在业界普遍认为Oracle数据库的安全性要比SQL Server数据库高下面笔者就来谈谈这两种数据库在安全性设计上面的异同掌握好这些内容对于我们进行数据库安全方面的设计与管理有着举足轻重的作用
一角色到用户的授权
现在很多应用软件包括数据库系统都采用了角色到用户的授权体系也就是说先给一个角色进行授权然后再把用户加入到这个角色中让其拥有这个角色的权限
如我们在数据库设计的时候一般至少需要两种角色一种是系统管理员角色这种角色具有对数据库系统进行管理如表的建立与删除用户的建立与修改等等另外一种是普通用户的角色其可以对表进行插入修改删除记录等等的操作然后我们建立两个帐户一个是数据库管理员帐户让其隶属于管理员角色;再建立一个用户帐号让其归属于用户角色如此不用给用户设置特别的权限他们就从他们的角色中继承了相关的权限这就是基于角色用户的权限管理体系
这个权限管理体系两种数据库都是支持的只不过具体的叫法有差异
在SQL Sever数据库中其沿用的是微软操作系统的叫法把角色称做组其实我们在给操作系统定义用户与权限的时候也是采用这种方法我们先建立一个组再给这个组赋予特定的权限然后再建立一个用户帐号加入到这个组中即可虽然两个数据库的叫法不同但是其本质是一样的换汤不换药而已
两者的差异主要体现在对特定角色的授权方面
二角色的授权
两个数据库虽然在角色授权 方面雷同但在具体角色权限的分配上还是有比较大的差异用一句话来总结就是Oracle在权限的分配上要比SQL Server数据库细Oracle在权限控制方面基本上可以细化到每个步骤
如在用户管理上面Oracle数据库可以把创建用户帐号的权利给某个组但是这个组却没有删除帐号的权利而微软的数据库中则一般是把用户管理的权限包括用户创建与删除当作一个权限赋予给某个组而不能把他们分开也就是说一个组若具有用户帐号管理权限的话其不仅可以创建用户帐号而且也可以删除用户帐号也就是说微软的SQL Server数据库在权限设计上没有分得像Oracle那么细正因为如此所以Oracle数据库在权限管理上面要比SQL Server数据库灵活
不光在帐户管理上如此数据库很多对象权限的管理也有类似现象如对于存储过程的管理对于表格的管理等等甲骨文的Oracle数据库在权限划分上比其他数据库都要细
三对用户进行独立授权
除了可以根据角色进行授权Oracle数据库还可以在用户帐号的级别上直接跟用户进行授权在SQL Server数据库上也有类似的功能但是光从这方面说前者要比后者灵活如Oracle数据库中具有的 对象授权功能在SQL Server数据库中就无法实现
在用户口令上Oracle数据库要比SQL Server数据库安全性更高
众所周知用户口令与帐号是数据库安全的第一道保障如在建立Oracle数据库的用户名的时候默认情况下其有密码复杂性验证设置如果我们在建立用户名的时候把密码设置成为Oracle数据库不会接受因为它认为纯数字的密码过于简单容易被破解而在微软的SQL Server数据库中默认情况下没有这方面的限制
用户建立默认权限不同
这两个数据库都可以至少通过两种方式建立用户名一是通过图形化的界面建立用户名与帐号如Oracle数据库可以通过EM即浏览器建立用户帐号;而SQL Server数据库则可以通过企业管理器建立用户帐号另外一个是可以通过命令行也就是说通过SQL 语句建立用户名
从SQL Server数据库来说这两种建立方式没有什么不同但是甲骨文的Oracle数据库还是有比较大的差异主要体现在默认权限的不同在利用浏览器建立用户帐号的时候默认就具有连接数据库的权限而若在命令行中建立用户帐号除非你明确给其指定其具有连接数据库的权限否则的话这个帐户是不能连接到数据库的
如我们通过命令建立一个test的用户其密码为test
Create user test identified by test;
注意 这里设置用户名密码的时候若是纯数字的密码则数据库不会接受
然后我们利用如下语句连接到数据库看看有什么现象
Connet test/test;
此时数据库会拒绝这个用户登陆到数据库会提示这个用户没有连接到数据库的权限除非我们再利用如下命令对用户进行授权
Grant connect to test;
对用户名进行授权后才能够连接到数据库中去这一点差异很多数据库管理员在刚开始接触数据库的时候特别是先前有SQL Server数据库使用经验的人一般都不容易搞清楚结果在学习或者使用的时候会遇到一些麻烦笔者因为参加过SQL Server数据库管理员的培训与考试所以在后续使用Oracle数据库的时候对于这一点当时就有点困惑现在回头想想Oracle大概是基于安全方面的考虑吧
对象授权
假设现在有如下这种情形
现在有个用户test其有product表的查询权限而另外一个用户test不具有这个表的任何访问权限现在test想把product表的查询权限赋予test让其也可以查询数据库中的product表注意这里的用户test只是普通用户不是数据库管理员
这个需求在SQL Server数据库中是无法实现的因为用户test没有数据库管理的权限而只有表查询的权限其没有权利为其他用户分配这个表的查询权限的权利但是在Oracle数据库中则通过对象授权 的方式可以实现这个需求
第一步利用系统管理员帐户在分配权限的时候给予 对象授权 的权利
如先用系统管理员帐户登陆到系统中然后给用户test查询表product的权利并启用对象授权模式具体命令如下
Grant select on product to test with grant option;
Grant select on product to test就表示用户test具有查询表product的权限;而后面的with grant option则表示对于这个用户开启了 对象授权 的模式以后test用户可以把对于表product的查询权限赋予给其他用户
第二步利用test用户登陆然后赋予test用户表prodcut的查询权限
Grant select on product to test;
这个语句就是用户test赋予用户test表product的查询权利若我们在给test用户赋予权限的时候没有启用对象授权模式即没有在后面加入with grant option语句则在以普通用户test执行这条语句的时候就会发生错误提示用户没有这个权限但是若我们系统管理员在给test用户分配权限的时候开启了对象授权的模式则用户test就可以赋予用户test表查询的权限不过这只是针对于特定的表与特定的操作如果数据库管理员在分配test用户权限的时候只用了Grant select on product to test with grant option这个语句就表示test用户只能针对表product的查询权限进行再授权如现在test想把表productbom的查询权限赋予给test的话数据库服务器就不允许了因为其没有这个权利
这就是对象授权的功能虽然其破坏了数据库权限管理的统一性但是这也提高了数据库权限设计的灵活性在大型数据库设计的过程中经常会被用到
除了对表可以进行对象授权之外还可以对过程视图等等也进行对象授权这里要注意的是在对象授权的过程中是需要对每个步骤进行授权如现在用户test具有表product记录查询记录更新记录删除等的权利但是其只有表查询权利的对象授权此时test用户就不能够把这个表的更新删除等权利赋予给用户test因为帐户test对对象进行再授权只是针对特定的查询操作
另外除了对象授权之外Oracle数据库中还有一个系统授权的概念系统授权跟对象授权类似只是其针对的是系统管理的权限如帐户删除或者新建的操作需要注意的是系统授权仍然需要分步骤来进行授权