ORACLE数据库权限管理改进措施.docVIP

1 编写目的 2 2 适用范围 2 3 ORACLE的权限管理 2 3.1. 用户 2 3.2. 角色 2 3.3. 权限 3 3.3.1 范围维度 3 3.3.2 操作类型维度 3 3.3.3 操作对象维度 4 4 数据库开发过程中的角色和职责 4 4.1 DBA 4 4.2 开发人员 5 4.3 两者的关系 5 5 ORACLE数据库权限管理改进措施 5 5.1 常见的几个问题 5 5.2 改进措施 6 5.2.1 收回数据库主机ORACLE账户和口令 6 5.2.2 建立多用户的数据库环境 6 5.2.3 合理授予用户角色和权限 7 5.2.4 矛盾与讨论 7 5.2.5 更近一步的改进措施建议 8 6 附录 8 6.1 ORACLE权限列表 8 6.2 几个与权限相关的字典表 12  编写目的 为了保证数据库开发版本与在线版本保持一致，减少人为操作对于开发过程的影响，维持数据模型的稳定，需要更合理的对数据库进行权限管理，划分职责。 本文档预期读者： 数据库管理员 数据库开发人员 适用范围 ORACLE系列数据库 ORACLE的权限管理 用户 ORACLE的用户分为系统用户、数据库维护用户和应用开发用户 系统用户就是我们熟知的SYS和SYSTEM 数据库维护用户不常用，是ORACLE自我管理的一些用户，如PERFSTAT，DIP，DBSNMP，WMSYS，ORDSYS， ANONYMOUS，MGMT_VIEW，OUTLN等，不同的ORACLE版本用户可能略有差异 应用开发用户，就是我们自己建的各个用户 角色 角色是一组权限集合 ORACLE提供若干个预定义的角色 常用的角色举例： DBA：最高级角色，拥有所有权限，因为角色不能删除自身，所以该角色不能删除，每个库至少一个用户有DBA角色，SYSTEM一定是DBA CONNECT：只有create session权限，有了该角色和权限，用户可以登录 RESOURCE：一组对单用户有DDL和DML操作的权限集合 EXP_FULL_DATABASE：执行exp操作的一组权限集合 IMP_FULL_DATABASE：执行imp操作的一组权限集合 也可以根据需求自己创建角色 权限 ORACLE的权限列表，参考附录-ORACLE权限列表，有160个之多 权限与权限之间，理论上是并列的，可以同时赋予一个用户或者角色，可以单独从一个用户或者角色中收回 我们可以从三个维度来理解ORACLE的权限 范围维度 1．ANY 带ANY和不带ANY的区别 如果某一用户，拥有带ANY的权限，那么该用户可以操作其他用户的对象，否则只能操作自己用户的对象 例如，如果test1用户有CREATE ANY TABLE权限，那么test1用户就可以给test2用户建表，而如果test1用户有CREATE TABLE权限，那么test1用户就只能给test1用户本身建表，不能给其他用户建表 视图、序列、存储过程等都遵循此原则 2．PUBLIC PUBLIC关键字是针对某几类对象而言，一般是指同义词和数据库链，表、视图、序列等没有PUBLIC属性 带PUBLIC表示可以操作PUBLIC类型的对象，不带PUBLIC只能操作私有对象 操作类型维度 DDL： CREATE DROP ALTER DML：一个用户默认有对自己用户做DML操作的权限，如果需要操作其他用户的权限，需要单独赋权 INSERT SELECT DELETE EXECUTE 还有其他的一些权限操作类型，不常用 操作对象维度 ORACLE中几乎我们可以使用的对象，都有某些对应的权限 常用的有 TABLE VIEW SEQUENCE PROCEDURE TRIGGER DATABASE LINK ROLE SYSTEM TABLESPACE 不常用的还有CLASS，TYPE，LIBRARY，SYNONYM，CLUSTER，DICTIONARY等等 这里注意：ORACLE对于临时表的权限设置与TABLE一致，在ORACLE数据库里临时表就是一个TABLE，只是在DDL语句、数据字典里和使用过程中略有差别。 数据库开发过程中的角色和职责 数据库开发过程中，包括两个角色DBA和开发人员，下面就这两个角色描述一下相关职责。 DBA 1．安装ORACLE软件 2．创建ORACLE数据库 3．数据库和软件版本升级 4．数据库起停操作 5．创建数据库存储结构 6．维护用户和安全 7．维护属主对象，例如表、索引、视图等 8．根据需求制定数据库备份和恢复的策略并执行 9．监控数据库健康运行 10．监控和维护数据库性能 开发人员 根据系统需求，创建合理的逻辑模型和物理模型 创建合理的主键和索引 根据DBA的存储规划，指定正确的存储空间 给DBA提供正确的操