第10章安全管理主要內容容Oracle數據庫安安全性概概述用戶管理理權限管理理角色管理概要文件件管理審計利用OEM進行安全全管理本章要求求了解Oracle數據庫安安全機制制掌握用戶戶管理掌握權限限管理掌握角色色管理了解概要要文件的的作用及及其應用用了解審計計及其應應用10.1數據庫安安全性概概述數據庫的的安全性性主要包包括兩個個方面的的含義：：一方面是是防止非非法用戶戶對數據據庫的訪訪問，未未授權的的用戶不不能登錄錄數據庫庫；另一方面面是每個個數據庫庫用戶都都有不同同的操作作權限，，只能進進行自己己權限范范圍內的的操作。。Oracle數據安全全控制機機制用戶管理理權限管理理角色管理理表空間設設置和配配額用戶資源源限制數據庫審審計Oracle數據庫的的安全可可以分為為兩類：：系統安全全性系統安全全性是指指在系統統級控制制數據庫庫的存取取和使用用的機制制，包括括有效的的用戶名名與口令令的組合合、用戶戶是否被被授權可可連接數數據庫、、用戶創創建數據據庫對象象時可以以使用的的磁盤空空間大小小、用戶戶的資源源限制、、是否啟啟動了數數據庫審審計功能能，以及及用戶可可進行哪哪些系統統操作等等。數據安全全性數據安全全性是指指在對象象級控制制數據庫庫的存取取和使用用機制，，包括用用戶可存存取的模模式對象象和在該該對象上上允許進進行的操操作等。。10.2用戶管理理用戶管理理概述創建用戶戶修改用戶戶刪除用戶戶查詢用戶戶信息10.2.1用戶管理理概述Oracle數據庫初初始用戶戶SYS：是數據據庫中具具有最高高權限的的數據庫庫管理員員，可以以啟動、、修改和和關閉數數據庫，，擁有數數據字典典；SYSTEM：是一個個輔助的的數據庫庫管理員員，不能能啟動和和關閉數數據庫，，但可以以進行其其他一些些管理工工作，如如創建用用戶、刪刪除用戶戶等。SCOTT：是一個個用于測測試網絡絡連接的的用戶，，其口令令為TIGER。PUBLIC：實質上上是一個個用戶組組，數據據庫中任任何一個個用戶都都屬于該該組成員員。要為為數據庫庫中每個個用戶都都授予某某個權限限，只需需把權限限授予PUBLIC就可以了了。用戶屬性性用戶身份份認證方方式默認表空空間臨時表空空間表空間配配額概要文件件賬戶狀態態用戶身份份認證方方式數據庫身身份認證證：數據據庫用戶戶口令以以加密方方式保存存在數據據庫內部部，當用用戶連接接數據庫庫時必須須輸入用用戶名和和口令，，通過數數據庫認認證后才才可以登登錄數據據庫。外部身份份認證：：當使用用外部身身份認證證時，用用戶的賬賬戶由Oracle數據庫管管理，但但口令管管理和身身份驗證證由外部部服務完完成。外外部服務務可以是是操作系系統或網網絡服務務。當用用戶試圖圖建立與與數據庫庫的連接接時，數數據庫不不會要求求用戶輸輸入用戶戶名和口口令，而而從外部部服務中中獲取當當前用戶戶的登錄錄信息。。全局身份份認證：：：當用戶戶試圖建建立與數數據庫連連接時，，Oracle使用網絡絡中的安安全管理理服務器器（OracleEnterpriseSecurityManager）對用戶戶進行身身份認證證。Oracle的安全管管理服務務器可以以提供全全局范圍圍內管理理數據庫庫用戶的的功能。。默認表空空間當用戶在在創建數數據庫對對象時，，如果沒沒有顯式式地指明明該對象象在哪個個表空間間中存儲儲，系統統會自動動將該數數據庫對對象存儲儲在當前前用戶的的默認表表空間中中。如果果沒有為為用戶指指定默認認表空間間，則系系統將數數據庫的的默認表表空間作作為用戶戶的默認認表空間間。臨時表空空間當用戶進進行排序序、匯總總和執行行連接、、分組等等操作時時，系統統首先使使用內存存中的排排序區SORT_AREA__SIZE，如果該該區域內內存不夠夠，則自自動使用用用戶的的臨時表表空間。。在Oracle10g中，如果果沒有為為用戶指指定臨時時表空間間，則系系統將數數據庫的的默認臨臨時表空空間作為為用戶的的臨時表表空間。。表空間配配額表空間配配額限制制用戶在在永久表表空間中中可以使使用的存存儲空間間的大小小，默認認情況下下，新建建用戶在在任何表表空間中中都沒有有任何配配額。用戶在臨臨時表空空間中不不需要配配額。概要文件件每個用戶戶都必須須有一個個概要文文件，從從會話級級和調用用級兩個個層次限限制用戶戶對數據據庫系統統資源的的使用，，同時設設置用戶戶的口令令管理策策略。如如果沒有有為用戶戶指定概概要文件件，Oracle將為用戶戶自動指指定DEFAULT概要文件件。賬戶狀態態在創建用用戶的同同時，可可以設定定用戶的的初始狀狀態，包包括用戶戶口令是是否過期期以及賬賬戶是否否鎖定等等。Oracle允許任何何時候對對帳戶進進行鎖定定或解鎖鎖。鎖定定賬戶后后，用戶戶就不能能與Oracle數據庫建建立連接接，必須須對賬戶戶解鎖后后才允許許用戶訪訪問數據據庫。10.2.2..創建用戶戶基本語法法CREATEUSERuser_nameIDENTIFIED[BYpassword||EXTERNALLY|GLOBALLYAS''external__name']][DEFAULTTABLESPACEtablespace__name][TEMPORARYTABLESPACEtemp_tablesapce_name]][QUOTAnK|M||UNLIMITEDONtablespace__name][PROFILEprofile_name]][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];;參數說明明user_name：用于設置置新建用用戶名，在數據庫庫中用戶戶名必須須是唯一一的；IDENTIFIED：用于指指明用戶戶身份認認證方式式；BYpassword：用于設設置用戶戶的數據據庫身份份認證，，其中password為用戶口口令；EXTERNALLY：用于設設置用戶戶的外部部身份認認證；GLOBALLYAS'external_name'：用于設設置用戶戶的全局局身份認認證，其其中external_name為Oracle的安全管管理服務務器相關關信息；DEFAULTTABLESPACE：用于設設置用戶戶的默認認表空間間，如果果沒有指指定，Oracle將數據庫庫默認表表空間作作為用戶戶的默認認表空間間；TEMPORARYTABLESPACE：用于設設置用戶戶的臨時時表空間間；QUOTA：用于指指定用戶戶在特定定表空間間上的配配額，即即用戶在在該表空空間中可可以分配配的最大大空空間；；PROFILE：用于為為用戶指指定概要要文件，，默認值值為DEFAULT，采用系系統默認認的概要要文件；；PASSWORDEXPIRE：用于設設置用戶戶口令的的初始狀狀態為過過期，用用戶在首首次登錄錄數據庫庫時必須須修改口口令；ACCOUNTLOCK：用于設設置用戶戶初始狀狀態為鎖鎖定，默默認為不不鎖定；；ACCOUNTUNLOCK：用于設設置用戶戶初始狀狀態為不不鎖定或或解除用用戶的鎖鎖定狀態態注意在創建新新用戶后后，必須須為用戶戶授予適適當的權權限，用用戶才可可以進行行相應的的數據庫庫操作。。例如，，授予用用戶CREATESESSION權限后，，用戶才才可以連連接到數數據庫。。創建數據據庫用戶戶示例創建一個個用戶user3，口令為為user3，默認表表空間為為USERS，在該表表空間的的配額為為10MB，初始狀狀態為鎖鎖定。CREATEUSERuser3IDENTIFIEDBYuser3DEFAULTTABLESPACEUSERSQUOTA10MONUSERSACCOUNTLOCK;創建一個個用戶user4，口令為為user4，默認表表空間為為USERS，在該表表空間的的配額為為10MB。口令設設置為過過期狀態態，即首首次連接接數據庫庫時需要要修改口口令。概概要文件件為example_profile（假設該該概要文文件已經經創建））。CREATEUSERuser4IDENTIFIEDBYuser4DEFAULTTABLESPACEUSERSQUOTA10MONUSERSPROFILEexample__profilePASSWORDEXPIRE;;基本語法法ALTERUSERuser__name[[IDENTIFIED][BYpassword||EXTERNALLY|GLOBALLYAS''external__name']][DEFAULTTABLESPACEtablespace__name][TEMPORARYTABLESPACEtemp_tablesapce_name]][QUOTAnK|M||UNLIMITEDONtablespace__name][PROFILEprofile_name]][DEFAULTROLErole__list|ALL[[EXCEPTrole_list]]|NONE][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];;10.2.3修改用戶戶參數說明明role_list：角色列列表；ALL：表示所所有角色色；EXCEPTrole_list：表示除除了role_list列表中的的角色之之外的其其他角色色；NONE：表示沒沒有默認認角色。。注意，指指定的角角色必須須是使用用GRANT命令直接接授予該該用戶的的角色。。修改數據據庫用戶戶示例將用戶user3的口令修修改為newuser3，同時將將該用戶戶解鎖。。ALTERUSERuser3IDENTIFIEDBYnewuser3ACCOUNTUNLOCK;修改用戶戶user4的默認表表空間為為ORCLTBS1，在該表表空間的的配額為為20MB，在USERS表空間的的配額為為10MB。ALTERUSERuser4DEFAULTTABLESPACEORCLTBS1QUOTA20MONORCLTBS1QUOTA10MONUSERS;;用戶的鎖鎖定與解解鎖某個用戶戶暫時離離開工作作某個用戶戶永久離離開工作作DBA創建的特特殊用戶戶帳戶示例ALTERUSERuser3ACCOUNTLOCK;;ALTERUSERuser3ACCOUNTUNLOCK;10.2.4刪除用戶戶基本語法法DROPUSERuser_name[CASCADE]];步驟先刪除用用戶所擁擁有的對對象再刪除用用戶將參照該該用戶對對象的其其他數據據庫對象象標志為為INVALID10.2.5查詢用戶戶信息ALL__USERS：包含數數據庫所所有用戶戶的用戶戶名、用用戶ID和用戶創創建時間間。DBA__USERS：包含數數據庫所所有用戶戶的詳細細信息。。USER_USERS：包含當當前用戶戶的詳細細信息。。DBA__TS__QUOTAS：包含所所有用戶戶的表空空間配額額信息。。USER_TS_QUOTAS：包含當當前用戶戶的表空空間配額額信息。。V$SESSION：包含用用戶會話話信息。。V$OPEN__CURSOR：包含用用戶執行行的SQL語句信息息。查看數據據庫所有有用戶名名及其默默認表空空間。SELECTSERNAME,DEFAULT_TABLESPACEFROMDBA_USERS;查看數據據庫中各各用戶的的登錄時時間、會會話號。。SELECTSID,,SERIAL#,LOGON_TIME,USERNAMEFROMV$$SESSION;10.3權限管理理權限管理理概述系統權限限管理對象權限限管理查詢權限限信息10.3.1權限管理理概述概念所謂權限限就是執執行特定定類型SQL命令或訪訪問其他他用戶的的對象的的權利。。用戶在在數據庫庫中可以以執行什什么樣的的操作，，以及可可以對哪哪些對象象進行操操作，完完全取決決于該用用戶所擁擁有的權權限。分類系統權限限：系統統權限是是指在數數據庫級級別執行行某種操操作的權權限，或或針對某某一類對對象執行行某種操操作的權權限。例例如，CREATESESSION權限、CREATEANYTABLE權限。對象權限限：對象象權限是是指對某某個特定定的數據據庫對象象執行某某種操作作的權限限。例如如，對特定定表的插插入、刪刪除、修修改、查查詢的權權限。授權方法法直接授權權：利用用GRANT命令直接接為用戶戶授權。。間接授權權：先將將權限授授予角色色，然后后再將角角色授予予用戶。。10.3.2系統權限限管理系統權限限分類系統權限限的授權權系統權限限的回收收（1）系統權權限分類類一類是對對數據庫庫某一類類對象的的操作能能力，通通常帶有有ANY關鍵字。。例如，，CREATEANYINDEX，ALTERANYINDEX，DROPANYINDEX。另一類系系統權限限是數據據庫級別別的某種種操作能能力。例例如，CREATESESSION。（2）系統權權限的授授權語法為GRANTsys__priv_listTOuser_list||role_list|PUBLIC[WITHADMINOPTION]];參數說明明：sys__priv_list：表示系系統權限限列表，以逗號分分隔；user_list：表示用用戶列表表，以逗號分分隔；role_list：表示角角色列表表，以逗逗號分隔隔；PUBLIC：表示對對系統中中所有用用戶授權權；WITHADMINOPTION：表示允允許系統統權限接接收者再再把此權權限授予予其他用用戶。系統權限限授予時時需要注注意的幾幾點：只有DBA才應當擁擁有ALTERDATABASE系統權限限。應用程序序開發者者一般需需要擁有有CREATETABLE、CREATEVIEW和CREATEINDEX等系統權權限。普通用戶戶一般只只具有CREATESESSION系統權限限。只有授權權時帶有有WITHADMINOPTION子句時，，用戶才才可以將將獲得的的系統權權限再授授予其他他用戶，，即系統統權限的的傳遞性性。為PUBLIC用戶組授授予CREATESESSION系統權限限。GRANTCREATESESSIONTOPUBLIC;;為用戶user1授予CREATESESSION，CREATETABLE，CREATEINDEX系統權限限。GRANTCREATESESSION,CREATETABLE,,CREATEVIEWTOuser1;;為用戶user2授予CREATESESSION，CREATETABLE，CREATEINDEX系統權限限。user2獲得權限限后，為為用戶user3授予CREATETABLE權限。GRANTCREATESESSION,CREATETABLE,,CREATEVIEWTOuser2WITHADMINOPTION;CONNECTuser2/user2@ORCLGRANTCREATETABLETOuser3;;語法為REVOKEsys_priv__listFROMuser__list|role_list||PUBLIC;;注意事項項多個管理理員授予予用戶同同一個系系統權限限后，其其中一個個管理員員回收其其授予該該用戶的的系統權權限時，，該用戶戶將不再再擁有相相應的系系統權限限。為了回收收用戶系系統權限限的傳遞遞性（授授權時使使用了WITHADMINOPTION子句），，必須先先回收其其系統權權限，然然后再授授予其相相應的系系統權限限。如果一個個用戶獲獲得的系系統權限限具有傳傳遞性，，并且給給其他用用戶授權權，那么么該用戶戶系統權權限被回回收后，，其他用用戶的系系統權限限并不受受影響。。（3）系統權權限的回回收10.3對象權限限管理對象權限限分類對象權限限的授權權對象權限限的回收收（1）對象權權限分類類在Oracle數據庫中中共有9種類型的的對象權權限，不不同類型型的模式式對象有有不同的的對象權權限，而而有的對對象并沒沒有對象象權限，，只能通通過系統統權限進進行控制制，如簇簇、索引引、觸發發器、數數據庫鏈鏈接等。。對象權限適合對象對象權限功能說明SELECT表、視圖、序列查詢數據操作UPDATE表、視圖更新數據操作DELETE表、視圖刪除數據操作INSERT表、視圖插入數據操作REFERENCES表在其他表中創建外鍵時可以引用該表EXECUTE存儲過程、函數、包執行PL/SQL存儲過程、函數和包READ目錄讀取目錄ALTER表、序列修改表或序列結構INDEX表為表創建索引ALL具有對象權限的所有模式對象某個對象所有對象權限操作集合（2）對象權權限的授授權語法GRANTobj__priv_list|ALLON[[schema.]objectTOuser_list||role_list[WITHGRANTOPTION];;參數說明明obj__priv_list：表示對對象權限限列表，，以逗號號分隔；；[schema.]object：表示指指定的模模式對象象，默認認為當前前模式中中的對象象；user_list：表示用用戶列表表，以逗逗號分隔隔；role_list：表示角角色列表表，以逗逗號分隔隔；WITHGRANTOPTION：表示允允許對象象權限接接收者把把此對象象權限授授予其他他用戶。。將scott模式下的的emp表的SELECT，UPDATE，INSERT權限授予予user1用戶。GRANTSELECT,,INSERT,UPDATEONscott.empTOuser1;;將scott模式下的的emp表的SELECT，UPDATE，INSERT權限授予予user2用戶。user2用戶再將將emp表的SELECT，UPDATE權限授予予user3用戶。GRANTSELECT,,INSERT,UPDATEONscott.empTOuser2WITHGRANTOPTION;;CONNECTuser2/user2@ORCLGRANTSELECT,,UPDATEONscott.empTOuser3;語法REVOKEobj_priv__list||ALLON[[schema.]objectFROMuser_list||role_list;注意事項項多個管理理員授予予用戶同同一個對對象權限限后，其其中一個個管理員員回收其其授予該該用戶的的對象權權限時，，該用戶戶不再擁擁有相應應的對象象權限。。為了回收收用戶對對象權限限的傳遞遞性（授授權時使使用了WITHGRANTOPTION子句），，必須先先回收其其對象權權限，然然后再授授予其相相應的對對象權限限。如果一個個用戶獲獲得的對對象權限限具有傳傳遞性（（授權時時使用了了WITHGRANTOPTION子句），，并且給給其他用用戶授權權，那么么該用戶戶的對象象權限被被回收后后，其他他用戶的的對象權權限也被被回收。。（3）對象權權限的回回收WITHADMINOPTION當甲用戶戶授權給給乙用戶戶，且激激活該選選項，則則被授權權的乙用用戶具有有管理該該權限的的能力：：或者能能把得到到的權限限再授給給其他用用戶丙，，或者能能回收授授出去的的權限。。當甲用戶戶收回乙乙用戶的的權限后后，乙用用戶曾經經授給丙丙用戶的的權限仍仍然存在在與WITHGRANTOPTION比較當甲用戶戶授權給給乙用戶戶，且激激活該選選項，則則被授權權的乙用用戶具有有管理該該權限的的能力：：或者能能把得到到的權限限再授給給其他用用戶丙，，或者能能回收授授出去的的權限。。當甲用戶戶收回乙乙用戶的的權限后后，乙用用戶曾經經授給丙丙用戶的的權限也也被回收收。WITHADMINOPTIONDBAGRANTREVOKEJeffEmiJeffEmiDBAGRANTREVOKEWITHGRANTOPTIONBobJeffEmiEmiJeffBob10.3.4查詢權限限信息DBA__TAB_PRIVS：包含數據據庫所有有對象的的授權信信息ALL_TAB__PRIVS：包含數據據庫所有有用戶和和PUBLIC用戶組的的對象授授權信息息USER_TAB_PRIVS：包含當前前用戶對對象的授授權信息息DBA__COL_PRIVS：包含所有有字段已已授予的的對象權權限ALL__COL_PRIVS：包含所有有字段已已授予的的對象權權限信息息USER_COL_PRIVS：包含當前前用戶所所有字段段已授予予的對象象權限信信息。DBA__SYS_PRIVS：包含授授予用戶戶或角色色的系統統權限信信息USER_SYS_PRIVS：包含授授予當前前用戶的的系統權權限信。。10.4角色管理理Oracle數據庫角角色概述述預定義角角色自定義角角色利用角色色進行權權限管理理查詢角色色信息10.4.1Oracle數據庫角角色概述述角色的概概念所謂角色色就是一一系列相相關權限限的集合合10.4.2預定義角角色預定義角角色概述述預定義角角色是指指在Oracle數據庫創創建時由由系統自自動創建建的一些些常用的的角色，，這些角角色已經經由系統統授予了了相應的的權限。。DBA可以直接接利用預預定義的的角色為為用戶授授權，也也可以修修改預定定義角色色的權限限。Oracle數據庫中中有30多個預定定義角色色。可以通過過數據字字典視圖圖DBA__ROLES查詢當前前數據庫庫中所有有的預定定義角色色，通過過DBA__SYS_PRIVS查詢各個個預定義義角色所所具有的的系統權權限。角色角色具有的部分權限CONNECTCREATESESSIONRESOURCECREATECLUSTER，CREATEOPERATOR，CREATETRIGGER，CREATETYPE，CREATESEQUENCE，CREATEINDEXTYPE，CREATEPROCEDURE，CREATETABLEDBAADMINISTERDATABSETRIGGER，ADMINISTERRESOURCEMANAGE，CREATE…，CREATEANY…，ALTER…，ALTERANY…，DROP…，DROPANY…，EXECUTE…，EXECUTEANY…EXP_FULL_DATABASEADMINISTERRESOURCEMANAGE，BACKUPANYTABLE，EXECUTEANYPROCEDURE，SELECTANYTABLE，EXECUTEANYTYPEIMP_FULL_DATABASEADMINISTERDATABSETRIGGER，ADMINISTERRESOURCEMANAGE，CREATEANY…，ALTERANY…，DROP…，DROPANY…，EXECUTEANY…10.4.3自定義角角色創建角色色角色權限限的授予予與回收收修改角色色角色的生生效與失失效刪除角色色（1）創建角角色語法為CREATEROLErole_name[[NOTIDENTIFIED][IDENTIFIEDBYpassword];參數說明明role_name：用于指指定自定定義角色色名稱，，該名稱稱不能與與任何用用戶名或或其他角角色相同同；NOTIDENTIFIED：用于指指定該角角色由數數據庫授授權，使使該角色色生效時時不需要要口令；；IDENTIFIEDBYpassword：用于設設置角色色生效時時的認證證口令。。例如，創創建不同同類型的的角色。。CREATEROLEhigh_manager__role;CREATEROLEmiddle__manager_roleIDENTIFIEDBYmiddlerole;CREATEROLElow__manager_roleIDENTIFIEDBYlowrole;（2）角色權權限的授授予與回回收說明給角色授授予適當當的系統統權限、、對象權權限或已已有角色色。在數據庫庫運行過過程中，，可以為為角色增增加權限限，也可可以回收收其權限限。給角色授授權時應應該注意意，一個個角色可可以被授授予另一一個角色色，但不不能授予予其本身身，不能能產生循循環授權權。示例GRANTCONNECT,CREATETABLE,CREATEVIEWTOlow__manager_role;GRANTCONNECT,CREATETABLE,CREATEVIEWTOmiddle__manager_role;GRANTCONNECT,RESOURCE,DBATOhigh_manager__role;GRANTSELECT,,UPDATE,INSERT,DELETEONscott..empTOhigh__manager_role;REVOKECONNECTFROMlow_manager_role;;REVOKECREATETABLE,CREATEVIEWFROMmiddle_manager__role;REVOKEUPDATE,DELETE,,INSERTONscott.empFROMhigh__manager_role;（3）修改角角色概念修改角色色是指修修改角色色生效或或失效時時的認證證方式，，也就是是說，是是否必須須經過Oracle確認才允允許對角角色進行行修改。。修改角色色的語法法ALTERROLErole__name[NOTIDENTIFIED]]|[IDENTIFIEDBYpassword]；示例ALTERROLEhigh__manager_roleIDENTIFIEDBYhighrole;;ALTERROLEmiddle_manager_roleNOTIDENTIFIED;;（4）角色的的生效與與失效概念所謂角色色的失效效是指角角色暫時時不可用用。當一一個角色色生效或或失效時時，用戶戶從角色色中獲得得的權限限也生效效或失效效。因此此，通過過設置角角色的生生效或失失效，可可以動態態改變用用戶的權權限。在進行角角色生效效或失效效設置時時，需要要輸入角角色的認認證口令令，避免免非法設設置。語法SETROLE[[role_name[IDENTIFIEDBYpassword]]]||[ALL[[EXCEPTrole__name]]]|[NONE];參數說明明role_name：表示進行行生效或或失效設設置的角角色名稱稱；IDENTIFIEDBYpassword：用于設置置角色生生效或失失效時的的認證口口令；ALL：表示使使當前用用戶所有有角色生生效；EXCEPTrole_name：表示除了了特定角角色外，其余所有有角色生生效；NONE：表示使使當前用用戶所有有角色失失效。示例SETROLENONE;SETROLEhigh_manager__roleIDENTIFIEDBYhighrole;SETROLEmiddle__manager_role,low_manager_lowIDENTIFIEDBYlowrole;;SETROLEALLEXCEPTlow_manager_role,,middle_manager__role;（5）刪除角角色語法結構構DROPROLErole_name;說明如果某個個角色不不再需要要，則可可以使用用DROPROLE語句刪除除角色。。角色被被刪除后后，用戶戶通過該該角色獲獲得的權權限被回回收。10.4.4利用角色色進行權權限管理理給用戶或或角色授授予角色色從用戶或或角色回回收角色色用戶角色色的激活活或屏蔽蔽（1）給用戶戶或角色色授予角角色語法GRANTrole_listTOuser_list|role__list；例如，將將CONNECT，high_manager__role角色授予予用戶user1，將RESOURCE，CONNECT角色授予予角色middle__manager_role。GRANTCONNECT,high__manager_roleTOuser1;GRANTRESOURCE,CONNECTTOmiddle_manager_role;;（2）從用戶戶或角色色回收角角色語法為REVOKErole_listFROMuser_list|role__list；例如，回回收角色色middle__manager_role的RESOURCE，CONNECT角色。SQL>>REVOKERESOURCE,CONNECTFROMmiddle__manager_role;（3）用戶角角色的激激活或屏屏蔽語法為ALTERUSERuser__nameDEFAULTROLE[role_name]|[[ALL[EXCEPTrole_name]]||[NONE];;示例ALTERUSERuser1DEFAULTROLENONE;ALTERUSERuser1DEFAULTROLECONNECT,DBA;ALTERUSERuser1DEFAULTROLEALL;;ALTERUSERuser1DEFAULTROLEALLEXCEPTDBA;10.4.5查詢角色色信息DBA__ROLES：包含數據據庫中所所有角色色及其描描述；DBA__ROLE_PRIVS：包含為數數據庫中中所有用用戶和角角色授予予的角色色信息；USER_ROLE__PRIVS：包含為為當前用用戶授予予的角色色信息；；ROLE_ROLE__PRIVS：為角色色授予的的角色信信息；ROLE_SYS_PRIVS：為角色色授予的的系統權權限信息息；ROLE_TAB_PRIVS：為角色色授予的的對象權權限信息息；SESSION_PRIVS：當前會會話所具具有的系系統權限限信息；；SESSION_ROLES：當前會會話所具具有的角角色信息息。。查詢角色色CONNECT所具有的的系統權權限信息息。SELECT**FROMROLE__SYS_PRIVSWHEREROLE='CONNECT';查詢DBA角色被授授予的角角色信息息。SELECT**FROMROLE_ROLE__PRIVSWHEREROLE='DBA'';10.5概要文件件管理概要文件件概述概要文件件中參數數介紹概要文件件的管理理10.5.1概要文件件概述概要文件件的作用用資源限制制級別和和類型啟用或停停用資源源限制（1）概要文文件的作作用概要文件件（PROFILE）是數據據庫和系系統資源源限制的的集合，，是Oracle數據庫安安全策略略的重要要組成部部分。利用概要要文件，，可以限限制用戶戶對數據據庫和系系統資源源的使用用，同時時還可以以對用戶戶口令進進行管理理。。在Oracle數據庫創創建的同同時，系系統會創創建一個個名為DEFAULT的默認概概要文件件。如果果沒有為為用戶顯顯式地指指定一個個概要文文件，系系統默認認將DEFAULT概要文件件作為用用戶的概概要文件件。（2）資源限限制級別別和類型型資源限制制級別會話級資資源限制制：對用用戶在一一個會話話過程中中所能使使用的資資源進行行限制。。調用級資資源限制制：對一一條SQL語句在執執行過程程中所能能使用的的資源進進行限制制。資源限制制類型CPU使用時間間；邏輯讀；每個用戶戶的并發發會話數數；用戶連接接數據庫庫的空閑閑時間；用戶連接接數據庫庫的時間間；私有SQL區和PL/SQL區的使用用。（3）啟用或或停用資資源限制制在數據庫庫啟動前前啟用或或停用資資源限制制將數據庫庫初始化化參數文文件中的的參數RESOURCE_LIMIT的值設置置為TRUE或FALSE（默認）），來啟啟用或停停用系統統資源限限制。在數據庫庫啟動后后啟用或或停用資資源限制制使用ALTERSYSTEM語句修改改RESOURCE_LIMIT的參數值值為TRUE或FALSE，來啟動動或關閉閉系統資資源限制制。ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;;10.5.2概要文件件中參數數資源限制制參數口令管理理參數（1）資源限限制參數數CPU__PER_SESSION：限制用用戶在一一次會話話期間可可以占用用的CPU時間總量量，單位位為百分分之一秒秒。當達達到該時時間限制制后，用用戶就不不能在會會話中執執行任何何操作了了，必須須斷開連連接，然然后重新新建立連連接。CPU__PER_CALL：限制每每個調用用可以占占用的CPU時間總量量，單位位為百分分之一秒秒。當一一個SQL語句執行行時間達達到該限限制后，，該語句句以錯誤誤信息結結束。CONNECT_TIME：限制每每個會話話可持續續的最大大時間值值，單位位為分鐘鐘。當數數據庫連連接持續續時間超超出該設設置時，，連接被被斷開。。IDLE_TIME：限制每每個會話話處于連連續空閑閑狀態的的最大時時間值，，單位為為分鐘。。當會話話空閑時時間超過過該設置置時，連連接被斷斷開。SESSIONS_PER__USER：限制一一個用戶戶打開數數據庫會會話的最最大數量量。LOGICAL_READS_PER_SESSION：允許一一個會話話讀取數數據塊的的最大數數量，包包括從內內存中讀讀取的數數據塊和和從磁盤盤中讀取取的數據據塊的總總和。LOGICAL_READS_PER_CALL：允許一一個調用用讀取的的數據塊塊的最大大數量，，包括從從內存中中讀取的的數據塊塊和從磁磁盤中讀讀取的數數據塊的的總和。。PRIVATE_SGA：在共享享服務器器操作模模式中，，執行SQL語句或PL/SQL程序時，，Oracle將在SGA中創建私私有SQL區。該參參數限制制在SGA中一個會會話可分分配私有有SQL區的最大大值。COMPOSITE__LIMIT：稱為“綜合資源源限制”，是一個個用戶會會話可以以消耗的的資源總總限額。。該參數數由CPU__PER_SESSION，LOGICAL_READS_PER_SESSION，PRIVATE_SGA，CONNECT_TIME幾個參數數綜合決決定。（2）口令管管理參數數FAILED__LOGIN__ATTEMPTS：限制用用戶在登登錄Oracle數據庫時時允許失失敗的次次數。一一個用戶戶嘗試登登錄數據據庫的次次數達到到該值時時，該用用戶的賬賬戶將被被鎖定，，只有解解鎖后才才可以繼繼續使用用。PASSWORD_LOCK_TIME：設定當當用戶登登錄失敗敗后，用用戶賬戶戶被鎖定定的時間間長度。。PASSWORD_LIFE_TIME：設置用用戶口令令的有效效天數。。達到限限制的天天數后，，該口令令將過期期，需要要設置新新口令。。PASSWORD_GRACE_TIME：用于設設定提示示口令過過期的天天數。在在這幾天天中，用用戶將接接收到一一個關于于口令過過期需要要修改口口令的警警告。當當達到規規定的天天數后，，原口令令過期。。PASSWORD_REUSE_TIME：指定一一個用戶戶口令被被修改后后，必須須經過多多少天后后才可以以重新使使用該口口令。PASSWORD_REUSE_MAX：指定一一個口令令被重新新使用前前，必須須經過多多少次修修改。PASSWORD_VERIFY__FUNCTION：設置口口令復雜雜性校驗驗函數。。該函數數會對口口令進行行校驗，，以判斷斷口令是是否符合合最低復復雜程度度或其他他校驗規規則。10.5.3概要文件件管理創建概要要文件將概要文文件分配配給用戶戶修改概要要文件刪除概要要文件查詢概要要文件（1）創建概概要文件件語法為CREATEPROFILEprofile_nameLIMITresource_parameters|password_parameters;;參數說明明如下。。profile_name：用于指指定要創創建的概概要文件件名稱；；resource_parameter：用于設設置資源源限制參參數，形形式為resource_parameter__nameinteger|UNLIMITED||DEFALUTpassword_parameters：用于設設置口令令參數，，形式為為password_parameter__nameinteger|UNLIMITED||DEFALUT創建一個個名為res__profile的概要文文件，要要求每個個用戶最最多可以以創建4個并發會會話；每每個會話話持續時時間最長長為60分鐘；如如果會話話在連續續20分鐘內空空閑，則則結束會會話；每每個會話話的私有有SQL區為100KB；每個SQL語句占用用CPU時間總量量不超過過10秒。CREATEPROFILEres__profileLIMITSESSIONS_PER__USER4CONNECT_TIME60IDLE_TIME20PRIVATE_SGA100KCPU__PER_CALL100;創建一個個名為pwd__profile的概要文文件，如如果用戶戶連續4次登錄失失敗，則則鎖定該該賬戶，，10天后該賬賬戶自動動解鎖。。CREATEPROFILEpwd__profileLIMITFAILED__LOGIN__ATTEMPTS4PASSWORD_LOCK_TIME10；（2）將概要要文件分分配給用用戶可以在創創建用戶戶時為用用戶指定定概要文文件CREATEUSERuser5IDENTIFIEDBYuser5PROFILEres_profile;也可以在在修改用用戶時為為用戶指指定概要要文件。。ALTERUSERuser5PROFILEpwd_profile;;（3）修改概概要文件件語法為ALTERPROFILEprofile__nameLIMITresource_parameters|password_parameters;;注意對概要文文件的修修改只有有在用戶戶開始一一個新的的會話時時才會生生效。修改pwd__profile概要文件件，將用用戶口令令有效期期設置為為10天。ALTERPROFILEpwd_profileLIMITPASSWORD_LIFE_TIME10;;（4）刪除概概要文件件語法DROP