第7章_数据库安全管理

1、第7章 数据库安全管理O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用本章学习导航本章学习导航Oracle 11g安装与配置数据库技术基础回顾数据库备份与恢复数据库应用程序开发闪回技术数据库存储操作数据库操作数据表操作查询操作视图和索引操作PL/SQL编程基础高级管理基本管理数据库设计数据库管理数据库应用数据库安全操作O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用本章学习要点本章学习要点（1）数据库安全策略。）数据库安全策略。（2）Oracle的安全管理机制。的安全管理机制。（3）用户管理、权限管理、角色管理

2、（重点）用户管理、权限管理、角色管理（重点）。（4）概要文件管理）概要文件管理（5）数据库审计）数据库审计计划课时：计划课时：4+2课时课时O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用7.1 数据库安全管理概述 l数据库的安全性是指保护数据库，数据库的安全性是指保护数据库，防止非法操作防止非法操作所造成所造成的的数据泄露数据泄露、篡改篡改或或损坏损坏。l数据库的安全管理是从用户登录数据库就开始的。包括数据库的安全管理是从用户登录数据库就开始的。包括以下内容：以下内容：验证用户身份的合法性；验证用户身份的合法性；检查用户的操作是否具有相应的权限；检查

3、用户的操作是否具有相应的权限；限制用户对存储空间和系统资源的使用。限制用户对存储空间和系统资源的使用。O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用7.1数据库安全管理概述 u Oracle 数据库的安全分为两个层面：数据库的安全分为两个层面：l 系统安全性系统安全性 是在是在系统级别上系统级别上控制数据库的存取和使用的机制。包括：控制数据库的存取和使用的机制。包括： 有效的用户名和口令、用户是否被授权连接到数据库，创有效的用户名和口令、用户是否被授权连接到数据库，创建数据库模式对象时可使用的磁盘空间大小、用户的资源建数据库模式对象时可使用的磁盘空间

4、大小、用户的资源限制、是否启动数据库的审计等。限制、是否启动数据库的审计等。l 数据安全性数据安全性是在是在方案对象级别上方案对象级别上控制数据库的存取和使用的机制，包控制数据库的存取和使用的机制，包括：哪个用户可以存取指定的方案对象，在方案对象上允括：哪个用户可以存取指定的方案对象，在方案对象上允许每个用户采取的操作等。许每个用户采取的操作等。O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用7.1 数据库安全管理概述 vOracle 11g安全机制包括安全机制包括6个方面：个方面： 用户管理用户管理2权限管理权限管理3角色管理角色管理 表空间管理表空

5、间管理 概要文件管理概要文件管理 数据审计数据审计O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用7.2 用户管理v 用户是数据库的使用者和管理者，用户是数据库的使用者和管理者，OracleOracle数据库通过数据库通过设设置用户及安全参数置用户及安全参数来控制用户对数据库的访问和操作。来控制用户对数据库的访问和操作。v OracleOracle数据库数据库用户管理用户管理包括：包括： 创建用户创建用户 修改用户的安全参数修改用户的安全参数 删除用户和查询用户信息等。删除用户和查询用户信息等。O r a c l eO r a c l e 数 据 库

6、与 应 用数 据 库 与 应 用系统自动创建的用户 用户名角色默认密码说明sys超级管理员change_on_install所有oracle的数据字典的基表和视图都存放在sys用户中，这些基表和视图对于oracle的运行是至关重要的，由数据库自己维护，任何用户都不能手动更改。sys用户拥有dba，sysdba，sysoper等角色或权限，是oracle权限最高的用户。system普通管理员manager辅助的数据库管理员，不能启动和关闭数据库，但可以做其他管理工作，如：创建用户、删除用户等，system用户拥有普通dba角色权限。可用来创建其他用户。scott普通用户（测试网络连接）tiger

7、在默认情况下从Oracle10g开始，scott不能登陆，被禁用了。需要手工解锁。O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用用户名用户名角色角色默认密码默认密码说明说明public用户组用户组是一个用户组，数据库中任何一个是一个用户组，数据库中任何一个用户都属于该组成员。若要为每个用户都属于该组成员。若要为每个用户授予某种权限，只要把权限授用户授予某种权限，只要把权限授予予publicpublic就可以。就可以。创建Oracle数据库时系统自动创建的用户 v 其他自动创建的用户取决于安装了哪些功能或选项。其他自动创建的用户取决于安装了哪些功能或选

8、项。O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用7.2用户管理 v创建用户：创建用户： CREATE USER CREATE USER user_name user_name IDENTIFIED BY IDENTIFIED BY passwordpassword DEFAULT TABLESPACE default_tablespace DEFAULT TABLESPACE default_tablespace TEMPORARY TABLESPACE tempoprary_tablespace TEMPORARY TABLESPACE temp

9、oprary_tablespace QUOTA n K | M | UNLIMITED ON QUOTA n K | M | UNLIMITED ON table_nametable_name PROFILE profile_name PROFILE profile_name PASSWORD EXPIRE PASSWORD EXPIRE ACCOUNT LOCK | UNLOCK; ACCOUNT LOCK | UNLOCK;注意：注意：l default_tablespace指定数据库对象存指定数据库对象存储的表空间。若忽略，则默认使用储的表空间。若忽略，则默认使用SYSTEM表空间，它在

10、每个数据库中都存表空间，它在每个数据库中都存在。在。l tempoprary_tablespace指定保存临时指定保存临时对象所使用的默认表空间。这些对象包括对象所使用的默认表空间。这些对象包括临时表。若忽略此设置，则默认使用临时表。若忽略此设置，则默认使用SYSTEM表空间。表空间。O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用创建用户示例v以特权用户身份连接到数据库，如以特权用户身份连接到数据库，如systemsystem用户，用户，然后创建一个新用户然后创建一个新用户zhaolizhaoli，口令为，口令为passpasspasspass： C

11、ONNECT system/manager AS SYSDBA CONNECT system/manager AS SYSDBA CREATE USER CREATE USER zhuli IDNETIFIED BY passpass;zhuli IDNETIFIED BY passpass;O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用创建用户示例v创建一个新用户创建一个新用户henryhenry，口令为，口令为hooray,hooray,默认表空默认表空间为间为usersusers表空间，临时表空间为表空间，临时表空间为temptemp表空间，表

12、空间，在在usersusers表空间的配额为表空间的配额为100MB100MB： CREATE USER CREATE USER henry henry IDENTIFIED BYIDENTIFIED BY hoorayhooray DEFAULT TABLESPACE DEFAULT TABLESPACE usersusers TEMPORARY TABLESPACE TEMPORARY TABLESPACE temptemp QUOTA 100M ON users; QUOTA 100M ON users;O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与

13、应 用v如果希望一个用户可以在数据库中执行某些操作如果希望一个用户可以在数据库中执行某些操作，则必须为该用户授予执行这些操作所需要的权，则必须为该用户授予执行这些操作所需要的权限。限。v权限是权限是有特权的用户有特权的用户（例如（例如systemsystem用户）用户）使用使用GRANTGRANT语句授予语句授予的。的。权限O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用常用的系统特权系统特权允许执行的操作CREATE SESSION连接到数据库CREATE SEQUENCE创建序列。序列是一系列数字，通常用来自动填充主键列。CREATE SYNONY

14、M创建同名对象。用于引用其他模式中的表。CREATE TABLE在用户模式中创建表CREATE ANY TABLE 在任何模式中创建表DROP TABLE删除用户模式中的表DROP ANY TABLE删除任何模式中的表CREATE PROCEDURE 创建存储过程CREATE USER创建用户DROP USER删除用户CREATE VIEW创建视图。视图是存储的查询。O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用为新用户授权v例如：为用户例如：为用户henryhenry授予授予CREATE SESSIONCREATE SESSION，CREATE C

15、REATE TABLETABLE权限（以权限（以systemsystem用户连接数据库）：用户连接数据库）： GRANT GRANT CREATE SESSION,CREATE USER,CREATE CREATE SESSION,CREATE USER,CREATE TABLE TABLE TO TO henryhenry; ;v可使用可使用WITH ADMIN OPTIONWITH ADMIN OPTION把被授予的特权再授予把被授予的特权再授予其他用户。例如：其他用户。例如：GRANTGRANT CREATE USER TO henry CREATE USER TO henry WITH

16、 ADMIN OPTIONWITH ADMIN OPTION； 以以henryhenry的身份连接到数据库，则可授权给其他用户。的身份连接到数据库，则可授权给其他用户。O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用检查授予用户的系统特权v可查询数据字典可查询数据字典 user_sys_privs user_sys_privs 来查看某个用来查看某个用户具有的系统特权。户具有的系统特权。vuser_sys_privsuser_sys_privs的部分列：的部分列：列类型说明username VARCHAR2(30)当前用户的用户名privilegeVA

17、RCHAR2(40)用户拥有的系统特权admin_option VARCHAR2(3)该用户是否将这种特权授予其他用户O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用使用和撤销系统特权 v用户被授予系统特权后，就可以使用这种特权来用户被授予系统特权后，就可以使用这种特权来执行特定的任务。执行特定的任务。v撤销某用户的系统特权（以撤销某用户的系统特权（以systemsystem用户连接到数用户连接到数据库）：据库）：CONNECT system/managerCONNECT system/managerREVOKEREVOKE CREATE USER C

18、REATE USER FROMFROM henry; henry;O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用常用的对象特权v向用户授予对象特权向用户授予对象特权GRANT SELECT,INSERT,UPDATE ON scott.bonus GRANT SELECT,INSERT,UPDATE ON scott.bonus TO henry;TO henry;GRANT SELECT ON scott.emp TO henry;GRANT SELECT ON scott.emp TO henry;对象特权允许执行的操作SELECT执行查询操作I

19、NSERT执行插入操作UPDATE执行修改操作DELETE执行删除操作EXECUTE执行存储过程O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用检查已授予的对象权限v查询数据字典查询数据字典 user_tab_privs_madeuser_tab_privs_madev例如：查询用户例如：查询用户henryhenry对对empemp表的对象特权：表的对象特权： SELECT SELECT * * FROM user_tab_privs_made FROM user_tab_privs_made WHERE table_name =EMP WHERE t

20、able_name =EMPO r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用检查已接受的对象权限O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用修改用户口令、删除用户v修改用户口令：修改用户口令： ALTER USER ALTER USER henryhenry IDENTIFIED BY IDENTIFIED BY lionlion; ;v删除用户：删除用户： DROP USER zhaoli DROP USER zha

21、oli；O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用7.3 权限管理 v OracleOracle系统使用其系统使用其授权机制授权机制，来实现用户对数据库及其对象的存取控制，来实现用户对数据库及其对象的存取控制和安全保证。用户必须被授予权限才能在数据库中执行对应的操作。和安全保证。用户必须被授予权限才能在数据库中执行对应的操作。v 权限权限（PrivilegePrivilege）是允许用户对数据库进行数据库操作的权力。权限）是允许用户对数据库进行数据库操作的权力。权限可以分为可以分为系统权限系统权限和和对象权限对象权限两类。系统权限允许用户创建、修

22、改和删两类。系统权限允许用户创建、修改和删除各种数据库结构，而对象权限则允许用户对特定对象执行操作。除各种数据库结构，而对象权限则允许用户对特定对象执行操作。v OracleOracle数据库中通常存在两大类用户：一类是创建和管理数据库结构和数据库中通常存在两大类用户：一类是创建和管理数据库结构和对象的用户，另一类是需要使用现有对象的应用程序用户。前者需要系对象的用户，另一类是需要使用现有对象的应用程序用户。前者需要系统权限，后者需要对象权限。统权限，后者需要对象权限。v DBADBA可以把可以把权限授予权限授予用户，也可以从用户手中用户，也可以从用户手中收回权限收回权限。使用角色则将多。使用

23、角色则将多个系统和对象的权限合并在一起，可以将角色授予用户，从而简化权限个系统和对象的权限合并在一起，可以将角色授予用户，从而简化权限的管理。的管理。 O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用权限管理 v 使用使用PL/SQLPL/SQL授予权限授予权限 v GRANTGRANT授予系统权限的基本语法格式为：授予系统权限的基本语法格式为：GRANT GRANT | | , TO , TO | | | | PUBLIC , WITH ADMIN OPTION;PUBLIC , WITH ADMIN OPTION;v 授予对象权限的基本语法格式为：

24、授予对象权限的基本语法格式为：GRANT GRANT | | ALL PRIVILEGES ( ALL PRIVILEGES (列列 , ), ), , ON ON . . | DIRECTORY | DIRECTORY TO TO 用户用户| | 角色角色 | PUBLIC | PUBLIC WITH ADMIN OPTION;WITH ADMIN OPTION;O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用权限管理 v 使用使用PL/SQLPL/SQL授予权限授予权限 【例例1 1】授予角色授予角色SUPERSUPER连接数据库的系统权限。连接数

25、据库的系统权限。GRANT CREATE SESSION TO SUPER;GRANT CREATE SESSION TO SUPER;【例例2 2】将角色将角色SUPERSUPER角色授予用户角色授予用户LIUZCLIUZC，使之具有连接数据库的权限。，使之具有连接数据库的权限。GRANT SUPER TO LIUZC;GRANT SUPER TO LIUZC;【例例3 3】将查询、添加、修改和删除用户方案将查询、添加、修改和删除用户方案SCOTTSCOTT中的用户表中的用户表USERS USERS 的权的权限授予用户限授予用户LIUZCLIUZC，并允许该用户可以将该权限授予其他用户或角色

26、。，并允许该用户可以将该权限授予其他用户或角色。GRANT SELECT ON SCOTT.USERS TO LIUZC WITH GRANT OPTION;GRANT SELECT ON SCOTT.USERS TO LIUZC WITH GRANT OPTION;GRANT INSERT ON SCOTT.USERS TO LIUZC WITH GRANT OPTION;GRANT INSERT ON SCOTT.USERS TO LIUZC WITH GRANT OPTION;O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用权限管理 v 使用使用

27、PL/SQLPL/SQL回收权限回收权限 v 收回收回系统权限系统权限的基本语法格式为：的基本语法格式为：REVOKE REVOKE | | , FROM , FROM | | | | PUBLIC , PUBLIC , v REVOKEREVOKE收回收回对象权限对象权限的基本语法格式为：的基本语法格式为：REVOKE REVOKE | ALL PRIVILEGES | ALL PRIVILEGES, , ON ON . . | DIRECTORY | DIRECTORY FROM FROM 用户用户| | 角色角色 | PUBLIC CASCADE CONSTRAINTS FORCE;|

28、PUBLIC CASCADE CONSTRAINTS FORCE;【例例1 1】收回用户收回用户LIUZCLIUZC对用户方案对用户方案SCOTTSCOTT中的用户表中的用户表USERSUSERS进行更新和删除的进行更新和删除的权限。权限。REVOKE DELETE ON SCOTT.USERS FROM LIUZC;REVOKE DELETE ON SCOTT.USERS FROM LIUZC;REVOKE UPDATE ON SCOTT.USERS FROM LIUZC;REVOKE UPDATE ON SCOTT.USERS FROM LIUZC;【例例2 2】收回角色收回角色SUPER

29、SUPER拥有的连接数据库的权限。拥有的连接数据库的权限。REVOKE CREATE SESSION FROM SUPER;REVOKE CREATE SESSION FROM SUPER;O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用7.4 角色管理v 角色是一组特权，它可以分配给一个用户或其他角色。角色是一组特权，它可以分配给一个用户或其他角色。v 优点和特性如下：优点和特性如下： 并不是一次一个地将特权直接授予一个用户，而是先创并不是一次一个地将特权直接授予一个用户，而是先创建用户，向该角色授予一些特权，然后在将该角色授予建用户，向该角色授予一

30、些特权，然后在将该角色授予多个用户和角色。多个用户和角色。 在增加和删除一个角色的某种特权时，被授予该角色的在增加和删除一个角色的某种特权时，被授予该角色的所有用户和角色都会自动获得新加的特权或自动失去这所有用户和角色都会自动获得新加的特权或自动失去这种特权。种特权。 可以将多个角色授予一个用户或角色。可以将多个角色授予一个用户或角色。 可以为角色设置密码。可以为角色设置密码。O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用7.4 角色管理 v 角色（角色（RoleRole）是具有名称的一组相关权限的组合，即将不同的权限集合在一起就）是具有名称的一组相

31、关权限的组合，即将不同的权限集合在一起就形成了角色。形成了角色。（1 1）减少权限的授予）减少权限的授予DBADBA可以将一组相关的用户权限授予某个角色，再将角色授予该组中每个成员，从而可以将一组相关的用户权限授予某个角色，再将角色授予该组中每个成员，从而不再需要单独为每个用户授予同一批权限。不再需要单独为每个用户授予同一批权限。（2 2）动态权限管理）动态权限管理在一组权限需要修改时，只需要修改角色的权限即可，被授予该组角色的所有用户的在一组权限需要修改时，只需要修改角色的权限即可，被授予该组角色的所有用户的安全域自动反映该角色的修改。安全域自动反映该角色的修改。（3 3）选择权限的可用性）

32、选择权限的可用性授予用户的角色既可以使之可用，也可以使之不能使用，这就允许在一些特定场合中授予用户的角色既可以使之可用，也可以使之不能使用，这就允许在一些特定场合中特殊控制用户的权限。特殊控制用户的权限。（4 4）应用程序角色）应用程序角色数据库应用程序可以设计为在用户试图使用该程序时自动使用或不自动使用选择的角数据库应用程序可以设计为在用户试图使用该程序时自动使用或不自动使用选择的角色。色。在在OracleOracle中进行角色（主要是用户自定义角色）管理主要包括创建角色、修改角色和中进行角色（主要是用户自定义角色）管理主要包括创建角色、修改角色和删除角色等操作。删除角色等操作。 O r a

33、 c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用角色管理 v 【例例1 1】创建角色创建角色GENERALGENERAL，由数据库使用口令来验证。，由数据库使用口令来验证。CREATE ROLE GENERAL IDENTIFIED BY 123456;CREATE ROLE GENERAL IDENTIFIED BY 123456;可以通过数据字典可以通过数据字典DBA_ROLESDBA_ROLES查看角色的情况：查看角色的情况：SELECT SELECT * * FROM DBA_ROLES; FROM DBA_ROLES;O r a c l eO r a

34、c l e 数 据 库 与 应 用数 据 库 与 应 用角色管理 vPL/SQLPL/SQL修改角色修改角色 v【例例2 2】修改角色修改角色GENERALGENERAL，设置不需要口令就可，设置不需要口令就可以使用该角色。以使用该角色。 ALTER ROLE GENERAL NOT IDENTIFIED; ALTER ROLE GENERAL NOT IDENTIFIED;O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用角色管理 vPL/SQLPL/SQL删除角色删除角色 【例例3 3】删除角色删除角色GENERALGENERAL。DROP ROLE

35、 GENERAL;DROP ROLE GENERAL;O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用角色管理 v 启用启用/ /禁用角色禁用角色 【例例4 4】为为GENERALGENERAL角色设置密码角色设置密码720518720518SET ROLE GENERALSET ROLE GENERALidentified by 720518;identified by 720518;【例例5 5】为用户为用户LIUZCLIUZC授予角色授予角色CONNECTCONNECT、RESOURCERESOURCE、DBADBA和和GENERALGENERA

36、L角色后，角色后，禁用该用户的所有角色。禁用该用户的所有角色。GRANT CONNECT, RESOURCE,DBA,GENERAL TO LIUZC;GRANT CONNECT, RESOURCE,DBA,GENERAL TO LIUZC;以以LIUZCLIUZC用户登录系统后，使用以下用户登录系统后，使用以下PL/SQLPL/SQL语句禁用该用户的所有角色：语句禁用该用户的所有角色：SET ROLE NONE;SET ROLE NONE;如果要启用该用户的如果要启用该用户的CONNECTCONNECT角色，可以使用以下角色，可以使用以下PL/SQLPL/SQL语句启用语句启用CONNECT

37、CONNECT角角色：色：SET ROLE CONNECT;SET ROLE CONNECT;O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用角色管理 v 启用启用/ /禁用角色禁用角色 v 角色启用角色启用/ /禁用后，可以查询数据字典视图禁用后，可以查询数据字典视图SESSION_ROLESSESSION_ROLES查看用户的角色情况：查看用户的角色情况：v SELECT SELECT * * FROM SESSION_ROLES; FROM SESSION_ROLES;O r a c l eO r a c l e 数 据 库 与 应 用数 据 库

38、 与 应 用角色管理 v 启用启用/ /禁用角色禁用角色 用户所属角色也可以在修改用户的时候进行启用或禁用。用户所属角色也可以在修改用户的时候进行启用或禁用。【例例6 6】修改用户修改用户LIUZCLIUZC，为其设置默认角色为，为其设置默认角色为CONNECTCONNECT。ALTER USER LIUZCALTER USER LIUZCDEFAULT ROLE CONNECT;DEFAULT ROLE CONNECT;【例例7 7】修改用户修改用户LIUZCLIUZC，禁用该用户的所有角色。，禁用该用户的所有角色。ALTER USER LIUZCALTER USER LIUZCDEFAUL

39、T ROLE NONE;DEFAULT ROLE NONE;【例例8 8】修改用户修改用户LIUZCLIUZC，启用该用户的，启用该用户的GENERALGENERAL角色之外的所有角色。角色之外的所有角色。ALTER USER LIUZCALTER USER LIUZCDEFAULT ROLE ALL EXCEPT GENERAL;DEFAULT ROLE ALL EXCEPT GENERAL;O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用角色管理-预定义角色 Oracle系统的预定义角色是在安装数据库后，由系统自动创建的系统的预定义角色是在安装数据

40、库后，由系统自动创建的一些角色，这些角色已经由系统授予了相应的权限。一些角色，这些角色已经由系统授予了相应的权限。 O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用7.5 管理概要文件v 使用使用PL/SQLPL/SQL创建概要文件创建概要文件 【例例1 1】使用命令方式创建概要文件使用命令方式创建概要文件“NEWPRO”NEWPRO”，要求空闲，要求空闲时间时间1010分钟，登录分钟，登录3 3次后锁定，有效期为次后锁定，有效期为1515天。天。CREATE PROFILE AMYPROFILECREATE PROFILE AMYPROFILELIM

41、ITLIMITIDLE_TIME 10IDLE_TIME 10FAILED_LOGIN_ATTEMPTS 3FAILED_LOGIN_ATTEMPTS 3PASSWORD_LIFE_TIME 15; PASSWORD_LIFE_TIME 15; O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用管理概要文件v 使用使用PL/SQLPL/SQL管理概要文件管理概要文件v 格式一（用于查看数据字典中的参数信息）：格式一（用于查看数据字典中的参数信息）：v DESC DESC DBA_PROFILES；v 格式二（用于查看概要文件的存储信息）：格式二（用于查看

42、概要文件的存储信息）：v SELECTSELECT FROM FROM WEHRE DBA_PROFILES WEHRE expresstionexpresstion；v 格式三（修改概要文件）：格式三（修改概要文件）：v ALTER PROFILEALTER PROFILE语句；语句；v 格式四（删除概要文件）：格式四（删除概要文件）：v DROP PROFILE DROP PROFILE ；v 格式五（为用户分配概要文件）：格式五（为用户分配概要文件）：v ALTER USER ALTER USER PROFILE PROFILE ；v 【例例2 2】使用命令方式为使用命令方式为“LIUZ

43、C”LIUZC”用户分配概要文件用户分配概要文件“MYPROFILE”MYPROFILE”。v ALTER USER LIUZCALTER USER LIUZCv PROFILE MYPROFILE;PROFILE MYPROFILE;O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用7.6 数据库审计 v 审计的原因主要有以下几种：审计的原因主要有以下几种： 信息目的信息目的：可以使用审计保存关于系统的特定历史信息，：可以使用审计保存关于系统的特定历史信息，这可以提供有价值的一些内容。这可以提供有价值的一些内容。 可疑行为可疑行为：可以使用审计踪迹来调

44、查：可以使用审计踪迹来调查OracleOracle数据库中发生数据库中发生的可疑活动。的可疑活动。明确了使用审计的原因，接着应该遵循审计指导思想。明确了使用审计的原因，接着应该遵循审计指导思想。（1 1）信息目的的审计）信息目的的审计（2 2）可疑行为的审计）可疑行为的审计O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用审计类型 1 1语句审计语句审计语句审计是指对指定的语句审计是指对指定的SQLSQL语句语句进行审计，而不是它操作的方案对象或进行审计，而不是它操作的方案对象或结构。结构。语句审计又可以分为两类：语句审计又可以分为两类：DDLDDL语句

45、审计和语句审计和DMLDML语句审计语句审计，前者审计所有，前者审计所有的的CREATECREATE和和DROP TABLEDROP TABLE语句，后者审计所有的语句，后者审计所有的SELECT FROMSELECT FROM语句。语句。2 2权限审计权限审计权限审计是对被允许使用系统权限的语句的审计。例如，权限审计是对被允许使用系统权限的语句的审计。例如，SELECT ANY SELECT ANY TABLETABLE系统权限的审计。系统权限的审计。3 3对象审计对象审计对象审计用于审计指定对象上的对象审计用于审计指定对象上的GRANTGRANT、REVOKEREVOKE及指定及指定DMLDML语句。对象审语句。对象审计对于审计对象特权允许的操作，如指定表上的计对于审计对象特权允许的操作，如指定表上的SELECTSELECT或或UPDATEUPDATE语句。语句。 O r a c l eO r a c l e 数 据 库 与 应 用数 据 库 与 应 用审计踪迹 v默认的审计事件默认的审计事件（1 1）实例启动）实例启动（2 2）实例关闭）实例关闭（3 3）用管理员权限连接到数据库）用管理员权限连接到数据库O r a c l eO r a c l e 数 据