Oracle数据库安全管理

第10章安全管理主要内容容Oracle数据库安安全性概概述用户管理理权限管理理角色管理概要文件件管理审计利用OEM进行安全全管理本章要求求了解Oracle数据库安安全机制制掌握用户户管理掌握权限限管理掌握角色色管理了解概要要文件的的作用及及其应用用了解审计计及其应应用10.1数据库安安全性概概述数据库的的安全性性主要包包括两个个方面的的含义：：一方面是是防止非非法用户户对数据据库的访访问，未未授权的的用户不不能登录录数据库库；另一方面面是每个个数据库库用户都都有不同同的操作作权限，，只能进进行自己己权限范范围内的的操作。。Oracle数据安全全控制机机制用户管理理权限管理理角色管理理表空间设设置和配配额用户资源源限制数据库审审计Oracle数据库的的安全可可以分为为两类：：系统安全全性系统安全全性是指指在系统统级控制制数据库库的存取取和使用用的机制制，包括括有效的的用户名名与口令令的组合合、用户户是否被被授权可可连接数数据库、、用户创创建数据据库对象象时可以以使用的的磁盘空空间大小小、用户户的资源源限制、、是否启启动了数数据库审审计功能能，以及及用户可可进行哪哪些系统统操作等等。数据安全全性数据安全全性是指指在对象象级控制制数据库库的存取取和使用用机制，，包括用用户可存存取的模模式对象象和在该该对象上上允许进进行的操操作等。。10.2用户管理理用户管理理概述创建用户户修改用户户删除用户户查询用户户信息10.2.1用户管理理概述Oracle数据库初初始用户户SYS：是数据据库中具具有最高高权限的的数据库库管理员员，可以以启动、、修改和和关闭数数据库，，拥有数数据字典典；SYSTEM：是一个个辅助的的数据库库管理员员，不能能启动和和关闭数数据库，，但可以以进行其其他一些些管理工工作，如如创建用用户、删删除用户户等。SCOTT：是一个个用于测测试网络络连接的的用户，，其口令令为TIGER。PUBLIC：实质上上是一个个用户组组，数据据库中任任何一个个用户都都属于该该组成员员。要为为数据库库中每个个用户都都授予某某个权限限，只需需把权限限授予PUBLIC就可以了了。用户属性性用户身份份认证方方式默认表空空间临时表空空间表空间配配额概要文件件账户状态态用户身份份认证方方式数据库身身份认证证：数据据库用户户口令以以加密方方式保存存在数据据库内部部，当用用户连接接数据库库时必须须输入用用户名和和口令，，通过数数据库认认证后才才可以登登录数据据库。外部身份份认证：：当使用用外部身身份认证证时，用用户的账账户由Oracle数据库管管理，但但口令管管理和身身份验证证由外部部服务完完成。外外部服务务可以是是操作系系统或网网络服务务。当用用户试图图建立与与数据库库的连接接时，数数据库不不会要求求用户输输入用户户名和口口令，而而从外部部服务中中获取当当前用户户的登录录信息。。全局身份份认证：：：当用户户试图建建立与数数据库连连接时，，Oracle使用网络络中的安安全管理理服务器器（OracleEnterpriseSecurityManager）对用户户进行身身份认证证。Oracle的安全管管理服务务器可以以提供全全局范围围内管理理数据库库用户的的功能。。默认表空空间当用户在在创建数数据库对对象时，，如果没没有显式式地指明明该对象象在哪个个表空间间中存储储，系统统会自动动将该数数据库对对象存储储在当前前用户的的默认表表空间中中。如果果没有为为用户指指定默认认表空间间，则系系统将数数据库的的默认表表空间作作为用户户的默认认表空间间。临时表空空间当用户进进行排序序、汇总总和执行行连接、、分组等等操作时时，系统统首先使使用内存存中的排排序区SORT_AREA__SIZE，如果该该区域内内存不够够，则自自动使用用用户的的临时表表空间。。在Oracle10g中，如果果没有为为用户指指定临时时表空间间，则系系统将数数据库的的默认临临时表空空间作为为用户的的临时表表空间。。表空间配配额表空间配配额限制制用户在在永久表表空间中中可以使使用的存存储空间间的大小小，默认认情况下下，新建建用户在在任何表表空间中中都没有有任何配配额。用户在临临时表空空间中不不需要配配额。概要文件件每个用户户都必须须有一个个概要文文件，从从会话级级和调用用级两个个层次限限制用户户对数据据库系统统资源的的使用，，同时设设置用户户的口令令管理策策略。如如果没有有为用户户指定概概要文件件，Oracle将为用户户自动指指定DEFAULT概要文件件。账户状态态在创建用用户的同同时，可可以设定定用户的的初始状状态，包包括用户户口令是是否过期期以及账账户是否否锁定等等。Oracle允许任何何时候对对帐户进进行锁定定或解锁锁。锁定定账户后后，用户户就不能能与Oracle数据库建建立连接接，必须须对账户户解锁后后才允许许用户访访问数据据库。10.2.2..创建用户户基本语法法CREATEUSERuser_nameIDENTIFIED[BYpassword||EXTERNALLY|GLOBALLYAS''external__name']][DEFAULTTABLESPACEtablespace__name][TEMPORARYTABLESPACEtemp_tablesapce_name]][QUOTAnK|M||UNLIMITEDONtablespace__name][PROFILEprofile_name]][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];;参数说明明user_name：用于设置置新建用用户名，在数据库库中用户户名必须须是唯一一的；IDENTIFIED：用于指指明用户户身份认认证方式式；BYpassword：用于设设置用户户的数据据库身份份认证，，其中password为用户口口令；EXTERNALLY：用于设设置用户户的外部部身份认认证；GLOBALLYAS'external_name'：用于设设置用户户的全局局身份认认证，其其中external_name为Oracle的安全管管理服务务器相关关信息；DEFAULTTABLESPACE：用于设设置用户户的默认认表空间间，如果果没有指指定，Oracle将数据库库默认表表空间作作为用户户的默认认表空间间；TEMPORARYTABLESPACE：用于设设置用户户的临时时表空间间；QUOTA：用于指指定用户户在特定定表空间间上的配配额，即即用户在在该表空空间中可可以分配配的最大大空空间；；PROFILE：用于为为用户指指定概要要文件，，默认值值为DEFAULT，采用系系统默认认的概要要文件；；PASSWORDEXPIRE：用于设设置用户户口令的的初始状状态为过过期，用用户在首首次登录录数据库库时必须须修改口口令；ACCOUNTLOCK：用于设设置用户户初始状状态为锁锁定，默默认为不不锁定；；ACCOUNTUNLOCK：用于设设置用户户初始状状态为不不锁定或或解除用用户的锁锁定状态态注意在创建新新用户后后，必须须为用户户授予适适当的权权限，用用户才可可以进行行相应的的数据库库操作。。例如，，授予用用户CREATESESSION权限后，，用户才才可以连连接到数数据库。。创建数据据库用户户示例创建一个个用户user3，口令为为user3，默认表表空间为为USERS，在该表表空间的的配额为为10MB，初始状状态为锁锁定。CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEUSERSQUOTA10MONUSERSACCOUNTLOCK;创建一个个用户user4，口令为为user4，默认表表空间为为USERS，在该表表空间的的配额为为10MB。口令设设置为过过期状态态，即首首次连接接数据库库时需要要修改口口令。概概要文件件为example_profile（假设该该概要文文件已经经创建））。CREATEUSERuser4IDENTIFIEDBYuser4DEFAULTTABLESPACEUSERSQUOTA10MONUSERSPROFILEexample__profilePASSWORDEXPIRE;;基本语法法ALTERUSERuser__name[[IDENTIFIED][BYpassword||EXTERNALLY|GLOBALLYAS''external__name']][DEFAULTTABLESPACEtablespace__name][TEMPORARYTABLESPACEtemp_tablesapce_name]][QUOTAnK|M||UNLIMITEDONtablespace__name][PROFILEprofile_name]][DEFAULTROLErole__list|ALL[[EXCEPTrole_list]]|NONE][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];;10.2.3修改用户户参数说明明role_list：角色列列表；ALL：表示所所有角色色；EXCEPTrole_list：表示除除了role_list列表中的的角色之之外的其其他角色色；NONE：表示没没有默认认角色。。注意，指指定的角角色必须须是使用用GRANT命令直接接授予该该用户的的角色。。修改数据据库用户户示例将用户user3的口令修修改为newuser3，同时将将该用户户解锁。。ALTERUSERuser3IDENTIFIEDBYnewuser3ACCOUNTUNLOCK;修改用户户user4的默认表表空间为为ORCLTBS1，在该表表空间的的配额为为20MB，在USERS表空间的的配额为为10MB。ALTERUSERuser4DEFAULTTABLESPACEORCLTBS1QUOTA20MONORCLTBS1QUOTA10MONUSERS;;用户的锁锁定与解解锁某个用户户暂时离离开工作作某个用户户永久离离开工作作DBA创建的特特殊用户户帐户示例ALTERUSERuser3ACCOUNTLOCK;;ALTERUSERuser3ACCOUNTUNLOCK;10.2.4删除用户户基本语法法DROPUSERuser_name[CASCADE]];步骤先删除用用户所拥拥有的对对象再删除用用户将参照该该用户对对象的其其他数据据库对象象标志为为INVALID10.2.5查询用户户信息ALL__USERS：包含数数据库所所有用户户的用户户名、用用户ID和用户创创建时间间。DBA__USERS：包含数数据库所所有用户户的详细细信息。。USER_USERS：包含当当前用户户的详细细信息。。DBA__TS__QUOTAS：包含所所有用户户的表空空间配额额信息。。USER_TS_QUOTAS：包含当当前用户户的表空空间配额额信息。。V$SESSION：包含用用户会话话信息。。V$OPEN__CURSOR：包含用用户执行行的SQL语句信息息。查看数据据库所有有用户名名及其默默认表空空间。SELECTSERNAME,DEFAULT_TABLESPACEFROMDBA_USERS;查看数据据库中各各用户的的登录时时间、会会话号。。SELECTSID,,SERIAL#,LOGON_TIME,USERNAMEFROMV$$SESSION;10.3权限管理理权限管理理概述系统权限限管理对象权限限管理查询权限限信息10.3.1权限管理理概述概念所谓权限限就是执执行特定定类型SQL命令或访访问其他他用户的的对象的的权利。。用户在在数据库库中可以以执行什什么样的的操作，，以及可可以对哪哪些对象象进行操操作，完完全取决决于该用用户所拥拥有的权权限。分类系统权限限：系统统权限是是指在数数据库级级别执行行某种操操作的权权限，或或针对某某一类对对象执行行某种操操作的权权限。例例如，CREATESESSION权限、CREATEANYTABLE权限。对象权限限：对象象权限是是指对某某个特定定的数据据库对象象执行某某种操作作的权限限。例如如，对特定定表的插插入、删删除、修修改、查查询的权权限。授权方法法直接授权权：利用用GRANT命令直接接为用户户授权。。间接授权权：先将将权限授授予角色色，然后后再将角角色授予予用户。。10.3.2系统权限限管理系统权限限分类系统权限限的授权权系统权限限的回收收（1）系统权权限分类类一类是对对数据库库某一类类对象的的操作能能力，通通常带有有ANY关键字。。例如，，CREATEANYINDEX，ALTERANYINDEX，DROPANYINDEX。另一类系系统权限限是数据据库级别别的某种种操作能能力。例例如，CREATESESSION。（2）系统权权限的授授权语法为GRANTsys__priv_listTOuser_list||role_list|PUBLIC[WITHADMINOPTION]];参数说明明：sys__priv_list：表示系系统权限限列表，以逗号分分隔；user_list：表示用用户列表表，以逗号分分隔；role_list：表示角角色列表表，以逗逗号分隔隔；PUBLIC：表示对对系统中中所有用用户授权权；WITHADMINOPTION：表示允允许系统统权限接接收者再再把此权权限授予予其他用用户。系统权限限授予时时需要注注意的几几点：只有DBA才应当拥拥有ALTERDATABASE系统权限限。应用程序序开发者者一般需需要拥有有CREATETABLE、CREATEVIEW和CREATEINDEX等系统权权限。普通用户户一般只只具有CREATESESSION系统权限限。只有授权权时带有有WITHADMINOPTION子句时，，用户才才可以将将获得的的系统权权限再授授予其他他用户，，即系统统权限的的传递性性。为PUBLIC用户组授授予CREATESESSION系统权限限。GRANTCREATESESSIONTOPUBLIC;;为用户user1授予CREATESESSION，CREATETABLE，CREATEINDEX系统权限限。GRANTCREATESESSION,CREATETABLE,,CREATEVIEWTOuser1;;为用户user2授予CREATESESSION，CREATETABLE，CREATEINDEX系统权限限。user2获得权限限后，为为用户user3授予CREATETABLE权限。GRANTCREATESESSION,CREATETABLE,,CREATEVIEWTOuser2WITHADMINOPTION;CONNECTuser2/user2@ORCLGRANTCREATETABLETOuser3;;语法为REVOKEsys_priv__listFROMuser__list|role_list||PUBLIC;;注意事项项多个管理理员授予予用户同同一个系系统权限限后，其其中一个个管理员员回收其其授予该该用户的的系统权权限时，，该用户户将不再再拥有相相应的系系统权限限。为了回收收用户系系统权限限的传递递性（授授权时使使用了WITHADMINOPTION子句），，必须先先回收其其系统权权限，然然后再授授予其相相应的系系统权限限。如果一个个用户获获得的系系统权限限具有传传递性，，并且给给其他用用户授权权，那么么该用户户系统权权限被回回收后，，其他用用户的系系统权限限并不受受影响。。（3）系统权权限的回回收10.3对象权限限管理对象权限限分类对象权限限的授权权对象权限限的回收收（1）对象权权限分类类在Oracle数据库中中共有9种类型的的对象权权限，不不同类型型的模式式对象有有不同的的对象权权限，而而有的对对象并没没有对象象权限，，只能通通过系统统权限进进行控制制，如簇簇、索引引、触发发器、数数据库链链接等。。对象权限适合对象对象权限功能说明SELECT表、视图、序列查询数据操作UPDATE表、视图更新数据操作DELETE表、视图删除数据操作INSERT表、视图插入数据操作REFERENCES表在其他表中创建外键时可以引用该表EXECUTE存储过程、函数、包执行PL/SQL存储过程、函数和包READ目录读取目录ALTER表、序列修改表或序列结构INDEX表为表创建索引ALL具有对象权限的所有模式对象某个对象所有对象权限操作集合（2）对象权权限的授授权语法GRANTobj__priv_list|ALLON[[schema.]objectTOuser_list||role_list[WITHGRANTOPTION];;参数说明明obj__priv_list：表示对对象权限限列表，，以逗号号分隔；；[schema.]object：表示指指定的模模式对象象，默认认为当前前模式中中的对象象；user_list：表示用用户列表表，以逗逗号分隔隔；role_list：表示角角色列表表，以逗逗号分隔隔；WITHGRANTOPTION：表示允允许对象象权限接接收者把把此对象象权限授授予其他他用户。。将scott模式下的的emp表的SELECT，UPDATE，INSERT权限授予予user1用户。GRANTSELECT,,INSERT,UPDATEONscott.empTOuser1;;将scott模式下的的emp表的SELECT，UPDATE，INSERT权限授予予user2用户。user2用户再将将emp表的SELECT，UPDATE权限授予予user3用户。GRANTSELECT,,INSERT,UPDATEONscott.empTOuser2WITHGRANTOPTION;;CONNECTuser2/user2@ORCLGRANTSELECT,,UPDATEONscott.empTOuser3;语法REVOKEobj_priv__list||ALLON[[schema.]objectFROMuser_list||role_list;注意事项项多个管理理员授予予用户同同一个对对象权限限后，其其中一个个管理员员回收其其授予该该用户的的对象权权限时，，该用户户不再拥拥有相应应的对象象权限。。为了回收收用户对对象权限限的传递递性（授授权时使使用了WITHGRANTOPTION子句），，必须先先回收其其对象权权限，然然后再授授予其相相应的对对象权限限。如果一个个用户获获得的对对象权限限具有传传递性（（授权时时使用了了WITHGRANTOPTION子句），，并且给给其他用用户授权权，那么么该用户户的对象象权限被被回收后后，其他他用户的的对象权权限也被被回收。。（3）对象权权限的回回收WITHADMINOPTION当甲用户户授权给给乙用户户，且激激活该选选项，则则被授权权的乙用用户具有有管理该该权限的的能力：：或者能能把得到到的权限限再授给给其他用用户丙，，或者能能回收授授出去的的权限。。当甲用户户收回乙乙用户的的权限后后，乙用用户曾经经授给丙丙用户的的权限仍仍然存在在与WITHGRANTOPTION比较当甲用户户授权给给乙用户户，且激激活该选选项，则则被授权权的乙用用户具有有管理该该权限的的能力：：或者能能把得到到的权限限再授给给其他用用户丙，，或者能能回收授授出去的的权限。。当甲用户户收回乙乙用户的的权限后后，乙用用户曾经经授给丙丙用户的的权限也也被回收收。WITHADMINOPTIONDBAGRANTREVOKEJeffEmiJeffEmiDBAGRANTREVOKEWITHGRANTOPTIONBobJeffEmiEmiJeffBob10.3.4查询权限限信息DBA__TAB_PRIVS：包含数据据库所有有对象的的授权信信息ALL_TAB__PRIVS：包含数据据库所有有用户和和PUBLIC用户组的的对象授授权信息息USER_TAB_PRIVS：包含当前前用户对对象的授授权信息息DBA__COL_PRIVS：包含所有有字段已已授予的的对象权权限ALL__COL_PRIVS：包含所有有字段已已授予的的对象权权限信息息USER_COL_PRIVS：包含当前前用户所所有字段段已授予予的对象象权限信信息。DBA__SYS_PRIVS：包含授授予用户户或角色色的系统统权限信信息USER_SYS_PRIVS：包含授授予当前前用户的的系统权权限信。。10.4角色管理理Oracle数据库角角色概述述预定义角角色自定义角角色利用角色色进行权权限管理理查询角色色信息10.4.1Oracle数据库角角色概述述角色的概概念所谓角色色就是一一系列相相关权限限的集合合10.4.2预定义角角色预定义角角色概述述预定义角角色是指指在Oracle数据库创创建时由由系统自自动创建建的一些些常用的的角色，，这些角角色已经经由系统统授予了了相应的的权限。。DBA可以直接接利用预预定义的的角色为为用户授授权，也也可以修修改预定定义角色色的权限限。Oracle数据库中中有30多个预定定义角色色。可以通过过数据字字典视图图DBA__ROLES查询当前前数据库库中所有有的预定定义角色色，通过过DBA__SYS_PRIVS查询各个个预定义义角色所所具有的的系统权权限。角色角色具有的部分权限CONNECTCREATESESSIONRESOURCECREATECLUSTER，CREATEOPERATOR，CREATETRIGGER，CREATETYPE，CREATESEQUENCE，CREATEINDEXTYPE，CREATEPROCEDURE，CREATETABLEDBAADMINISTERDATABSETRIGGER，ADMINISTERRESOURCEMANAGE，CREATE…，CREATEANY…，ALTER…，ALTERANY…，DROP…，DROPANY…，EXECUTE…，EXECUTEANY…EXP_FULL_DATABASEADMINISTERRESOURCEMANAGE，BACKUPANYTABLE，EXECUTEANYPROCEDURE，SELECTANYTABLE，EXECUTEANYTYPEIMP_FULL_DATABASEADMINISTERDATABSETRIGGER，ADMINISTERRESOURCEMANAGE，CREATEANY…，ALTERANY…，DROP…，DROPANY…，EXECUTEANY…10.4.3自定义角角色创建角色色角色权限限的授予予与回收收修改角色色角色的生生效与失失效删除角色色（1）创建角角色语法为CREATEROLErole_name[[NOTIDENTIFIED][IDENTIFIEDBYpassword];参数说明明role_name：用于指指定自定定义角色色名称，，该名称称不能与与任何用用户名或或其他角角色相同同；NOTIDENTIFIED：用于指指定该角角色由数数据库授授权，使使该角色色生效时时不需要要口令；；IDENTIFIEDBYpassword：用于设设置角色色生效时时的认证证口令。。例如，创创建不同同类型的的角色。。CREATEROLEhigh_manager__role;CREATEROLEmiddle__manager_roleIDENTIFIEDBYmiddlerole;CREATEROLElow__manager_roleIDENTIFIEDBYlowrole;（2）角色权权限的授授予与回回收说明给角色授授予适当当的系统统权限、、对象权权限或已已有角色色。在数据库库运行过过程中，，可以为为角色增增加权限限，也可可以回收收其权限限。给角色授授权时应应该注意意，一个个角色可可以被授授予另一一个角色色，但不不能授予予其本身身，不能能产生循循环授权权。示例GRANTCONNECT,CREATETABLE,CREATEVIEWTOlow__manager_role;GRANTCONNECT,CREATETABLE,CREATEVIEWTOmiddle__manager_role;GRANTCONNECT,RESOURCE,DBATOhigh_manager__role;GRANTSELECT,,UPDATE,INSERT,DELETEONscott..empTOhigh__manager_role;REVOKECONNECTFROMlow_manager_role;;REVOKECREATETABLE,CREATEVIEWFROMmiddle_manager__role;REVOKEUPDATE,DELETE,,INSERTONscott.empFROMhigh__manager_role;（3）修改角角色概念修改角色色是指修修改角色色生效或或失效时时的认证证方式，，也就是是说，是是否必须须经过Oracle确认才允允许对角角色进行行修改。。修改角色色的语法法ALTERROLErole__name[NOTIDENTIFIED]]|[IDENTIFIEDBYpassword]；示例ALTERROLEhigh__manager_roleIDENTIFIEDBYhighrole;;ALTERROLEmiddle_manager_roleNOTIDENTIFIED;;（4）角色的的生效与与失效概念所谓角色色的失效效是指角角色暂时时不可用用。当一一个角色色生效或或失效时时，用户户从角色色中获得得的权限限也生效效或失效效。因此此，通过过设置角角色的生生效或失失效，可可以动态态改变用用户的权权限。在进行角角色生效效或失效效设置时时，需要要输入角角色的认认证口令令，避免免非法设设置。语法SETROLE[[role_name[IDENTIFIEDBYpassword]]]||[ALL[[EXCEPTrole__name]]]|[NONE];参数说明明role_name：表示进行行生效或或失效设设置的角角色名称称；IDENTIFIEDBYpassword：用于设置置角色生生效或失失效时的的认证口口令；ALL：表示使使当前用用户所有有角色生生效；EXCEPTrole_name：表示除了了特定角角色外，其余所有有角色生生效；NONE：表示使使当前用用户所有有角色失失效。示例SETROLENONE;SETROLEhigh_manager__roleIDENTIFIEDBYhighrole;SETROLEmiddle__manager_role,low_manager_lowIDENTIFIEDBYlowrole;;SETROLEALLEXCEPTlow_manager_role,,middle_manager__role;（5）删除角角色语法结构构DROPROLErole_name;说明如果某个个角色不不再需要要，则可可以使用用DROPROLE语句删除除角色。。角色被被删除后后，用户户通过该该角色获获得的权权限被回回收。10.4.4利用角色色进行权权限管理理给用户或或角色授授予角色色从用户或或角色回回收角色色用户角色色的激活活或屏蔽蔽（1）给用户户或角色色授予角角色语法GRANTrole_listTOuser_list|role__list；例如，将将CONNECT，high_manager__role角色授予予用户user1，将RESOURCE，CONNECT角色授予予角色middle__manager_role。GRANTCONNECT,high__manager_roleTOuser1;GRANTRESOURCE,CONNECTTOmiddle_manager_role;;（2）从用户户或角色色回收角角色语法为REVOKErole_listFROMuser_list|role__list；例如，回回收角色色middle__manager_role的RESOURCE，CONNECT角色。SQL>>REVOKERESOURCE,CONNECTFROMmiddle__manager_role;（3）用户角角色的激激活或屏屏蔽语法为ALTERUSERuser__nameDEFAULTROLE[role_name]|[[ALL[EXCEPTrole_name]]||[NONE];;示例ALTERUSERuser1DEFAULTROLENONE;ALTERUSERuser1DEFAULTROLECONNECT,DBA;ALTERUSERuser1DEFAULTROLEALL;;ALTERUSERuser1DEFAULTROLEALLEXCEPTDBA;10.4.5查询角色色信息DBA__ROLES：包含数据据库中所所有角色色及其描描述；DBA__ROLE_PRIVS：包含为数数据库中中所有用用户和角角色授予予的角色色信息；USER_ROLE__PRIVS：包含为为当前用用户授予予的角色色信息；；ROLE_ROLE__PRIVS：为角色色授予的的角色信信息；ROLE_SYS_PRIVS：为角色色授予的的系统权权限信息息；ROLE_TAB_PRIVS：为角色色授予的的对象权权限信息息；SESSION_PRIVS：当前会会话所具具有的系系统权限限信息；；SESSION_ROLES：当前会会话所具具有的角角色信息息。。查询角色色CONNECT所具有的的系统权权限信息息。SELECT**FROMROLE__SYS_PRIVSWHEREROLE='CONNECT';查询DBA角色被授授予的角角色信息息。SELECT**FROMROLE_ROLE__PRIVSWHEREROLE='DBA'';10.5概要文件件管理概要文件件概述概要文件件中参数数介绍概要文件件的管理理10.5.1概要文件件概述概要文件件的作用用资源限制制级别和和类型启用或停停用资源源限制（1）概要文文件的作作用概要文件件（PROFILE）是数据据库和系系统资源源限制的的集合，，是Oracle数据库安安全策略略的重要要组成部部分。利用概要要文件，，可以限限制用户户对数据据库和系系统资源源的使用用，同时时还可以以对用户户口令进进行管理理。。在Oracle数据库创创建的同同时，系系统会创创建一个个名为DEFAULT的默认概概要文件件。如果果没有为为用户显显式地指指定一个个概要文文件，系系统默认认将DEFAULT概要文件件作为用用户的概概要文件件。（2）资源限限制级别别和类型型资源限制制级别会话级资资源限制制：对用用户在一一个会话话过程中中所能使使用的资资源进行行限制。。调用级资资源限制制：对一一条SQL语句在执执行过程程中所能能使用的的资源进进行限制制。资源限制制类型CPU使用时间间；逻辑读；每个用户户的并发发会话数数；用户连接接数据库库的空闲闲时间；用户连接接数据库库的时间间；私有SQL区和PL/SQL区的使用用。（3）启用或或停用资资源限制制在数据库库启动前前启用或或停用资资源限制制将数据库库初始化化参数文文件中的的参数RESOURCE_LIMIT的值设置置为TRUE或FALSE（默认）），来启启用或停停用系统统资源限限制。在数据库库启动后后启用或或停用资资源限制制使用ALTERSYSTEM语句修改改RESOURCE_LIMIT的参数值值为TRUE或FALSE，来启动动或关闭闭系统资资源限制制。ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;;10.5.2概要文件件中参数数资源限制制参数口令管理理参数（1）资源限限制参数数CPU__PER_SESSION：限制用用户在一一次会话话期间可可以占用用的CPU时间总量量，单位位为百分分之一秒秒。当达达到该时时间限制制后，用用户就不不能在会会话中执执行任何何操作了了，必须须断开连连接，然然后重新新建立连连接。CPU__PER_CALL：限制每每个调用用可以占占用的CPU时间总量量，单位位为百分分之一秒秒。当一一个SQL语句执行行时间达达到该限限制后，，该语句句以错误误信息结结束。CONNECT_TIME：限制每每个会话话可持续续的最大大时间值值，单位位为分钟钟。当数数据库连连接持续续时间超超出该设设置时，，连接被被断开。。IDLE_TIME：限制每每个会话话处于连连续空闲闲状态的的最大时时间值，，单位为为分钟。。当会话话空闲时时间超过过该设置置时，连连接被断断开。SESSIONS_PER__USER：限制一一个用户户打开数数据库会会话的最最大数量量。LOGICAL_READS_PER_SESSION：允许一一个会话话读取数数据块的的最大数数量，包包括从内内存中读读取的数数据块和和从磁盘盘中读取取的数据据块的总总和。LOGICAL_READS_PER_CALL：允许一一个调用用读取的的数据块块的最大大数量，，包括从从内存中中读取的的数据块块和从磁磁盘中读读取的数数据块的的总和。。PRIVATE_SGA：在共享享服务器器操作模模式中，，执行SQL语句或PL/SQL程序时，，Oracle将在SGA中创建私私有SQL区。该参参数限制制在SGA中一个会会话可分分配私有有SQL区的最大大值。COMPOSITE__LIMIT：称为“综合资源源限制”，是一个个用户会会话可以以消耗的的资源总总限额。。该参数数由CPU__PER_SESSION，LOGICAL_READS_PER_SESSION，PRIVATE_SGA，CONNECT_TIME几个参数数综合决决定。（2）口令管管理参数数FAILED__LOGIN__ATTEMPTS：限制用用户在登登录Oracle数据库时时允许失失败的次次数。一一个用户户尝试登登录数据据库的次次数达到到该值时时，该用用户的账账户将被被锁定，，只有解解锁后才才可以继继续使用用。PASSWORD_LOCK_TIME：设定当当用户登登录失败败后，用用户账户户被锁定定的时间间长度。。PASSWORD_LIFE_TIME：设置用用户口令令的有效效天数。。达到限限制的天天数后，，该口令令将过期期，需要要设置新新口令。。PASSWORD_GRACE_TIME：用于设设定提示示口令过过期的天天数。在在这几天天中，用用户将接接收到一一个关于于口令过过期需要要修改口口令的警警告。当当达到规规定的天天数后，，原口令令过期。。PASSWORD_REUSE_TIME：指定一一个用户户口令被被修改后后，必须须经过多多少天后后才可以以重新使使用该口口令。PASSWORD_REUSE_MAX：指定一一个口令令被重新新使用前前，必须须经过多多少次修修改。PASSWORD_VERIFY__FUNCTION：设置口口令复杂杂性校验验函数。。该函数数会对口口令进行行校验，，以判断断口令是是否符合合最低复复杂程度度或其他他校验规规则。10.5.3概要文件件管理创建概要要文件将概要文文件分配配给用户户修改概要要文件删除概要要文件查询概要要文件（1）创建概概要文件件语法为CREATEPROFILEprofile_nameLIMITresource_parameters|password_parameters;;参数说明明如下。。profile_name：用于指指定要创创建的概概要文件件名称；；resource_parameter：用于设设置资源源限制参参数，形形式为resource_parameter__nameinteger|UNLIMITED||DEFALUTpassword_parameters：用于设设置口令令参数，，形式为为password_parameter__nameinteger|UNLIMITED||DEFALUT创建一个个名为res__profile的概要文文件，要要求每个个用户最最多可以以创建4个并发会会话；每每个会话话持续时时间最长长为60分钟；如如果会话话在连续续20分钟内空空闲，则则结束会会话；每每个会话话的私有有SQL区为100KB；每个SQL语句占用用CPU时间总量量不超过过10秒。CREATEPROFILEres__profileLIMITSESSIONS_PER__USER4CONNECT_TIME60IDLE_TIME20PRIVATE_SGA100KCPU__PER_CALL100;创建一个个名为pwd__profile的概要文文件，如如果用户户连续4次登录失失败，则则锁定该该账户，，10天后该账账户自动动解锁。。CREATEPROFILEpwd__profileLIMITFAILED__LOGIN__ATTEMPTS4PASSWORD_LOCK_TIME10；（2）将概要要文件分分配给用用户可以在创创建用户户时为用用户指定定概要文文件CREATEUSERuser5IDENTIFIEDBYuser5PROFILEres_profile;也可以在在修改用用户时为为用户指指定概要要文件。。ALTERUSERuser5PROFILEpwd_profile;;（3）修改概概要文件件语法为ALTERPROFILEprofile__nameLIMITresource_parameters|password_parameters;;注意对概要文文件的修修改只有有在用户户开始一一个新的的会话时时才会生生效。修改pwd__profile概要文件件，将用用户口令令有效期期设置为为10天。ALTERPROFILEpwd_profileLIMITPASSWORD_LIFE_TIME10;;（4）删除概概要文件件语法DROP