Oracle的安全管理培训教案

Oracle的安全管理本章学习目标

数据库安全性问题一直是人们关注的焦点，数据库数据的丢失以及数据库被非法用户的侵入对于任何一个应用系统来说都是至关重要的问题。确保信息安全的重要基础在于数据库的安全性能。第六章Oracle的安全管理本章内容安排6.1Oracle9i的安全保障机制

6.2用户管理

6.3权限和角色

6.4概要文件

6.5数据审计

6.1Oracle9i的安全保障机制6.1.1安全性内容

6.1.2安全性策略

数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。在数据库存储这一级可采用密码技术，当物理存储设备失窃后，它起到保密作用。在数据库系统这一级中提供两种控制：用户标识和鉴定，数据存取控制。数据库安全可分为二类：系统安全性和数据安全性。系统安全性是指在系统级控制数据库的存取和使用的机制，包含：（1）有效的用户名/口令的组合。（2）一个用户是否授权可连接数据库。（3）用户对象可用的磁盘空间的数量。（4）用户的资源限制。（5）数据库审计是否是有效的。（6）用户可执行哪些系统操作。6.1.1安全性内容在Oracle多用户数据库系统中，安全机制作下列工作：（1）防止非授权的数据库存取。（2）防止非授权的对模式对象的存取。（3）控制磁盘使用。（4）控制系统资源使用。（5）审计用户动作。用户要存取一对象必须有相应的权限授给该用户。已授权的用户可任意地可将它授权给其它用户，由于这个原因，这种安全性类型叫做任意型。Oracle利用下列机制管理数据库安全性：数据库用户和模式权限角色存储设置和空间份额资源限制审计

1．系统安全性策略

2．用户安全性策略6.1.2安全性策略

3．数据库管理者安全性策略4．应用程序开发者的安全性策略系统安全性策略（1）管理数据库用户（2）用户身份确认（3）操作系统安全性1）数据库管理员必须有create和delete文件的操作系统权限。2）一般数据库用户不应该有create或delete与数据库相关文件的操作系统权限。3）如果操作系统能为数据库用户分配角色，那么安全性管理者必须有修改操作系统帐户安全性区域的操作系统权限。2.用户安全性策略（1）一般用户的安全性1）密码的安全性2）权限管理（2）终端用户的安全性3.数据库管理者安全性策略（1）保护作为sys和system用户的连接（2）保护管理者与数据库的连接（3）使用角色对管理者权限进行管理4.应用用程程序序开开发发者者的的安安全全性性策策略略（1））应应用用程程序序开开发发者者和和他他们们的的权权限限（2））应应用用程程序序开开发发者者的的环环境境1））程程序序开开发发者者不不应应与与终终端端用用户户竞竞争争数数据据库库资资源源；；2））程程序序开开发发者者不不能能损损害害数数据据库库其其他他应应用用产产品品。。（3））应应用用程程序序开开发发者者的的空空间间限限制制作为为数数据据库库安安全全性性管管理理者者，，应应该该特特别别地地为为每每个个应应用用程程序序开开发发者者设设置置以以下下的的一一些些限限制制：：1））开开发发者者可可以以创创建建table或或index的的表表空空间间；；2））在在每每一一个个表表空空间间中中，，开开发发者者所所拥拥有有的的空空间间份份额额。。创创建建用用户户修修改改用用户户删删除除用用户户数数据据库库的的存存取取控控制制6.2用用户户管管理理1．．用用户户鉴鉴别别2．．用用户户的的表表空空间间设设置置和和定定额额数数据据库库的的存存取取控控制制3．．用用户户资资源源限限制制和和环环境境文文件件4．．用用户户环环境境文文件件用户户鉴鉴别别为了了防防止止非非授授权权的的数数据据库库用用户户的的使使用用，，Oracle提提供供三三种种确确认认方方法法：：操作作系系统统确确认认，，Oracle数数据据库库确确认认和和网网络络服服务务确确认认。。由操操作作系系统统鉴鉴定定用用户户的的优优点点是是：：1））用用户户能能更更快快，，更更方方便便地地联联入入数数据据库库。。2））通通过过操操作作系系统统对对用用户户身身份份确确认认进进行行集集中中控控制制：：如如果果操操作作系系统统与与数数据据库库用用户户信信息息一一致致，，那那么么Oracle无无须须存存储储和和管管理理用用户户名名以以及及密密码码。。3））用用户户进进入入数数据据库库和和操操作作系系统统审审计计信信息息一一致致。。2．．用用户户的的表表空空间间设设置置和和定定额额关于于表表空空间间的的使使用用有有几几种种设设置置选选择择：：用用户户的的缺缺省省表表空空间间用用户户的的临临时时表表空空间间数数据据库库表表空空间间的的空空间间使使用用定定额额3.用户户资资源源限限制制和和环环境境文文件件用户户可可用用的的各各种种系系统统资资源源总总量量的的限限制制是是用用户户安安全全域域的的部部分分。。利利用用显显式式地地设设置置资资源源限限制制，，安安全全管管理理员员可可防防止止用用户户无无控控制制地地消消耗耗宝宝贵贵的的系系统统资资源源。。资资源源限限制制是是由由环环境境文文件件管管理理。。一一个个环环境境文文件件是是命命名名的的一一组组赋赋给给用用户户的的资资源源限限制制。。另另外外Oracle为为安安全全管管理理员员在在数数据据库库提提供供是是否否对对环环境境文文件件资资源源限限制制的的选选择择。。Oracle可可限制几几种类型型的系统统资源的的使用，，每种资资源可在在会话级级、调用用级或两两者上控控制。在会话级级：每一一次用户户连接到到一数据据库，建建立一会会话。每每一个会会话在执执行SQL语句句的计算算机上耗耗费CPU时间间和内存存量进行行限制。。在调用级级：在SQL语语句执行行时，处处理该语语句有几几步，为为了防止止过多地地调用系系统，Oracle在在调用级级可设置置几种资资源限制制。有下列资资源限制制：（1）为为了防止止无控制制地使用用CPU时间，，Oracle可限制制每次Oracle调调用的CPU时时间和在在一次会会话期间间Oracle调用所所使用的的CPU的时间间，以0.01秒为单单位。（2）为为了防止止过多的的I/O，Oracle可限限制每次次调用和和每次会会话的逻逻辑数据据块读的的数目。。（3）Oracle在在会话级级还提供供其它几几种资源源限制。。每个用户户的并行行会话数数的限制制。会话空闲闲时间的的限制，，如果一一次会话话的Oracle调用用之间时时间达到到该空闲闲时间，，当前事事务被回回滚，会会话被中中止，会会话资源源返回给给系统。。每次会话话可消逝逝时间的的限制，，如果一一次会话话期间超超过可消消逝时间间的限制制，当前前事务被被回滚，，会话被被删除，，该会话话的资源源被释放放。每次会话话的专用用SGA空间量量的限制制。4．用户户环境文文件用户环境境文件是是指定资资源限制制的命名名集，可可赋给Oracle数数据库的的有效的的用户。。利用用用户环境境文件可可容易地地管理资资源限制制。在许多情情况中决决定用户户的环境境文件的的合适资资源限制制的最好好的方法法是收集集每种资资源使用用的历史史信息。。创创建用用户使用CREATEUSER语句可可以创建建一个新新的数据据库用户户，执行行该语句句的用户户必须具具有CREATEUSER系统权权限。在创建用用户时必必须指定定用户的的认证方方式。一一般会通通过Oracle数据库对对用户身身份进行行验证，，即采用用数据库库认证方方式。在在这种情情况下，，创建用用户时必必须为新新用户指指定一个个口令，，口令以以加密方方式保存存在数据据库中。。当用户户连接数数据库时时，Oracle从数据库库中提取取口令来来对用户户的身份份进行验验证。使用IDENTIFIEDBY子句句为用用户设设置口口令，，这时时用户户将通通过数数据库库来进进行身身份认认证。。如果果要通通过操操作系系统来来对用用户进进行身身份认认证，，则必必须使使用IDENTIFIEDEXTERNALBY子子句。。使用DEFAULTTABLESPACE子子句为为用户户指定定默认认表空空间。。如果果没有有指定定默认认表空空间，，Oracle会把把SYSTEM表空空间作作为用用户的的默认认表空空间。。为用用户指指定了了默认认表空空间之之后，，还必必须使使用QUOTA子句句来为为用户户在默默认表表空间间中分分配的的空间间配额额。此外，，常用用的一一些子子句有有：①TEMPORARYTABLESPACE子句句：为为用户户指定定临时时表空空间。。②PROFILE子子句：：为用用户指指定一一个概概要文文件。。如果果没有有为用用户显显式地地指定定概要要文件件，Oracle将将自动动为他他指定定DEFAULT概概要文文件。。③DEFAULTROLE子句句：为为用户户指定定默认认的角角色。。④PASSWORDEXPIRE子子句：：设置置用户户口令令的初初始状状态为为过期期。⑤ACCOUNTLOCK子句句：设设置用用户账账户的的初始始状态态为锁锁定，，缺省省为：：ACCOUNTUNLOCK。在建立立新用用户之之后，，通常常会需需要使使用GRANT语句句为他他授予予CREATESESSION系统统权限限，使使他具具有连连接到到数据据库中中的能能力。。或为为新用用户直直接授授予Oracle中中预定定义的的CONNECT角角色。。修修改改用户户在创建建用户户之后后，可可以使使用ALTERUSER语语句对对用户户进行行修改改，执执行该该语句句的用用户必必须具具有ALTERUSER系系统权权限。。例如：：利用用下面面的语语句可可以修修改用用户chenjie的认认证方方式、、默认认表空空间、、空间间配额额：ALTERUSERchenjieIDENTIFIEDBYchenjie_pwQUATA10MONmbl_tbs;ALTERUSER语语句最最常用用的情情况是是用来来修改改用户户自己己的口口令，，任何何用户户都可可以使使用ALTERUSER……IDENTIFIEDBY语语句来来修改改自己己的口口令，，而不不需要要具有有任何何其他他权限限。但但是如如果要要修改改其他他用户户的口口令，，则必必须具具有ALTERUSER系系统权权限。。DBA还会会经常常使用用ALTERUSER语句句锁定定或解解锁用用户账账户。。例如如：ALTERUSERchenjieACCOUNTLOCK;ALTERUSERchenjieACCOUNTUNLOCK;删删除除用户户使用DROPUSER语句句可以以删除除已有有的用用户，，执行行该语语句的的用户户必须须具有有DROPUSER系系统权权限。。如果用用户当当前正正连接接到数数据库库中，，则不不能删删除这这个用用户。。要删删除已已连接接的用用户，，首先先必须须使用用ALTERSYSTEM…KILLSESSION语语句终终止他他的会会话，，然后后再使使用DROPUSER语句句将其其删除除。如果要要删除除的用用户模模式中中包含含有模模式对对象，，必须须在DROPUSER子句句中指指定CASCADE关键键字，，否则则Oracle将返返回错错误信信息。。例如如：利利用下下面的的语句句将删删除用用户chenjie，并并且同同时删删除他他所拥拥有的的所有有表、、索引引等模模式对对象：：DROPUSERchenjieCASCADE;创创建建角色色授授予予权限限或角角色回回收收权限限或角角色基基本本概念念6.3权权限限和角角色激激活活和禁禁用角角色1．权权限2．角角色基基本本概念念1.权权限权限是执行行一种种特殊殊类型型的SQL语句句或存存取另另一用用户的的对象象的权权力。。有两两类权权限：：系统统权限限和对对象权权限。。1）系统权权限：是执执行一一处特特殊动动作或或者在在对象象类型型上执执行一一种特特殊动动作的的权利利。系统权权限可可授权权给用用户或或角色色，一一般，，系统统权限限只授授予管管理人人员和和应用用开发发人员员，终终端用用户不不需要要这些些相关关功能能。2）对象权权限：在指指定的的表、、视图图、序序列、、过程程、函函数或或包上上执行行特殊殊动作作的权权利。。2.角角色为相关关权限限的命命名组组，可可授权权给用用户和和角色色。数数据库库角色色包含含下列列功能能：（1））一个个角色色可授授予系系统权权限或或对象象权限限。（2））一个个角色色可授授权给给其它它角色色，但但不能能循环环授权权。（3））任何何角色色可授授权给给任何何数据据库用用户。。（4））授权权给用用户的的每一一角色色可以以是可可用的的或者者不可可用的的。一一个用用户的的安全全域仅仅包含含当前前对该该用户户可用用的全全部角角色的的权限限。（5））一个个间接接授权权角色色对用用户可可显式式地使使其可可用或或不可可用。。在一个个数据据库中中，每每一个个角色色名必必须唯唯一。。角色色名与与用户户不同同，角角色不不包含含在任任何模模式中中，所所以建建立角角色的的用户户被删删除时时不影影响该该角色色。一般，建立立角色服务务有两个目目的：为数数据库应用用管理权限限和为用户户组管理权权限。相应应的角色称称为应用角角色和用户户角色。应用角色是是授予的运运行数据库库应用所需需的全部权权限。用户角色是是为具有公公开权限需需求的一组组数据库用用户而建立立的。用户户权限管理理是受应用用角色或权权限授权给给用户角色色所控制，，然后将用用户角色授授权给相应应的用户。。ORACEL利用角角色更容易易地进行权权限管理。。有下列优优点：（1）减少少权限管理理，不要显显式地将同同一权限组组授权给几几个用户，，只需将这这权限组授授给角色，，然后将角角色授权给给每一用户户。（2）动态态权限管理理，如果一一组权限需需要改变，，只需修改改角色的权权限，所有有授给该角角色的全部部用户的安安全域将自自动地反映映对角色所所作的修改改。（3）权限限的选择可可用性，授授权给用户户的角色可可选择地使使其可用或或不可用。。（4）应用用可知性，，当用户经经用户名执执行应用时时，该数据据库应用可可查询字典典，将自动动地选择使使角色可用用或不可用用。（5）应用用安全性，，角色使用用可由口令令保护，应应用可提供供正确的口口令使用角角色，如不不知其口令令，不能使使用角色。。使用CREATEROLE语句可以以创建一个个新的角色色，执行该该语句的用用户必须具具有CREATEROLE系统权限限。在角色刚刚刚创建时，，它并不具具有任何权权限，这时时的角色是是没有用处处的。因此此，在创建建角色之后后，通常会会立即为它它授予权限限。例如：：利用下面面的语句创创建了一个个名为OPT_ROLE的角角色，并且且为它授予予了一些对对象权限和和系统权限限：CREATEROLEOPT_ROLE;GRANTSELECTONsal_historyTOOPT_ROLE;GRANTINSERT,UPDATEONmount_entryTOOPT_ROLE;GRANTCREATEVIEWTOOPT_ROLE;6.3.2创建建角色在创建角色色时必须为为角色命名名，新建角角色的名称称不能与任任何数据库库用户或其其他角色的的名称相同同。与用户类似似，角色也也需要进行行认证。在在执行CREATEROLE语句创创建角色时时，默认地地将使用NOTIDENTIFIED子句，，即在激活活和禁用角角色时不需需要进行认认证。如果果需要确保保角色的安安全性，可可以在创建建角色时使使用IDENTIFIED子子句来设置置角色的认认证方式。。与用户类类似，角色色也可以使使用两种方方式进行认认证。使用ALTERROLE语语句可以改改变角色的的口令或认认证方式。。例如：利利用下面的的语句来修修改OPT_ROLE角色的的口令（假假设角色使使用的是数数据库认证证方式）：：ALTERROLEOPT_ROLEIDENTIFIEDBYaccts*new;1．授予系系统权限2．授予对对象权限6.3.3授予予权限或角角色3．授予角角色1.授予系系统权限在GRANT关键字字之后指定定系统权限限的名称，，然后在TO关键字字之后指定定接受权限限的用户名名，即可将将系统权限限授予指定定的用户。。例如：利用用下面的语语句可以相相关权限授授予用户chenjie：GRANTCREATEUSER,ALTERUSER,DROPUSERTOchenjieWITHADMINOPTION;2．授予对对象权限Oracle对象权权限指用户在指指定的表上上进行特殊殊操作的权权利。在GRANT关键字字之后指定定对象权限限的名称，，然后在ON关键字字后指定对对象名称，，最后在TO关键字字之后指定定接受权限限的用户名名，即可将将指定对象象的对象权权限授予指指定的用户户。使用一条GRANT语句可以以同时授予予用户多个个对象权限限，各个权权限名称之之间用逗号号分隔。有三类对象象权限可以以授予表或或视图中的的字段，它它们是分别别是INSERT，，UPDATE和REFERENCES对象权权限。例如：利用用下面的语语句可以将将CUSTOMER表的SELECT和INSERT，，UPDATE对象象权限授予予用户chenqian：GRANTSELECT,INSERT(CUSTOMER_ID,CUSTOMER_name),UPDATE(desc)ONCUSTOMERTOchenqianWITHGRANTOPTION;在授予对象象权限时，，可以使用用一次关键键字ALL或ALLPRIVILEGES将将某个对象象的所有对对象权限全全部授予指指定的用户户。3．授予角角色在GRANT关键字字之后指定定角色的名名称，然后后在TO关关键字之后后指定用户户名，即可可将角色授授予指定的的用户。Oracle数据库库系统预先先定义了CONNECT、RESOURCE、、DBA、、EXP_FULL_DATABASE、IMP_FULL_DATABASE五个角色色。CONNECT具有创建建表、视图图、序列等等权限；RESOURCE具具有创建过过程、触发发器、表、、序列等权权限、DBA具有全全部系统权权限；EXP_FULL_DATABASE、、IMP_FULL_DATABASE具有有卸出与装装入数据库库的权限。。通过查询sys.dba_sys_privs可以了解解每种角色色拥有的权权利。例如：利用用下面的语语句可以将将DBA角角色授予用用户chenjie：GRANTDBATOchenjieWITHGRANTOPTION;在同一条GRANT语句中，，可以同时时为用户授授予系统权权限和角色色。如果在为某某个用户授授予角色时时使用了WITHADMINOPTION选项，该该用户将具具有如下权权利：（1）将这这个角色授授予其他用用户，使用用或不使用用WITHADMINOPTION选项。。（2）从任任何具有这这个角色的的用户那里里回收该角角色。（3）删除除或修改这这个角色。。注意：不能使用一一条GRANT语句句同时为用用户授予对对象权限和和角色。使用REVOKE语语句可以回回收己经授授予用户（（或角色））的系统权权限、对象象权限与角角色，执行行回收权限限操作的用用户同时必必须具有授授予相同权权限的能力力。例如：利用用下面的语语句可以回回收已经授授予用户chenqian的的SELECT和UPDATE对象权权限：REVOKESELECT,UPDATEONCUSTOMERFROMchenqian;利用下面的的语句可以以回收已经经授予用户户chenjie的的CREATEANYTABLE系统权限限：REVOKECREATEANYTABLEFROMchenjie;利用下面的的语句可以以回收己经经授予用户户chenjie的的OPT_ROLE角色：REVOKEOPT_ROLEFROMchenjie;6.3.4回收收权限或角角色在回收对象象权限时，，可以使用用关键字ALL或ALLPRIVILEGES将某个个对象的所所有对象权权限全部回回收。例如：利用用下面的语语句可以回回收己经授授予用户chenqian的的CUSTOMER表的所有有对象权限限：REVOKEALLONCUSTOMERFROMchenjie;一个用户可可以同时被被授予多个个角色，但但是并不是是所有的这这些角色都都同时起作作用。角色色可以处于于两种状态态：激活状状态或禁用用状态，禁禁用状态的的角色所具具有权限并并不生效。。当用户连接接到数据库库中时，只只有他的默默认角色（（DefaultRole）处于激激活状态。。在ALTERUSER角角色中使用用DEFAULTROLE子句可以以改变用户户的默认角角色。例如：如果果要将用户户所拥有的的一个角色色设置为默默认角色，，可以使用用下面的语语句：ALTERUSERchenjieDEFAULTROLEconnect,OPT_ROLE;6.3.5激活活和禁用角角色在用户会话话的过程中中，还可以以使用SETROLE语句句来激活或或禁用他所所拥有的角角色。用户户所同时激激活的最大大角色数目目由初始化化参数ENABLEDROLES决决定（默认认值为20）。如果果角色在创创建时使用用了IDENTIFIEDBY子句句，则在使使用SETROLE语句激激活角色时时也需要在在IDENTIFIEDBY子句中中提供口令令。如果要激激活用户户所拥有有的所有有角色，，可以使使用下面面的语句句：SETROLEALL;激激活和和禁用资资源限制制管管理概概要文件件概概要文文件中的的参数6.4概概要要文件1．资源源限制参参数2．口令令策略参参数概概要文文件中的的参数1．资源源限制参参数资源参数数的值可可以是一一个整数数，也可可以是UNLIMITED或或DEFAULT即使使用默认认概要文文件中的的参数设设置。大部分资资源限制制都可以以在两个个级别进进行：会会话级或或调用级级。会话话级资源源限制是是对用户户在一个个会话过过程中所所能使用用的资源源进行的的限制，，而调用用级资源源限制是是对一条条SQL语句在在执行过过程中所所能使用用的资源源进行的的限制。。当会话或或一条SQL语语句占用用的资源源超过概概要文件件中的限限制时，，Oracle将中止止并回退退当前的的操作，，然后向向用户返返回错误误信息。。这时用用户仍然然有机会会提交或或回退当当前的事事务。如如果受到到的是会会话级限限制，在在提交或或回退事事务后用用户会话话被中止止（断开开连接）），但是是如果受受到的是是调用级级限制，，用户会会话还能能够继续续进行，，只是当当前执行行的SQL语句句被终止止。以下为概概要文件件中使用用的各种种资源参参数：①SESSIONS_PER_USER：：该参数数限制每每个用户户所允许许建立的的最大并并发会话话数目。。达到这这个限制制时，用用户不能能再建立立任何数数据库连连接。②CPU_PER_SESSION：该参参数限制制每个会会话所能能使用的的CPU时间。。③CPU_PER_CALL：该参参数限制制每条SQL语语句所能能使用的的CPU时间。。④LAGICAL_READS_PER_SESSION：该该参数限限制每个个会话所所能读取取的数据据块数目目，包括括从内存存中读取取的数据据块和从从硬盘中中读取的的数据块块。⑤LAGICAL_READS_PER_CALL：该该参数限限制每条条SQL语句所所能读取取的数据据块数目目，包括括从内存存中读取取的数据据块和从从硬盘中中读取的的数据块块。⑥CONNECT_TIME：该参参数限制制每个会会话能连连接到数数据库的的最长时时间。当当连接时时间达到到该参数数的限制制时，.用户会会话将自自动断开开。⑦IDLE_TIME：该参参数限制制每个会会话所允允许的最最大连续续空闲时时间。如如果一个个会话持持续的空空闲时间间达到该该参数的的限制，，该会话话将自动动断开。。⑧COMPOSITE_LIMIT：该参参数用于于设置““组合资资源限制制”。⑨PRIVATE_SGA：：在共享享服务器器操作模模式下，，执行SQL语语句和PL/SQL语语句时，，Oracle将在SGA中中创建私私有SQL区。。该参数数限制在在SGA中为每每个会话话所能分分配的最最大私有有SQL区大小小。在专专用服务务器操作作模式下下，该参参数不起起作用。。2．口令令策略参参数使用概要要文件可可以实现现如下三三种口令令策略：：（1）账账户的锁锁定账户锁定定策略是是指用户户在连续续输入多多少次错错误的口口令后，，将由Oracle自自动锁定定用户的的账户，，并且可可以设置置账户锁锁定的时时间。（2）口口令的过过期时间间口令过期期策略用用于强制制用户定定期修改改自己的的口令。。当口令令过期后后，Oracle将随随时提醒醒用户修修改口令令。如果果用户仍仍然不修修改自己己的口令令，Oracle将使使他的口口令失效效。（3）口令的的复杂度在概要文件中中可以通过指指定的函数来来强制用户的的口令必须具具有一定的复复杂度。以下为在概要要文件中使用用的各种口令令参数：①FAILED_LOGIN_ATTEMPTS：该参数数指定允许的的输入错误口口令的次数，，超过该次数数后用户账户户被自动锁定定。②PASSWORD_LOCK_TIME：该该参数指定用用户账户由于于口令输入错错误而被锁定定后，持续保保持锁定状态态的时间。③PASSWORD_LIFE_TIME：该该参数指定同同一个用户口口令可以持续续使用的时间间。如果在达达到这个限制制之前用户还还没有更换另另外一个口令令，他的口令令将失效。这这时必须由DBA为他重重新设置新的的口令。④PASSWORD_GRACE_TIME：：该参数指定定用户口令过过期的时间。。如果在达到到这个限制之之前用户还没没有更换另外外一个口令，，Oracle将对他提提出警告。在在口令过期之之后，用户在在达到PASSWORD_LIFE_TIME参数的限制制之前有机会会主动修改口口令。⑤PASSWORD_REUSE_TIME：：该参数指定定用户在能够够重复使用一一个口令前必必须经过的时时间。⑥PASSWORD_REUSE_MAX：该该参数指定用用户在能够重重复使用一个个口令之前必必须对口令进进行修改的次次数。PASSWORD_REUSE_TIME参数和PASSWORD_REUSE_MAX参数只只能设置一个个，而另一个个参数必须指指定为UNLIMITED。⑦PASSWORD_VERIFY_FUNCTION：：该参数指定定用于验证用用户口令复杂杂度的函数。。Oracle通过一个个内置脚本提提供了一个默默认函数用于于验证用户口口令的复杂度度，所有指定时间间的口令参数数都以天为单单位。修改数据库的的资源限制状状态有两种方方式：在数据库启动动之前，可以以通过设置初初始化参数RESOURCE_LIMIT来决决定资源限制制的状态。如如果RESOURCELIMIT参数设置为为TRUE，，启动数据库库后资源限制制将处于激活活状态；反之之如果RESOURCELIMIT参数设置置为FALSE，启动数数据库后资源源限制将处于于禁用状态。。默认情况下下，RESOURCE_LIMIT参数为FALSE。在数据库启动动之后（处于于打开状态）），可以使用用ALTERSYSTEM语句来来改变资源限限制的状态，，执行该语句句的用户必须须具有ALTERSYSTEM系系统权限。激激活和禁禁用资源限制制例如：利用下下面的语句可可以将资源限限制由禁用状状态切换到激激活状态：ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;如果在数据库库中使用了服服务器端初始始化参数文件件（SPFILE），在在使用ALTERSYSTEM语语句改变资源源限制的状态态时，可以选选择在初始化化参数文件中中修改记录（（默认的ALTERSYSTEM语句将使用用SCOPE=BOTH子句），这这样在下一次次启动数据库库时修改仍然然有效。1．创建概要要文件2．修改概要要文件管管理概要要文件3．删除概要要文件4．指定概要要文件5．设置组合合资源限制1．创建概要要文件使用CREATEPROFILE语句可以创创建概要文件件，执行该语语句的用户必必须具有CREATEPROFILE系统权权限。DBA可以根根据需要使用用下面的语句句来修改DEFAULT概要文件中中的参数设置置：ALTERPROFILEDEFAULTLIMIT...;要修改DEFAULT概概要文件，用用户必须具有有ALTERPROFILE系统统权限。任何何用户都不能能删除DEFAULT概概要文件。2．修改概要要文件概要文件在创创建之后，可可以使用ALTERPROFILE语句来修修改其中的资资源参数和口口令参数，执执行该语句的的用户必须具具有ALTERPROFILE系系统权限。例如：利用下下面的语句对对概要文件ACCOUNTING_USER进进行修改：ALTERPROFILEACCOUNTINGUSERLIMITCPU_PER_CALLDEFAULTLOGICAL_READS_PER_SESSION2000000;3．删除概要要文件使用DROPPROFILE语句句可以删除概概要文件，执执行该语句的的用户必须具具有DROPPROFILE系统统权限。如果果要删除的概概要文件已经经指定给了用用户，则必须须在DROPPROFILE语句句中使用CASCADE关键字。例如：利用下下面的语句可可以删除ACCOUNTING_USER概要要文件：DROPPROFILEACCOUNTING_USERCASCADE;如果为用户所所指定的概要要文件己经被被删除，Oracle将将自动为用户户重新指定DEFAULT概要文件件。4．指定概要要文件在使用CREATEUSER语句句创建用户时时，可以通过过PROFILE子句为为新建用户指指定概要文件件。另外，在在使用ALTERUSER语句修修改用户时也也可以为他指指定概要文件件。例如：