Oracle数据库安全管理

第10章安全管理主要内容Oracle数据库安全性概述用户管理权限管理角色管理概要文件管理审计利用OEM进行安全管理本章要求了解Oracle数据库安全机制掌握用户管理掌握权限管理掌握角色管理了解概要文件的作用及其应用了解审计及其应用10.1数据库安全性概述数据库的安全性主要包括两个方面的含义：一方面是防止非法用户对数据库的访问，未授权的用户不能登录数据库；另一方面是每个数据库用户都有不同的操作权限，只能进行自己权限范围内的操作。Oracle数据安全控制机制用户管理权限管理角色管理表空间设置和配额用户资源限制数据库审计Oracle数据库的安全可以分为两类：系统安全性系统安全性是指在系统级控制数据库的存取和使用的机制，包括有效的用户名与口令的组合、用户是否被授权可连接数据库、用户创建数据库对象时可以使用的磁盘空间大小、用户的资源限制、是否启动了数据库审计功能，以及用户可进行哪些系统操作等。数据安全性数据安全性是指在对象级控制数据库的存取和使用机制，包括用户可存取的模式对象和在该对象上允许进行的操作等。10.2用户管理用户管理概述创建用户修改用户删除用户查询用户信息10.2.1用户管理概述Oracle数据库初始用户

SYS：是数据库中具有最高权限的数据库管理员，可以启动、修改和关闭数据库，拥有数据字典；

SYSTEM：是一个辅助的数据库管理员，不能启动和关闭数据库，但可以进行其他一些管理工作，如创建用户、删除用户等。SCOTT：是一个用于测试网络连接的用户，其口令为TIGER。PUBLIC：实质上是一个用户组，数据库中任何一个用户都属于该组成员。要为数据库中每个用户都授予某个权限，只需把权限授予PUBLIC就可以了。用户属性用户身份认证方式默认表空间临时表空间表空间配额概要文件账户状态用户身份认证方式数据库身份认证：数据库用户口令以加密方式保存在数据库内部，当用户连接数据库时必须输入用户名和口令，通过数据库认证后才可以登录数据库。外部身份认证：当使用外部身份认证时，用户的账户由Oracle数据库管理，但口令管理和身份验证由外部服务完成。外部服务可以是操作系统或网络服务。当用户试图建立与数据库的连接时，数据库不会要求用户输入用户名和口令，而从外部服务中获取当前用户的登录信息。全局身份认证：：当用户试图建立与数据库连接时，Oracle使用网络中的安全管理服务器（OracleEnterpriseSecurityManager）对用户进行身份认证。Oracle的安全管理服务器可以提供全局范围内管理数据库用户的功能。

默认表空间当用户在创建数据库对象时，如果没有显式地指明该对象在哪个表空间中存储，系统会自动将该数据库对象存储在当前用户的默认表空间中。如果没有为用户指定默认表空间，则系统将数据库的默认表空间作为用户的默认表空间。临时表空间当用户进行排序、汇总和执行连接、分组等操作时，系统首先使用内存中的排序区SORT_AREA_SIZE，如果该区域内存不够，则自动使用用户的临时表空间。在Oracle10g中，如果没有为用户指定临时表空间，则系统将数据库的默认临时表空间作为用户的临时表空间。表空间配额额表空间配额额限制用户户在永久表表空间中可可以使用的的存储空间间的大小，，默认情况况下，新建建用户在任任何表空间间中都没有有任何配额额。用户在临时时表空间中中不需要配配额。概要文件每个用户都都必须有一一个概要文文件，从会会话级和调调用级两个个层次限制制用户对数数据库系统统资源的使使用，同时时设置用户户的口令管管理策略。。如果没有有为用户指指定概要文文件，Oracle将为用户自自动指定DEFAULT概要文件。。账户户状状态态在创创建建用用户户的的同同时时，，可可以以设设定定用用户户的的初初始始状状态态，，包包括括用用户户口口令令是是否否过过期期以以及及账账户户是是否否锁锁定定等等。。Oracle允许许任任何何时时候候对对帐帐户户进进行行锁锁定定或或解解锁锁。。锁锁定定账账户户后后，，用用户户就就不不能能与与Oracle数据据库库建建立立连连接接，，必必须须对对账账户户解解锁锁后后才才允允许许用用户户访访问问数数据据库库。。10.2.2.创建用户户基本语法法CREATEUSERuser_nameIDENTIFIED[BYpassword|EXTERNALLY|GLOBALLYAS'external_name'][DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtemp_tablesapce_name][QUOTAnK|M|UNLIMITEDONtablespace_name][PROFILEprofile_name][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];参数说明明user_name：用于设置置新建用用户名，在数据库库中用户户名必须须是唯一一的；IDENTIFIED：用于指指明用户户身份认认证方式式；BYpassword：用于设设置用户户的数据据库身份份认证，，其中password为用户口口令；EXTERNALLY：用于设设置用户户的外部部身份认认证；GLOBALLYAS'external_name'：用于设设置用户户的全局局身份认认证，其其中external_name为Oracle的安全管管理服务务器相关关信息；DEFAULTTABLESPACE：用于设设置用户户的默认认表空间间，如果果没有指指定，Oracle将数据库库默认表表空间作作为用户户的默认认表空间间；TEMPORARYTABLESPACE：用于设设置用户户的临时时表空间间；QUOTA：用于指指定用户户在特定定表空间间上的配配额，即即用户在在该表空空间中可可以分配配的最大大空空间；；PROFILE：用于为为用户指指定概要要文件，，默认值值为DEFAULT，采用系系统默认认的概要要文件；；PASSWORDEXPIRE：用于设设置用户户口令的的初始状状态为过过期，用用户在首首次登录录数据库库时必须须修改口口令；ACCOUNTLOCK：用于设设置用户户初始状状态为锁锁定，默默认为不不锁定；；ACCOUNTUNLOCK：用于设设置用户户初始状状态为不不锁定或或解除用用户的锁锁定状态态注意在创建新新用户后后，必须须为用户户授予适适当的权权限，用用户才可可以进行行相应的的数据库库操作。。例如，，授予用用户CREATESESSION权限后，，用户才才可以连连接到数数据库。。创建数据据库用户户示例创建一个个用户user3，口令为为user3，默认表表空间为为USERS，在该表表空间的的配额为为10MB，初始状状态为锁锁定。CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEUSERSQUOTA10MONUSERSACCOUNTLOCK;创建一个个用户user4，口令为为user4，默认表表空间为为USERS，在该表表空间的的配额为为10MB。口令设设置为过过期状态态，即首首次连接接数据库库时需要要修改口口令。概概要文件件为example_profile（假设该该概要文文件已经经创建））。CREATEUSERuser4IDENTIFIEDBYuser4DEFAULTTABLESPACEUSERSQUOTA10MONUSERSPROFILEexample_profilePASSWORDEXPIRE;基本语法法ALTERUSERuser_name[IDENTIFIED][BYpassword|EXTERNALLY|GLOBALLYAS'external_name'][DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtemp_tablesapce_name][QUOTAnK|M|UNLIMITEDONtablespace_name][PROFILEprofile_name][DEFAULTROLErole_list|ALL[EXCEPTrole_list]|NONE][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];10.2.3修改用用户参数说说明role_list：角色色列表表；ALL：表示示所有有角色色；EXCEPTrole_list：表示示除了了role_list列表中中的角角色之之外的的其他他角色色；NONE：表示示没有有默认认角色色。注意，，指定定的角角色必必须是是使用用GRANT命令直直接授授予该该用户户的角角色。。修改数数据库库用户户示例例将用户户user3的口令令修改改为newuser3，同时时将该该用户户解锁锁。ALTERUSERuser3IDENTIFIEDBYnewuser3ACCOUNTUNLOCK;修改用用户user4的默认认表空空间为为ORCLTBS1，在该该表空空间的的配额额为20MB，在USERS表空间间的配配额为为10MB。ALTERUSERuser4DEFAULTTABLESPACEORCLTBS1QUOTA20MONORCLTBS1QUOTA10MONUSERS;用户的锁定定与解锁某个用户暂暂时离开工工作某个用户永永久离开工工作DBA创建的特殊殊用户帐户户示例ALTERUSERuser3ACCOUNTLOCK;ALTERUSERuser3ACCOUNTUNLOCK;10.2.4删除用户基本语法DROPUSERuser_name[CASCADE];步骤先删除用户户所拥有的的对象再删除用户户将参照该用用户对象的的其他数据据库对象标标志为INVALID10.2.5查询用户信信息ALL_USERS：包含数据据库所有用用户的用户户名、用户户ID和用户创建建时间。DBA_USERS：包含数据据库所有用用户的详细细信息。USER_USERS：包含当前用用户的详细信信息。DBA_TS_QUOTAS：包含所有用用户的表空间间配额信息。。USER_TS_QUOTAS：包含当前用用户的表空间间配额信息。。V$SESSION：包含用户会会话信息。V$OPEN_CURSOR：包含用户执执行的SQL语句信息。查看数据库所所有用户名及及其默认表空空间。SELECTSERNAME,DEFAULT_TABLESPACEFROMDBA_USERS;查看数据库中中各用户的登登录时间、会会话号。SELECTSID,SERIAL#,LOGON_TIME,USERNAMEFROMV$SESSION;10.3权限管理权限管理概述述系统权限管理理对象权限管理理查询权限信息息10.3.1权限管理概述述概念所谓权限就是是执行特定类类型SQL命令或访问其其他用户的对对象的权利。。用户在数据据库中可以执执行什么样的的操作，以及及可以对哪些些对象进行操操作，完全取取决于该用户户所拥有的权权限。分类系统权限：系系统权限是指指在数据库级级别执行某种种操作的权限限，或针对某某一类对象执执行某种操作作的权限。例例如，CREATESESSION权限、CREATEANYTABLE权限。对象权限：对对象权限是指指对某个特定定的数据库对对象执行某种种操作的权限限。例如，对特定表的的插入、删除除、修改、查查询的权限。。授权方法直接授权：利利用GRANT命令直接为用用户授权。间接授权：先先将权限授予予角色，然后后再将角色授授予用户。10.3.2系统权限管理理系统权限分类类系统权限的授授权系统权限的回回收（1）系统权限分分类一类是对数据据库某一类对对象的操作能能力，通常带带有ANY关键字。例如如，CREATEANYINDEX，ALTERANYINDEX，DROPANYINDEX。另一类系统权权限是数据库库级别的某种种操作能力。。例如，CREATESESSION。（2）系统权限的的授权语法为GRANTsys_priv_listTOuser_list|role_list|PUBLIC[WITHADMINOPTION];参数说明：sys_priv_list：表示系统权权限列表，以逗号分隔；user_list：表示用户列列表，以逗号分隔；role_list：表示角色列列表，以逗号号分隔；PUBLIC：表示对系统统中所有用户户授权；WITHADMINOPTION：表示允许系系统权限接收收者再把此权权限授予其他他用户。系统权限授予予时需要注意意的几点：只有DBA才应当拥有ALTERDATABASE系统权限。应用程序开发发者一般需要要拥有CREATETABLE、CREATEVIEW和CREATEINDEX等系统权限。。普通用户一般般只具有CREATESESSION系统权限。只有授权时带带有WITHADMINOPTION子句时，用户户才可以将获获得的系统权权限再授予其其他用户，即即系统权限的的传递性。为PUBLIC用户组授予CREATESESSION系统权限。GRANTCREATESESSIONTOPUBLIC;为用户user1授予CREATESESSION，CREATETABLE，CREATEINDEX系统权限。GRANTCREATESESSION,CREATETABLE,CREATEVIEWTOuser1;为用户user2授予CREATESESSION，CREATETABLE，CREATEINDEX系统权限。user2获得权限后，，为用户user3授予予CREATETABLE权限限。。GRANTCREATESESSION,CREATETABLE,CREATEVIEWTOuser2WITHADMINOPTION;CONNECTuser2/user2@ORCLGRANTCREATETABLETOuser3;语法法为为REVOKEsys_priv_listFROMuser_list|role_list|PUBLIC;;注意意事事项项多个个管管理理员员授授予予用用户户同同一一个个系系统统权权限限后后，，其其中中一一个个管管理理员员回回收收其其授授予予该该用用户户的的系系统统权权限限时时，，该该用用户户将将不不再再拥拥有有相相应应的的系系统统权权限限。。为了了回回收收用用户户系系统统权权限限的的传传递递性性（（授授权权时时使使用用了了WITHADMINOPTION子句句）），，必必须须先先回回收收其其系系统统权权限限，，然然后后再再授授予予其其相相应应的的系系统统权权限限。。如果果一一个个用用户户获获得得的的系系统统权权限限具具有有传传递递性性，，并并且且给给其其他他用用户户授授权权，，那那么么该该用用户户系系统统权权限限被被回回收收后后，，其其他他用用户户的的系系统统权权限限并并不不受受影影响响。。（3）系统统权限限的回回收10.3对象权权限管管理对象权权限分分类对象权权限的的授权权对象权权限的的回收收（1）对象象权限限分类类在Oracle数据库库中共共有9种类型型的对对象权权限，，不同同类型型的模模式对对象有有不同同的对对象权权限，，而有有的对对象并并没有有对象象权限限，只只能通通过系系统权权限进进行控控制，，如簇簇、索索引、、触发发器、、数据据库链链接等等。对象权限适合对象对象权限功能说明SELECT表、视图、序列查询数据操作UPDATE表、视图更新数据操作DELETE表、视图删除数据操作INSERT表、视图插入数据操作REFERENCES表在其他表中创建外键时可以引用该表EXECUTE存储过程、函数、包执行PL/SQL存储过程、函数和包READ目录读取目录ALTER表、序列修改表或序列结构INDEX表为表创建索引ALL具有对象权限的所有模式对象某个对象所有对象权限操作集合（2）对象权限限的授权语法GRANTobj_priv_list|ALLON[schema.]objectTOuser_list|role_list[WITHGRANTOPTION];参数说明obj_priv_list：表示对象象权限列表表，以逗号号分隔；[schema.]object：表示指定定的模式对对象，默认认为当前模模式中的对对象；user_list：表示用户户列表，以以逗号分隔隔；role_list：表示角色色列表，以以逗号分隔隔；WITHGRANTOPTION：表示允许许对象权限限接收者把把此对象权权限授予其其他用户。。将scott模式下的emp表的SELECT，UPDATE，INSERT权限授予user1用户。GRANTSELECT,INSERT,UPDATEONscott.empTOuser1;将scott模式下的emp表的SELECT，UPDATE，INSERT权限授予予user2用户。user2用户再将将emp表的SELECT，UPDATE权限授予予user3用户。GRANTSELECT,INSERT,UPDATEONscott.empTOuser2WITHGRANTOPTION;CONNECTuser2/user2@ORCLGRANTSELECT,UPDATEONscott.empTOuser3;语法REVOKEobj_priv_list|ALLON[schema.]objectFROMuser_list|role_list;注意事项项多个管理理员授予予用户同同一个对对象权限限后，其其中一个个管理员员回收其其授予该该用户的的对象权权限时，，该用户户不再拥拥有相应应的对象象权限。。为了回收收用户对对象权限限的传递递性（授授权时使使用了WITHGRANTOPTION子句），必须须先回收其对对象权限，然然后再授予其其相应的对象象权限。如果一个用户户获得的对象象权限具有传传递性（授权权时使用了WITHGRANTOPTION子句），并且且给其他用户户授权，那么么该用户的对对象权限被回回收后，其他他用户的对象象权限也被回回收。（3）对象权限的的回收WITHADMINOPTION当甲用户授权权给乙用户，，且激活该选选项，则被授授权的乙用户户具有管理该该权限的能力力：或者能把把得到的权限限再授给其他他用户丙，或或者能回收授授出去的权限限。当甲用户收回回乙用户的权权限后，乙用用户曾经授给给丙用户的权权限仍然存在在与WITHGRANTOPTION比较当甲用户授权权给乙用户，，且激活该选选项，则被授授权的乙用户户具有管理该该权限的能力力：或者能把把得到的权限限再授给其他他用户丙，或或者能回收授授出去的权限限。当甲甲用用户户收收回回乙乙用用户户的的权权限限后后，，乙乙用用户户曾曾经经授授给给丙丙用用户户的的权权限限也也被被回回收收。。WITHADMINOPTIONDBAGRANTREVOKEJeffEmiJeffEmiDBAGRANTREVOKEWITHGRANTOPTIONBobJeffEmiEmiJeffBob10.3.4查询询权权限限信信息息DBA_TAB_PRIVS：包含含数数据据库库所所有有对对象象的的授授权权信信息息ALL_TAB_PRIVS：包含含数数据据库库所所有有用用户户和和PUBLIC用户户组组的的对对象象授授权权信信息息USER_TAB_PRIVS：包含含当当前前用用户户对对象象的的授授权权信信息息DBA_COL_PRIVS：包含含所所有有字字段段已已授授予予的的对对象象权权限限ALL_COL_PRIVS：包含含所所有有字字段段已已授授予予的的对对象象权权限限信信息息USER_COL_PRIVS：包含含当当前前用用户户所所有有字字段段已已授授予予的的对对象象权权限限信信息息。。DBA_SYS_PRIVS：包包含含授授予予用用户户或或角角色色的的系系统统权权限限信信息息USER_SYS_PRIVS：包包含含授授予予当当前前用用户户的的系系统统权权限限信信。。10.4角色色管管理理Oracle数据据库库角角色色概概述述预定定义义角角色色自定定义义角角色色利用用角角色色进进行行权权限限管管理理查询询角角色色信信息息10.4.1Oracle数据据库库角角色色概概述述角色色的的概概念念所谓角色色就是一一系列相相关权限限的集合合10.4.2预定义角角色预定义角角色概述述预定义角角色是指指在Oracle数据库创建建时由系统统自动创建建的一些常常用的角色色，这些角角色已经由由系统授予予了相应的的权限。DBA可以直接利利用预定义义的角色为为用户授权权，也可以以修改预定定义角色的的权限。Oracle数据库中有有30多个预定义义角色。可以通过数数据字典视视图DBA_ROLES查询询当当前前数数据据库库中中所所有有的的预预定定义义角角色色，，通通过过DBA_SYS_PRIVS查询询各各个个预预定定义义角角色色所所具具有有的的系系统统权权限限。。角色角色具有的部分权限CONNECTCREATESESSIONRESOURCECREATECLUSTER，CREATEOPERATOR，CREATETRIGGER，CREATETYPE，CREATESEQUENCE，CREATEINDEXTYPE，CREATEPROCEDURE，CREATETABLEDBAADMINISTERDATABSETRIGGER，ADMINISTERRESOURCEMANAGE，CREATE…，CREATEANY…，ALTER…，ALTERANY…，DROP…，DROPANY…，EXECUTE…，EXECUTEANY…EXP_FULL_DATABASEADMINISTERRESOURCEMANAGE，BACKUPANYTABLE，EXECUTEANYPROCEDURE，SELECTANYTABLE，EXECUTEANYTYPEIMP_FULL_DATABASEADMINISTERDATABSETRIGGER，ADMINISTERRESOURCEMANAGE，CREATEANY…，ALTERANY…，DROP…，DROPANY…，EXECUTEANY…10.4.3自定定义义角角色色创建建角角色色角色色权权限限的的授授予予与与回回收收修改改角角色色角色色的的生生效效与与失失效效删除除角角色色（1）创创建建角角色色语法法为为CREATEROLErole_name[NOTIDENTIFIED][IDENTIFIEDBYpassword];参数数说说明明role_name：用用于于指指定定自自定定义义角角色色名名称称，，该该名名称称不不能能与与任任何何用用户户名名或或其其他他角角色色相相同同；；NOTIDENTIFIED：用用于于指指定定该该角角色色由由数数据据库库授授权权，，使使该该角角色色生生效效时时不不需需要要口口令令；；IDENTIFIEDBYpassword：用用于于设设置置角角色色生生效效时时的的认认证证口口令令。。例如如，，创创建建不不同同类类型型的的角角色色。。CREATEROLEhigh_manager_role;CREATEROLEmiddle_manager_roleIDENTIFIEDBYmiddlerole;CREATEROLElow_manager_roleIDENTIFIEDBYlowrole;（2）角角色色权权限限的的授授予予与与回回收收说明明给角角色色授授予予适适当当的的系系统统权权限限、、对对象象权权限限或或已已有有角角色色。。在数数据据库库运运行行过过程程中中，，可可以以为为角角色色增增加加权权限限，，也也可可以以回回收收其其权权限限。。给角角色色授授权权时时应应该该注注意意，，一一个个角角色色可可以以被被授授予予另另一一个个角角色色，，但但不不能能授授予予其其本本身身，，不不能能产产生生循循环环授授权权。。示例GRANTCONNECT,CREATETABLE,CREATEVIEWTOlow_manager_role;GRANTCONNECT,CREATETABLE,CREATEVIEWTOmiddle_manager_role;GRANTCONNECT,RESOURCE,DBATOhigh_manager_role;GRANTSELECT,UPDATE,INSERT,DELETEONscott.empTOhigh_manager_role;REVOKECONNECTFROMlow_manager_role;REVOKECREATETABLE,CREATEVIEWFROMmiddle_manager_role;REVOKEUPDATE,DELETE,INSERTONscott.empFROMhigh_manager_role;（3）修改角角色概念修改角色色是指修修改角色色生效或或失效时时的认证证方式，，也就是是说，是是否必须须经过Oracle确认才允允许对角角色进行行修改。。修改角色色的语法法ALTERROLErole_name[NOTIDENTIFIED]|[IDENTIFIEDBYpassword]；示例ALTERROLEhigh_manager_roleIDENTIFIEDBYhighrole;ALTERROLEmiddle_manager_roleNOTIDENTIFIED;（4）角色色的生生效与与失效效概念所谓角角色的的失效效是指指角色色暂时时不可可用。。当一一个角角色生生效或或失效效时，，用户户从角角色中中获得得的权权限也也生效效或失失效。。因此此，通通过设设置角角色的的生效效或失失效，，可以以动态态改变变用户户的权权限。。在进行行角色色生效效或失失效设设置时时，需需要输输入角角色的的认证证口令令，避避免非非法设设置。。语法SETROLE[role_name[IDENTIFIEDBYpassword]]|[ALL[EXCEPTrole_name]]|[NONE];参数说说明role_name：表示进进行生生效或或失效效设置置的角角色名名称；IDENTIFIEDBYpassword：用于设设置角角色生生效或或失效效时的的认证证口令令；ALL：表示示使当当前用用户所所有角角色生生效；；EXCEPTrole_name：表示除除了特特定角角色外外，其余余所所有有角角色色生生效效；NONE：表表示示使使当当前前用用户户所所有有角角色色失失效效。。示例例SETROLENONE;SETROLEhigh_manager_roleIDENTIFIEDBYhighrole;SETROLEmiddle_manager_role,low_manager_lowIDENTIFIEDBYlowrole;SETROLEALLEXCEPTlow_manager_role,middle_manager_role;（5）删删除除角角色色语法法结结构构DROPROLErole_name;说明明如果果某某个个角角色色不不再再需需要要，，则则可可以以使使用用DROPROLE语句删除角色色。角色被删删除后，用户户通过该角色色获得的权限限被回收。10.4.4利用角色进行行权限管理给用户或角色色授予角色从用户或角色色回收角色用户角色的激激活或屏蔽（1）给用户或角角色授予角色色语法GRANTrole_listTOuser_list|role_list；例如，将CONNECT，high_manager_role角色授予用户户user1，将RESOURCE，CONNECT角色授予角色色middle_manager_role。GRANTCONNECT,high_manager_roleTOuser1;GRANTRESOURCE,CONNECTTOmiddle_manager_role;（2）从用户或角角色回收角色色语法为REVOKErole_listFROMuser_list|role_list；例如，回收角角色middle_manager_role的RESOURCE，CONNECT角色。SQL>REVOKERESOURCE,CONNECTFROMmiddle_manager_role;（3）用户角色的的激活或屏蔽蔽语法为ALTERUSERuser_nameDEFAULTROLE[role_name]|[ALL[EXCEPTrole_name]]|[NONE];示例ALTERUSERuser1DEFAULTROLENONE;ALTERUSERuser1DEFAULTROLECONNECT,DBA;ALTERUSERuser1DEFAULTROLEALL;ALTERUSERuser1DEFAULTROLEALLEXCEPTDBA;10.4.5查询角色信息息DBA_ROLES：包含数据库中中所有角色及及其描述；DBA_ROLE_PRIVS：包含为数据库库中所有用户户和角色授予予的角色信息息；USER_ROLE_PRIVS：包含为当前前用户授予的的角色信息；；ROLE_ROLE_PRIVS：为角色授予予的角色信息息；ROLE_SYS_PRIVS：为角色授予予的系统权限限信息；ROLE_TAB_PRIVS：为角色授予予的对象权限限信息；SESSION_PRIVS：当前会话所所具有的系统统权限信息；；SESSION_ROLES：当前会话所所具有的角色色信息。。查询角色CONNECT所具有的系统统权限信息。。SELECT*FROMROLE_SYS_PRIVSWHEREROLE='CONNECT';查询DBA角色被授予的的角色信息。。SELECT*FROMROLE_ROLE_PRIVSWHEREROLE='DBA';10.5概要文件管理理概要文件概述述概要文件中参参数介绍概要文件的管管理10.5.1概要文件概述述概要文件的作作用资源限制级别别和类型启用或停用资资源限制（1）概要文文件的作作用概要文件件（PROFILE）是数据据库和系系统资源源限制的的集合，，是Oracle数据库安安全策略略的重要要组成部部分。利用概要要文件，，可以限限制用户户对数据据库和系系统资源源的使用用，同时时还可以以对用户户口令进进行管理理。。在Oracle数据库创创建的同同时，系系统会创创建一个个名为DEFAULT的默认概概要文件件。如果果没有为为用户显显式地指指定一个个概要文文件，系系统默认认将DEFAULT概要文件件作为用用户的概概要文件件。（2）资源限限制级别别和类型型资源限制制级别会话级资资源限制制：对用用户在一一个会话话过程中中所能使使用的资资源进行行限制。。调用级资资源限制制：对一一条SQL语句在执执行过程程中所能能使用的的资源进进行限制制。资源限制制类型CPU使用时间间；逻辑读；每个用户户的并发发会话数数；用户连接接数据库库的空闲闲时间；用户连接接数据库库的时间间；私有SQL区和PL/SQL区的使用用。（3）启用或或停用资资源限制制在数据库启动动前启用或停停用资源限制制将数据库初始始化参数文件件中的参数RESOURCE_LIMIT的值设置为TRUE或FALSE（默认），来来启用或停用用系统资源限限制。在数据库启动动后启用或停停用资源限制制使用ALTERSYSTEM语句修改RESOURCE_LIMIT的参数值为TRUE或FALSE，来启动或关关闭系统资源源限制。ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;10.5.2概要文件中参参数资源限制参数数口令管理参数数（1）资源限制参参数CPU_PER_SESSION：限制用户在在一次会话期期间可以占用用的CPU时间总量，单单位为百分之之一秒。当达达到该时间限限制后，用户户就不能在会会话中执行任任何操作了，，必须断开连连接，然后重重新建立连接接。CPU_PER_CALL：限制每个调调用可以占用用的CPU时间总量，单单位为百分之之一秒。当一一个SQL语句执行时间间达到该限制制后，该语句句以错误信息息结束。CONNECT_TIME：限制每个会会话可持续的的最大时间值值，单位为分分钟。当数据据库连接持续续时间超出该该设置时，连连接被断开。。IDLE_TIME：限制每个个会话处于于连续空闲闲状态的最最大时间值值，单位为为分钟。当当会话空闲闲时间超过过该设置时时，连接被被断开。SESSIONS_PER_USER：限制一个个用户打开开数据库会会话的最大大数量。LOGICAL_READS_PER_SESSION：允许一个个会话读取取数据块的的最大数量量，包括从从内存中读读取的数据据块和从磁磁盘中读取取的数据块块的总和。。LOGICAL_READS_PER_CALL：允许一个个调用读取取的数据块块的最大数数量，包括括从内存中中读取的数数据块和从从磁盘中读读取的数据据块的总和和。PRIVATE_SGA：在共享服服务器操作作模式中，，执行SQL语句或PL/SQL程序时，Oracle将在SGA中创建私有有SQL区。该参数数限制在SGA中一个会话话可分配私私有SQL区的最大值值。COMPOSITE_LIMIT：称为“综合资源限限制”，是一个用用户会话可可以消耗的的资源总限限额。该参参数由CPU_PER_SESSION，LOGICAL_READS_PER_SESSION，PRIVATE_SGA，CONNECT_TIME几个参数数综合决决定。（2）口令管管理参数数FAILED_LOGIN_ATTEMPTS：限制用用户在登登录Oracle数据库时时允许失失败的次次数。一一个用户户尝试登登录数据据库的次次数达到到该值时时，该用用户的账账户将被被锁定，，只有解解锁后才才可以继继续使用用。PASSWORD_LOCK_TIME：设定当当用户登登录失败败后，用用户账户户被锁定定的时间间长度。。PASSWORD_LIFE_TIME：设置用用户口令令的有效效天数。。达到限限制的天天数后，，该口令令将过期期，需要要设置新新口令。。PASSWORD_GRACE_TIME：用于设设定提示示口令过过期的天天数。在在这几天天中，用用户将接接收到一一个关于于口令过过期需要要修改口口令的警警告。当当达到规规定的天天数后，，原口令令过期。。PASSWORD_REUSE_TIME：指定一一个用户户口令被被修改后后，必须须经过多多少天后后才可以以重新使使用该口口令。PASSWORD_REUSE_MAX：指定一一个口令令被重新新使用前前，必须须经过多多少次修修改。PASSWORD_VERIFY_FUNCTION：设置口口令复杂杂性校验验函数。。该函数数会对口口令进行行校验，，以判断断口令是是否符合合最低复复杂程度度或其他他校验规规则。10.5.3概要文件件管理创建概要要文件将概要文文件分配配给用户户修改概要要文件删除概要要文件查询概要要文件（1）创建概概要文件件语法为CREATEPROFILEprofile_nameLIMITresource_parameters|password_parameters;参数说明明如下。。profile_name：用于指指定要创创建的概概要文件件名称；；resource_parameter：用于设设置资源源限制参参数，形形式为resource_parameter_nameinteger|UNLIMITED|DEFALUTpassword_parameters：用于设设置口令令参数，，形式为为password_parameter_nameinteger|UNLIMITED|DEFALUT创建一个个名为res_profile的概要文文件，要要求每个个用户最最多可以以创建4个并发会会话；每每个会话话持续时时间最长长为60分钟；如如果会话话在连续续20分钟内空空闲，则则结束会会话；每每个会话话的私有有SQL区为100KB；每个SQL语句占用用CPU时间总量量不超过过10秒。CREATEPROFILEres_profileLIMITSESSIONS_PER_USER4CONNECT_TIME60IDLE_TIME20PRIVATE_SGA100KCPU_PER_CALL100;创建一个个名为pwd_profile的概要文文件，如如果用户户连续4次登录失失败，则则锁定该该账户，，10天后该账账户自动动解锁。。CREATEPROFILEpwd_profileLIMITFAILED_LOGIN_ATTEMPTS4PASSWORD_LOCK_TIME10；（2）将概要要文件分分配给用用户可以在创创建用户户时为用用户指定定概要文文件CREATEUSERuser5IDENTIFIEDBYuser5PROFILEres_profile;也可以在修修改用户时时为用户指指定概要文文件。ALTERUSERuser5PROFILEpwd_profile;（3）修改概要要文件语法为ALTERPROFILEprofile_nameLIMITresource_parameters|password_parameters;注意对概要文件件的修改只只有在用户户开始一个个新的会话话时才会生生效。