数据库安全中的角色权限管理

实验一：数据库安全管理 根据以下步骤进行数据库安全管理实验： 建立角色 按照需求，在数据库中创建角色，确保角色具备基本的管理权限。 为角色分配权限 根据安全需求，分配适当的权限给每个角色。确保角色权限符合最小权限原则，避免不必要的访问权限。 建立密码管理和资源限制 Profile 文件 通过创建 Profile 文件，实现密码管理和资源限制。设置密码强度、过期策略以及资源使用的限制。 建立用户 创建新的用户，并确保其关联到指定的角色和 Profile 文件，以应用特定的安全管理策略。 为用户分配角色 将建立的角色分配给用户，使其具备相应的数据库操作权限，符合其职能需求。 用户登录并执行 SQL 操作 用户通过分配的权限进行登录测试，验证操作权限是否正确，包括数据查询、插入和删除等基本 SQL 操作。 总结 通过实验步骤，完成了角色创建、权限分配、资源限制、用户建立和操作验证，实现了数据库的基本安全管理功能。

用户和角色的权限规则 （1）用户权限继承角色的权限：数据库角色可以包含多个用户，这些用户在访问数据库对象时也会继承角色的权限。例如，如果用户user1属于角色role1，并且角色role1已经具有对表table1的SELECT权限，则用户user1也会自动获得对表table1的SELECT权限。但如果role1没有对table1的INSERT权限，即使user1在role1中具有INSERT权限，最终user1也无法对table1进行INSERT操作。

在数据库安全管理中，修改角色是一项关键操作。使用ALTER ROLE语句可以轻松修改角色的权限设置。例如，要取消角色MYROLL的密码验证，可以执行以下命令：ALTER ROLE MYROLL NOT IDENTIFIED。

在Oracle数据库管理中，了解角色和权限是至关重要的。以下是几个重要的查询案例：(1) 查询Oracle中所有的系统权限，通常由DBA执行：select * from system_privilege_map order by name；(2) 查询Oracle中所有角色，通常由DBA执行：select * from dba_roles；(3) 查询Oracle中所有对象的权限，通常由DBA执行：select distinct privilege from dba_tab_privs；(4) 查询数据库的表空间：select tablespace_name from dba_tablespaces；

传播权限在数据库安全性中尤为重要。在执行例5后，用户U5不仅获得了对表SC的INSERT权限，还拥有了传播该权限的能力。此时，U5可以执行以下命令，将权限赋予用户U6：GRANT INSERT ON SC TO U6 WITH GRANT OPTION; 进一步传递，用户U6也可以将此权限传给用户U7：GRANT INSERT ON SC TO U7; 然而，用户U7无法继续传播此权限，即权限链在此终止。权限传播路径：U5 → U6 → U7。

SQL Server 2008的安全机制包括客户端安全、网络传输安全、实例级安全、数据库级安全和对象级安全。

微软为便于数据库级别的权限管理，提供了9种内置角色。其中，tdb_owner角色允许执行数据库中的任何操作；tdb_accessadmin角色可增删用户；tdb_backupopperator角色负责数据库备份；tdb_datareader角色允许读取任意表数据；tdb_datawriter角色可向表中写入数据；tdb_ddladmin角色则可执行任何DDL语句。

权限是指允许执行特定类型的SQL命令或访问其他方案对象的权利，包括系统权限和对象权限。新建用户时，默认没有任何权限，无法执行操作。为用户授予系统权限允许其执行数据库操作，授予对象权限允许访问其他方案的对象。为简化权限管理，可以使用角色进行权限分配。

使用GRANT关键字授予特定用户指定的角色，语法为GRANT 角色名称 TO 用户名。Oracle数据库预定义了CONNECT、RESOURCE、DBA、EXP_FULL_DATABASE、IMP_FULL_DATABASE五个角色：CONNECT具备创建表、视图、序列等权限；RESOURCE具备创建过程、触发器、表、序列等权限；DBA具备系统的全部权限；EXP_FULL_DATABASE和IMP_FULL_DATABASE则分别具备数据库的导出和导入权限。通过查询sys.dba_sys_privs可以详细了解每个角色的权限。