oracle安全机制(DOC)

1、Oracle 安全机制安全性是评价一个数据库产品的重要指标，直接决定了数据库的优劣。Oracle 数据库采用一系列的安全控制机制，以保证数据库的安全性。Oracle 数据库在 3 个层次上采取安全控制机制。（1）系统安全性：在系统级别上控制数 据库的存取和使用机制，包括有效的用户和口令、判断用户是否被授予权限可 以连接数据库、用户创建数据库对象时可以使用的表空间大小、 用户的资源限 制、 是否启动数据库的审计功能、用户可以进行哪些操作系统等。（2）数据安全性：在数据库模式对象级别上控制数据库的存取和使用机制，包括用户可以 存取的模式对象以及在该对象上可以进行的操作等。用户要对某个模式对象进 行

2、操作，必须具有该对象相应的对象权限。（3）网络安全性：oracle 数据库是网络数据库，因此网络数据库传输的安全性至关重要，主要包括登陆助手、 目录管理、标签安全性等。Oracle 通过分发 Wallet、数字证书、SSL 安全套接字和数据秘钥等办法来确保网络数据传输的安全性。一、系统安全方面采取的安全机制包括用户管理、资源限制和口令管理、权 限管理、角色管理、审计、利用OEM行安全管理。1、用户管理用户是数据库的使用者和管理者，Orcle 数据库通过设置用户及其安全属性来控制用户对数据库的访问和操作。用户管理是Oracle 数据库安全管理的核心和基础。Oracle 数据库中的用户分为两类，一

3、类是创建数据库时系统与定义的用 户，而预定义的用户根据作用不同又可以分为三类：1、管理员用户，2、示例方案用户，3、内置用户；另一类是根据应用需要由DBA 创建的用户。可以通过查询数据字典视图dba_users，查看当前数据库中所有用户信息。如下图所示显示 open 的用户是已经开启的用户，显示expired & locked 的用户是已经过期或是锁定的用户A 0思愿嗚丨夕select usecnaneccouuc st-atuse且from dberi 2A 结果LJ叫本输出|闰解释|窮自动SR踪俪5辅出丨皿辭结果：j USERNAMEJU?LOUHT STAnJS園CREAIED0

4、2-*月TO2 STSOPEUOM月-10d SrSIEMQFEIF倍电月-ioIDESI1MPm月-io5 STSMAHQHir如-月-1Vf) SCG1IOPfH7 OIHI27EIPIEEr t LOCKET02-1 -10W7月-10S fLOHSJILESEITIREDSLLOCKED02-4月-109 MDS7SEniEED LOCKETm月-ioin nwriCv1nirPTwrh TnrITHinAnJR 1 ri1.1用户属性 为了防止非授权用户对数据库进行操作，在创建数据库用户时，必须使用安全 属性对用户进行限制。用户的安全属性包括以下几个方面：用户名：在同一数据库中，用户

5、名必须唯一。并且用户名不能与角色名相 同。用户身份认证：Oracle数据库采用了多种用户身份认证方式，例如数据库 身份认证、外部认证、以及全局认证。默认表空间：用户创建数据库对象时，如果没有显示地指出该对象存储在哪 个表空间，系统会自动将该数据库对象存储在当前用户的默认表空间。（表空间：Oracle数据库在逻辑上可以划分为一系列的区域，每一个区域 称为一个表空间。表空间是Oracle数据库最大的逻辑存储结构，由一系列 段构成。Oracle数据库对象就是以段的方式从表空间中获取存储空间 的。）临时表：保存临时数据信息的表。表空间配额：表空间配额限制用户在永久空间中可以使用的存储空间的大 小。概要

6、文件：从会话级和调用级两个层次限制用户对数据库资源的使用，同时 设置用户的口令管理策略。设置用户的默认角色：通过设置默认角色，可以禁止或激活用户所具有的角 色。账户状态：创建用户的同时，可以设定用户的初始状态，包括用户口令是否 过期以及账户是否锁定等1.2创建用户create usei? chen ident if led by chen default tablespace users tenpopar tablespace temp quota 10n on usersaccount urn lock；User createdv如上图所示，创建用户chen采用数据库认证，口令为chen，默

7、认表空间为users该表空间配额为10MB，默认临时表空间为temp，初始状态不锁定。D:ORACLEprodu如上图所示，创建用户如果不授权，该用户不能做任何操作，即便是连接数据 库。只有给用户授予了create session系统权限后，用户才可以连接数据 库。SQL conn sys/sys as svsdha；Connected.QL SFcint create session to clien2 /Grant sujcceeded.SQL conn chen/chenConnected SQL _使用系统管理员登陆，授予用户chen权限，才能使用户chen连接数据库。如果口令设置为过

8、期状态，即首次连接数据库时需要修改口令。1.3用户身份认证数据库身份认证 将数据库的用户名与口令都保存在数据库内部，且口令以 加密方式存储。当用户练级数据库时，需要提供用户名与口令信息，通过数据 库认证后才能登陆。2 3 45外部身份认证 用户账户由oracle数据库管理，但口令管理和身份验证由外 部服务来完成。全局身份认证 采用oracle数据库的高级安全组件，利用LDAP目录服务器集 中管理用户信息。当用户试图建立与数据库的连接时，oracle利用网络中的目录服务器中的信息对用户进行身份认证。1.4修改用户alter user user_name identifiedby password

9、, accountlock|u nlock1.5删除用户drop user user name cascade;1.6查询用户select username,acc oun t_status , from dba_users;忘记密码的方法：打开cmd,输入sqlplus /nolog，回车；输入“conn / as sysdba”;输入“alter user sys identified by新密 码”，注意：新密码最好以字母开头，否则可能出现错误Ora-00988。有了这个方法后，只要自己对oracle服务器有管理员权限，不记得密码的时候就可 以随意修改密码了。sqlplus /nolog

10、，conn /as sysdba之所以能够登录，在于 oracle 登录时的身份认证方式。oracle 在登录时，有三种身份认证方式：操作系统身份认证、密码文件认证、 数据库认证。而 conn /as sysdba是属于操作系统认证。为什么这样说呢？你当前电脑开机时登录的用户，也就是进入操作系统的用户，例如是 gooooal ，它在你电脑 的 ora_dba组中。可以在“我的电脑单击右键，找到管理，选择本地用户和 组”，发现有一个组叫ora_dba ，双击它，看到成员列表中gooooal ”。 也 就是在 conn /as sysdba ， oracle 会进行操作系统验证，发现你当前登录的用

11、户就属 于 ora_dba 组，因此才可以登录成功。你可以把 ora_dba 组中的“ gooooal 用 户删除，再 conn /as sysdba ，就发现进不去了解决用户sys任意密码可以登录的问题：1、sys是Oracle的一个很特殊的用户，它只能按sysdba和sysoper身份登 入，也就是说只要按以上两种身份登入，都是sys用户，表面上输入的用户名 都是无效的。任何其它用户只能按Normal身份登入。2、sys用户的合法认证有两种方式：一是操作系统认证方式，二是数据库口令 认证方式。如果你登入的操作系统是Oracle用户组，那么直接通过操作系统 认证连接到数据库，没有必要口令来认

12、证。所以你随便输入一个口令都可以 的。2资源限定与口令管理在oracle数据库中，用户对数据库和系统资源使用的限制以及对用户口令的管 理是通过概要文件(profile)实现的。概要文件是oracle数据库安全策略的 重要组成部分。每个数据库必须具有一个概要文件。概要文件不是一个物理文 件，而是存储在sys模式的几个表中的信息的集合。这些表是在创建数据库运 行sql.bsq脚本时，调用denv.bsq脚本创建的，包括profile$表、profname表、resource_map表、resource_cost表等。2.1资源限制的级别 概要文件通过对一系列资源管理参数的设置，从会话级和调用级两个

13、级别对用 户使用资源进行限制。 会话级资源限制是对用户在一个会话过程中所能使用的 资源总量进行限制，而调用级资源限制是对一条SQL语句在执行过程中所能使 用的资源总量进行限制。2.2资源限制的类型 通过设置通过设置概要文件中的参数值，可以从下列几个方面限制用户对数据 库和系统资源的使用。CPU使用时间：在一个会话或一个调用过程中使用CPU的总量。 逻辑读：在一个会话或一个调用过程中读取物理磁盘和逻辑内存数据块的总 量每个用户的并发会话数，即一个用户最多同时开启会话的数量。用户连接数据库的最长时间。私有SQL区和PL/SQL区的总量。2.3启用或停用资源限制与口令管理ALTER SYSTEM S

14、ET resource_limit=TRUE/FALSE;2.3.1口令管理参数介绍Oracle数据库概要文件中用于口令管理的参数包括以下：1FAILED_LOGIN_ATTEMPTS制用户在登陆oracle数据库允许失败的次数2PASSWORD_LOCK_T设定登陆失败后，账户锁定时间。3PASSWORD_LIFE_TIMES口令的有效天数。4PASSWORD_GRACE_T用于&定提示口令过期的天数。5PASSWORD_REUSE_T指定一个用户口令被修改后，必须经过多少天才可以 重新使用该口令。6PASSWORD_REUSE_M定一个口令被重新使用前，必须经过多少次修改。7PAS

15、SWORD_VERIFY_FUNC设置口令复杂性校验函数。2.4创建资源限制的概要文件SQL create profile res_prof ile limit sessidns_per_user 2 connect_tine 60 idle_t ime20priuatejsgfai 100k cpujperecall 1000；Profile created.SQL alter usei* r prof ile res_prof ile:User altered.SQL alter ten set resoujrce_1 irait = true scope =both；System alt

16、ered-SQLsessions写成了session,还有per写成了pre)res_profile的概要文件，要求每个用户最多可以创建 个并发会话，每个会话持续时间最长为60mi n,会话的最长连续空闲时间为20min,每个会话的私有SQL区为100KB每个SQL语句占用CPU时间总量不超过10s.2将概要文件指定给用户rfAlter user rf profile res_profile3将资源管理激活一ALTER SYSTEM SET RESOURCE_LIMIT=TRUsCope=both;4如下图，用户rf只能创建2个并发会话，创建第3个时出现错误：超出了限定范围I DtORACLE

17、prodiLiHrtL1.2.0dbhomelBN-5qlplu5,eKeSQL*Plus: RElease 11.2.3,1.0 Frflduction on Tuc Oct 1勺17=19:26暑町呼Copyright 1782 291Oracle All rights resBruadlsEnter usev-name rfEnter password：EHHOR:0Rn-021;sInuitSESSIONS_PEB_USER limitSQLcreate profile pwd_profile limitFailed_log in .attempts 4 password_lock_t

18、ime 10;2.6将概要文件分配给用户一 一 iCkORA.C LEpraductl DAORACLEproduclll.S QL*P lu-s : Re 1旦日盅1SJL*Flus: ReliBaas 11ight 102：Enter w-scr-inAme s rt EnterEnt Sr ii&er-i-tfl.rae Jr EnterConnected to Oracle IAtabase llg WithtJi Part it ionii:口nnipc上打：Ornclrllgijith the PartitIonin3QLSQL2.5创建口令管理的概要文件(上次不成功的原因

19、，1如图：创建一个名为SQL a It er- user- vf prof i Le niTka2_pF-olle ；User altered-SQL conn rfZ3: ERROR：ORA-M丄 0 丄 7 :invalidusernanneZpaLSs woi*d rlogondeniedUdm InVou are nap lonffei* connected tDORACLE.QL connrfz3;EflROR:ORfi-01017:inudlid.uis e i n aLnie /pats s uo id :logondeniedSQL connrf/3 ；ERROR=OHft-0

20、1017invalidusemaLine/paLS SwoT-d ；logondeniedSQL can nrf/3 ;ERROR：ORA-Hl017invalidwo中d ；loyondemisdSQL connrfZrf;ERROR：ORA26000: tlie account is locked将该概要文件指定给普通用户rf,用户连续登陆四次失败，锁定账户，10天后 自动解锁。SQL canrt sys/s*/s as；Connected.SQL alter user rf account unlock;User altered.SQL conn rF/i*F；Connected SQL

21、用管理员账号解锁用户rf。2.7修改概要文件例子：SQLalter profile pwd_profile limit password_life_time 10;将用户口令设置有效期为10天例子：SQLdrop profile pwd_profile cascade;删除概要文件。例子：SQLselect * from dba_profiles order by profile;查询数据库所有概要文件的参数设置。3权限管理Oracle数据库使用权限俩控制用户对数据库的访问和用户在数据库中所能执行 的操作。用户在数据库中可以执行什么样的操作，以及可以对哪些对象进行操 作，完全取决于该用户拥有的

22、权限。控制Oracle数据库访问的权限类型有两种：系统权限system privilege和对象权限Object privilege（方案对象）。系统权限向用户提供执行某一种或某一类型的数据库操作能力，对象权限对某个特定的数据库对象执行某种操作权 限，如对表employees的插入、删除、修改、查询的权限等。在oracle数据库中给用户授权可以采用两种方式：1.利用grant命令直接为 用户授权。2.现将权限授予角色，然后再将角色授予用户。3.1系统权限分类在Oracle 11g数据库中，有200多种数据库权限，每种系统权限都为用户提供 了执行某一些或某一类数据库操作的能力。查询所有系统权限信

23、息的命令如下：SQL select * f ron eystem_privilefife_nap；PRIVILEGE NAMEPROPERTV-3 ALTER SVSTEM-4 AUDIT SVSTEM-5 CREATE SESSION-G ALTER SESSION-7 RESTRICTED SESSION -10 CREATE TABLESPACE -11 ALTER TABLESPACE -12 MANAGETABLESPACE -13 DROP TABLESPACE -15 UNLIMITED TABLESPACE -20 CREATE USERPFIUILEGE NAME系统权限可以

24、分为两大类： 一类是对数据库某一类对象的操作能力，与具体的数据库对象无关，通常带 有ANY关键字。 例如，CREATE ANY TABI系统权限允许用户在任何模式中创建 表；SELECT ANYTABL系统权限允许用户查询数据库中任何模式中的表和视 图。另一类系统权限是数据库级别的某种操作能力。例如，CREATE SESSION统权限允许用户登陆数据库：ALTER SYSTEM统权限允许用户修改数据库参 数。使用系统权限的注意事项：Select、Insert、Update、Delete都是对象权限，它们只针对用户自己模式下 的对象，但如果加了Any关键字，针对的就是数据库中所有模式下的对象了。

25、 如果授予用户系统权限时使用了With Admin Option子句，则被授权的用户还 可以将相应的权限授予其他用户。开发人员一般需要几个系统权限，其中包括Create Table、Create View和Create type系统权限，以创建支持前台应用 程序的数据库模式。查询当前用户所拥有的系统权限如下：conn i*fZi*f ;Connected.sel&ct * Fr*on session_pi?lus；rRIUILEGECREATE SESSIONCREATE PROFILESQL? _当前登陆用户被授予的系统权限也可以使用如下命令：SQL select * from:US

26、ERNAMEPRIVILEGEADHBFCREATE SESSIONNOBFCREATE PROFILENO查看当前用户所拥有的对象权限:PROPERTY还可以授予用户权限，并且权限具有传递性。授予权限同时，在用户后面加上with adm in opti on数据库管理员可以使用revoke语句回收用户、角色或public用户组获得的系统的权限。例如：selec七 *firom user_tab_privs;A 结果脚本输出丨 傭蓉|钧自动S瞬I OEMS输岀丨.-OWA输出.GRANTEE冈OTHER|皿TKBLE JHHE| GRAJfTOR | FHIVILEGE GRUTTASLE M

27、LERAKCHT |1RfsconEMP宜匚OTTUPDATE恥ITO2 RfsconEMF比“丁SELECT恥HO3 RFsconEMFSCOTTUEERInoBO查看特定用户所拥有的系统权限：select * from dba_sys_p rivs where g rantee=1RFTA 结果丄脚本输出闱網獰J自动跟踪|BS輪出，J 0WA输出结果：乞GRAIHEE 9 PRIVILEf也ADWI2J j5PTIOD1 RfCREATE SESSION HO2 RFCREATE PROFILE HO查询特定用户所拥有的对象权限:select * from dba_tab_privs wh

28、ere grantee=TRF如图所示用户rf，只有创建会话和创建概要文件的权限。3.2系统权限的授权与回收只有DBA用户才可以拥有ALTER DATABAS系统权限。例子： 为用户chen授予create table、create sequenee系统权限SQLgr-ant create table,create sequence to chen；Grant succeeded.SQL _用户获得权限后，可以在chen模式下创建表和序列了，例如：SQL conn cliEn/clien Connected SQL create table test_cre_tableid numbernam

29、e char；Table created SQL create sequence test_cre_sequence start with 10;Sequence createdSQLSQL conn sys/sys asw 引wdha；Connected.SQL ieuoke create table, create sequence f pom chen:ill GRAHTEElil oinH刚TABLf.HAME.IfOWTOR目FBIVILIGE|j|邨M1AELE咼HIEHARZHT1 RFsconIMPSCOTTUPDATEIBrc2 RfSCOT IIH?SCOTTSELECII

30、K)rc3 RfSCOTTIH?SCOTTIHSERIIKrcA 结果 亠脚本输出1 F解释 幻自动跟踪ll&DBMS输出3附 输出结果：Revoke succeeded.h0L _回收用户系统权限时需要注意以下几点：1多个管理员授予用户同一个系统权限后，其中一个管理员回收其授予该用户 的系统权限，该用户将不再拥有相应的系统权限。2为了回收用户系统权限的传递性，必须先回收用户的系统权限，然后再重新 授予其相应的系统权限。3如果一个用户获得的系统权限具有传递性，并且给其他用户授权，那么该用 户系统权限被回收后，其他用户的系统权限并不受影响。3.3对象权限分类、授权、回收对象权限是指对某个

31、特定模式对象的操作权限。数据库模式对象所有者拥有该 对象的所有对象权限，对象权限的管理实际上是对象所有者对其他用户操作该 对象的权限管理。对象权限的授予实用grant语句，例如，查看授予用户对象权限，并查看该权限SQL conn scott/scott；Connected.SQL arant select,Insert,update on scott.enp to rf;Grant succeeded.此时用户rf就具有对表scott.emp进行查询、插入和更新的权限了，例如:SQL conin rFZs*FConnected.SQL select * from scut t .einp wh

32、ereEMPNO ENAMEJOBMGR HI REBATESALDEPTlNO776210CLARKMANAGER783909-JUN-B124507839KINGPRESIDENT5000107934MILLERCLEfiK7?B223-JAN-82130010SQL insert into scottBemp values；1 row created.KQL .对象权限的回收，数据库管理员或对象所有者可以使用revoke语句回收用户、角色或public用户组获得的对象权限。COMM查询select_catalog_role角色所具有的系统权限。SQL conn scott/scott；C

33、onnected.SQLpeyote select update on scott,enp fron chen；Revoke succeeded.QL conn chen/chen；Connected.QL select fron scott-emp where deptnolO；select * ron sco七七.Enip where deptno=10ERROR at line 1:ORA-01031: insufficlent priuliegesSQL和系统权限类似，在进行对象权限回收时应该注意上面类似的三点。4角色管理为了简化数据库权限的管理，在oracle数据库中引入角色的概念。

34、所谓角色就 是一系列相关权限的集合。可以将要授予相同身份用户的所有权限先授予角 色，然后再将角色授予用户，这样用户就得到了该角色所具有的所有权限，从 而简化了权限的管理。4.1角色的特点和优点特点：角色名称在数据库中必须唯一，不能与用户同名；角色不是模式对象， 删除创建角色的用户对角色没有影响；角色可以包含任何系统权限和对象权 限；角色可以授予任何数据库用户和其他角色；授予用户的角色可以随时禁用 或激活等。优点：减少权限管理的工作量；有效的使用权限；提高应用安全性。4.2角色分类预定义角色Oracle数据库创建时由系统自动创建的一些常用的角色，这些角色已经由系统 授予了相应的权限。查询当前系统

35、中的所有预定义角色：S4L select from dba_roles；ROLEPASSWORD RUTHENTICATCONNECTNONONERESOURCENONONEDBANONONESELECT_GfiTftLOG_ROLENONONEEKECWTE CftTALOQ ROLENOHONEDELETE CftTftLOG_ROLENONONEKP_FVLLJ)ftTftBftSENOHONEIt1P_FULL DATABASENONONELOGTW_ADHI MI STUftTORNOHONEDDF_HOLENONONEA4_ADN1MI STHATORJOLENONONEROLEP

36、ASSWORD AUTHEHTICATSQL select * from dba_sysjprius where gji-ante6 = * RESOURCE1；GRANTEEPRIUILEGEADMRESOURCECREATE TRIGGERNORESOURCECREATE SEQUENCENORESOURCECREATE TYPENORESOURCECREATE FHOCEDURENORESOURCECREATE CLUSTERNORESOURCECREATE OPERATORNORESOURCECRE(HE INDEXTYPENORESOURCECREATE TABLENO魁riows

37、selected.用户自定义角色Oracle数据库允许用户自定义角色，并对自定义角色进行权限的授予与回收。 同时允许角色进行修改、删除、禁用或激活等操作。创建角色使用createrole语句。例子如下：SQL create role role_emp；Role cpelted.SQL create vo le ro le _nanag( (ei ident if ied Jby ro leRole cpeltedgQL cpete i?ole role_externa 1 identif ied by externiilli/;Role createdSQLcreate ro le 1*0 l

38、e_g( (lohal ident if led 9lobally；Role cheated.SQL_创建的几个角色分别是：一般角色；角色采用数据库认证，激活时需要口令； 激活角色时采用操作系统认证、网络认证；激活角色时采用目录服务进行全局 认证。4.3角色权限的授予与回收创建一个角色后，如果不给角色授权，那么角色时没有用处的。因此，在创建 角色后，需要给角色授权。给角色授权实际上是给角色授予适当的系统权限、 对象权限或已有角色。在数据库运行时，可以为角色增加权限，也可以回收其 权限。角色权限的授予、回收的过程与用户权限的授予、回收过程类似。权限授予如下：QL5( (iant connect,

39、 create table create v e w to ro lejlanageu*；Grant succeededSQL grant select updateAinsert lete on scottto vole-emp.-ro le_nanaget*；Grant succeeded *QLgrant select on scott _e( (np to ro lejnanasfep ultli giant dpt ion: grant select on scoct alter role role_eRp identified by pole_emp；Hole altered SQ

40、Lalter role role_manager not identified；Role altered.如上图所示，为角色role_emp添加认证口令，取消角色role_manager的认证 口令。角色的禁用与激活Set role角色名identified by口令,角色名identified by口令,|allexcept角色名,角色名,|none;注：All:将使会话用户所有被授予的角色有效。None:将禁用会话用户所有被授予的角色。iden tified by口令：启用需要口令的角色时，必须给出口令。删除口令。如下图，激活角色role_ma nager.SQL setPOle role

41、_manager identified bj/ role_manager；BoLe set.BQL _删除角色，如下图：SQL drop roleTQ1o le dropped.4.4利用角色进行权限管理1给用户或角色授予角色：如下图，将预定义用户resource,co nn ect授予角色role_manager,将角色授予用户chen.SQL jfiant yeEource,conncut toPOle-manager；Grant succeeded.SQL?role_manager to chen uith admin opt inn;Gran七succeeded.SQL2通过修改角色权

42、限动态修改用户权限3从用户或其他角色回收角色SQL revoke resource,connect fromTOlc_Jianas( (erRevolte succeeded.SQL1*0 le-iiAnaei1f om clien Revoke :succeedsd.4设置用户默认角色当一个角色授予某一个用户后，该角色即成为该用户的默认角色。对于用户而 言，用户的默认角色处于激活状态，而非默认角色处于禁用状态。ALTER USER user DEFAULT ROLE role_list5查询角色信息查询用户chen所具有的角色信息EQLconn chen/cliem；Connected.SQ

43、Lselect fFom usei*_i*ole；USERNAMEGRANTEDJOLEADM DEF OSCHENROLE CHEHVES NO NOEQL上图是查看当前用户授予的所有角色信息5审计审计是监视和记录用户对数据库所进行的操作，以供DBAS行统计和分析。利用审计可以完成下列任务：保证用户对自己在数据库中的活动负责。禁止用户在数据库中从事与自己职责不相符的活动。调查数据库中的可疑活动。通知审计员一个未授权用户在数据库中的活动。监视和收集特定数据库活动的数据。5.1审计分类语句审计：对特定的SQL语句进行审计，不指定具体对象。权限审计：对特定的系统权限使用情况进行审计。对象审计：对特

44、定的模式对象上执行的特定语句进行审计。网络审计：对网络协议错误与网络层内部错误进行审计。5.2审计环境设置使用数据库审计功能，数据库管理员需要对数据库初始化参数AUDIT_TRAIL 行设置。AUDIT_TRAIL参数可以取值DB DB EXTENDE DOS XML EXTENDE D NONEDB：默认值，表示启动审计功能，审计信息写入SYS.AUD数据字典中。DB,EXTENDED与DB相同，审计信息中还包括SQL语句绑定变量信息。OS：表示启动审计功能，审计信息写入操作系统文件。XML表示启动审计功能，审计信息写入XML格式的操作系统文件中。XML,EXTENDED与XML相同，但审计

45、信息还包含SQL语句绑定变量信息。NONE表示不启动审计信息。由于初始化参数audit_trail是静态参数，因此需要重新启动数据库，例如：SQL alter svstent set audit_tr-ail=JDB1scope lie ;altered.SQL shutdown innediate:Database closed.Database disnounted.ORACLE in&tance shut down SQL startupORA-32004: obsolete or deprecatedspecifiORACLE instance started.Totdl Sy

46、stem Global Apea Eixed Sizearia.ble Size Database Buffers Be do BuifFers D ait abase no unted. Database opened QL -5.3语句审计对特定类型的SQL语句进行审计，与具体的对象没有关系。包括下列几种情778337456 bytes1374808btes301991336bytes4697629485259264 bytes况：1可以审计某个用户或所有用户的SQL语句；2可以使会话审计或存取审计；3可以对成功执行的SQL语句进行审计；4可以对没有成功执行的SQL语句进行 审计；5可以对SQL语句进行审计，无论该语句是否成功执行。例如可以通过不同选项组合，形成多种不同的审计：StL conn sys/ys as ssdlba:Connected QL dudit table by scott by access；Riudit succeeded.SQLaudit altei* talile hy hr vjlieneuei successful；Audit succeeded.当用户scott进行create table ,drop table和truncate table这三种操作时就会产生审计信息，并保存在数据字典SYS.AUD