数据库的连接权限
怎样允许他人查看或执行查询,但不能更改数据或查询设计?
答:在安全工作组里,可以指定他人查看查询返回数据的权限。如果是操作查询,还可以允许他们执行查询,即使限制他们不得查看查询的基表或基础查询。
1、在“设计”视图中打开查询。
2、在查询“设计”视图中单击设计网格与字段列表外的任何地方,以选定查询。
3、单击工具栏上的“属性”按钮 ,以显示查询的属性表。
4、将“执行权限”属性设置为“所有者的”。
设置了此属性后,应出现以下情形:
所有用户都具有查询所有者的查看或执行查询权限。
只有查询所有者才能保存更改过的查询。
只有查询所有者才能更改查询的所有权。
注释 也可以设置所有新查询的默认权限。请在“工具”菜单上单击“选项”,再单击“表/查询”选项卡,然后单击想要使用的“执行权限”选项。
问:怎样定义用户级安全?
答:
1、加入一个安全工作组或新建一个工作组信息文件。
要点 要完全确保数据库的安全,请不要使用安装 Microsoft Access
时创建的工作组信息文件所定义的默认工作组。而应该确保定义所加入的工作组的工作组信息文件是使用唯一的工作组 ID (WID) 创建的,否则应该创建一个新的工作组。
2、激活“登录”对话框。
操作方法:启动 Microsoft Access ,打开数据库,
单击“工具”菜单“安全”子菜单中的“用户与组帐号”命令,单击“用户”选项卡,确保在“名称”框中预定义的“管理员”用户帐号呈高亮度显示,单击“更改登录密码”选项卡,单击“新密码”框,然后键入新密码。不要在“旧密码”框中输入任何内容,
在“验证”框中再次键入密码进行确认,然后单击“确定”按钮。退出ACCESS并重新启动ACCESS,就会出现“登录”对话框。
3、创建管理员的用户帐号。
操作方法:
1)打开工作组管理器,按下“联接。。。”按钮,选择 使用在第1 步骤中创建的安全工作组信息文件,退出管理器,启动 Microsoft Access。
要点 如果要确保数据库是完全安全的,请不要使用安装 Microsoft Access
时创建的工作组信息文件中定义的默认工作组,并确保定义所用工作组的工作组信息文件是以唯一的工作组 ID (WID) 创建的,否则就应该重新创建一个工作组信息文件。
2)选择“工具”菜单“安全”子菜单中的“用户与组帐号”命令,单击“用户”选项卡上的“新建”按钮, 在“新用户/组”对话框中,键入管理员帐号名称和个人 ID
(PID),然后单击“确定”按钮新建帐号。
警告 一定要记住正确的帐号名和 PID,包括字母的大小写,并其将其放在安全的地方。如果要重新创建帐号,必须提供其名称和 PID。遗忘或丢失了帐号名和 PID
将无法恢复。
3)在“可用的组”框中,单击“管理员组”,然后单击“添加”按钮。Microsoft Access
将把新的管理员帐号添加到管理员组并在“隶属于”框中显示“管理员组”。
4)单击“确定”按钮新建管理员帐号。
4、退出 Microsoft Access 并以新建的管理员身份登录。
5、删除管理员组中的管理员帐号。
操作方法:选择“工具”菜单“安全”子菜单中的“用户与组帐号”命令,在“用户”选项卡上的“名称”框中输入要移去的用户。在“隶属于”框中,选择要“管理员组”的组,然后单击“删除”按钮。
6、打开要设置安全的数据库。
7、单击“工具”菜单“安全”子菜单中的“用户级安全性向导”命令。
8、根据向导对话框中的指示完成各个步骤。 ]
“用户级安全性向导”将创建一个新的数据库,并将原有数据库中所有对象的副本导出到新的数据库中,然后通过取消用户组对新数据库对象的所有权限,为向导第一个对话框中的选定对象类型设置安全,然后加密新数据库。原有数据库没有进行任何更改。表之间的关系和所有的链接表在新的数据库中都将重建。
现在,只有在步骤 1
中加入的工作组管理员组成员可以访问新数据库中设置了安全的对象。“用户”组则不具备对这些对象的权限。要限制用户和/或组对这些对象的访问必须为其设置权限。
另外,你可以定义不同的试图,这样就给不同的人,不同的信息表示了
B. 用户访问数据库的权限有哪几种
用户在具有了访问数据库的权限之后,就可以授予其访问数据库对象的权限了。可授予对象的权限包括以下几种:
�8�5 �8�5 SELECT
允许用户对表或视图发出SELECT语句。
�8�5 �8�5 INSERT
允许用户对表或视图发出INSERT语句。
�8�5 �8�5 UPDATE
允许用户对表或视图发出UPDATE语句。
�8�5 �8�5 DELETE
允许用户对表或视图发出DELETE语句。
�8�5 �8�5 EXECUTE
允许用户对存储过程发出EXECUTE语句。
C. ORACLE数据库中的权限和角色
ORACLE数据库中的权限和角色
Oracle数据库是一种大型关系型的数据库,我们知道当使用一个数据库时,仅仅能够控制哪些人可以访问数据库,哪些人不能访问数据库是无法满足数据库访问控制的。DBA需要通过一种机制来限制用户可以做什么,不能做什么,这在Oracle中可以通过为用户设置权限来实现。权限就是用户可以执行某种操作的权利。而角色是为了方便DBA管理权限而引入的一个概念,它实际上是一个命名的权限集合。
1 权限
Oracle数据库有两种途径获得权限,它们分别为:
① DBA直接向用户授予权限。
② DBA将权限授予角色(一个命名的包含多个权限的集合),然后再将角色授予一个或多个用户。
使用角色能够更加方便和高效地对权限进行管理,所以DBA应该习惯于使用角色向用户进行授予权限,而不是直接向用户授予权限。
Oracle中的权限可以分为两类:
•系统权限
•对象权限
1.1 系统权限
系统权限是在数据库中执行某种操作,或者针对某一类的对象执行某种操作的权利。例如,在数据库中创建表空间的权利,或者在任何模式中创建表的权利,这些都属于系统权限。在Oracle9i中一共提供了60多种权限。
系统权限的权利很大,通常情况下:
① 只有DBA才应当拥有alter database系统权限,该权限允许用户对数据库物理结构和可用性进行修改。
② 应用程序开发者一般应该拥有Create Table、Create View和Create Type等系统权限,用于创建支持前端的数据库模式对象。
③ 普通用户一般只具有Create session系统权限(可以通过Connection角色获得),只有Create Session系统权限的用户才能连接到数据库
④ 只有具有Grant Any PRivilege系统权限用户,或者获取了具有With Admin Option选项的系统权限的用户,才能够成为其它用户授予权限。
1.2对象权限
对象权限是针对某个特定的模式对象执行操作的权利。只能针对模式对象来设置和管理对象权限。
对于模式对象:表、视图、序列、存储过程、存储函数、包都可以对象设置权限。不同类型模式对象具有不同的对象权限。比如,表、视图等对象具有查询(Select)、修改(Update)、删除(Delete)等对象权限,而存储过程、存储函数等对象则具有执行(Execute)等对象权限。
但是并不是所有的模式对象都可以设置对象权限。比如簇、索引、触发器以及数据库链接等模式就不具有对象权限。这些模式对象的访问控制是通过相应的.系统权限来实现的,比如,要对索引进行修改,必须拥有Alter Any Index系统权限。
用户自动拥有他的模式中所有对象的全部对象权限,他可以将这些对象权限授予其他的用户或角色。比如,Test1用户创建了一个表Table1,在没有授权的情况下,用户Test2不能查询、修改、删除这个表。如果Test1将ETP表的Select对象权限授予了Test2,则该用户就可以查询Table1表了。如果在为其它用户授予对象权限时用了With Grant Option选项,被授予权限的用户还可以将这个权限在授予其他用户。
2 角色
2.1角色的概念
角色就是多个相关权限的命名集合。通过角色来进行对用户授予权限,可以大大简化DBA的工作量。比如,处于统一部门中的30多个用户都需要访问数据库中的一系列表,DBA可以将这些表的中合适的对象权限授予一个角色,然后在把这个角色授予这些用户,这样进行操作要比为没有用户进行授权要便捷多了,而且要对这些用户的权限进行统一修改,只需要修改角色的权限即可。
2.2角色的优点
通过角色为用户授予权限,而不是直接向各个用户授权,具有以下优点:
•简化权限管理 DBA将用户群分类,然后为每一类用户创建角色,并将该角色授予这类用户所需要的权限,最后在将改角色授予该类中的各个用户。这样不仅简化了授权操作,而且当这类用户的权限需求发生改变时,只需要把角色的权限进行改动,而不必修改每一位用户的权限。
•动态权限管理 角色可以被禁用或激活。当角色被禁止使用时,拥有该角色的用户不再拥有授予改角色的权限了。这样就可以对多个用户的权限进行动态控制了。
•灵活的编程能力 角色是存储在数据字典中的,并且可以为角色设置口令。这样就能够在应用程序中对角色进行控制。比如禁用或者激活等操作。
下面以Oracle9i为例,给出具体的实现用户授权:
(1)设定各种角色,及其权限
CREATE ROLE checkerrole DENTIFIEDBYxm361001;
CREATE ROLE defaultrole IDENTIFIEDBYdefaultrole;
GRANT SELECT,UPDATE ON
account.paytable TO checkerrole;
GRANT CONNECT TO defaultrole;
(2)创建用户
CREATE USER xiaoli IDENTIFIEDBY xiaoli;
(3)授权
GRANT checkerrole TO xiaoli;
GRANT defaultrole TO xiaoli;
(4)设定用户缺省的角色
ALTER USER xiaoli DEFAULTROLE defaultrole;
(5)注册过程
CONNECT xiaoli/xiaoli@oracle
此时用户只有其缺省角色的权限。
(6)激活角色
SET ROLE checkerrole IDENTIFIEDBY xm361001;
----操作成功后,xiaoli拥有checkerrole的权限。
----这里的角色和口令是固定的,在应用系统中可以由应用管理人员自行设置则更为方便安全
;D. 如何设置数据库的权限
一、必要性
随着近年来数据库技术的深入发展,以Unix平台为代表的Informix Dynamic Server和以NT平台为代表的MS SQL Server得到了广泛的应用。在一个公共的环境中,存在大量的用户操作,有数据库管理员,主要做数据管理维护工作,也有普通用户,做一定授权下的数据修改和数据查询。我们知道,每个数据库服务器上可建立多个不同类别的数据库,而每个数据库中也可以生成多个存储过程、表、视图等。如何保证数据的安全可靠,防止非法存取所造成的破坏和数据泄露,如何进行权限的划分和设置,这是安全管理的重点,也是数据库可靠运行的保证。本文以Informix Dynamic Server为例做详细说明。 二、权限的划分
Informix Dynamic Server使用了三级权限来保证数据的安全性,它们分别是数据库级权限、表级权限和字段级权限,具体为:
1.数据库级权限
包括Connect、Resource、DBA三种类别,其中:
Connect: 最低级,仅允许用户访问数据库中的表和索引,但不能创建和删除它们;
Resource: 建立在Connect之上,允许用户在数据库中创建、删除表和索引;
DBA: 即数据库管理员,拥有数据库管理的全部权限,包括访问数据库表、创建和删除索引、修改表结构、授予数据库权限给其他用户等。
2.表/字段(视图)级权限
指允许进行何种具体操作,主要包括:
Select: 从表或字段中检索信息;
Update: 修改指定字段的值;
Insert: 向数据库表中添加记录;
Delete: 从数据库表中删除记录;
Index: 为一个数据库表创建索引;
Alter: 增加、删除数据库表中的字段,或修改字段的数据类型;
All: 以上所有权限。
三、权限的设置
Informix Dynamic Server通过一系列SQL控制语句来实施对用户权限的设置,使得不同的用户只能在各自限定的范围内存取数据。以下命令格式中Grant表示授予权限,Revoke表示撤消权限,User-List指用户名列表,多个用户以逗号(,)分隔,对大多数数据库系统而言,PUBLIC代表所有用户。
1.对于数据库,其格式为:
Revoke { DBA | Resource | Connect } from { PUBLIC | User-List }
Revoke { DBA | Resource | Connect } from { PUBLIC | User-List }
缺省情况下,建立数据库的用户就是数据库管理员(DBA),除其本身和Informix用户外,其它用户不对该数据库拥有任何权限,因此也就不能进行任何形式的访问。数据库管理员可根据其他用户的业务分工、操作范围授予或撤消DBA、Resource、Connect三种不同的权限。
2.对于表及视图,其格式为:
Revoke TAB-PRI on [ tab_name | view_name ] from { PUBLIC | User-List }
Revoke TAB-PRI on [ tab_name | view_name ] from { PUBLIC | User-List }
其中TAB_PRI表示select、update、delete等操作权限,tab_name、 view_name分别代表数据库表名和视图名。
缺省情况下,新建的