Oracle數(shù)據(jù)庫(kù)安全管理

第10章安全管理主要內(nèi)容Oracle數(shù)據(jù)庫(kù)安全性概述用戶管理權(quán)限管理角色管理概要文件管理審計(jì)利用OEM進(jìn)行安全管理本章要求了解Oracle數(shù)據(jù)庫(kù)安全機(jī)制掌握用戶管理掌握權(quán)限管理掌握角色管理了解概要文件的作用及其應(yīng)用了解審計(jì)及其應(yīng)用10.1數(shù)據(jù)庫(kù)安全性概述數(shù)據(jù)庫(kù)的安全性主要包括兩個(gè)方面的含義：一方面是防止非法用戶對(duì)數(shù)據(jù)庫(kù)的訪問，未授權(quán)的用戶不能登錄數(shù)據(jù)庫(kù)；另一方面是每個(gè)數(shù)據(jù)庫(kù)用戶都有不同的操作權(quán)限，只能進(jìn)行自己權(quán)限范圍內(nèi)的操作。Oracle數(shù)據(jù)安全控制機(jī)制用戶管理權(quán)限管理角色管理表空間設(shè)置和配額用戶資源限制數(shù)據(jù)庫(kù)審計(jì)Oracle數(shù)據(jù)庫(kù)的安全可以分為兩類：系統(tǒng)安全性系統(tǒng)安全性是指在系統(tǒng)級(jí)控制數(shù)據(jù)庫(kù)的存取和使用的機(jī)制，包括有效的用戶名與口令的組合、用戶是否被授權(quán)可連接數(shù)據(jù)庫(kù)、用戶創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象時(shí)可以使用的磁盤空間大小、用戶的資源限制、是否啟動(dòng)了數(shù)據(jù)庫(kù)審計(jì)功能，以及用戶可進(jìn)行哪些系統(tǒng)操作等。數(shù)據(jù)安全性數(shù)據(jù)安全性是指在對(duì)象級(jí)控制數(shù)據(jù)庫(kù)的存取和使用機(jī)制，包括用戶可存取的模式對(duì)象和在該對(duì)象上允許進(jìn)行的操作等。10.2用戶管理用戶管理概述創(chuàng)建用戶修改用戶刪除用戶查詢用戶信息10.2.1用戶管理概述Oracle數(shù)據(jù)庫(kù)初始用戶

SYS：是數(shù)據(jù)庫(kù)中具有最高權(quán)限的數(shù)據(jù)庫(kù)管理員，可以啟動(dòng)、修改和關(guān)閉數(shù)據(jù)庫(kù)，擁有數(shù)據(jù)字典；

SYSTEM：是一個(gè)輔助的數(shù)據(jù)庫(kù)管理員，不能啟動(dòng)和關(guān)閉數(shù)據(jù)庫(kù)，但可以進(jìn)行其他一些管理工作，如創(chuàng)建用戶、刪除用戶等。SCOTT：是一個(gè)用于測(cè)試網(wǎng)絡(luò)連接的用戶，其口令為TIGER。PUBLIC：實(shí)質(zhì)上是一個(gè)用戶組，數(shù)據(jù)庫(kù)中任何一個(gè)用戶都屬于該組成員。要為數(shù)據(jù)庫(kù)中每個(gè)用戶都授予某個(gè)權(quán)限，只需把權(quán)限授予PUBLIC就可以了。用戶屬性用戶身份認(rèn)證方式默認(rèn)表空間臨時(shí)表空間表空間配額概要文件賬戶狀態(tài)用戶身份認(rèn)證方式數(shù)據(jù)庫(kù)身份認(rèn)證：數(shù)據(jù)庫(kù)用戶口令以加密方式保存在數(shù)據(jù)庫(kù)內(nèi)部，當(dāng)用戶連接數(shù)據(jù)庫(kù)時(shí)必須輸入用戶名和口令，通過數(shù)據(jù)庫(kù)認(rèn)證后才可以登錄數(shù)據(jù)庫(kù)。外部身份認(rèn)證：當(dāng)使用外部身份認(rèn)證時(shí)，用戶的賬戶由Oracle數(shù)據(jù)庫(kù)管理，但口令管理和身份驗(yàn)證由外部服務(wù)完成。外部服務(wù)可以是操作系統(tǒng)或網(wǎng)絡(luò)服務(wù)。當(dāng)用戶試圖建立與數(shù)據(jù)庫(kù)的連接時(shí)，數(shù)據(jù)庫(kù)不會(huì)要求用戶輸入用戶名和口令，而從外部服務(wù)中獲取當(dāng)前用戶的登錄信息。全局身份認(rèn)證：：當(dāng)用戶試圖建立與數(shù)據(jù)庫(kù)連接時(shí)，Oracle使用網(wǎng)絡(luò)中的安全管理服務(wù)器（OracleEnterpriseSecurityManager）對(duì)用戶進(jìn)行身份認(rèn)證。Oracle的安全管理服務(wù)器可以提供全局范圍內(nèi)管理數(shù)據(jù)庫(kù)用戶的功能。

默認(rèn)表空間當(dāng)用戶在創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象時(shí)，如果沒有顯式地指明該對(duì)象在哪個(gè)表空間中存儲(chǔ)，系統(tǒng)會(huì)自動(dòng)將該數(shù)據(jù)庫(kù)對(duì)象存儲(chǔ)在當(dāng)前用戶的默認(rèn)表空間中。如果沒有為用戶指定默認(rèn)表空間，則系統(tǒng)將數(shù)據(jù)庫(kù)的默認(rèn)表空間作為用戶的默認(rèn)表空間。臨時(shí)表空間當(dāng)用戶進(jìn)行排序、匯總和執(zhí)行連接、分組等操作時(shí)，系統(tǒng)首先使用內(nèi)存中的排序區(qū)SORT_AREA_SIZE，如果該區(qū)域內(nèi)存不夠，則自動(dòng)使用用戶的臨時(shí)表空間。在Oracle10g中，如果沒有為用戶指定臨時(shí)表空間，則系統(tǒng)將數(shù)據(jù)庫(kù)的默認(rèn)臨時(shí)表空間作為用戶的臨時(shí)表空間。表空間配額額表空間配額額限制用戶戶在永久表表空間中可可以使用的的存儲(chǔ)空間間的大小，，默認(rèn)情況況下，新建建用戶在任任何表空間間中都沒有有任何配額額。用戶在臨時(shí)時(shí)表空間中中不需要配配額。概要文件每個(gè)用戶都都必須有一一個(gè)概要文文件，從會(huì)會(huì)話級(jí)和調(diào)調(diào)用級(jí)兩個(gè)個(gè)層次限制制用戶對(duì)數(shù)數(shù)據(jù)庫(kù)系統(tǒng)統(tǒng)資源的使使用，同時(shí)時(shí)設(shè)置用戶戶的口令管管理策略。。如果沒有有為用戶指指定概要文文件，Oracle將為用戶自自動(dòng)指定DEFAULT概要文件。。賬戶戶狀狀態(tài)態(tài)在創(chuàng)創(chuàng)建建用用戶戶的的同同時(shí)時(shí)，，可可以以設(shè)設(shè)定定用用戶戶的的初初始始狀狀態(tài)態(tài)，，包包括括用用戶戶口口令令是是否否過過期期以以及及賬賬戶戶是是否否鎖鎖定定等等。。Oracle允許許任任何何時(shí)時(shí)候候?qū)?duì)帳帳戶戶進(jìn)進(jìn)行行鎖鎖定定或或解解鎖鎖。。鎖鎖定定賬賬戶戶后后，，用用戶戶就就不不能能與與Oracle數(shù)據(jù)據(jù)庫(kù)庫(kù)建建立立連連接接，，必必須須對(duì)對(duì)賬賬戶戶解解鎖鎖后后才才允允許許用用戶戶訪訪問問數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)。。10.2.2.創(chuàng)建用戶戶基本語(yǔ)法法CREATEUSERuser_nameIDENTIFIED[BYpassword|EXTERNALLY|GLOBALLYAS'external_name'][DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtemp_tablesapce_name][QUOTAnK|M|UNLIMITEDONtablespace_name][PROFILEprofile_name][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];參數(shù)說明明user_name：用于設(shè)置置新建用用戶名，在數(shù)據(jù)庫(kù)庫(kù)中用戶戶名必須須是唯一一的；IDENTIFIED：用于指指明用戶戶身份認(rèn)認(rèn)證方式式；BYpassword：用于設(shè)設(shè)置用戶戶的數(shù)據(jù)據(jù)庫(kù)身份份認(rèn)證，，其中password為用戶口口令；EXTERNALLY：用于設(shè)設(shè)置用戶戶的外部部身份認(rèn)認(rèn)證；GLOBALLYAS'external_name'：用于設(shè)設(shè)置用戶戶的全局局身份認(rèn)認(rèn)證，其其中external_name為Oracle的安全管管理服務(wù)務(wù)器相關(guān)關(guān)信息；DEFAULTTABLESPACE：用于設(shè)設(shè)置用戶戶的默認(rèn)認(rèn)表空間間，如果果沒有指指定，Oracle將數(shù)據(jù)庫(kù)庫(kù)默認(rèn)表表空間作作為用戶戶的默認(rèn)認(rèn)表空間間；TEMPORARYTABLESPACE：用于設(shè)設(shè)置用戶戶的臨時(shí)時(shí)表空間間；QUOTA：用于指指定用戶戶在特定定表空間間上的配配額，即即用戶在在該表空空間中可可以分配配的最大大空空間；；PROFILE：用于為為用戶指指定概要要文件，，默認(rèn)值值為DEFAULT，采用系系統(tǒng)默認(rèn)認(rèn)的概要要文件；；PASSWORDEXPIRE：用于設(shè)設(shè)置用戶戶口令的的初始狀狀態(tài)為過過期，用用戶在首首次登錄錄數(shù)據(jù)庫(kù)庫(kù)時(shí)必須須修改口口令；ACCOUNTLOCK：用于設(shè)設(shè)置用戶戶初始狀狀態(tài)為鎖鎖定，默默認(rèn)為不不鎖定；；ACCOUNTUNLOCK：用于設(shè)設(shè)置用戶戶初始狀狀態(tài)為不不鎖定或或解除用用戶的鎖鎖定狀態(tài)態(tài)注意在創(chuàng)建新新用戶后后，必須須為用戶戶授予適適當(dāng)?shù)臋?quán)權(quán)限，用用戶才可可以進(jìn)行行相應(yīng)的的數(shù)據(jù)庫(kù)庫(kù)操作。。例如，，授予用用戶CREATESESSION權(quán)限后，，用戶才才可以連連接到數(shù)數(shù)據(jù)庫(kù)。。創(chuàng)建數(shù)據(jù)據(jù)庫(kù)用戶戶示例創(chuàng)建一個(gè)個(gè)用戶user3，口令為為user3，默認(rèn)表表空間為為USERS，在該表表空間的的配額為為10MB，初始狀狀態(tài)為鎖鎖定。CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEUSERSQUOTA10MONUSERSACCOUNTLOCK;創(chuàng)建一個(gè)個(gè)用戶user4，口令為為user4，默認(rèn)表表空間為為USERS，在該表表空間的的配額為為10MB?？诹钤O(shè)設(shè)置為過過期狀態(tài)態(tài)，即首首次連接接數(shù)據(jù)庫(kù)庫(kù)時(shí)需要要修改口口令。概概要文件件為example_profile（假設(shè)該該概要文文件已經(jīng)經(jīng)創(chuàng)建））。CREATEUSERuser4IDENTIFIEDBYuser4DEFAULTTABLESPACEUSERSQUOTA10MONUSERSPROFILEexample_profilePASSWORDEXPIRE;基本語(yǔ)法法ALTERUSERuser_name[IDENTIFIED][BYpassword|EXTERNALLY|GLOBALLYAS'external_name'][DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtemp_tablesapce_name][QUOTAnK|M|UNLIMITEDONtablespace_name][PROFILEprofile_name][DEFAULTROLErole_list|ALL[EXCEPTrole_list]|NONE][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];10.2.3修改用用戶參數(shù)說說明role_list：角色色列表表；ALL：表示示所有有角色色；EXCEPTrole_list：表示示除了了role_list列表中中的角角色之之外的的其他他角色色；NONE：表示示沒有有默認(rèn)認(rèn)角色色。注意，，指定定的角角色必必須是是使用用GRANT命令直直接授授予該該用戶戶的角角色。。修改數(shù)數(shù)據(jù)庫(kù)庫(kù)用戶戶示例例將用戶戶user3的口令令修改改為newuser3，同時(shí)時(shí)將該該用戶戶解鎖鎖。ALTERUSERuser3IDENTIFIEDBYnewuser3ACCOUNTUNLOCK;修改用用戶user4的默認(rèn)認(rèn)表空空間為為ORCLTBS1，在該該表空空間的的配額額為20MB，在USERS表空間間的配配額為為10MB。ALTERUSERuser4DEFAULTTABLESPACEORCLTBS1QUOTA20MONORCLTBS1QUOTA10MONUSERS;用戶的鎖定定與解鎖某個(gè)用戶暫暫時(shí)離開工工作某個(gè)用戶永永久離開工工作DBA創(chuàng)建的特殊殊用戶帳戶戶示例ALTERUSERuser3ACCOUNTLOCK;ALTERUSERuser3ACCOUNTUNLOCK;10.2.4刪除用戶基本語(yǔ)法DROPUSERuser_name[CASCADE];步驟先刪除用戶戶所擁有的的對(duì)象再刪除用戶戶將參照該用用戶對(duì)象的的其他數(shù)據(jù)據(jù)庫(kù)對(duì)象標(biāo)標(biāo)志為INVALID10.2.5查詢用戶信信息ALL_USERS：包含數(shù)據(jù)據(jù)庫(kù)所有用用戶的用戶戶名、用戶戶ID和用戶創(chuàng)建建時(shí)間。DBA_USERS：包含數(shù)據(jù)據(jù)庫(kù)所有用用戶的詳細(xì)細(xì)信息。USER_USERS：包含當(dāng)前用用戶的詳細(xì)信信息。DBA_TS_QUOTAS：包含所有用用戶的表空間間配額信息。。USER_TS_QUOTAS：包含當(dāng)前用用戶的表空間間配額信息。。V$SESSION：包含用戶會(huì)會(huì)話信息。V$OPEN_CURSOR：包含用戶執(zhí)執(zhí)行的SQL語(yǔ)句信息。查看數(shù)據(jù)庫(kù)所所有用戶名及及其默認(rèn)表空空間。SELECTSERNAME,DEFAULT_TABLESPACEFROMDBA_USERS;查看數(shù)據(jù)庫(kù)中中各用戶的登登錄時(shí)間、會(huì)會(huì)話號(hào)。SELECTSID,SERIAL#,LOGON_TIME,USERNAMEFROMV$SESSION;10.3權(quán)限管理權(quán)限管理概述述系統(tǒng)權(quán)限管理理對(duì)象權(quán)限管理理查詢權(quán)限信息息10.3.1權(quán)限管理概述述概念所謂權(quán)限就是是執(zhí)行特定類類型SQL命令或訪問其其他用戶的對(duì)對(duì)象的權(quán)利。。用戶在數(shù)據(jù)據(jù)庫(kù)中可以執(zhí)執(zhí)行什么樣的的操作，以及及可以對(duì)哪些些對(duì)象進(jìn)行操操作，完全取取決于該用戶戶所擁有的權(quán)權(quán)限。分類系統(tǒng)權(quán)限：系系統(tǒng)權(quán)限是指指在數(shù)據(jù)庫(kù)級(jí)級(jí)別執(zhí)行某種種操作的權(quán)限限，或針對(duì)某某一類對(duì)象執(zhí)執(zhí)行某種操作作的權(quán)限。例例如，CREATESESSION權(quán)限、CREATEANYTABLE權(quán)限。對(duì)象權(quán)限：對(duì)對(duì)象權(quán)限是指指對(duì)某個(gè)特定定的數(shù)據(jù)庫(kù)對(duì)對(duì)象執(zhí)行某種種操作的權(quán)限限。例如，對(duì)特定表的的插入、刪除除、修改、查查詢的權(quán)限。。授權(quán)方法直接授權(quán)：利利用GRANT命令直接為用用戶授權(quán)。間接授權(quán)：先先將權(quán)限授予予角色，然后后再將角色授授予用戶。10.3.2系統(tǒng)權(quán)限管理理系統(tǒng)權(quán)限分類類系統(tǒng)權(quán)限的授授權(quán)系統(tǒng)權(quán)限的回回收（1）系統(tǒng)權(quán)限分分類一類是對(duì)數(shù)據(jù)據(jù)庫(kù)某一類對(duì)對(duì)象的操作能能力，通常帶帶有ANY關(guān)鍵字。例如如，CREATEANYINDEX，ALTERANYINDEX，DROPANYINDEX。另一類系統(tǒng)權(quán)權(quán)限是數(shù)據(jù)庫(kù)庫(kù)級(jí)別的某種種操作能力。。例如，CREATESESSION。（2）系統(tǒng)權(quán)限的的授權(quán)語(yǔ)法為GRANTsys_priv_listTOuser_list|role_list|PUBLIC[WITHADMINOPTION];參數(shù)說明：sys_priv_list：表示系統(tǒng)權(quán)權(quán)限列表，以逗號(hào)分隔；user_list：表示用戶列列表，以逗號(hào)分隔；role_list：表示角色列列表，以逗號(hào)號(hào)分隔；PUBLIC：表示對(duì)系統(tǒng)統(tǒng)中所有用戶戶授權(quán)；WITHADMINOPTION：表示允許系系統(tǒng)權(quán)限接收收者再把此權(quán)權(quán)限授予其他他用戶。系統(tǒng)權(quán)限授予予時(shí)需要注意意的幾點(diǎn)：只有DBA才應(yīng)當(dāng)擁有ALTERDATABASE系統(tǒng)權(quán)限。應(yīng)用程序開發(fā)發(fā)者一般需要要擁有CREATETABLE、CREATEVIEW和CREATEINDEX等系統(tǒng)權(quán)限。。普通用戶一般般只具有CREATESESSION系統(tǒng)權(quán)限。只有授權(quán)時(shí)帶帶有WITHADMINOPTION子句時(shí)，用戶戶才可以將獲獲得的系統(tǒng)權(quán)權(quán)限再授予其其他用戶，即即系統(tǒng)權(quán)限的的傳遞性。為PUBLIC用戶組授予CREATESESSION系統(tǒng)權(quán)限。GRANTCREATESESSIONTOPUBLIC;為用戶user1授予CREATESESSION，CREATETABLE，CREATEINDEX系統(tǒng)權(quán)限。GRANTCREATESESSION,CREATETABLE,CREATEVIEWTOuser1;為用戶user2授予CREATESESSION，CREATETABLE，CREATEINDEX系統(tǒng)權(quán)限。user2獲得權(quán)限后，，為用戶user3授予予CREATETABLE權(quán)限限。。GRANTCREATESESSION,CREATETABLE,CREATEVIEWTOuser2WITHADMINOPTION;CONNECTuser2/user2@ORCLGRANTCREATETABLETOuser3;語(yǔ)法法為為REVOKEsys_priv_listFROMuser_list|role_list|PUBLIC;;注意意事事項(xiàng)項(xiàng)多個(gè)個(gè)管管理理員員授授予予用用戶戶同同一一個(gè)個(gè)系系統(tǒng)統(tǒng)權(quán)權(quán)限限后后，，其其中中一一個(gè)個(gè)管管理理員員回回收收其其授授予予該該用用戶戶的的系系統(tǒng)統(tǒng)權(quán)權(quán)限限時(shí)時(shí)，，該該用用戶戶將將不不再再擁?yè)碛杏邢嘞鄳?yīng)應(yīng)的的系系統(tǒng)統(tǒng)權(quán)權(quán)限限。。為了了回回收收用用戶戶系系統(tǒng)統(tǒng)權(quán)權(quán)限限的的傳傳遞遞性性（（授授權(quán)權(quán)時(shí)時(shí)使使用用了了WITHADMINOPTION子句句）），，必必須須先先回回收收其其系系統(tǒng)統(tǒng)權(quán)權(quán)限限，，然然后后再再授授予予其其相相應(yīng)應(yīng)的的系系統(tǒng)統(tǒng)權(quán)權(quán)限限。。如果果一一個(gè)個(gè)用用戶戶獲獲得得的的系系統(tǒng)統(tǒng)權(quán)權(quán)限限具具有有傳傳遞遞性性，，并并且且給給其其他他用用戶戶授授權(quán)權(quán)，，那那么么該該用用戶戶系系統(tǒng)統(tǒng)權(quán)權(quán)限限被被回回收收后后，，其其他他用用戶戶的的系系統(tǒng)統(tǒng)權(quán)權(quán)限限并并不不受受影影響響。。（3）系統(tǒng)統(tǒng)權(quán)限限的回回收10.3對(duì)象權(quán)權(quán)限管管理對(duì)象權(quán)權(quán)限分分類對(duì)象權(quán)權(quán)限的的授權(quán)權(quán)對(duì)象權(quán)權(quán)限的的回收收（1）對(duì)象象權(quán)限限分類類在Oracle數(shù)據(jù)庫(kù)庫(kù)中共共有9種類型型的對(duì)對(duì)象權(quán)權(quán)限，，不同同類型型的模模式對(duì)對(duì)象有有不同同的對(duì)對(duì)象權(quán)權(quán)限，，而有有的對(duì)對(duì)象并并沒有有對(duì)象象權(quán)限限，只只能通通過系系統(tǒng)權(quán)權(quán)限進(jìn)進(jìn)行控控制，，如簇簇、索索引、、觸發(fā)發(fā)器、、數(shù)據(jù)據(jù)庫(kù)鏈鏈接等等。對(duì)象權(quán)限適合對(duì)象對(duì)象權(quán)限功能說明SELECT表、視圖、序列查詢數(shù)據(jù)操作UPDATE表、視圖更新數(shù)據(jù)操作DELETE表、視圖刪除數(shù)據(jù)操作INSERT表、視圖插入數(shù)據(jù)操作REFERENCES表在其他表中創(chuàng)建外鍵時(shí)可以引用該表EXECUTE存儲(chǔ)過程、函數(shù)、包執(zhí)行PL/SQL存儲(chǔ)過程、函數(shù)和包READ目錄讀取目錄ALTER表、序列修改表或序列結(jié)構(gòu)INDEX表為表創(chuàng)建索引ALL具有對(duì)象權(quán)限的所有模式對(duì)象某個(gè)對(duì)象所有對(duì)象權(quán)限操作集合（2）對(duì)象權(quán)限限的授權(quán)語(yǔ)法GRANTobj_priv_list|ALLON[schema.]objectTOuser_list|role_list[WITHGRANTOPTION];參數(shù)說明obj_priv_list：表示對(duì)象象權(quán)限列表表，以逗號(hào)號(hào)分隔；[schema.]object：表示指定定的模式對(duì)對(duì)象，默認(rèn)認(rèn)為當(dāng)前模模式中的對(duì)對(duì)象；user_list：表示用戶戶列表，以以逗號(hào)分隔隔；role_list：表示角色色列表，以以逗號(hào)分隔隔；WITHGRANTOPTION：表示允許許對(duì)象權(quán)限限接收者把把此對(duì)象權(quán)權(quán)限授予其其他用戶。。將scott模式下的emp表的SELECT，UPDATE，INSERT權(quán)限授予user1用戶。GRANTSELECT,INSERT,UPDATEONscott.empTOuser1;將scott模式下的emp表的SELECT，UPDATE，INSERT權(quán)限授予予user2用戶。user2用戶再將將emp表的SELECT，UPDATE權(quán)限授予予user3用戶。GRANTSELECT,INSERT,UPDATEONscott.empTOuser2WITHGRANTOPTION;CONNECTuser2/user2@ORCLGRANTSELECT,UPDATEONscott.empTOuser3;語(yǔ)法REVOKEobj_priv_list|ALLON[schema.]objectFROMuser_list|role_list;注意事項(xiàng)項(xiàng)多個(gè)管理理員授予予用戶同同一個(gè)對(duì)對(duì)象權(quán)限限后，其其中一個(gè)個(gè)管理員員回收其其授予該該用戶的的對(duì)象權(quán)權(quán)限時(shí)，，該用戶戶不再擁?yè)碛邢鄳?yīng)應(yīng)的對(duì)象象權(quán)限。。為了回收收用戶對(duì)對(duì)象權(quán)限限的傳遞遞性（授授權(quán)時(shí)使使用了WITHGRANTOPTION子句），必須須先回收其對(duì)對(duì)象權(quán)限，然然后再授予其其相應(yīng)的對(duì)象象權(quán)限。如果一個(gè)用戶戶獲得的對(duì)象象權(quán)限具有傳傳遞性（授權(quán)權(quán)時(shí)使用了WITHGRANTOPTION子句），并且且給其他用戶戶授權(quán)，那么么該用戶的對(duì)對(duì)象權(quán)限被回回收后，其他他用戶的對(duì)象象權(quán)限也被回回收。（3）對(duì)象權(quán)限的的回收WITHADMINOPTION當(dāng)甲用戶授權(quán)權(quán)給乙用戶，，且激活該選選項(xiàng)，則被授授權(quán)的乙用戶戶具有管理該該權(quán)限的能力力：或者能把把得到的權(quán)限限再授給其他他用戶丙，或或者能回收授授出去的權(quán)限限。當(dāng)甲用戶收回回乙用戶的權(quán)權(quán)限后，乙用用戶曾經(jīng)授給給丙用戶的權(quán)權(quán)限仍然存在在與WITHGRANTOPTION比較當(dāng)甲用戶授權(quán)權(quán)給乙用戶，，且激活該選選項(xiàng)，則被授授權(quán)的乙用戶戶具有管理該該權(quán)限的能力力：或者能把把得到的權(quán)限限再授給其他他用戶丙，或或者能回收授授出去的權(quán)限限。當(dāng)甲甲用用戶戶收收回回乙乙用用戶戶的的權(quán)權(quán)限限后后，，乙乙用用戶戶曾曾經(jīng)經(jīng)授授給給丙丙用用戶戶的的權(quán)權(quán)限限也也被被回回收收。。WITHADMINOPTIONDBAGRANTREVOKEJeffEmiJeffEmiDBAGRANTREVOKEWITHGRANTOPTIONBobJeffEmiEmiJeffBob10.3.4查詢?cè)儥?quán)權(quán)限限信信息息DBA_TAB_PRIVS：包含含數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)所所有有對(duì)對(duì)象象的的授授權(quán)權(quán)信信息息ALL_TAB_PRIVS：包含含數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)所所有有用用戶戶和和PUBLIC用戶戶組組的的對(duì)對(duì)象象授授權(quán)權(quán)信信息息USER_TAB_PRIVS：包含含當(dāng)當(dāng)前前用用戶戶對(duì)對(duì)象象的的授授權(quán)權(quán)信信息息DBA_COL_PRIVS：包含含所所有有字字段段已已授授予予的的對(duì)對(duì)象象權(quán)權(quán)限限ALL_COL_PRIVS：包含含所所有有字字段段已已授授予予的的對(duì)對(duì)象象權(quán)權(quán)限限信信息息USER_COL_PRIVS：包含含當(dāng)當(dāng)前前用用戶戶所所有有字字段段已已授授予予的的對(duì)對(duì)象象權(quán)權(quán)限限信信息息。。DBA_SYS_PRIVS：包包含含授授予予用用戶戶或或角角色色的的系系統(tǒng)統(tǒng)權(quán)權(quán)限限信信息息USER_SYS_PRIVS：包包含含授授予予當(dāng)當(dāng)前前用用戶戶的的系系統(tǒng)統(tǒng)權(quán)權(quán)限限信信。。10.4角色色管管理理Oracle數(shù)據(jù)據(jù)庫(kù)庫(kù)角角色色概概述述預(yù)定定義義角角色色自定定義義角角色色利用用角角色色進(jìn)進(jìn)行行權(quán)權(quán)限限管管理理查詢?cè)兘墙巧判畔⑾?0.4.1Oracle數(shù)據(jù)據(jù)庫(kù)庫(kù)角角色色概概述述角色色的的概概念念所謂角色色就是一一系列相相關(guān)權(quán)限限的集合合10.4.2預(yù)定義角角色預(yù)定義角角色概述述預(yù)定義角角色是指指在Oracle數(shù)據(jù)庫(kù)創(chuàng)建建時(shí)由系統(tǒng)統(tǒng)自動(dòng)創(chuàng)建建的一些常常用的角色色，這些角角色已經(jīng)由由系統(tǒng)授予予了相應(yīng)的的權(quán)限。DBA可以直接利利用預(yù)定義義的角色為為用戶授權(quán)權(quán)，也可以以修改預(yù)定定義角色的的權(quán)限。Oracle數(shù)據(jù)庫(kù)中有有30多個(gè)預(yù)定義義角色?？梢酝ㄟ^數(shù)數(shù)據(jù)字典視視圖DBA_ROLES查詢?cè)儺?dāng)當(dāng)前前數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)中中所所有有的的預(yù)預(yù)定定義義角角色色，，通通過過DBA_SYS_PRIVS查詢?cè)兏鞲鱾€(gè)個(gè)預(yù)預(yù)定定義義角角色色所所具具有有的的系系統(tǒng)統(tǒng)權(quán)權(quán)限限。。角色角色具有的部分權(quán)限CONNECTCREATESESSIONRESOURCECREATECLUSTER，CREATEOPERATOR，CREATETRIGGER，CREATETYPE，CREATESEQUENCE，CREATEINDEXTYPE，CREATEPROCEDURE，CREATETABLEDBAADMINISTERDATABSETRIGGER，ADMINISTERRESOURCEMANAGE，CREATE…，CREATEANY…，ALTER…，ALTERANY…，DROP…，DROPANY…，EXECUTE…，EXECUTEANY…EXP_FULL_DATABASEADMINISTERRESOURCEMANAGE，BACKUPANYTABLE，EXECUTEANYPROCEDURE，SELECTANYTABLE，EXECUTEANYTYPEIMP_FULL_DATABASEADMINISTERDATABSETRIGGER，ADMINISTERRESOURCEMANAGE，CREATEANY…，ALTERANY…，DROP…，DROPANY…，EXECUTEANY…10.4.3自定定義義角角色色創(chuàng)建建角角色色角色色權(quán)權(quán)限限的的授授予予與與回回收收修改改角角色色角色色的的生生效效與與失失效效刪除除角角色色（1）創(chuàng)創(chuàng)建建角角色色語(yǔ)法法為為CREATEROLErole_name[NOTIDENTIFIED][IDENTIFIEDBYpassword];參數(shù)數(shù)說說明明role_name：用用于于指指定定自自定定義義角角色色名名稱稱，，該該名名稱稱不不能能與與任任何何用用戶戶名名或或其其他他角角色色相相同同；；NOTIDENTIFIED：用用于于指指定定該該角角色色由由數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)授授權(quán)權(quán)，，使使該該角角色色生生效效時(shí)時(shí)不不需需要要口口令令；；IDENTIFIEDBYpassword：用用于于設(shè)設(shè)置置角角色色生生效效時(shí)時(shí)的的認(rèn)認(rèn)證證口口令令。。例如如，，創(chuàng)創(chuàng)建建不不同同類類型型的的角角色色。。CREATEROLEhigh_manager_role;CREATEROLEmiddle_manager_roleIDENTIFIEDBYmiddlerole;CREATEROLElow_manager_roleIDENTIFIEDBYlowrole;（2）角角色色權(quán)權(quán)限限的的授授予予與與回回收收說明明給角角色色授授予予適適當(dāng)當(dāng)?shù)牡南迪到y(tǒng)統(tǒng)權(quán)權(quán)限限、、對(duì)對(duì)象象權(quán)權(quán)限限或或已已有有角角色色。。在數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)運(yùn)運(yùn)行行過過程程中中，，可可以以為為角角色色增增加加權(quán)權(quán)限限，，也也可可以以回回收收其其權(quán)權(quán)限限。。給角角色色授授權(quán)權(quán)時(shí)時(shí)應(yīng)應(yīng)該該注注意意，，一一個(gè)個(gè)角角色色可可以以被被授授予予另另一一個(gè)個(gè)角角色色，，但但不不能能授授予予其其本本身身，，不不能能產(chǎn)產(chǎn)生生循循環(huán)環(huán)授授權(quán)權(quán)。。示例GRANTCONNECT,CREATETABLE,CREATEVIEWTOlow_manager_role;GRANTCONNECT,CREATETABLE,CREATEVIEWTOmiddle_manager_role;GRANTCONNECT,RESOURCE,DBATOhigh_manager_role;GRANTSELECT,UPDATE,INSERT,DELETEONscott.empTOhigh_manager_role;REVOKECONNECTFROMlow_manager_role;REVOKECREATETABLE,CREATEVIEWFROMmiddle_manager_role;REVOKEUPDATE,DELETE,INSERTONscott.empFROMhigh_manager_role;（3）修改角角色概念修改角色色是指修修改角色色生效或或失效時(shí)時(shí)的認(rèn)證證方式，，也就是是說，是是否必須須經(jīng)過Oracle確認(rèn)才允允許對(duì)角角色進(jìn)行行修改。。修改角色色的語(yǔ)法法ALTERROLErole_name[NOTIDENTIFIED]|[IDENTIFIEDBYpassword]；示例ALTERROLEhigh_manager_roleIDENTIFIEDBYhighrole;ALTERROLEmiddle_manager_roleNOTIDENTIFIED;（4）角色色的生生效與與失效效概念所謂角角色的的失效效是指指角色色暫時(shí)時(shí)不可可用。。當(dāng)一一個(gè)角角色生生效或或失效效時(shí)，，用戶戶從角角色中中獲得得的權(quán)權(quán)限也也生效效或失失效。。因此此，通通過設(shè)設(shè)置角角色的的生效效或失失效，，可以以動(dòng)態(tài)態(tài)改變變用戶戶的權(quán)權(quán)限。。在進(jìn)行行角色色生效效或失失效設(shè)設(shè)置時(shí)時(shí)，需需要輸輸入角角色的的認(rèn)證證口令令，避避免非非法設(shè)設(shè)置。。語(yǔ)法SETROLE[role_name[IDENTIFIEDBYpassword]]|[ALL[EXCEPTrole_name]]|[NONE];參數(shù)說說明role_name：表示進(jìn)進(jìn)行生生效或或失效效設(shè)置置的角角色名名稱；IDENTIFIEDBYpassword：用于設(shè)設(shè)置角角色生生效或或失效效時(shí)的的認(rèn)證證口令令；ALL：表示示使當(dāng)當(dāng)前用用戶所所有角角色生生效；；EXCEPTrole_name：表示除除了特特定角角色外外，其余余所所有有角角色色生生效效；NONE：表表示示使使當(dāng)當(dāng)前前用用戶戶所所有有角角色色失失效效。。示例例SETROLENONE;SETROLEhigh_manager_roleIDENTIFIEDBYhighrole;SETROLEmiddle_manager_role,low_manager_lowIDENTIFIEDBYlowrole;SETROLEALLEXCEPTlow_manager_role,middle_manager_role;（5）刪刪除除角角色色語(yǔ)法法結(jié)結(jié)構(gòu)構(gòu)DROPROLErole_name;說明明如果果某某個(gè)個(gè)角角色色不不再再需需要要，，則則可可以以使使用用DROPROLE語(yǔ)句刪除角色色。角色被刪刪除后，用戶戶通過該角色色獲得的權(quán)限限被回收。10.4.4利用角色進(jìn)行行權(quán)限管理給用戶或角色色授予角色從用戶或角色色回收角色用戶角色的激激活或屏蔽（1）給用戶或角角色授予角色色語(yǔ)法GRANTrole_listTOuser_list|role_list；例如，將CONNECT，high_manager_role角色授予用戶戶user1，將RESOURCE，CONNECT角色授予角色色middle_manager_role。GRANTCONNECT,high_manager_roleTOuser1;GRANTRESOURCE,CONNECTTOmiddle_manager_role;（2）從用戶或角角色回收角色色語(yǔ)法為REVOKErole_listFROMuser_list|role_list；例如，回收角角色middle_manager_role的RESOURCE，CONNECT角色。SQL>REVOKERESOURCE,CONNECTFROMmiddle_manager_role;（3）用戶角色的的激活或屏蔽蔽語(yǔ)法為ALTERUSERuser_nameDEFAULTROLE[role_name]|[ALL[EXCEPTrole_name]]|[NONE];示例ALTERUSERuser1DEFAULTROLENONE;ALTERUSERuser1DEFAULTROLECONNECT,DBA;ALTERUSERuser1DEFAULTROLEALL;ALTERUSERuser1DEFAULTROLEALLEXCEPTDBA;10.4.5查詢角色信息息DBA_ROLES：包含數(shù)據(jù)庫(kù)中中所有角色及及其描述；DBA_ROLE_PRIVS：包含為數(shù)據(jù)庫(kù)庫(kù)中所有用戶戶和角色授予予的角色信息息；USER_ROLE_PRIVS：包含為當(dāng)前前用戶授予的的角色信息；；ROLE_ROLE_PRIVS：為角色授予予的角色信息息；ROLE_SYS_PRIVS：為角色授予予的系統(tǒng)權(quán)限限信息；ROLE_TAB_PRIVS：為角色授予予的對(duì)象權(quán)限限信息；SESSION_PRIVS：當(dāng)前會(huì)話所所具有的系統(tǒng)統(tǒng)權(quán)限信息；；SESSION_ROLES：當(dāng)前會(huì)話所所具有的角色色信息。。查詢角色CONNECT所具有的系統(tǒng)統(tǒng)權(quán)限信息。。SELECT*FROMROLE_SYS_PRIVSWHEREROLE='CONNECT';查詢DBA角色被授予的的角色信息。。SELECT*FROMROLE_ROLE_PRIVSWHEREROLE='DBA';10.5概要文件管理理概要文件概述述概要文件中參參數(shù)介紹概要文件的管管理10.5.1概要文件概述述概要文件的作作用資源限制級(jí)別別和類型啟用或停用資資源限制（1）概要文文件的作作用概要文件件（PROFILE）是數(shù)據(jù)據(jù)庫(kù)和系系統(tǒng)資源源限制的的集合，，是Oracle數(shù)據(jù)庫(kù)安安全策略略的重要要組成部部分。利用概要要文件，，可以限限制用戶戶對(duì)數(shù)據(jù)據(jù)庫(kù)和系系統(tǒng)資源源的使用用，同時(shí)時(shí)還可以以對(duì)用戶戶口令進(jìn)進(jìn)行管理理。。在Oracle數(shù)據(jù)庫(kù)創(chuàng)創(chuàng)建的同同時(shí)，系系統(tǒng)會(huì)創(chuàng)創(chuàng)建一個(gè)個(gè)名為DEFAULT的默認(rèn)概概要文件件。如果果沒有為為用戶顯顯式地指指定一個(gè)個(gè)概要文文件，系系統(tǒng)默認(rèn)認(rèn)將DEFAULT概要文件件作為用用戶的概概要文件件。（2）資源限限制級(jí)別別和類型型資源限制制級(jí)別會(huì)話級(jí)資資源限制制：對(duì)用用戶在一一個(gè)會(huì)話話過程中中所能使使用的資資源進(jìn)行行限制。。調(diào)用級(jí)資資源限制制：對(duì)一一條SQL語(yǔ)句在執(zhí)執(zhí)行過程程中所能能使用的的資源進(jìn)進(jìn)行限制制。資源限制制類型CPU使用時(shí)間間；邏輯讀；每個(gè)用戶戶的并發(fā)發(fā)會(huì)話數(shù)數(shù)；用戶連接接數(shù)據(jù)庫(kù)庫(kù)的空閑閑時(shí)間；用戶連接接數(shù)據(jù)庫(kù)庫(kù)的時(shí)間間；私有SQL區(qū)和PL/SQL區(qū)的使用用。（3）啟用或或停用資資源限制制在數(shù)據(jù)庫(kù)啟動(dòng)動(dòng)前啟用或停停用資源限制制將數(shù)據(jù)庫(kù)初始始化參數(shù)文件件中的參數(shù)RESOURCE_LIMIT的值設(shè)置為TRUE或FALSE（默認(rèn)），來來啟用或停用用系統(tǒng)資源限限制。在數(shù)據(jù)庫(kù)啟動(dòng)動(dòng)后啟用或停停用資源限制制使用ALTERSYSTEM語(yǔ)句修改RESOURCE_LIMIT的參數(shù)值為TRUE或FALSE，來啟動(dòng)或關(guān)關(guān)閉系統(tǒng)資源源限制。ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;10.5.2概要文件中參參數(shù)資源限制參數(shù)數(shù)口令管理參數(shù)數(shù)（1）資源限制參參數(shù)CPU_PER_SESSION：限制用戶在在一次會(huì)話期期間可以占用用的CPU時(shí)間總量，單單位為百分之之一秒。當(dāng)達(dá)達(dá)到該時(shí)間限限制后，用戶戶就不能在會(huì)會(huì)話中執(zhí)行任任何操作了，，必須斷開連連接，然后重重新建立連接接。CPU_PER_CALL：限制每個(gè)調(diào)調(diào)用可以占用用的CPU時(shí)間總量，單單位為百分之之一秒。當(dāng)一一個(gè)SQL語(yǔ)句執(zhí)行時(shí)間間達(dá)到該限制制后，該語(yǔ)句句以錯(cuò)誤信息息結(jié)束。CONNECT_TIME：限制每個(gè)會(huì)會(huì)話可持續(xù)的的最大時(shí)間值值，單位為分分鐘。當(dāng)數(shù)據(jù)據(jù)庫(kù)連接持續(xù)續(xù)時(shí)間超出該該設(shè)置時(shí)，連連接被斷開。。IDLE_TIME：限制每個(gè)個(gè)會(huì)話處于于連續(xù)空閑閑狀態(tài)的最最大時(shí)間值值，單位為為分鐘。當(dāng)當(dāng)會(huì)話空閑閑時(shí)間超過過該設(shè)置時(shí)時(shí)，連接被被斷開。SESSIONS_PER_USER：限制一個(gè)個(gè)用戶打開開數(shù)據(jù)庫(kù)會(huì)會(huì)話的最大大數(shù)量。LOGICAL_READS_PER_SESSION：允許一個(gè)個(gè)會(huì)話讀取取數(shù)據(jù)塊的的最大數(shù)量量，包括從從內(nèi)存中讀讀取的數(shù)據(jù)據(jù)塊和從磁磁盤中讀取取的數(shù)據(jù)塊塊的總和。。LOGICAL_READS_PER_CALL：允許一個(gè)個(gè)調(diào)用讀取取的數(shù)據(jù)塊塊的最大數(shù)數(shù)量，包括括從內(nèi)存中中讀取的數(shù)數(shù)據(jù)塊和從從磁盤中讀讀取的數(shù)據(jù)據(jù)塊的總和和。PRIVATE_SGA：在共享服服務(wù)器操作作模式中，，執(zhí)行SQL語(yǔ)句或PL/SQL程序時(shí)，Oracle將在SGA中創(chuàng)建私有有SQL區(qū)。該參數(shù)數(shù)限制在SGA中一個(gè)會(huì)話話可分配私私有SQL區(qū)的最大值值。COMPOSITE_LIMIT：稱為“綜合資源限限制”，是一個(gè)用用戶會(huì)話可可以消耗的的資源總限限額。該參參數(shù)由CPU_PER_SESSION，LOGICAL_READS_PER_SESSION，PRIVATE_SGA，CONNECT_TIME幾個(gè)參數(shù)數(shù)綜合決決定。（2）口令管管理參數(shù)數(shù)FAILED_LOGIN_ATTEMPTS：限制用用戶在登登錄Oracle數(shù)據(jù)庫(kù)時(shí)時(shí)允許失失敗的次次數(shù)。一一個(gè)用戶戶嘗試登登錄數(shù)據(jù)據(jù)庫(kù)的次次數(shù)達(dá)到到該值時(shí)時(shí)，該用用戶的賬賬戶將被被鎖定，，只有解解鎖后才才可以繼繼續(xù)使用用。PASSWORD_LOCK_TIME：設(shè)定當(dāng)當(dāng)用戶登登錄失敗敗后，用用戶賬戶戶被鎖定定的時(shí)間間長(zhǎng)度。。PASSWORD_LIFE_TIME：設(shè)置用用戶口令令的有效效天數(shù)。。達(dá)到限限制的天天數(shù)后，，該口令令將過期期，需要要設(shè)置新新口令。。PASSWORD_GRACE_TIME：用于設(shè)設(shè)定提示示口令過過期的天天數(shù)。在在這幾天天中，用用戶將接接收到一一個(gè)關(guān)于于口令過過期需要要修改口口令的警警告。當(dāng)當(dāng)達(dá)到規(guī)規(guī)定的天天數(shù)后，，原口令令過期。。PASSWORD_REUSE_TIME：指定一一個(gè)用戶戶口令被被修改后后，必須須經(jīng)過多多少天后后才可以以重新使使用該口口令。PASSWORD_REUSE_MAX：指定一一個(gè)口令令被重新新使用前前，必須須經(jīng)過多多少次修修改。PASSWORD_VERIFY_FUNCTION：設(shè)置口口令復(fù)雜雜性校驗(yàn)驗(yàn)函數(shù)。。該函數(shù)數(shù)會(huì)對(duì)口口令進(jìn)行行校驗(yàn)，，以判斷斷口令是是否符合合最低復(fù)復(fù)雜程度度或其他他校驗(yàn)規(guī)規(guī)則。10.5.3概要文件件管理創(chuàng)建概要要文件將概要文文件分配配給用戶戶修改概要要文件刪除概要要文件查詢概要要文件（1）創(chuàng)建概概要文件件語(yǔ)法為CREATEPROFILEprofile_nameLIMITresource_parameters|password_parameters;參數(shù)說明明如下。。profile_name：用于指指定要?jiǎng)?chuàng)創(chuàng)建的概概要文件件名稱；；resource_parameter：用于設(shè)設(shè)置資源源限制參參數(shù)，形形式為resource_parameter_nameinteger|UNLIMITED|DEFALUTpassword_parameters：用于設(shè)設(shè)置口令令參數(shù)，，形式為為password_parameter_nameinteger|UNLIMITED|DEFALUT創(chuàng)建一個(gè)個(gè)名為res_profile的概要文文件，要要求每個(gè)個(gè)用戶最最多可以以創(chuàng)建4個(gè)并發(fā)會(huì)會(huì)話；每每個(gè)會(huì)話話持續(xù)時(shí)時(shí)間最長(zhǎng)長(zhǎng)為60分鐘；如如果會(huì)話話在連續(xù)續(xù)20分鐘內(nèi)空空閑，則則結(jié)束會(huì)會(huì)話；每每個(gè)會(huì)話話的私有有SQL區(qū)為100KB；每個(gè)SQL語(yǔ)句占用用CPU時(shí)間總量量不超過過10秒。CREATEPROFILEres_profileLIMITSESSIONS_PER_USER4CONNECT_TIME60IDLE_TIME20PRIVATE_SGA100KCPU_PER_CALL100;創(chuàng)建一個(gè)個(gè)名為pwd_profile的概要文文件，如如果用戶戶連續(xù)4次登錄失失敗，則則鎖定該該賬戶，，10天后該賬賬戶自動(dòng)動(dòng)解鎖。。CREATEPROFILEpwd_profileLIMITFAILED_LOGIN_ATTEMPTS4PASSWORD_LOCK_TIME10；（2）將概要要文件分分配給用用戶可以在創(chuàng)創(chuàng)建用戶戶時(shí)為用用戶指定定概要文文件CREATEUSERuser5IDENTIFIEDBYuser5PROFILEres_profile;也可以在修修改用戶時(shí)時(shí)為用戶指指定概要文文件。ALTERUSERuser5PROFILEpwd_profile;（3）修改概要要文件語(yǔ)法為ALTERPROFILEprofile_nameLIMITresource_parameters|password_parameters;注意對(duì)概要文件件的修改只只有在用戶戶開始一個(gè)個(gè)新的會(huì)話話時(shí)才會(huì)生生效。