《Oracleg体系结构级安全管理.pptx》由会员分享,可在线阅读,更多相关《Oracleg体系结构级安全管理.pptx(56页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、回顾Oracle从什么时候被引入中国?从什么时候被引入中国?答:1987年引入国内。Oracle数据库有哪些特点?数据库有哪些特点?答:多版本 多功能 多程序包管理 数据库和实例 表,视图,索引 数据存储 数据保护 可编程的结构数据库管理员数据库管理员DBA需要做哪几个任务?需要做哪几个任务?答:1、安装和配置 2、容量规划 3、应用架构设计 4、管理数据库对象 5、存储空间管理 6、安全管理 7、备份和恢复 8、性能监视和调优 9、作业调度 10、网络管理11、高可用性和高可用伸缩性管理 12、故障解决第1页/共56页本章概述作为一个数据库旗舰产品,Oracle系统具有可扩充性、可靠性和可管
2、理性。可扩充性表示当Oracle系统承担不断增长的工作负载的同时,具有有效扩充其系统资源利用情况的能力。也就是说,给定的系统既可以有效地为5个用户提供服务,也可以有效地为5000个用户同时提供服务。可靠性表示Oracle系统具有极强的抵御风险的能力,无论是操作系统崩溃,还是系统出现故障,都可以确保在执行事务处理时不出现异常或尽快地恢复到故障前的状态。可管理性表示数据库管理员可以调整Oracle使用内存的方式、向磁盘写入数据的频率,数据库为连接到该数据库的用户分配系统进程的方式等等。这些能力都是与Oracle的体系结构密切相关的。本章通过将OracleDatabase10g与以前版本进行比较,介
3、绍OracleDatabase10g系统体系结构的特点。第2页/共56页本章要点Oracle的体系结构Oracle文件系统的结构层次数据字典用户管理与权限第3页第3页/共56页本章目标了解Oracle的体系结构了解Oracle文件系统学会使用Oracle数据字典创建用户给用户授权第4页/共56页Oracle体系结构口令文件实例SGA日志缓冲区共享缓冲区数据字典库缓冲区DBWRSMONPMONCKPTLGWROthers用户进程服务器进程PGA控制文件数据文件数据库数据缓冲区重做日志文件Java池大池参数文件归档日志文件第5页/共56页第6页提供一个开放的、全面的、提供一个开放的、全面的、完整的
4、信息管理平台完整的信息管理平台OracleOracle实例和实例和OracleOracle数据数据库组成库组成Oracle服务器Oracle Server第6页/共56页小结Oracle的体系结构指的是什么?的体系结构指的是什么?答:组成Oracle系统的主要组成部分,组成部分之间的关系,以及这些部分的工作方式。Oracle的实例包含哪两个部分?的实例包含哪两个部分?答:SGA、PGA。Oracle Server的组成部分有哪些?的组成部分有哪些?答:Oracle实例和Oracle数据库。Oracle的数据库包含哪些文件?的数据库包含哪些文件?答:数据文件、控制文件、重做日志文件。第7页/共5
5、6页文件系统本节介绍Oracle系统所使用的文件系统。在Oracle数据库进程的日常操作中,该进程使用:数据词典应用数据用于数据库启动的参数事务处理日志管理数据库物理结构的文件其他类型的文件第8页/共56页Oracle数据库数据信息的集合三种类型文件口令文件参数文件归档日志文件控制文件数据文件 重做日志文件Oracle 数据库第9页/共56页物理结构物理结构包含三种数据文件:控制文件控制文件数据文件数据文件在线重做日志文件在线重做日志文件控制文件数据文件(包括数据字典)Header在线重做日志文件第10页/共56页逻辑结构数据库如何使用物理空间数据库如何使用物理空间表空间表空间,段段,区区,块
6、的组成层次块的组成层次表空间数据文件段块区段第11页/共56页参数文件 参数文件(parameterfiles)用于在启动实例时配置数据库。当建立数据库时,用户就可以运行初始化文件,该文件规定了数据库中所使用的各种设置值。这些设置包括数据库实例名称(SID)、数据库主要文件的位置、实例所使用的主要内存区域的大小等。该文件的名称通常为init.ora。例如,如果数据库实例名称是sales,则其初始化文件的名称是。第12页/共56页控制文件 控制文件(controlfiles)是Oracle服务器在启动期间用来标识物理文件和数据库结构的二进制文件。控制文件提供了建立新实例时所需要的文件目录。Ora
7、cle系统可以在常规的数据库操作期间,更新控制文件,以便下次使用。当用户建立控制文件时,最好建立多个控制文件副本。如果可能的话,把这些控制文件副本放置到不同的物理驱动器上。第13页/共56页数据文件 数据文件是用来存放用户数据的地方。这些数据文件对于用户数据的稳定性和完整性十分重要。如果失去了这些数据文件,用户就不会有数据了,当然也就不会有数据库了。每一个数据库至少有一个与之相关的数据文件。通常情况下,一个数据库有多个数据文件。第14页/共56页数据存储层次 数据库由一个或多个表空间组成;表空间由一个或多个数据文件组成,表空间中包含段;段(表、索引等)由一个或多个盘区组成。段存在于表空间中,但
8、是在表空间中可以有许多数据文件中的数据;盘区是在磁盘上连续的块的组。一个盘区在一个表空间中,且在表空间中单一的文件中;块是数据库中最小的分配单元,也是数据库使用的最小I/O单元。第15页/共56页表空间 表空间是用户可以在Oracle系统中使用的最大的逻辑存储结构。用户在数据库中建立的所有内容都会存储在表空间中。每个Oracle数据库都提前配置了system表空间,它存储了数据字典和系统管理信息。一般情况下,用户和应用程序使用自己的表空间来存储数据。写入到临时表中的数据、为大规模排序操作写入磁盘的数据块以及其他许多类型的临时数据都会被写入到表空间中。第16页/共56页段 段是用户建立的数据库对
9、象的存储表示。用户建立的每一个表都会有一个在表空间中存储的逻辑段。为用户所建立的对象生成的段都要在磁盘上占用空间。在Oracle系统中,有3种类型的段,即数据段、临时段和回滚段(有时也称为撤销段)。数据段是存储表、索引、簇、表分区等常规应用数据的地方。临时段是临时表空间中的段,可以用来存储临时表、引起内存页交换的SQL语句等。回滚段用于管理数据库中的undo数据,并且为事务处理提供数据库的读取一致性视图。第17页/共56页盘区 段是由一个或多个盘区构成的。盘区是用来为段存储数据的逻辑上连续的数据块的集合。当建立数据库对象时(无论如何,该对象都会消耗空间),系统就会建立一个或多个盘区来存储数据。
10、盘区数量和盘区大小可以在正在建立对象的storage子句中规定。在Oracle系统中,默认的表空间的盘区管理风格是本地化管理,而不是字典管理。第18页/共56页数据块 数据块代表了数据库中最小颗粒的逻辑数据存储层次。数据块层次上是盘区结构。盘区是由连续的数据块集合构成,而盘区构成了段,段则构成了表空间,表空间构成了数据库。第19页/共56页重做日志文件 重做日志文件对Oracle数据库至关重要,它是数据库的事务日志。重做日志文件仅用于恢复数据库。当实例或存储介质失败时,使用重做日志文件来维护数据库。事实上,在Oracle系统中执行的每一步步操作都生成了一定数量的重做日志,它们被写入到联机重做日
11、志文件中。当将一个行插入到某个表中时,插入的结果被写入到重做日志中。当删除表中的某行数据时,该行数据也被写入到重做日志中。Oracle数据库要求每个数据库实例都至少有两个重做日志文件组,每一个重做日志文件组中有一个单独的成员。第20页/共56页临时文件 在Oracle系统中,临时文件是一个特殊类型的数据文件类型。当内存不足以在RAM中保存一个大规模排序操作的中间结果或结果集时,Oracle使用临时文件来保存它们。永久数据对象,例如表或索引,不会被存储到临时文件中,但是临时表或临时索引的内容则可能存储到临时文件中。所以,不能在临时数据文件中创建自己的应用程序表,但是可以在临时表中存储数据。第21
12、页/共56页Oracle管理文件 Oracle管理文件(Oraclemanagedfile,OMF,有时也称为Oracle托管文件)。当数据库管理员在其数据库中使用Oracle管理文件时,可以省去对某些类型的数据库对象进行手工管理。这些类型的数据库对象包括表空间、控制文件和联机重做日志文件。使用Oracle管理文件并未禁止数据库管理员使用以前的文件管理方式。用户仍然可以为表空间、重做日志文件和控制文件规定明确的文件名。第22页/共56页小结表空间由哪些对象组成?表空间由哪些对象组成?答:段、区、块。参数文件用来做什么?参数文件用来做什么?答:启动实例时配置数据库。重做日志文件的作用是什么?重做
13、日志文件的作用是什么?答:实例或存储介质失败时,使用重做日志文件来维护数据库。第23页/共56页用户与权限用户与权限创建用户创建角色使得安全模式的设置和管理容易使用GRANT和REVOKE语句授予和撤销对象权限创建和访问数据库链接第24页/共56页控制用户访问控制用户访问第25页/共56页控制用户访问控制用户访问控制多用户数据库访问和使用的安全,可以用下面Oracle服务器提供的数据库安全措施:控制数据库访问在数据库中只允许访问指定的对象用Oracle数据字典确认给予的和收回的权限创建数据库对象的同义词第26页/共56页数据库安全的两个范畴数据库安全的两个范畴系统安全系统安全在系统级别访问和使
14、用数据库例如,用户名和口令,分配给用户的磁盘空间和用户能够执行的系统操作;数据安全数据库安全包括访问和使用数据库对象用户能够对数据库对象进行的操作第27页/共56页权限权限数据库安全系统安全数据安全系统权限:授权访问数据库对象权限:操纵数据对象的内容方案:对象的集合,例如表、视图和序列第28页/共56页权限权限权限是执行特殊SQL语句的权利数据库管理员(DBA)是一个具有授予用户访问数据库及其对象的能力的高级用户用户需要系统权限来访问数据库,需要对象权限来操纵数据库中对象的内容用户也可以将被授予的权限给其它用户或者角色角色是相关权限的命名分组第29页/共56页方案方案方案是对象的集合例如,视图
15、和序列的集合方案被数据库多用户拥有方案与用户有相同的名字第30页/共56页系统权限系统权限有100 多个可用权限数据管理员有执行任务的高级系统权限,例如:创建新用户删除用户删除表备份表第31页/共56页典型的典型的DBA权限权限第32页/共56页创建用户创建用户DBA用CREATE USER语句创建用户CREATE USER userIDENTIFIED BY password;CREATE USER scottIDENTIFIED BY tiger;User created.第33页/共56页使用系统权限使用系统权限一旦一个用户被创建,DBA 能够授予指定的系统权限给一个用户应用程序的开发者
16、,例如,可能有下面的系统权限:CREATE SESSION CREATE TABLE CREATE SEQUENCE CREATE VIEW CREATE PROCEDUREGRANT privilege,privilege.TO user,user|role,PUBLIC.;第34页/共56页典型的用户权限典型的用户权限第35页/共56页授予系统权限授予系统权限DBA能够授予用户指定的系统权限GRANT create session,create table,create sequence,create viewTO scott;Grant succeeded.第36页/共56页什么是角色什
17、么是角色?第37页/共56页什么是角色?什么是角色?角色是命名的可以授予用户的相关权限的组角色使得授予、撤回和维护权限容易的多一个用户可以使用几个角色几个用户也可以被指定相同的角色角色典型地为数据库应用程序创建第38页/共56页创建和分配角色创建和分配角色语法CREATE ROLE role;说明role 要被创建的角色的名字DBA可以用GRANT语句给用户指定角色,也可以指定权限给角色:一个命名的相关权限组可以授予用户简化授予和撤消权限的过程由DBA创建DBA必须先创建角色,然后分配权限给角色和用户第39页/共56页创建角色并且授予权限给角色示例创建角色并且授予权限给角色示例创建角色授予权限
18、给一个角色授予一个角色给用户CREATE ROLE manager;Role created.GRANT create table,create viewTO manager;Grant succeeded.GRANT manager TO DEHAAN,KOCHHAR;Grant succeeded.第40页/共56页改变你的口令改变你的口令DBA创建一个帐号并为每个用户初始化一个口令,你可以用ALTER USER语句改变你的口令。语法ALTER USER user IDENTIFIED BY password;在语法中:user 是用户的名字password 指定新的口令你必须有ALTER
19、 USER权限第41页/共56页改变你的口令改变你的口令DBA 创建用户帐号并且初始化其口令用ALTER USER语句用户可以改变他的口令 帐号解锁 ALTER USER scott ACCOUNT UNLOCK;ALTER USER scottIDENTIFIED BY lion;User altered.第42页/共56页对象权限对象权限第43页/共56页对象权限对象权限不同的对象有不同的对象权限对象的所有者有关于该对象的所有权限对象的所有者能够给予指定的权限到独立的对象上GRANT object_priv(columns)ON objectTO user|role|PUBLICWITH
20、GRANT OPTION;第44页/共56页授予对象权限授予对象权限授予查询权限到EMPLOYEES表上授予权限到以更新指定的列到用户和角色GRANT selectON employeesTO sue,rich;Grant succeeded.GRANT update(department_name,location_id)ON departmentsTO scott,manager;Grant succeeded.第45页/共56页授予对象权限原则授予对象权限原则为了授予权限到一个对象上,对象必须在你自己拥有的方案中,或者你必须被用WITH GRANT OPTION选项授予了对象权限。一个对
21、象所有者可以授予任何该对象上的对象权限给任何其他的用户或者数据库的角色任何对象的所有者自动地获得该对象所有对象权限第46页/共56页使用使用WITH GRANT OPTION和和PUBLIC关键字关键字给一个用户授权以级联权限授予,允许Scott再给予其他用户这些权限允许所有在系统上的用户从Alice 的EPARTMENTS表中查询数据GRANT select,insertON departmentsTO scottWITH GRANT OPTION;Grant succeeded.GRANT selectTO PUBLIC;Grant succeeded.第47页/共56页WITH GRAN
22、T OPTION关键字关键字带WITH GRANT OPTION子句被授予的权限可以被受让人传递到其他的用户和角色当授予者的权限被撤消时,用WITH GRANT OPTION子句授予的对象权限也被撤消第48页/共56页PUBLIC关键字关键字表的所有者可以用PUBLIC关键字给所有用户授权。如果一个语句不用对象的全名,Oracle服务器隐式地用当前的用户名(或方案)作为对象名的前缀。例如,如果用户Scott查询DEPARTMENTS表,系统将从表中做选择。如果一个语句不用对象的全名,并且当前用户不拥有该名字的对象,系统将用PUBLIC.作为对象名的前缀。例如,如果用户Scott查询USER_O
23、BJECTS表,但Scott不拥有该表,系统将用公共同义词的方法从数据字典视图中进行选择。第49页/共56页确认已授予的权限确认已授予的权限第50页/共56页撤消对象权限撤消对象权限用REVOKE语句撤消授予其他用户的权限通过WITH GRANT OPTION子句授予其他用户的权限也被撤消REVOKE privilege,privilege.|ALLON objectFROM user,user.|role|PUBLICCASCADE CONSTRAINTS;第51页/共56页撤消对象权限撤消对象权限用户Alice撤消了在DEPARTMENTS表上给予用户Scott的SELECT和INSERT
24、权限REVOKE select,insertON departmentsFROM scott;Revoke succeeded.第52页/共56页小结创建用户的语法?创建用户的语法?答:CREATE USER userIDENTIFIED BY password;给用户授权的语法?给用户授权的语法?答:GRANT 权限权限 to user;回收用户权限的语法?回收用户权限的语法?答:REVOKE select,insertON departmentsFROM scott;第53页/共56页总结Oracle的的3个内存区域分别是?个内存区域分别是?答:系统全局区域(system global area,SGA)、程序全局区域(program global area,PGA)、用户全局区域(user global area,UGA)SGA由几个内存结构组成?由几个内存结构组成?答:共享池、数据库高速缓存、重做日志缓存、其它结构(例如锁和闩锁,数据状态)Oracle的数据库包含哪些文件?的数据库包含哪些文件?答:数据文件、控制文件、重做日志文件。第54页/共56页第55页/共56页感谢您的观看!第56页/共56页