其他用戶丙 或者能回收授出去的權(quán)限 當(dāng)甲用戶收回乙用戶的權(quán)限后 乙用戶曾經(jīng)授給丙用戶的權(quán)限也被回收 WITHADMINOPTION DBA GRANT REVOKE Jeff Emi Jeff Emi DBA GRANT REVOKE WITHGRANTOPTION Bob Jeff Emi Emi Jeff Bob 與對象權(quán)限相關(guān)的數(shù)據(jù)字典 DBA TAB PRIVS 包含數(shù)據(jù)庫所有對象的授權(quán)信息USER TAB PRIVS 包含當(dāng)前用戶對象的授權(quán)信息DBA COL PRIVS 包含所有字段已授予的對象權(quán)限信息USER COL PRIVS 包含當(dāng)前用戶所有字段已授予的對象權(quán)限信息 參見教材P278 32 12 5角色管理 所謂角色就是一系列相關(guān)權(quán)限的集合 分類 預(yù)定義角色自定義角色 預(yù)定義角色 預(yù)定義角色是指在Oracle數(shù)據(jù)庫創(chuàng)建時由系統(tǒng)自動創(chuàng)建的一些常用的角色 這些角色已經(jīng)由系統(tǒng)授予了相應(yīng)的權(quán)限 DBA可以直接利用預(yù)定義的角色為用戶授權(quán) 也可以修改預(yù)定義角色的權(quán)限 Oracle數(shù)據(jù)庫中有30多個預(yù)定義角色 可以通過數(shù)據(jù)字典視圖DBA ROLES查詢當(dāng)前數(shù)據(jù)庫中所有的預(yù)定義角色 通過DBA SYS PRIVS查詢各個預(yù)定義角色所具有的系統(tǒng)權(quán)限 35 12 5 1創(chuàng)建角色 創(chuàng)建角色需要使用CREATEROLE語句 并要求用戶具有CREATEROLE權(quán)限 其語法如下 CREATEROLErole name NOTIDENTIFIED IDENTIFIEDBYpassword 參數(shù)說明role name 創(chuàng)建的角色名 NOTIDENTIFIED 用于指定該角色由數(shù)據(jù)庫授權(quán) 使該角色生效時不需要口令 默認(rèn)為NOTIDENTIFIED 即無口令 IDENTIFIEDBYpassword 用于設(shè)置角色生效時的認(rèn)證口令 創(chuàng)建不同類型的角色示例 SQL CREATEROLEhigh manager role SQL CREATEROLEmiddle manager roleIDENTIFIEDBYmiddlerole SQL CREATEROLElow manager roleIDENTIFIEDBYlowrole 37 12 5 2為角色授予權(quán)限 新創(chuàng)建的角色還不具有任何權(quán)限 可以使用GRANT語句向該角色授予權(quán)限 其語法形式與向用戶授予權(quán)限基本相同 示例SQL GRANTCONNECT CREATETABLE CREATEVIEWTOlow manager role SQL GRANTCONNECT RESOURCE DBATOhigh manager role SQL GRANTALLONscott empTOhigh manager role SQL REVOKECONNECTFROMlow manager role SQL REVOKEUPDATE DELETE INSERTONscott empFROMhigh manager role 38 12 5 3為用戶授予角色 語法GRANTrole listTOuser list role list 例如 將CONNECT high manager role角色授予用戶user1 將RESOURCE CONNECT角色授予角色middle manager role SQL GRANTCONNECT high manager roleTOuser1 SQL GRANTRESOURCE CONNECTTOmiddle manager role 39 12 5 4修改用戶的默認(rèn)角色 修改用戶的默認(rèn)角色時需要使用ALTERUSER語句 其語法形式如下 ALTERUSERuser nameDEFAULTROLE role name ALL EXCEPTrole name NONE 語法說明如下 role name 角色名 ALL 將用戶的所有角色設(shè)置為默認(rèn)角色 EXCEPT 將用戶的除某些角色以外的所有角色設(shè)置為默認(rèn)角色 NONE 將用戶的所有角色都設(shè)置為非默認(rèn)角色 40 12 5 5管理角色 1 設(shè)置角色的口令使用ALTERUSER語句可以重新設(shè)置角色的口令 包括刪除口令 添加口令和修改口令 其語法形式如下 ALTERROLErole nameNOTIDENTIFIED IDENTIFIEDBYnew password 示例 SQL ALTERROLEhigh manager roleIDENTIFIEDBYhighrole SQL ALTERROLEmiddle manager roleNOTIDENTIFIED 12 5 5管理角色 2 禁用與啟用角色禁用與啟用角色需要使用SETROLE語句 其語法如下 SETROLE role name IDENTIFIEDBYpassword ALL EXCEPTrole name NONE 參數(shù)說明role name 表示進(jìn)行生效或失效設(shè)置的角色名稱 IDENTIFIEDBYpassword 用于設(shè)置角色生效或失效時的認(rèn)證口令A(yù)LL 表示使當(dāng)前用戶所有角色生效 EXCEPTrole name 表示除了特定角色外 其余所有角色生效 NONE 表示使當(dāng)前用戶所有角色失效 示例 SQL SETROLENONE SQL SETROLEhigh manager roleIDENTIFIEDBYhighrole SQL SETROLEmiddle manager role low manager lowIDENTIFIEDBYlowrole SQL SETROLEALLEXCEPTlow manager role middle manager role 43 12 5 5管理角色 3 刪除角色刪除角色需要使用DROPROLE語句 其語法形式如下 DROPROLErole name 說明如果某個角色不再需要 則可以使用DROPROLE語句刪除角色 角色被刪除后 用戶通過該角色獲得的權(quán)限被回收 44 12 5 6與角色相關(guān)的數(shù)據(jù)字典 如果要了解用戶擁有哪些角色 以及角色中包含哪些權(quán)限 可以查看如表12 4所示的數(shù)據(jù)字典視圖 12 6審計(jì) 12 6 1審計(jì)概述12 6 2語句審計(jì)12 6 3權(quán)限審計(jì)12 6 4對象審計(jì) 12 6 1審計(jì)概述 審計(jì)的概念審計(jì)分類審計(jì)的啟動 1 審計(jì)的概念 審計(jì)是監(jiān)視和記錄用戶對數(shù)據(jù)庫所進(jìn)行的操作 以供DBA進(jìn)行統(tǒng)計(jì)和分析 利用審計(jì)可以完成下列任務(wù) 調(diào)查數(shù)據(jù)庫中的可疑活動 監(jiān)視和收集特定數(shù)據(jù)庫活動的數(shù)據(jù) 一條審計(jì)記錄中包含用戶名 會話標(biāo)識 終端標(biāo)識 所訪問的模式對象名稱 執(zhí)行的操作 操作的完整語句代碼 日期和時間戳 所使用的系統(tǒng)權(quán)限等 2 審計(jì)分類 語句審計(jì) StatementAuditing 對特定的SQL語句進(jìn)行審計(jì) 不指定具體對象 權(quán)限審計(jì) PrivilegeAuditing 對特定的系統(tǒng)權(quán)限使用情況進(jìn)行審計(jì) 對象審計(jì) ObjectAuditing 對特定的模式對象上執(zhí)行的特定語句進(jìn)行審計(jì) 精細(xì)審計(jì) Fine GrainedAuditing FGA 對基于內(nèi)容的各種SQL語句進(jìn)行審計(jì) 可以使用布爾表達(dá)式對列級別上的內(nèi)容進(jìn)行審計(jì) 根據(jù)用戶執(zhí)行的語句是否成功 審計(jì)分為 成功執(zhí)行語句的審計(jì)不成功執(zhí)行語句的審計(jì)無論語句是否執(zhí)行成功都進(jìn)行審計(jì)根據(jù)對同一個語句審計(jì)次數(shù)的不同 審計(jì)分為 會話級審計(jì) 對某一個用戶或所有用戶的同一個語句只審計(jì)一次 形成一條審計(jì)記錄 存取方式審計(jì) 對某一個用戶或所有用戶的同一個語句每執(zhí)行一次便審計(jì)一次 即同一條語句形成多個審計(jì)記錄 3 審計(jì)的啟動 通過修改靜態(tài)參數(shù)AUDIT TRAIL值來啟動或關(guān)閉數(shù)據(jù)庫的審計(jì)功能 AUDIT TRAIL參數(shù)可以取值 為DB OS NONE TRUE FALSE DB EXTENDED XML或EXTENDED DB表示啟動審計(jì)功能 審計(jì)信息寫入SYS AUD 數(shù)據(jù)字典中OS表示啟動審計(jì)功能 審計(jì)信息寫入操作系統(tǒng)文件中默認(rèn)為NONE 表示不啟動審計(jì)功能TRUE功能與DB選項(xiàng)一樣FALSE表示不啟動審計(jì)功能 但Oracle會監(jiān)視特定活動并寫入操作系統(tǒng)文件 如例程的啟動 關(guān)閉以及DBA連接數(shù)據(jù)庫等 通過SQL Plus環(huán)境啟動數(shù)據(jù)庫的審計(jì)功能 SQL ALTERSYSTEMSETaudit trail DB SCOPE SPFILE SQL SHUTDOWNIMMEDIATESQL STARTUP通過OEM數(shù)據(jù)庫控制臺啟動數(shù)據(jù)庫的審計(jì)功能 12 6 2語句審計(jì) 概念語句審計(jì)是指對特定類型的SQL語句進(jìn)行審計(jì) 與具體的對象沒有關(guān)系 可以審計(jì)某個用戶或所有用戶的SQL語句 可以是會話級審計(jì)或存取方式審計(jì) 可以對成功執(zhí)行的SQL語句 沒有成功執(zhí)行的SQL語句或無論是否成功執(zhí)行的SQL語句進(jìn)行審計(jì) 語句審計(jì)的基本語法為AUDITsql statement sql statement option BYuser1 user2 BYSESSION ACCESS WHENEVER NOT SUCCESSFUL 參數(shù)說明sql statement 被審計(jì)的SQL語句sql statement option 被審計(jì)的SQL語句選項(xiàng)BYuser 指定審計(jì)的用戶 如果沒有指定 則審計(jì)所有用戶 BYSESSION 語句級審計(jì) 同一個SQL語句只審計(jì)一次 默認(rèn) BYACCESS 存取方式審計(jì) 同一個SQL語句執(zhí)行幾次審計(jì)幾次 WHENEVERSUCCESSFUL 只審計(jì)成功的SQL語句 WHENEVERNOTSUCCESSFUL 只審計(jì)不成功的SQL語句 示例 AUDITTABLEBYscottBYACCESS SQL AUDITVIEWBYscottBYSESSION SQL AUDITALTERTABLEBYscott sfdBYSESSIONWHENEVERSUCCESSFUL SQL AUDITSESSIONBYsfd SQL CONNscott tigerSQL CREATETABLEtest audit snoNUMBER snameCHAR 20 SQL ALTERTABLEtest auditADD sexCHAR 2 SQL CONN ASSYSDBASQL SELECT FROMaud 如果要了解當(dāng)前數(shù)據(jù)庫對哪些用戶進(jìn)行了語句審計(jì) 以及審計(jì)設(shè)置信息 可以通過查詢數(shù)據(jù)字典視圖DBA STMT AUDIT OPTS獲得 SELECTuser name audit option successFROMdba stmt audit opts 取消對某個語句的審計(jì) 只需將AUDIT命令改為NOAUDIT命令就可以了 12 6 3權(quán)限審計(jì) 概念權(quán)限審計(jì)是指對特定系統(tǒng)權(quán)限的使用情況進(jìn)行審計(jì) 語法AUDITsystem privilege BYuser1 user2 BYSESSION ACCESS WHENEVER NOT SUCCESSFUL 示例AUDITCREATEANYTABLE CREATEANYVIEWBYscott sfd AUDITALTERANYTABLEBYsfdBYSESSIONWHENEVERSUCCESSFUL 如果要了解當(dāng)前數(shù)據(jù)庫對哪些用戶的系統(tǒng)權(quán)限進(jìn)行了審計(jì)以及審計(jì)設(shè)置信息 可以通過查詢數(shù)據(jù)字典DBA PRIV AUDIT OPTS獲得 SELECTuser name privilege successFROMdba priv audit opts 取消對某個系統(tǒng)權(quán)限的審計(jì) 只需將AUDIT命令改為NOAUDIT命令就可以了 12 6 4對象審計(jì) 概念對象審計(jì)是指對特定模式對象執(zhí)行的特點(diǎn)操作進(jìn)行審計(jì) 與用戶沒有關(guān)系 語法為AUDITobject privilegeONschema object name BYuser1 user2 BYSESSION ACCESS WHENEVER NOT SUCCESSFUL 參數(shù)說明object privilege 特定的對象權(quán)限schema object name 特定模式對象 對scott模式下的emp表 dept表進(jìn)行審計(jì) AUDITSELECT UPDATEONscott empBYACCESS AUDITINSERT DELETEONscott deptBYSESSIONWHENEVERNOTSUCCESSFUL 如果要了解當(dāng)前數(shù)據(jù)庫對哪些模式對象進(jìn)行了審計(jì)以及審計(jì)設(shè)置信息 可以通過查詢數(shù)據(jù)字典視圖DBA OBJ AUDIT OPTS獲得 SELECTowner object type ins upd sel delFROMdba obj audit opts 如果要取消對某個模式對象的審計(jì) 只需將AUDIT命令改為NOAUDIT命令就可以了