数据库的安全性和完整性及其实现机制

数据库的安全性和完整性及其实现机制为了保证数据库数据的安全可靠性和正确有效，必须提供DBMS统一的数据保护功能数据保护也为数据控制，主要包括数据库的安全性、完整性、并发控制和恢复

一、数据库的安全性数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏计算机系统都有这个问题,在数据库系统中大量数据集中存放，为许多用户共享，使安全问题更为突出在一般的计算机系统中，安全措施是一级一级设置的在存储这一级可采用密码技术，当物理存储设备失窃后，DB它起到保密作用在数据库系统这一级中提供两种控制用户标识和鉴定，数据存取控制在多用户数据库系统中，ORACLE安全机制作下列工作防止非授权的数据库存取；防止非授权的对模式对象的存取；控制磁盘使用；控制系统资源使用；审计用户动作一般，建立角色服务于两个目的为数据库应用管理特权和为用户组管理特权相应的角色称为应用角色和用户角色应用角色是授予的运行一数据库应用所需的全部特权一个应用角色可授给其它角色或指定用户一个应用可有几种不同角色，具有不同特权组的每一个角色在使用应用时可进行不同的数据存取用户角色是为具有公开特权需求的一组数据库用户而建立的用户特权管理是受应用角色或特权授权给用户角色所控制，然后将用户角色授权给相应的用户数据库角色包含下列功能一个角色可授予系统特权或对象特权一个角色可授权给其它角色，但不能循环授权任何角色可授权给任何数据库用户授权给一用户的每一角色可以是使能的或者使不能的一个用户的安全域仅包含当前对该用户使能的全部角色的特权一个间接授权角色（授权给另一角色的角色）对一用户可显式地使其能或使不能在一个数据库中，每一个角色名必须唯一角色名与用户不同，角色不包含在任何模式中，所以建立一角色的用户被删除时不影响该角色为了提供与以前版本的兼容性，预定义下列角色ORACLE、、、和CONNENT RESOURCEDBA EXP-FULL-DATAB ASEIMP-FULL-DATABASEo审计

3.审计是对选定的用户动作的监控和记录，通常用于审查可疑的活动例如数据被非授权用户所删除，此时安全管理员可决定对该数据库的所有连接进行审计，以及对数据库的所有表的成功地或不成功地删除进行审计监视和收集关于指定数据库活动的数据例如可收DBA集哪些被修改、执行了多少次逻辑的等统计数据I/O支持三种审计类型ORACLE语句审计，对某种类型的语句审计，不指定结构或对象SQL特权审计，对执行相应动作的系统特权的使用审计对象审计，对一特殊模式对象上的指定语句的审计所允许的审计选择限于下列方面ORACLE审计语句的成功执行、不成功执行，或者其两者对每一用户会话审计语句执行一次或者对语句每次执行审计一次对全部用户或指定用户的活动的审计当数据库的审计是使能的，在语句执行阶段产生审计记录审计记录包含有审计的操作、用户执行的操作、操作的日期和时间等信息审计记录可存在数据字典表（称为审计记录）或操作系统审计记录中数据库审计记录是在模式的表中SYS AUD$

二、数据完整性它是指数据的正确性和相容性数据的完整性是为了防止数据库存在不符合主义的数据，防止错误信息输入和输出，即数据要遵守由或应用开发者所决定的一组预定义的规则DBA应用于关系数据库的表的数据完整性有下列类型ORACLE在插入或修改表的行时允许不允许包含有空值的列，称为空与非空规则唯一列值规则，允许插入或修改的表行在该列上的值唯O引用完整性规则，同关系模型定义用户对定义的规则，为复杂性完整性检查允许定义和实施上述每一种类型的数据完整性规ORACLE则，这些规则可用完整性约束和数据库触发器定义完整性约束，是对表的列定义一规则的说明性方法数据库触发器，是使用非说明方法实施完整性规则，利用数据库触发器（存储的数据库过程）可定义和实施任何类型的完整性规则heyongming42009-11-0118:45:

49123.

15.

236.*这是我的论文是有关数据库的〜〜〜〜〜〜数据库技术概述数据库技术是一门综合性的软件技术，是使用计算机进行各种信息管理的必备知识数据库技术是本世纪年代开始兴起的一门信息管理自动化的60新兴学科，是计算机科学中的一个重要分支随着计算机应用的不断发展，在计算机应用领域中，数据处理越来越占主导地位，数据库技术的应用也越来越广泛

一、数据库的历史发展数据库是数据管理的产物数据管理是数据库的核心任务，内容包括对数据的分类、组织、编码、储存、检索和维护随着计算机硬件和软件的发展，数据库技术也不断地发展从数据管理的角度看，数据库技术到目前共经历了人工管理阶段、文件系统阶段和数据库系统阶段人工管理阶段

1.人工管理阶段是指计算机诞生的初期即世纪年代后期之2050前，这个时期的计算机主要用于科学计算从硬件看，没有磁盘等直接存取的存储设备；从软件看，没有操作系统和管理数据的软件，数据处理方式是批处理这个时期数据管理的特点是数据不保存

1.该时期的计算机主要应用于科学计算，一般不需要将数据长期保存，只是在计算某一课题时将数据输入，用完后不保存原始数据，也不保存计算结果没有对数据进行管理的软件系统

2.程序员不仅要规定数据的逻辑结构，而且还要在程序中设计物理结构，包括存储结构、存取方法、输入输出方式等因此程序中存取数据的子程序随着存储的改变而改变，数据与程序不具有一致性没有文件的概念

3.数据的组织方式必须由程序员自行设计一组数据对应于一个程序，数据是面向应用的4,即使两个程序用到相同的数据，也必须各自定义、各自组织,数据无法共享、无法相互利用和互相参照，从而导致程序和程序之间有大量重复的数据文件系统阶段

2.文件系统阶段是指计算机不仅用于科学计算，而且还大量用于管理数据的阶段从年代后期到年代中期在硬件方面，外5060存储器有了磁盘、磁鼓等直接存取的存储设备在软件方面，操作系统中已经有了专门用于管理数据的软件，称为文件系统这个时期数据管理的特点是数据需要长期保存在外存上供反复使用

1.由于计算机大量用于数据处理，经常对文件进行查询、修改、插入和删除等操作，所以数据需要长期保留，以便于反复操作程序之间有了一定的独立性

2.操作系统提供了文件管理功能和访问文件的存取方法，程序和数据之间有了数据存取的接口，程序可以通过文件名和数据打交道，不必再寻找数据的物理存放位置，至此，数据有了物理结构和逻辑结构的区别，但此时程序和数据之间的独立性尚还不充分文件的形式已经多样化

3.由于已经有了直接存取的存储设备，文件也就不再局限于顺序文件，还有了索引文件、链表文件等，因而，对文件的访问可以是顺序访问，也可以是直接访问数据的存取基本上以记录为单位

4.可以看出，文件系统中的数据和程序虽然具有了一定的独立性，但还很不充分，每个文件仍然对应于一个应用程序，数据还是面向应用的要想对现有的数据再增加一些新的应用是很困难的，系统不易扩充，一旦数据的逻辑结构改变，必须修改应用程序并且，各个文件之间是孤立的，不能反映现实世界事物之间的内在联系，各个不同应用程序之间也不能共享相同的数据，从而造成数据冗余度大，并容易产生相同数据的不一致性数据库系统阶段

3.数据库系统阶段是从年代后期开始的在这一阶段中，数据60库中的数据不再是面向某个应用或某个程序，而是面向整个企业组织或整个应用的数据库系统阶段的特点是采用复杂的结构化的数据模型

1.数据库系统不仅要描述数据本身，还要描述数据之间的联系这种联系是通过存取路径来实现的较高的数据独立性

2.数据和程序彼此独立，数据存储结构的变化尽量不影响用户程序的使用最低的冗余度

3.数据库系统中的重复数据被减少到最低程度，这样，在有限的存储空间内可以存放更多的数据并减少存取时间数据控制功能

4.数据库系统具有数据的安全性，以防止数据的丢失和被非法使用；具有数据的完整性，以保护数据的正确、有效和相容;具有数据的并发控制，避免并发程序之间的相互干扰；具有数据的恢复功能，在数据库被破坏或数据不可靠时，系统有能力把数据库恢复到最近某个时刻的正确状态综上所述，数据库可以被定义为一个存储起来互相关联的数据集合，它提供给多种用户共享并且有最小的冗余度和较高的数据独立性三代数据库系统的发展

4.数据模型是数据库系统的核心按照数据模型发展的主线，数据库技术的形成过程和发展可从以下三个方面反映第一代数据

1.库系统--层次和网状数据库管理系统层次和网状数据库的代表产品是旧公司在年研制出的层次模型数据库管理系统层M1969次数据库是数据库系统的先驱，而网状数据库则是数据库概念、方法、技术的奠基第二代数据库系统--关系数据库管理系统年，

2.RDBMS1970旧公司的研究员在题为《大型共享数据库数据的关系模型》的M论文中提出了数据库的关系模型，为关系数据库技术奠定了理论基础到了年代，几乎所80有新开发的数据库系统都是关系型的真正使得关系数据库技术实用化的关键人物是James Grayo在解决如何保障数据的完整性、安全性、并发性以及数据库Gray的故障恢复能力等重大技术问题方面发挥了关键作用关系数据库系统的出现，促进了数据库的小型化和普及化，使得在微型机上配置数据库系统成为可能新一代数据库技术的研究和发展

3.目前已从多方面发展了现行的数据库系统技术我们可以从数据模型、新技术内容、应用领域三个方面概括新一代数据库系统的发展面向对象的方法和技术对数据库发展的影响最为深远年代,180面向对象的方法和技术的出现,对计算机各个领域,包括程序设计语言、软件工程、信息系统设计以及计算机硬件设备等都产生了深远的影响，也给面临新挑战的数据库技术带来了新的机遇和希望数据库研究人员借鉴和吸收了面向对象的方法和技术，提出了面向对象的数据库模型简称对象模型当前有许多研究是建立在数据库已有的成果和技术上的，针对不同的应用，对传统的主要是进行不同层次上的扩充，例如建立对象关DBMS,RDBMS系模型和建立对象关系数据库OR ORDB数据库技术与多学科技术的有机结合2数据库技术与多学科技术的有机结合是当前数据库发展的重要特征计算机领域中其他新兴技术的发展对数据库技术产生了重大影响传统的数据库技术和其他计算机技术的结合、互相渗透，使数据库中新的技术内容层出不穷数据库的许多概念、技术内容、应用领域，甚至某些原理都有了重大的发展和变化建立和实现了一系列新型的数据库，如分布式数据库、并行数据库、演绎数据库、知识库、多媒体库、移动数据库等，它们共同构成了数据库大家族面向专门应用领域的数据库技术的研究3为了适应数据库应用多元化的要求，在传统数据库基础上，结合各个专门应用领域的特点，研究适合该应用领域的数据库技术，如工程数据库、统计数据库、科学数据库、空间数据库、地理数据库、数据库等，这是当前数据库技术发展的又一重要特征Web同时，数据库系统结构也由主机/终端的集中式结构发展到网络环境的分布式结构，随后又发展成两层、三层或多层客户/服务器结构以及环境下的浏览器/服务器和移动环境下的动态结Internet构多种数据库结构满足了不同应用的需求，适应了不同的应用环境数据库安全可分为二类系统安全性和数据安全性系统安全性是指在系统级控制数据库的存取和使用的机制，包含有效的用户名/口令的组合；一个用户是否授权可连接数据库；用户对象可用的磁盘空间的数量；用户的资源限制；数据库审计是否是有效的；用户可执行哪些系统操作数据安全性是指在对象级控制数据库的存取和使用的机制，包含哪些用户可存取一指定的模式对象及在对象上允许作哪些操作类型在服务器上提供了一种任ORACLE意存取控制，是一种基于特权限制信息存取的方法用户要存取一对象必须有相应的特权授给该用户已授权的用户可任意地可将它授权给其它用户，由于这个原因，这种安全性类型叫做任意型利用下列机制管理数据库安全性ORACLE数据库用户和模式;

二、数据模型数据处理的抽象描述

1.不同的领域，数据的描述也有所不同实际生活中，有对现实世界的描述；理论研究中，有对符号化数据的描述；而在计算机内部，数据又有其特定的表示方法人们研究和处理数据的过程中，常常把数据的转换分为三个领域——现实世界，信息世界，机器世界，这三个世界间的转换过程，就是将客观现实的信息反映到计算机数据库中的过程现实世界

1.Real World客观存在的世界就是现实世界，它独立于人们的思想之外现实世界存在无数事物，每一个客观存在的事物可以看做是一个个体，个体有多项特征和属性比如，电视机就有价格,品牌，可视面积大小，是否彩色等特征而不同的人，只会关心其中的一部分属性，一定领域内的个体有着相同的特征.信息世界2Information World信息世界是现实世界在人们头脑中的反映，人的思维将现实世界的数据抽象化和概念化，并用文字符号表示出来，就形成了信息世界下面是人们在研究现实世界过程中常常用到的术语实体1Entity客观存在且可以互相区别的事物如一名学生，一台电脑，一本书，一场聚会实体是信息世界的基本单位⑵属性Attribute个体的某一特征称为属性，一个实体可以有多个属性，每一个属性都有其取值范围和取值类型键3Key能在一个实体集中唯一标识一个实体的属性称为键，键可以只包含一个属性，也可以同时包含多个属性有多个键时，选择一个作为主键键中的属性称为主属性联系4Relation实体之间互相作用，互相制约的关系称为实体集的联系实体之间的联系有三种一对一联系，一对多联系，多对多联系机器世界

3.机器世界又称数据世界，信息世界中的信息经过抽象和组织，以数据形式存贮在计算机中，就称为机器世界与信息世界一样，机器世界也有其常用的、用来描述数据的术语，这些术语与信息世界中的术语有着对应的关系字段1Field字段，也称为数据项标记实体的一个属性叫做字段,它是Item,可以命名的最小信息单位例如学生有学号、姓名、性别、出生日期等字段字段与信息世界的属性相对应⑵记录Record记录是有一定逻辑关系的字段的组合它与信息世界中的实体相对应，一个记录可以描述一个实体例如一个学生的记录由“学号、姓名、性别、出生日期等字段组成文件3File文件是同一类记录的集合文件的存储形式有很多种，比如顺序文件、索引文件、直接文件、倒排文件等等三个世界的转换

4.由以上对三个世界的描述可以看到，从现实世界到信息世界再到机器世界，事务被一层层抽象，加工，符号化，逻辑化,而这个过程都是有一定联系的数据模型

2..信息模型概念模型与方法1E-R为了把现实世界中的具体事物进行抽象，人们常常首先把现实世界抽象为信息世界，然后再将信息世界转化为机器世界在把现实世界抽象为信息世界的过程中，实际上是抽象出现实系统中有应用价值的元素及其关联这时所形成的信息结构是概念模型在抽象出概念模型后，再把概念模型转换为计算机上某一DBMS支持的数据模型需要一种方法能够对现实世界的信息进行描述实体-联系方法即方法是于年提出的，这种方法由E-R1976于简单、实用，所以得到了非常普遍的应用,也是目前描述概念模型最常用的方法它使用的工具称作图，它所描述的现实世E-R界的信息结构称为企业模式，也把这种描述结果称为模型E-R o下面概述一下方法的要点用矩形框表示实体，实体名例E-R o1如学生写在框内用椭圆框表示实体的属性，框内写上属性名，并用线段连到相2应的实体例如学生的属性有姓名、学号和年龄等用菱形框表示实体间的联系，在框内写上联系名，用线段连接3菱形框与矩形框，在线段旁注上联系的类型一对

一、一对多、多对多如联系也具有属性，则把属性和菱形框用线段连上图是抽象描述现实世界的有力工具，它与计算机所支持的数E-R据模型相独立，它更接近于现实世界虽然现实世界丰富多彩，各种信息十分繁杂，但用图可以很清晰地表示出其中的错综E-R复杂关系下面我们用图来表示某个学校的教务管理的概念E-R模型教务管理涉及的实体有.班级属性有班级编号，班级名称，专业，班主任；.教师属性有教师号，姓名，性别，年龄，职称，专业；.学生属性有学生号，姓名，性别，班级编号；.课程属性有课程号，课程名，课时，学分，教材这些实体之间的联系如下.一个班有多个教师授课，一个教师可以教多个班级，班级和教师具有多对多的联系；.一个班有多名学生，但一个学生只能在一个班注册，因此班级与学生是一对多联系；.在某个时间某个地点一位教师可指导多个学生，但某个学生在某一时间和地点只能被一位教师所指导，因此教师与学生是一对多联系；一位教师可讲授多门课程，一门课程可由多位教师讲授，每位教师讲授某门课程都有一个评价，教师与课程之间是多对多联系；.一个学生可选修多门课程，一门课程允许多个学生选修，每个学生选修某门课程都有一个分数成绩，因此学生与课程之间是多对多联系如果某个部门的概念模型中涉及的实体和实体的属性较多，可以把实体及其属性在另一幅图上画出，使图更清晰地表明实体E-R以及实体之间的联系，这样图可以分为图结构数据模ER ER

12.型结构数据模型是机器世界的数据模型实际数据库系统中所支持的数据模型主要有层次模型、网状模型和关系模型层次模型1用树型结构来表示实体之间联系的模型称为层次模型层次模型是满足有且仅有一个根结点，非根结点有且仅有一个父结点的基本层次联系的集合构成层次模型的树是由结点和连线组成的，结点表示实体集，连线表示相连两个实体之间的联系，这种联系只能是一对多的通常把表示“一”的实体放在上方，称为父结点；而把表示“多”的实体放在下方，称为子结点网状模型2用网状结构来表示实体之间联系的数据模型称为网状模型网状模型可以有一个以上结点无父结点；至少有一个结点具有多于一个的父结点关系模型3用一个二维表格表示实体和实体之间联系的模型，称为关系模型我们将在第三节中较详细地介绍数据模型的三要素

3.数据模型通常由数据结构、数据操作和完整性约束三部分组成数据结构

1.数据结构是所研究的对象类型的集合，在数据库系统中通常按照数据结构的类型来命名数据模型，如层次结构、网状结构和关系结构的模型分别命名为层次模型、网状模型和关系模型数据操作

2.数据操作是指对数据库中各种对象型的实例值允许执行的操作的集合，包括操作及有关的操作规则数据操作是用来描述系统的信息变化的，是对系统动态特性的描述数据操作的种类有以下两种检索（如查询）和更新（增、删、lX Io数据的约束条件

3.数据的约束条件是完整性规则的集合，完整性规则是给定的数据模型中数据及其联系所具有的制约和依存规则，用以限定符合数据模型的数据库状态以及状态的变化，以保证数据的正确、有效和相容数据库技术的应用

4.数据库技术的应用领域非常广，从目前接触到的一些应用的发展来看，尤其是的发展以及多种信息技术交叉与发展，还Internet对数据库技术提出了更多的需求，从而促进了数据库技术的不断发展）.多媒体数据库1多媒体是年代发展起来的计算机新技术，它是在传统计算机80应用技术，即对数据处理、字符处理、文字处理、图形处理、声音处理等技术综合继承的基础上，引进了新鲜的技术内容和设备，例如影视处理技术、、各种专用芯片和功能卡等，以及CD-ROM尔后形成的计算机集成新技术多媒体技术为扩展计算机的应用范围、应用深度和表现能力提供了极好的支持基于多媒体技术的应用系统开发，其技术内容又包括了多媒体处理技术和多媒体管理技术，更准确地说是对多媒体对象或多媒体数据的处理技术和管理技术）因特网上的数据库

2.web因特网是一个全球性的计算机网络系统，它可将分布在Internet世界各地的各种计算机系统及各种网络用户连接在一起，通过采用共同的网络通信协议在不同的网络和操作系统间交换数据随着的迅速扩展,上可用数据源的数量也在迅速增WWW WWW长因此人们正在试图把上的数据源集成为一个完整的WWW数据库，从而使这些数据源得到充分的利用Web

三、数据库的形势及其发展进入二十世纪八十年代之后，计算机硬件技术有了飞速的提高计算机技术的提高促使计算机应用不断深入，产生了许多新的应用领域，例如计算机辅助设计、计算机辅助制造、计算机辅助教学、办公自动化、智能信息处理、决策支持等这些新的领域对数据库系统提出了新的要求但是由于应用的多元化，不能设计出一个统一的数据模型来表示这些新型的数据及其相互关系，因而出现了百家争鸣的局面，产生了演绎数据库、面向对象数据库、分布式数据库、工程数据库、时态数据库、模糊数据库等新型数据库的研究和应用不过到目前为止，在世界范围内得到主流应用的还是经典的关系数据库系统，比较知名的如Sybase,Oracle,Informi x,SQL等Server,DB2

四、数据库发展大事记系统使用磁带和nbsp;nbsp;nbsp;nbsp;1951Univac穿孔卡片作为数据存储公司在其nbsp;nbsp;nbsp;nbsp;nbsp;1956IBM M中第一次引入了磁盘驱动器odelnbsp;305nbsp;RAMACnbsp;通用电气公nbsp;nbsp;nbsp;nbsp;nbsp;1961GE司的开发了第一个数据库管理系统Charlesnbsp;Bachman——IDS nbsp;nbsp;nbsp;nbsp;nbsp;1969E.F.nbsp;Cod d发明了关系数据库由nbsp;nbsp;nbsp;nbsp;nbsp;1973nbsp;John领导公司开发了nbsp;J.Cullinane Cullinanenbsp;IDMS——一个针对旧主机的基于网络模型的数据库M nbsp;nbsp;nbsp;nbsp;nbsp;1976nbsp;Honeyw ell公司推出了Multicsnbsp;Relationalnbsp;Datanbsp;第一个商用关系数据库产品Store——公nbsp;nbsp;nbsp;nbsp;nbsp;1979nbsp;Oracle司引入了第一个商用关系数据库管理系统SQL nbsp;nbsp;nbsp;nbsp;nbsp;1983nbsp;IBMnb sp;推出了数据库产品DB2为nbsp;nbsp;nbsp;nbsp;nbsp;1985nbsp;Proct系统设计的第一个商务智能系统产生ernbsp;nbsp;Gamble nbsp;nbsp;nbsp;nbsp;nbsp;1991nbsp;W.H.“Bi发表了”构建数据仓库”irnbsp;lnmon

五、主要参考文献.周龙骥等，分布式数据库管理系统实现技术，科学出版1社，

1998.郑振楣，于戈，郭敏，分布式数据库，科学出版社,21998o.王珊等，数据仓库技术与联机分析处理,科学出版3社,1998o特权;角色；存储设置和空间份额；资源限制；审计数据库的存取控制

1.保护信息的方法采用任意存取控制来控制全部用ORACLE户对命名对象的存取用户对对象的存取受特权控制一种特权是存取一命名对象的许可，为一种规定格式使用多种不同的机制管理数据库安全性，其中有ORACLE两种机制模式和用户模式为模式对象的集合，模式对象如表、视图、过程和包等第一数据库有一组模式每一数据库有一组合法的用户,可存取一数据库，ORACLE可运行一数据库应用和使用该用户各连接到定义该用户的数据库当建立一数据库用户时，对该用户建立一个相应的模式，模式名与用户名相同一旦用户连接一数据库，该用户就可存取相应模式中的全部对象，一个用户仅与同名的模式相联系，所以用户和模式是类似的再初级，再简单，也得有一本书才能说明清楚.存储一大堆数据的东西可以非常方便的进行数据查询了，数据统计了这些工作的工具例如这个爱问网，后台就有个数据库，存储我们的这么多问题，当你输入“数据库”三个字进行以往问题查询的时候，能查出来很多相关问题再例如，你在这里的积分也存在数据库里，加多少，减多少，这些运算程序完成数据库是一个被规格化和结构化且相互关联的数据集合，数据库可以对数据定义，输入，管理，修改，和检索等操作，基本上数据库就是由数据，应用，和管理组成的数据库”就是为了实现一定的目的按某种规则组织起来的“数据”的“集合既然上面都对数据库做介绍了，我再说一下一般软件人员都不认为是真正的数据库，是假数据库，因为Vf vf数据库一般是不可以恢复的，当然下在的可以回滚，但Oracle如果执行后也是不可恢复的，这样可以保证数据的相互关联不被破坏，所以如果说数据库最好是学或sql Oracle用户的存取权利受用户安全域的设置所控制，在建立一个数据库的新用户或更改一己有用户时，安全管理员对用户安全域有下列决策是由数据库系统还是由操作系统维护用户授权信息设置用户的缺省表空间和临时表空间列出用户可存的表空间和在表空间中可使用空间份额设置用户资源限制的环境文件，该限制规定了用户可用的系统资源的总量规定用户具有的特权和角色，可存取相应的对象每一个用户有一个安全域，它是一组特性，可决定下列内容用户可用的特权和角色；用户可用的表空间的份额；用户的系统资源限制用户鉴别1为了防止非授权的数据库用户的使用，提供二ORACLE种确认方法操作系统确认和相应的数据库确认如果操作系ORACLE统允许,可使用操作系统所维护的信息来鉴定用户由ORACLE操作系统鉴定用户的优点是用户可更方便地连接到不需要指定用户名和口令ORACLE,对用户授权的控制集中在操作系统,不需要存储和管ORACLE理用户口令然而用户名在数据库中仍然要维护在数据库中的用户名项和操作系统审计跟踪相对应数据库方式的用户确认利用存储在数ORACLE ORACLE据库中的信息可鉴定试图接到数据库的一用户，这种鉴别方法仅当操作系统不能用于数据库用户鉴别时才使用当用户使用一数据库时执行用户鉴别每个用户在建立时有一个口ORACLE令，用户口令在建立对数据库连接时使用，以防止对数据库非授权的使用用户的口令以密码的格式存储在数据库数据字典中，用户可随时修改其口令用户的表空间设置和定额2关于表空间的使用有几种设置选择用户的缺省表空间；用户的临时表空间；数据库表空间的空间使用定额用户资源限制和环境文件3用户可用的各种系统资源总量的限制是用户安全域的部分利用显式地设置资源限制；安全管理员可防止用户无控制地消耗宝贵的系统资源资源限制是由环境文件管理一个环境文件是命名的一组赋给用户的资源限制另外为安全管理员OR ACLE在数据库级提供使能或使不能实施环境文件资源限制的选择可限制几种类型的系统资源的使用，每种资源可在会ORACLE话级、调用级或两者上控制在会话级每一次用户连接到一数据库，建立一会话每一个会话在执行语句的计算机上耗SQL费时间和内存量进行限制对的几种资源限制CPU ORACLE可在会话级上设置如果会话级资源限制被超过，当前语句被中止（回滚），并返回指明会话限制已达到的信息此时，当前事务中所有之前执行的语句不受影响，此时仅可作、COMMIT或删除对数据库的连接等操作，进行其它操作都将ROLLBAC K出错在调用级在语句执行时，处理该语句有好几步，SQL，为防止过多地调用系统在调用级可设置几种资源限T ORACLE制如果调用级的资源限制被超过，语句处理被停止，该语句被回滚，并返回一错误然而当前事务的已执行所用语句不受影响，用户会话继续连接有下列资源限制:为了防止无控制地使用时间，可限制每次CPU ORACLE调用的时间和在一次会话期间调用所ORACLE CPUORACLE使用的的时间，以秒为单位CPU

0.01为了防止过多的可限制每次调用和每次会话的I/O,ORACLE逻辑数据块读的数目在会话级还提供其它几种资源限制ORACLE每个用户的并行会话数的限制；会话空闲时间的限制，如果一次会话的调用之间ORACLE时间达到该空闲时间，当前事务被回滚，会话被中止，会话资源返回给系统；每次会话可消逝时间的限制，如果一次会话期间超过可消逝时间的限制，当前事务被回滚，会话被删除，该会话的资源被释放；每次会话的专用空间量的限制用户环境文件SGA用户环境文件是指定资源限制的命名集，可赋给ORAC LE数据库的有效的用户利用用户环境文件可容易地管理资源限制要使用用户环境文件，首先应将数据库中的用户分类，决定在数据库中全部用户类型需要多少种用户环境文件在建立环境文件之前，要决定每一种资源限制的值例如一类用户通常不执行大量逻辑数据块读，那就可将LOGI CAL-READS-PER-SESSION和设置相应的值在许多情况LOGICAL-READS-PER-C ALL中决定一用户的环境文件的合适资源限制的最好的方法是收集每种资源使用的历史信息特权和角色特权特权是执行一种特殊类型的语句或

2.1SQL存取另一用户的对象的权力有两类特权系统特权和对象特权系统特权是执行一处特殊动作或者在对象类型上执行一种特殊动作的权利有多种不同系统特权，每一种系ORACLE60统允许用户执行一种特殊的数据库操作或一类数据库操作.系统特权可授权给用户或角色，一般，系统特权全管理人员和应用开发人员，终端用户不需要这些相关功能.授权给一用户的系统特权并具有该系统特权授权给其他用户或角色.反之，可从那些被授权的用户或角色回收系统特权.对象特权在指定的表、视图、序列、过程、函数或包上执行特殊动作的权利对于不同类型的对象，有不同类型的对象特权对于有些模式对象，如聚集、索引、触发器、数据库链没有相关的对象特权，它们由系统特权控制对于包含在某用户名的模式中的对象，该用户对这些对象自动地具有全部对象特权，即模式的持有者对模式中的对象具有全部对象特权这些对象的持有者可将这些对象上的任何对象特权可授权给其他用户如果被授者包含有授权，那么该被授者也可将其权利GRANT OPTION再授权给其他用户）角色为相关特权的命名组，可授权给用户和角色2利用角色更容易地进行特权管理有下列优点ORACEL减少特权管理，不要显式地将同一特权组授权给几个用户，只需将这特权组授给角色，然后将角色授权给每一用户动态特权管理，如果一组特权需要改变，只需修改角色的特权，所有授给该角色的全部用户的安全域将自动地反映对角色所作的修改特权的选择可用性，授权给用户的角色可选择地使其使能（可用）或使不能（不可用）应用可知性，当一用户经一用户名执行应用时，该数据库应用可查询字典，将自动地选择使角色使能或不能专门的应用安全性，角色使用可由口令保护，应用可提供正确的口令使用权角色使能，达到专用的应用安全性因用户不知其口令，不能使角色使能。