第10章安全管理主要內容Oracle數據庫安全性概述用戶管理權限管理角色管理概要文件管理審計利用OEM進行安全管理本章要求了解Oracle數據庫安全機制掌握用戶管理掌握權限管理掌握角色管理了解概要文件的作用及其應用了解審計及其應用10.1數據庫安全性概述數據庫的安全性主要包括兩個方面的含義：一方面是防止非法用戶對數據庫的訪問，未授權的用戶不能登錄數據庫；另一方面是每個數據庫用戶都有不同的操作權限，只能進行自己權限范圍內的操作。Oracle數據安全控制機制用戶管理權限管理角色管理表空間設置和配額用戶資源限制數據庫審計Oracle數據庫的安全可以分為兩類：系統安全性系統安全性是指在系統級控制數據庫的存取和使用的機制，包括有效的用戶名與口令的組合、用戶是否被授權可連接數據庫、用戶創(chuàng)建數據庫對象時可以使用的磁盤空間大小、用戶的資源限制、是否啟動了數據庫審計功能，以及用戶可進行哪些系統操作等。數據安全性數據安全性是指在對象級控制數據庫的存取和使用機制，包括用戶可存取的模式對象和在該對象上允許進行的操作等。10.2用戶管理用戶管理概述創(chuàng)建用戶修改用戶刪除用戶查詢用戶信息10.2.1用戶管理概述Oracle數據庫初始用戶

SYS：是數據庫中具有最高權限的數據庫管理員，可以啟動、修改和關閉數據庫，擁有數據字典；

SYSTEM：是一個輔助的數據庫管理員，不能啟動和關閉數據庫，但可以進行其他一些管理工作，如創(chuàng)建用戶、刪除用戶等。SCOTT：是一個用于測試網絡連接的用戶，其口令為TIGER。PUBLIC：實質上是一個用戶組，數據庫中任何一個用戶都屬于該組成員。要為數據庫中每個用戶都授予某個權限，只需把權限授予PUBLIC就可以了。用戶屬性用戶身份認證方式默認表空間臨時表空間表空間配額概要文件賬戶狀態(tài)用戶身份認證方式數據庫身份認證：數據庫用戶口令以加密方式保存在數據庫內部，當用戶連接數據庫時必須輸入用戶名和口令，通過數據庫認證后才可以登錄數據庫。外部身份認證：當使用外部身份認證時，用戶的賬戶由Oracle數據庫管理，但口令管理和身份驗證由外部服務完成。外部服務可以是操作系統或網絡服務。當用戶試圖建立與數據庫的連接時，數據庫不會要求用戶輸入用戶名和口令，而從外部服務中獲取當前用戶的登錄信息。全局身份認證：：當用戶試圖建立與數據庫連接時，Oracle使用網絡中的安全管理服務器（OracleEnterpriseSecurityManager）對用戶進行身份認證。Oracle的安全管理服務器可以提供全局范圍內管理數據庫用戶的功能。

默認表空間當用戶在創(chuàng)建數據庫對象時，如果沒有顯式地指明該對象在哪個表空間中存儲，系統會自動將該數據庫對象存儲在當前用戶的默認表空間中。如果沒有為用戶指定默認表空間，則系統將數據庫的默認表空間作為用戶的默認表空間。臨時表空間當用戶進行排序、匯總和執(zhí)行連接、分組等操作時，系統首先使用內存中的排序區(qū)SORT_AREA_SIZE，如果該區(qū)域內存不夠，則自動使用用戶的臨時表空間。在Oracle10g中，如果沒有為用戶指定臨時表空間，則系統將數據庫的默認臨時表空間作為用戶的臨時表空間。表空間配額額表空間配額額限制用戶戶在永久表表空間中可可以使用的的存儲空間間的大小，，默認情況況下，新建建用戶在任任何表空間間中都沒有有任何配額額。用戶在臨時時表空間中中不需要配配額。概要文件每個用戶都都必須有一一個概要文文件，從會會話級和調調用級兩個個層次限制制用戶對數數據庫系統統資源的使使用，同時時設置用戶戶的口令管管理策略。。如果沒有有為用戶指指定概要文文件，Oracle將為用戶自自動指定DEFAULT概要文件。。賬戶戶狀狀態(tài)態(tài)在創(chuàng)創(chuàng)建建用用戶戶的的同同時時，，可可以以設設定定用用戶戶的的初初始始狀狀態(tài)態(tài)，，包包括括用用戶戶口口令令是是否否過過期期以以及及賬賬戶戶是是否否鎖鎖定定等等。。Oracle允許許任任何何時時候候對對帳帳戶戶進進行行鎖鎖定定或或解解鎖鎖。。鎖鎖定定賬賬戶戶后后，，用用戶戶就就不不能能與與Oracle數據據庫庫建建立立連連接接，，必必須須對對賬賬戶戶解解鎖鎖后后才才允允許許用用戶戶訪訪問問數數據據庫庫。。10.2.2.創(chuàng)建用戶戶基本語法法CREATEUSERuser_nameIDENTIFIED[BYpassword|EXTERNALLY|GLOBALLYAS'external_name'][DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtemp_tablesapce_name][QUOTAnK|M|UNLIMITEDONtablespace_name][PROFILEprofile_name][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];參數說明明user_name：用于設置置新建用用戶名，在數據庫庫中用戶戶名必須須是唯一一的；IDENTIFIED：用于指指明用戶戶身份認認證方式式；BYpassword：用于設設置用戶戶的數據據庫身份份認證，，其中password為用戶口口令；EXTERNALLY：用于設設置用戶戶的外部部身份認認證；GLOBALLYAS'external_name'：用于設設置用戶戶的全局局身份認認證，其其中external_name為Oracle的安全管管理服務務器相關關信息；DEFAULTTABLESPACE：用于設設置用戶戶的默認認表空間間，如果果沒有指指定，Oracle將數據庫庫默認表表空間作作為用戶戶的默認認表空間間；TEMPORARYTABLESPACE：用于設設置用戶戶的臨時時表空間間；QUOTA：用于指指定用戶戶在特定定表空間間上的配配額，即即用戶在在該表空空間中可可以分配配的最大大空空間；；PROFILE：用于為為用戶指指定概要要文件，，默認值值為DEFAULT，采用系系統默認認的概要要文件；；PASSWORDEXPIRE：用于設設置用戶戶口令的的初始狀狀態(tài)為過過期，用用戶在首首次登錄錄數據庫庫時必須須修改口口令；ACCOUNTLOCK：用于設設置用戶戶初始狀狀態(tài)為鎖鎖定，默默認為不不鎖定；；ACCOUNTUNLOCK：用于設設置用戶戶初始狀狀態(tài)為不不鎖定或或解除用用戶的鎖鎖定狀態(tài)態(tài)注意在創(chuàng)建新新用戶后后，必須須為用戶戶授予適適當的權權限，用用戶才可可以進行行相應的的數據庫庫操作。。例如，，授予用用戶CREATESESSION權限后，，用戶才才可以連連接到數數據庫。。創(chuàng)建數據據庫用戶戶示例創(chuàng)建一個個用戶user3，口令為為user3，默認表表空間為為USERS，在該表表空間的的配額為為10MB，初始狀狀態(tài)為鎖鎖定。CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEUSERSQUOTA10MONUSERSACCOUNTLOCK;創(chuàng)建一個個用戶user4，口令為為user4，默認表表空間為為USERS，在該表表空間的的配額為為10MB?？诹钤O設置為過過期狀態(tài)態(tài)，即首首次連接接數據庫庫時需要要修改口口令。概概要文件件為example_profile（假設該該概要文文件已經經創(chuàng)建））。CREATEUSERuser4IDENTIFIEDBYuser4DEFAULTTABLESPACEUSERSQUOTA10MONUSERSPROFILEexample_profilePASSWORDEXPIRE;基本語法法ALTERUSERuser_name[IDENTIFIED][BYpassword|EXTERNALLY|GLOBALLYAS'external_name'][DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtemp_tablesapce_name][QUOTAnK|M|UNLIMITEDONtablespace_name][PROFILEprofile_name][DEFAULTROLErole_list|ALL[EXCEPTrole_list]|NONE][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];10.2.3修改用用戶參數說說明role_list：角色色列表表；ALL：表示示所有有角色色；EXCEPTrole_list：表示示除了了role_list列表中中的角角色之之外的的其他他角色色；NONE：表示示沒有有默認認角色色。注意，，指定定的角角色必必須是是使用用GRANT命令直直接授授予該該用戶戶的角角色。。修改數數據庫庫用戶戶示例例將用戶戶user3的口令令修改改為newuser3，同時時將該該用戶戶解鎖鎖。ALTERUSERuser3IDENTIFIEDBYnewuser3ACCOUNTUNLOCK;修改用用戶user4的默認認表空空間為為ORCLTBS1，在該該表空空間的的配額額為20MB，在USERS表空間間的配配額為為10MB。ALTERUSERuser4DEFAULTTABLESPACEORCLTBS1QUOTA20MONORCLTBS1QUOTA10MONUSERS;用戶的鎖定定與解鎖某個用戶暫暫時離開工工作某個用戶永永久離開工工作DBA創(chuàng)建的特殊殊用戶帳戶戶示例ALTERUSERuser3ACCOUNTLOCK;ALTERUSERuser3ACCOUNTUNLOCK;10.2.4刪除用戶基本語法DROPUSERuser_name[CASCADE];步驟先刪除用戶戶所擁有的的對象再刪除用戶戶將參照該用用戶對象的的其他數據據庫對象標標志為INVALID10.2.5查詢用戶信信息ALL_USERS：包含數據據庫所有用用戶的用戶戶名、用戶戶ID和用戶創(chuàng)建建時間。DBA_USERS：包含數據據庫所有用用戶的詳細細信息。USER_USERS：包含當前用用戶的詳細信信息。DBA_TS_QUOTAS：包含所有用用戶的表空間間配額信息。。USER_TS_QUOTAS：包含當前用用戶的表空間間配額信息。。V$SESSION：包含用戶會會話信息。V$OPEN_CURSOR：包含用戶執(zhí)執(zhí)行的SQL語句信息。查看數據庫所所有用戶名及及其默認表空空間。SELECTSERNAME,DEFAULT_TABLESPACEFROMDBA_USERS;查看數據庫中中各用戶的登登錄時間、會會話號。SELECTSID,SERIAL#,LOGON_TIME,USERNAMEFROMV$SESSION;10.3權限管理權限管理概述述系統權限管理理對象權限管理理查詢權限信息息10.3.1權限管理概述述概念所謂權限就是是執(zhí)行特定類類型SQL命令或訪問其其他用戶的對對象的權利。。用戶在數據據庫中可以執(zhí)執(zhí)行什么樣的的操作，以及及可以對哪些些對象進行操操作，完全取取決于該用戶戶所擁有的權權限。分類系統權限：系系統權限是指指在數據庫級級別執(zhí)行某種種操作的權限限，或針對某某一類對象執(zhí)執(zhí)行某種操作作的權限。例例如，CREATESESSION權限、CREATEANYTABLE權限。對象權限：對對象權限是指指對某個特定定的數據庫對對象執(zhí)行某種種操作的權限限。例如，對特定表的的插入、刪除除、修改、查查詢的權限。。授權方法直接授權：利利用GRANT命令直接為用用戶授權。間接授權：先先將權限授予予角色，然后后再將角色授授予用戶。10.3.2系統權限管理理系統權限分類類系統權限的授授權系統權限的回回收（1）系統權限分分類一類是對數據據庫某一類對對象的操作能能力，通常帶帶有ANY關鍵字。例如如，CREATEANYINDEX，ALTERANYINDEX，DROPANYINDEX。另一類系統權權限是數據庫庫級別的某種種操作能力。。例如，CREATESESSION。（2）系統權限的的授權語法為GRANTsys_priv_listTOuser_list|role_list|PUBLIC[WITHADMINOPTION];參數說明：sys_priv_list：表示系統權權限列表，以逗號分隔；user_list：表示用戶列列表，以逗號分隔；role_list：表示角色列列表，以逗號號分隔；PUBLIC：表示對系統統中所有用戶戶授權；WITHADMINOPTION：表示允許系系統權限接收收者再把此權權限授予其他他用戶。系統權限授予予時需要注意意的幾點：只有DBA才應當擁有ALTERDATABASE系統權限。應用程序開發(fā)發(fā)者一般需要要擁有CREATETABLE、CREATEVIEW和CREATEINDEX等系統權限。。普通用戶一般般只具有CREATESESSION系統權限。只有授權時帶帶有WITHADMINOPTION子句時，用戶戶才可以將獲獲得的系統權權限再授予其其他用戶，即即系統權限的的傳遞性。為PUBLIC用戶組授予CREATESESSION系統權限。GRANTCREATESESSIONTOPUBLIC;為用戶user1授予CREATESESSION，CREATETABLE，CREATEINDEX系統權限。GRANTCREATESESSION,CREATETABLE,CREATEVIEWTOuser1;為用戶user2授予CREATESESSION，CREATETABLE，CREATEINDEX系統權限。user2獲得權限后，，為用戶user3授予予CREATETABLE權限限。。GRANTCREATESESSION,CREATETABLE,CREATEVIEWTOuser2WITHADMINOPTION;CONNECTuser2/user2@ORCLGRANTCREATETABLETOuser3;語法法為為REVOKEsys_priv_listFROMuser_list|role_list|PUBLIC;;注意意事事項項多個個管管理理員員授授予予用用戶戶同同一一個個系系統統權權限限后后，，其其中中一一個個管管理理員員回回收收其其授授予予該該用用戶戶的的系系統統權權限限時時，，該該用用戶戶將將不不再再擁擁有有相相應應的的系系統統權權限限。。為了了回回收收用用戶戶系系統統權權限限的的傳傳遞遞性性（（授授權權時時使使用用了了WITHADMINOPTION子句句）），，必必須須先先回回收收其其系系統統權權限限，，然然后后再再授授予予其其相相應應的的系系統統權權限限。。如果果一一個個用用戶戶獲獲得得的的系系統統權權限限具具有有傳傳遞遞性性，，并并且且給給其其他他用用戶戶授授權權，，那那么么該該用用戶戶系系統統權權限限被被回回收收后后，，其其他他用用戶戶的的系系統統權權限限并并不不受受影影響響。。（3）系統統權限限的回回收10.3對象權權限管管理對象權權限分分類對象權權限的的授權權對象權權限的的回收收（1）對象象權限限分類類在Oracle數據庫庫中共共有9種類型型的對對象權權限，，不同同類型型的模模式對對象有有不同同的對對象權權限，，而有有的對對象并并沒有有對象象權限限，只只能通通過系系統權權限進進行控控制，，如簇簇、索索引、、觸發(fā)發(fā)器、、數據據庫鏈鏈接等等。對象權限適合對象對象權限功能說明SELECT表、視圖、序列查詢數據操作UPDATE表、視圖更新數據操作DELETE表、視圖刪除數據操作INSERT表、視圖插入數據操作REFERENCES表在其他表中創(chuàng)建外鍵時可以引用該表EXECUTE存儲過程、函數、包執(zhí)行PL/SQL存儲過程、函數和包READ目錄讀取目錄ALTER表、序列修改表或序列結構INDEX表為表創(chuàng)建索引ALL具有對象權限的所有模式對象某個對象所有對象權限操作集合（2）對象權限限的授權語法GRANTobj_priv_list|ALLON[schema.]objectTOuser_list|role_list[WITHGRANTOPTION];參數說明obj_priv_list：表示對象象權限列表表，以逗號號分隔；[schema.]object：表示指定定的模式對對象，默認認為當前模模式中的對對象；user_list：表示用戶戶列表，以以逗號分隔隔；role_list：表示角色色列表，以以逗號分隔隔；WITHGRANTOPTION：表示允許許對象權限限接收者把把此對象權權限授予其其他用戶。。將scott模式下的emp表的SELECT，UPDATE，INSERT權限授予user1用戶。GRANTSELECT,INSERT,UPDATEONscott.empTOuser1;將scott模式下的emp表的SELECT，UPDATE，INSERT權限授予予user2用戶。user2用戶再將將emp表的SELECT，UPDATE權限授予予user3用戶。GRANTSELECT,INSERT,UPDATEONscott.empTOuser2WITHGRANTOPTION;CONNECTuser2/user2@ORCLGRANTSELECT,UPDATEONscott.empTOuser3;語法REVOKEobj_priv_list|ALLON[schema.]objectFROMuser_list|role_list;注意事項項多個管理理員授予予用戶同同一個對對象權限限后，其其中一個個管理員員回收其其授予該該用戶的的對象權權限時，，該用戶戶不再擁擁有相應應的對象象權限。。為了回收收用戶對對象權限限的傳遞遞性（授授權時使使用了WITHGRANTOPTION子句），必須須先回收其對對象權限，然然后再授予其其相應的對象象權限。如果一個用戶戶獲得的對象象權限具有傳傳遞性（授權權時使用了WITHGRANTOPTION子句），并且且給其他用戶戶授權，那么么該用戶的對對象權限被回回收后，其他他用戶的對象象權限也被回回收。（3）對象權限的的回收WITHADMINOPTION當甲用戶授權權給乙用戶，，且激活該選選項，則被授授權的乙用戶戶具有管理該該權限的能力力：或者能把把得到的權限限再授給其他他用戶丙，或或者能回收授授出去的權限限。當甲用戶收回回乙用戶的權權限后，乙用用戶曾經授給給丙用戶的權權限仍然存在在與WITHGRANTOPTION比較當甲用戶授權權給乙用戶，，且激活該選選項，則被授授權的乙用戶戶具有管理該該權限的能力力：或者能把把得到的權限限再授給其他他用戶丙，或或者能回收授授出去的權限限。當甲甲用用戶戶收收回回乙乙用用戶戶的的權權限限后后，，乙乙用用戶戶曾曾經經授授給給丙丙用用戶戶的的權權限限也也被被回回收收。。WITHADMINOPTIONDBAGRANTREVOKEJeffEmiJeffEmiDBAGRANTREVOKEWITHGRANTOPTIONBobJeffEmiEmiJeffBob10.3.4查詢詢權權限限信信息息DBA_TAB_PRIVS：包含含數數據據庫庫所所有有對對象象的的授授權權信信息息ALL_TAB_PRIVS：包含含數數據據庫庫所所有有用用戶戶和和PUBLIC用戶戶組組的的對對象象授授權權信信息息USER_TAB_PRIVS：包含含當當前前用用戶戶對對象象的的授授權權信信息息DBA_COL_PRIVS：包含含所所有有字字段段已已授授予予的的對對象象權權限限ALL_COL_PRIVS：包含含所所有有字字段段已已授授予予的的對對象象權權限限信信息息USER_COL_PRIVS：包含含當當前前用用戶戶所所有有字字段段已已授授予予的的對對象象權權限限信信息息。。DBA_SYS_PRIVS：包包含含授授予予用用戶戶或或角角色色的的系系統統權權限限信信息息USER_SYS_PRIVS：包包含含授授予予當當前前用用戶戶的的系系統統權權限限信信。。10.4角色色管管理理Oracle數據據庫庫角角色色概概述述預定定義義角角色色自定定義義角角色色利用用角角色色進進行行權權限限管管理理查詢詢角角色色信信息息10.4.1Oracle數據據庫庫角角色色概概述述角色色的的概概念念所謂角色色就是一一系列相相關權限限的集合合10.4.2預定義角角色預定義角角色概述述預定義角角色是指指在Oracle數據庫創(chuàng)建建時由系統統自動創(chuàng)建建的一些常常用的角色色，這些角角色已經由由系統授予予了相應的的權限。DBA可以直接利利用預定義義的角色為為用戶授權權，也可以以修改預定定義角色的的權限。Oracle數據庫中有有30多個預定義義角色?？梢酝ㄟ^數數據字典視視圖DBA_ROLES查詢詢當當前前數數據據庫庫中中所所有有的的預預定定義義角角色色，，通通過過DBA_SYS_PRIVS查詢詢各各個個預預定定義義角角色色所所具具有有的的系系統統權權限限。。角色角色具有的部分權限CONNECTCREATESESSIONRESOURCECREATECLUSTER，CREATEOPERATOR，CREATETRIGGER，CREATETYPE，CREATESEQUENCE，CREATEINDEXTYPE，CREATEPROCEDURE，CREATETABLEDBAADMINISTERDATABSETRIGGER，ADMINISTERRESOURCEMANAGE，CREATE…，CREATEANY…，ALTER…，ALTERANY…，DROP…，DROPANY…，EXECUTE…，EXECUTEANY…EXP_FULL_DATABASEADMINISTERRESOURCEMANAGE，BACKUPANYTABLE，EXECUTEANYPROCEDURE，SELECTANYTABLE，EXECUTEANYTYPEIMP_FULL_DATABASEADMINISTERDATABSETRIGGER，ADMINISTERRESOURCEMANAGE，CREATEANY…，ALTERANY…，DROP…，DROPANY…，EXECUTEANY…10.4.3自定定義義角角色色創(chuàng)建建角角色色角色色權權限限的的授授予予與與回回收收修改改角角色色角色色的的生生效效與與失失效效刪除除角角色色（1）創(chuàng)創(chuàng)建建角角色色語法法為為CREATEROLErole_name[NOTIDENTIFIED][IDENTIFIEDBYpassword];參數數說說明明role_name：用用于于指指定定自自定定義義角角色色名名稱稱，，該該名名稱稱不不能能與與任任何何用用戶戶名名或或其其他他角角色色相相同同；；NOTIDENTIFIED：用用于于指指定定該該角角色色由由數數據據庫庫授授權權，，使使該該角角色色生生效效時時不不需需要要口口令令；；IDENTIFIEDBYpassword：用用于于設設置置角角色色生生效效時時的的認認證證口口令令。。例如如，，創(chuàng)創(chuàng)建建不不同同類類型型的的角角色色。。CREATEROLEhigh_manager_role;CREATEROLEmiddle_manager_roleIDENTIFIEDBYmiddlerole;CREATEROLElow_manager_roleIDENTIFIEDBYlowrole;（2）角角色色權權限限的的授授予予與與回回收收說明明給角角色色授授予予適適當當的的系系統統權權限限、、對對象象權權限限或或已已有有角角色色。。在數數據據庫庫運運行行過過程程中中，，可可以以為為角角色色增增加加權權限限，，也也可可以以回回收收其其權權限限。。給角角色色授授權權時時應應該該注注意意，，一一個個角角色色可可以以被被授授予予另另一一個個角角色色，，但但不不能能授授予予其其本本身身，，不不能能產產生生循循環(huán)環(huán)授授權權。。示例GRANTCONNECT,CREATETABLE,CREATEVIEWTOlow_manager_role;GRANTCONNECT,CREATETABLE,CREATEVIEWTOmiddle_manager_role;GRANTCONNECT,RESOURCE,DBATOhigh_manager_role;GRANTSELECT,UPDATE,INSERT,DELETEONscott.empTOhigh_manager_role;REVOKECONNECTFROMlow_manager_role;REVOKECREATETABLE,CREATEVIEWFROMmiddle_manager_role;REVOKEUPDATE,DELETE,INSERTONscott.empFROMhigh_manager_role;（3）修改角角色概念修改角色色是指修修改角色色生效或或失效時時的認證證方式，，也就是是說，是是否必須須經過Oracle確認才允允許對角角色進行行修改。。修改角色色的語法法ALTERROLErole_name[NOTIDENTIFIED]|[IDENTIFIEDBYpassword]；示例ALTERROLEhigh_manager_roleIDENTIFIEDBYhighrole;ALTERROLEmiddle_manager_roleNOTIDENTIFIED;（4）角色色的生生效與與失效效概念所謂角角色的的失效效是指指角色色暫時時不可可用。。當一一個角角色生生效或或失效效時，，用戶戶從角角色中中獲得得的權權限也也生效效或失失效。。因此此，通通過設設置角角色的的生效效或失失效，，可以以動態(tài)態(tài)改變變用戶戶的權權限。。在進行行角色色生效效或失失效設設置時時，需需要輸輸入角角色的的認證證口令令，避避免非非法設設置。。語法SETROLE[role_name[IDENTIFIEDBYpassword]]|[ALL[EXCEPTrole_name]]|[NONE];參數說說明role_name：表示進進行生生效或或失效效設置置的角角色名名稱；IDENTIFIEDBYpassword：用于設設置角角色生生效或或失效效時的的認證證口令令；ALL：表示示使當當前用用戶所所有角角色生生效；；EXCEPTrole_name：表示除除了特特定角角色外外，其余余所所有有角角色色生生效效；NONE：表表示示使使當當前前用用戶戶所所有有角角色色失失效效。。示例例SETROLENONE;SETROLEhigh_manager_roleIDENTIFIEDBYhighrole;SETROLEmiddle_manager_role,low_manager_lowIDENTIFIEDBYlowrole;SETROLEALLEXCEPTlow_manager_role,middle_manager_role;（5）刪刪除除角角色色語法法結結構構DROPROLErole_name;說明明如果果某某個個角角色色不不再再需需要要，，則則可可以以使使用用DROPROLE語句刪除角色色。角色被刪刪除后，用戶戶通過該角色色獲得的權限限被回收。10.4.4利用角色進行行權限管理給用戶或角色色授予角色從用戶或角色色回收角色用戶角色的激激活或屏蔽（1）給用戶或角角色授予角色色語法GRANTrole_listTOuser_list|role_list；例如，將CONNECT，high_manager_role角色授予用戶戶user1，將RESOURCE，CONNECT角色授予角色色middle_manager_role。GRANTCONNECT,high_manager_roleTOuser1;GRANTRESOURCE,CONNECTTOmiddle_manager_role;（2）從用戶或角角色回收角色色語法為REVOKErole_listFROMuser_list|role_list；例如，回收角角色middle_manager_role的RESOURCE，CONNECT角色。SQL>REVOKERESOURCE,CONNECTFROMmiddle_manager_role;（3）用戶角色的的激活或屏蔽蔽語法為ALTERUSERuser_nameDEFAULTROLE[role_name]|[ALL[EXCEPTrole_name]]|[NONE];示例ALTERUSERuser1DEFAULTROLENONE;ALTERUSERuser1DEFAULTROLECONNECT,DBA;ALTERUSERuser1DEFAULTROLEALL;ALTERUSERuser1DEFAULTROLEALLEXCEPTDBA;10.4.5查詢角色信息息DBA_ROLES：包含數據庫中中所有角色及及其描述；DBA_ROLE_PRIVS：包含為數據庫庫中所有用戶戶和角色授予予的角色信息息；USER_ROLE_PRIVS：包含為當前前用戶授予的的角色信息；；ROLE_ROLE_PRIVS：為角色授予予的角色信息息；ROLE_SYS_PRIVS：為角色授予予的系統權限限信息；ROLE_TAB_PRIVS：為角色授予予的對象權限限信息；SESSION_PRIVS：當前會話所所具有的系統統權限信息；；SESSION_ROLES：當前會話所所具有的角色色信息。。查詢角色CONNECT所具有的系統統權限信息。。SELECT*FROMROLE_SYS_PRIVSWHEREROLE='CONNECT';查詢DBA角色被授予的的角色信息。。SELECT*FROMROLE_ROLE_PRIVSWHEREROLE='DBA';10.5概要文件管理理概要文件概述述概要文件中參參數介紹概要文件的管管理10.5.1概要文件概述述概要文件的作作用資源限制級別別和類型啟用或停用資資源限制（1）概要文文件的作作用概要文件件（PROFILE）是數據據庫和系系統資源源限制的的集合，，是Oracle數據庫安安全策略略的重要要組成部部分。利用概要要文件，，可以限限制用戶戶對數據據庫和系系統資源源的使用用，同時時還可以以對用戶戶口令進進行管理理。。在Oracle數據庫創(chuàng)創(chuàng)建的同同時，系系統會創(chuàng)創(chuàng)建一個個名為DEFAULT的默認概概要文件件。如果果沒有為為用戶顯顯式地指指定一個個概要文文件，系系統默認認將DEFAULT概要文件件作為用用戶的概概要文件件。（2）資源限限制級別別和類型型資源限制制級別會話級資資源限制制：對用用戶在一一個會話話過程中中所能使使用的資資源進行行限制。。調用級資資源限制制：對一一條SQL語句在執(zhí)執(zhí)行過程程中所能能使用的的資源進進行限制制。資源限制制類型CPU使用時間間；邏輯讀；每個用戶戶的并發(fā)發(fā)會話數數；用戶連接接數據庫庫的空閑閑時間；用戶連接接數據庫庫的時間間；私有SQL區(qū)和PL/SQL區(qū)的使用用。（3）啟用或或停用資資源限制制在數據庫啟動動前啟用或停停用資源限制制將數據庫初始始化參數文件件中的參數RESOURCE_LIMIT的值設置為TRUE或FALSE（默認），來來啟用或停用用系統資源限限制。在數據庫啟動動后啟用或停停用資源限制制使用ALTERSYSTEM語句修改RESOURCE_LIMIT的參數值為TRUE或FALSE，來啟動或關關閉系統資源源限制。ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;10.5.2概要文件中參參數資源限制參數數口令管理參數數（1）資源限制參參數CPU_PER_SESSION：限制用戶在在一次會話期期間可以占用用的CPU時間總量，單單位為百分之之一秒。當達達到該時間限限制后，用戶戶就不能在會會話中執(zhí)行任任何操作了，，必須斷開連連接，然后重重新建立連接接。CPU_PER_CALL：限制每個調調用可以占用用的CPU時間總量，單單位為百分之之一秒。當一一個SQL語句執(zhí)行時間間達到該限制制后，該語句句以錯誤信息息結束。CONNECT_TIME：限制每個會會話可持續(xù)的的最大時間值值，單位為分分鐘。當數據據庫連接持續(xù)續(xù)時間超出該該設置時，連連接被斷開。。IDLE_TIME：限制每個個會話處于于連續(xù)空閑閑狀態(tài)的最最大時間值值，單位為為分鐘。當當會話空閑閑時間超過過該設置時時，連接被被斷開。SESSIONS_PER_USER：限制一個個用戶打開開數據庫會會話的最大大數量。LOGICAL_READS_PER_SESSION：允許一個個會話讀取取數據塊的的最大數量量，包括從從內存中讀讀取的數據據塊和從磁磁盤中讀取取的數據塊塊的總和。。LOGICAL_READS_PER_CALL：允許一個個調用讀取取的數據塊塊的最大數數量，包括括從內存中中讀取的數數據塊和從從磁盤中讀讀取的數據據塊的總和和。PRIVATE_SGA：在共享服服務器操作作模式中，，執(zhí)行SQL語句或PL/SQL程序時，Oracle將在SGA中創(chuàng)建私有有SQL區(qū)。該參數數限制在SGA中一個會話話可分配私私有SQL區(qū)的最大值值。COMPOSITE_LIMIT：稱為“綜合資源限限制”，是一個用用戶會話可可以消耗的的資源總限限額。該參參數由CPU_PER_SESSION，LOGICAL_READS_PER_SESSION，PRIVATE_SGA，CONNECT_TIME幾個參數數綜合決決定。（2）口令管管理參數數FAILED_LOGIN_ATTEMPTS：限制用用戶在登登錄Oracle數據庫時時允許失失敗的次次數。一一個用戶戶嘗試登登錄數據據庫的次次數達到到該值時時，該用用戶的賬賬戶將被被鎖定，，只有解解鎖后才才可以繼繼續(xù)使用用。PASSWORD_LOCK_TIME：設定當當用戶登登錄失敗敗后，用用戶賬戶戶被鎖定定的時間間長度。。PASSWORD_LIFE_TIME：設置用用戶口令令的有效效天數。。達到限限制的天天數后，，該口令令將過期期，需要要設置新新口令。。PASSWORD_GRACE_TIME：用于設設定提示示口令過過期的天天數。在在這幾天天中，用用戶將接接收到一一個關于于口令過過期需要要修改口口令的警警告。當當達到規(guī)規(guī)定的天天數后，，原口令令過期。。PASSWORD_REUSE_TIME：指定一一個用戶戶口令被被修改后后，必須須經過多多少天后后才可以以重新使使用該口口令。PASSWORD_REUSE_MAX：指定一一個口令令被重新新使用前前，必須須經過多多少次修修改。PASSWORD_VERIFY_FUNCTION：設置口口令復雜雜性校驗驗函數。。該函數數會對口口令進行行校驗，，以判斷斷口令是是否符合合最低復復雜程度度或其他他校驗規(guī)規(guī)則。10.5.3概要文件件管理創(chuàng)建概要要文件將概要文文件分配配給用戶戶修改概要要文件刪除概要要文件查詢概要要文件（1）創(chuàng)建概概要文件件語法為CREATEPROFILEprofile_nameLIMITresource_parameters|password_parameters;參數說明明如下。。profile_name：用于指指定要創(chuàng)創(chuàng)建的概概要文件件名稱；；resource_parameter：用于設設置資源源限制參參數，形形式為resource_parameter_nameinteger|UNLIMITED|DEFALUTpassword_parameters：用于設設置口令令參數，，形式為為password_parameter_nameinteger|UNLIMITED|DEFALUT創(chuàng)建一個個名為res_profile的概要文文件，要要求每個個用戶最最多可以以創(chuàng)建4個并發(fā)會會話；每每個會話話持續(xù)時時間最長長為60分鐘；如如果會話話在連續(xù)續(xù)20分鐘內空空閑，則則結束會會話；每每個會話話的私有有SQL區(qū)為100KB；每個SQL語句占用用CPU時間總量量不超過過10秒。CREATEPROFILEres_profileLIMITSESSIONS_PER_USER4CONNECT_TIME60IDLE_TIME20PRIVATE_SGA100KCPU_PER_CALL100;創(chuàng)建一個個名為pwd_profile的概要文文件，如如果用戶戶連續(xù)4次登錄失失敗，則則鎖定該該賬戶，，10天后該賬賬戶自動動解鎖。。CREATEPROFILEpwd_profileLIMITFAILED_LOGIN_ATTEMPTS4PASSWORD_LOCK_TIME10；（2）將概要要文件分分配給用用戶可以在創(chuàng)創(chuàng)建用戶戶時為用用戶指定定概要文文件CREATEUSERuser5IDENTIFIEDBYuser5PROFILEres_profile;也可以在修修改用戶時時為用戶指指定概要文文件。ALTERUSERuser5PROFILEpwd_profile;（3）修改概要要文件語法為ALTERPROFILEprofile_nameLIMITresource_parameters|password_parameters;注意對概要文件件的修改只只有在用戶戶開始一個個新的會話話時才會生生效。