Oracle的安全管理培訓教案

1、Oracle的安全的安全管理管理本章學習目標本章學習目標 數(shù)據(jù)庫安全性問題一直是人們關(guān)注的焦點，數(shù)據(jù)庫數(shù)據(jù)的丟失以及數(shù)據(jù)庫被非法用戶的侵入對于任何一個應用系統(tǒng)來說都是至關(guān)重要的問題。確保信息安全的重要基礎(chǔ)在于數(shù)據(jù)庫的安全性能。第六章第六章 Oracle的安全管理的安全管理本章內(nèi)容安排本章內(nèi)容安排 數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。在數(shù)據(jù)庫存儲這一級可采用密碼技術(shù)，當物理存儲設(shè)備失竊后，它起到保密作用。在數(shù)據(jù)庫系統(tǒng)這一級中提供兩種控制：用戶標識和鑒定，數(shù)據(jù)存取控制。數(shù)據(jù)庫安全可分為二類：系統(tǒng)安全性和數(shù)據(jù)安全性。系統(tǒng)安全性是指在系統(tǒng)級控制數(shù)據(jù)庫的存取和使用

2、的機制，包含：（1）有效的用戶名/口令的組合。（2）一個用戶是否授權(quán)可連接數(shù)據(jù)庫。（3）用戶對象可用的磁盤空間的數(shù)量。（4）用戶的資源限制。（5）數(shù)據(jù)庫審計是否是有效的。（6）用戶可執(zhí)行哪些系統(tǒng)操作。6.1.1 安全性內(nèi)容安全性內(nèi)容在Oracle多用戶數(shù)據(jù)庫系統(tǒng)中，安全機制作下列工作：（1）防止非授權(quán)的數(shù)據(jù)庫存取。（2）防止非授權(quán)的對模式對象的存取。（3）控制磁盤使用。（4）控制系統(tǒng)資源使用。（5）審計用戶動作。用戶要存取一對象必須有相應的權(quán)限授給該用戶。已授權(quán)的用戶可任意地可將它授權(quán)給其它用戶，由于這個原因，這種安全性類型叫做任意型。Oracle利用下列機制管理數(shù)據(jù)庫安全性：數(shù)據(jù)庫用戶和模式

3、權(quán)限角色存儲設(shè)置和空間份額資源限制審計 1系統(tǒng)安全性策略 2用戶安全性策略6.1.2 安全性策略 3數(shù)據(jù)庫管理者安全性策略4應用程序開發(fā)者的安全性策略1. 系統(tǒng)安全性策略系統(tǒng)安全性策略（1）管理數(shù)據(jù)庫用戶（2）用戶身份確認（3）操作系統(tǒng)安全性1）數(shù)據(jù)庫管理員必須有create和delete文件的操作系統(tǒng)權(quán)限。2）一般數(shù)據(jù)庫用戶不應該有create或delete與數(shù)據(jù)庫相關(guān)文件的操作系統(tǒng)權(quán)限。3）如果操作系統(tǒng)能為數(shù)據(jù)庫用戶分配角色，那么安全性管理者必須有修改操作系統(tǒng)帳戶安全性區(qū)域的操作系統(tǒng)權(quán)限。2. 用戶安全性策略用戶安全性策略（1）一般用戶的安全性 1）密碼的安全性 2）權(quán)限管理（2）終端用戶

4、的安全性3. 數(shù)據(jù)庫管理者安全性策略數(shù)據(jù)庫管理者安全性策略（1）保護作為sys和system用戶的連接（2）保護管理者與數(shù)據(jù)庫的連接（3）使用角色對管理者權(quán)限進行管理4. 應用程序開發(fā)者的安全性策略應用程序開發(fā)者的安全性策略（1）應用程序開發(fā)者和他們的權(quán)限（2）應用程序開發(fā)者的環(huán)境 1）程序開發(fā)者不應與終端用戶競爭數(shù)據(jù)庫資源； 2）程序開發(fā)者不能損害數(shù)據(jù)庫其他應用產(chǎn)品。（3）應用程序開發(fā)者的空間限制作為數(shù)據(jù)庫安全性管理者，應該特別地為每個應用程序開發(fā)者設(shè)置以下的一些限制： 1）開發(fā)者可以創(chuàng)建table或index的表空間； 2）在每一個表空間中，開發(fā)者所擁有的空間份額。 6.2 用戶管理1 1

5、用戶鑒別用戶鑒別2 2用戶的表空間設(shè)置和定額用戶的表空間設(shè)置和定額6.2.1 數(shù)據(jù)庫的存取控制3 3用戶資源限制和環(huán)境文件用戶資源限制和環(huán)境文件4 4用戶環(huán)境文件用戶環(huán)境文件1. 用戶鑒別用戶鑒別為了防止非授權(quán)的數(shù)據(jù)庫用戶的使用，Oracle提供三種確認方法：操作系統(tǒng)確認，Oracle數(shù)據(jù)庫確認和網(wǎng)絡(luò)服務確認。由操作系統(tǒng)鑒定用戶的優(yōu)點是：1）用戶能更快，更方便地聯(lián)入數(shù)據(jù)庫。2）通過操作系統(tǒng)對用戶身份確認進行集中控制：如果操作系統(tǒng)與數(shù)據(jù)庫用戶信息一致，那么Oracle無須存儲和管理用戶名以及密碼。3）用戶進入數(shù)據(jù)庫和操作系統(tǒng)審計信息一致。 2 2用戶的表空間設(shè)置和定額用戶的表空間設(shè)置和定額 關(guān)于

6、表空間的使用有幾種設(shè)置選擇：用戶的缺省表空間用戶的臨時表空間數(shù)據(jù)庫表空間的空間使用定額3. 用戶資源限制和環(huán)境文件用戶資源限制和環(huán)境文件用戶可用的各種系統(tǒng)資源總量的限制是用戶安全域的部分。利用顯式地設(shè)置資源限制，安全管理員可防止用戶無控制地消耗寶貴的系統(tǒng)資源。資源限制是由環(huán)境文件管理。一個環(huán)境文件是命名的一組賦給用戶的資源限制。另外Oracle為安全管理員在數(shù)據(jù)庫提供是否對環(huán)境文件資源限制的選擇。Oracle可限制幾種類型的系統(tǒng)資源的使用，每種資源可在會話級、調(diào)用級或兩者上控制。在會話級：每一次用戶連接到一數(shù)據(jù)庫，建立一會話。每一個會話在執(zhí)行SQL語句的計算機上耗費CPU時間和內(nèi)存量進行限制。

7、在調(diào)用級：在SQL語句執(zhí)行時，處理該語句有幾步，為了防止過多地調(diào)用系統(tǒng)，Oracle在調(diào)用級可設(shè)置幾種資源限制。有下列資源限制：（1）為了防止無控制地使用CPU時間，Oracle可限制每次Oracle調(diào)用的CPU時間和在一次會話期間Oracle調(diào)用所使用的CPU的時間，以0.01秒為單位。（2）為了防止過多的I/O，Oracle可限制每次調(diào)用和每次會話的邏輯數(shù)據(jù)塊讀的數(shù)目。（3）Oracle在會話級還提供其它幾種資源限制。每個用戶的并行會話數(shù)的限制。會話空閑時間的限制，如果一次會話的Oracle調(diào)用之間時間達到該空閑時間，當前事務被回滾，會話被中止，會話資源返回給系統(tǒng)。每次會話可消逝時間的限制

8、，如果一次會話期間超過可消逝時間的限制，當前事務被回滾，會話被刪除，該會話的資源被釋放。每次會話的專用SGA空間量的限制。4用戶環(huán)境文件用戶環(huán)境文件用戶環(huán)境文件是指定資源限制的命名集，可賦給Oracle數(shù)據(jù)庫的有效的用戶。利用用戶環(huán)境文件可容易地管理資源限制。在許多情況中決定用戶的環(huán)境文件的合適資源限制的最好的方法是收集每種資源使用的歷史信息。6.2.2 創(chuàng)建用戶使用CREATE USER語句可以創(chuàng)建一個新的數(shù)據(jù)庫用戶，執(zhí)行該語句的用戶必須具有CREATE USER系統(tǒng)權(quán)限。在創(chuàng)建用戶時必須指定用戶的認證方式。一般會通過Oracle數(shù)據(jù)庫對用戶身份進行驗證，即采用數(shù)據(jù)庫認證方式。在這種情況下，

9、創(chuàng)建用戶時必須為新用戶指定一個口令，口令以加密方式保存在數(shù)據(jù)庫中。當用戶連接數(shù)據(jù)庫時，Oracle從數(shù)據(jù)庫中提取口令來對用戶的身份進行驗證。 使用IDENTIFIED BY子句為用戶設(shè)置口令，這時用戶將通過數(shù)據(jù)庫來進行身份認證。如果要通過操作系統(tǒng)來對用戶進行身份認證，則必須使用IDENTIFIED EXTERNAL BY子句。使用DEFAULT TABLESPACE子句為用戶指定默認表空間。如果沒有指定默認表空間，Oracle會把SYSTEM表空間作為用戶的默認表空間。為用戶指定了默認表空間之后，還必須使用QUOTA子句來為用戶在默認表空間中分配的空間配額。 此外，常用的一些子句有：TEMPO

10、RARY TABLESPACE子句：為用戶指定臨時表空間。PROFILE子句：為用戶指定一個概要文件。如果沒有為用戶顯式地指定概要文件，Oracle將自動為他指定DEFAULT概要文件。DEFAULT ROLE子句：為用戶指定默認的角色。PASSWORD EXPIRE子句：設(shè)置用戶口令的初始狀態(tài)為過期。ACCOUNT LOCK子句：設(shè)置用戶賬戶的初始狀態(tài)為鎖定，缺省為：ACCOUNT UNLOCK。在建立新用戶之后，通常會需要使用GRANT語句為他授予CREATE SESSION系統(tǒng)權(quán)限，使他具有連接到數(shù)據(jù)庫中的能力。或為新用戶直接授予Oracle中預定義的CONNECT角色。6.2.3 修改

11、用戶在創(chuàng)建用戶之后，可以使用ALTER USER語句對用戶進行修改，執(zhí)行該語句的用戶必須具有ALTER USER系統(tǒng)權(quán)限。例如：利用下面的語句可以修改用戶chenjie的認證方式、默認表空間、空間配額：ALTER USER chenjieIDENTIFIED BY chenjie_pwQUATA 10M ON mbl_tbs; ALTER USER語句最常用的情況是用來修改用戶自己 的 口 令 ， 任 何 用 戶 都 可 以 使 用 A L T E R USERIDENTIFIED BY語句來修改自己的口令，而不需要具有任何其他權(quán)限。但是如果要修改其他用戶的口令，則必須具有ALTER USER

12、系統(tǒng)權(quán)限。 DBA還會經(jīng)常使用ALTER USER語句鎖定或解鎖用戶賬戶。例如：ALTER USER chenjie ACCOUNT LOCK;ALTER USER chenjie ACCOUNT UNLOCK;6.2.4 刪除用戶使用DROP USER語句可以刪除已有的用戶，執(zhí)行該語句的用戶必須具有DROP USER系統(tǒng)權(quán)限。如果用戶當前正連接到數(shù)據(jù)庫中，則不能刪除這個用戶。要刪除已連接的用戶，首先必須使用ALTER SYSTEMKILL SESSION語句終止他的會話，然后再使用DROP USER語句將其刪除。如果要刪除的用戶模式中包含有模式對象，必須在DROP USER子句中指定CASC

13、ADE關(guān)鍵字，否則Oracle將返回錯誤信息。例如：利用下面的語句將刪除用戶chenjie，并且同時刪除他所擁有的所有表、索引等模式對象：DROP USER chenjie CASCADE; 6.3 權(quán)限和角色 1 1權(quán)限權(quán)限2 2角色角色6.3.1 基本概念1.權(quán)限權(quán)限 權(quán)限是執(zhí)行一種特殊類型的SQL語句或存取另一用戶的對象的權(quán)力。有兩類權(quán)限：系統(tǒng)權(quán)限和對象權(quán)限。1）系統(tǒng)權(quán)限：是執(zhí)行一處特殊動作或者在對象類型上執(zhí)行一種特殊動作的權(quán)利。 系統(tǒng)權(quán)限可授權(quán)給用戶或角色，一般，系統(tǒng)權(quán)限只授予管理人員和應用開發(fā)人員，終端用戶不需要這些相關(guān)功能。2）對象權(quán)限：在指定的表、視圖、序列、過程、函數(shù)或包上執(zhí)行

14、特殊動作的權(quán)利。2.角色角色為相關(guān)權(quán)限的命名組，可授權(quán)給用戶和角色。數(shù)據(jù)庫角色包含下列功能：（1）一個角色可授予系統(tǒng)權(quán)限或?qū)ο髾?quán)限。（2）一個角色可授權(quán)給其它角色，但不能循環(huán)授權(quán)。（3）任何角色可授權(quán)給任何數(shù)據(jù)庫用戶。（4）授權(quán)給用戶的每一角色可以是可用的或者不可用的。一個用戶的安全域僅包含當前對該用戶可用的全部角色的權(quán)限。（5）一個間接授權(quán)角色對用戶可顯式地使其可用或不可用。在一個數(shù)據(jù)庫中，每一個角色名必須唯一。角色名與用戶不同，角色不包含在任何模式中，所以建立角色的用戶被刪除時不影響該角色。一般，建立角色服務有兩個目的：為數(shù)據(jù)庫應用管理權(quán)限和為用戶組管理權(quán)限。相應的角色稱為應用角色和用戶角

15、色。應用角色是授予的運行數(shù)據(jù)庫應用所需的全部權(quán)限。用戶角色是為具有公開權(quán)限需求的一組數(shù)據(jù)庫用戶而建立的。用戶權(quán)限管理是受應用角色或權(quán)限授權(quán)給用戶角色所控制，然后將用戶角色授權(quán)給相應的用戶。ORACEL利用角色更容易地進行權(quán)限管理。有下列優(yōu)點：（1）減少權(quán)限管理，不要顯式地將同一權(quán)限組授權(quán)給幾個用戶，只需將這權(quán)限組授給角色，然后將角色授權(quán)給每一用戶。（2）動態(tài)權(quán)限管理，如果一組權(quán)限需要改變，只需修改角色的權(quán)限，所有授給該角色的全部用戶的安全域?qū)⒆詣拥胤从硨巧鞯男薷?。?）權(quán)限的選擇可用性，授權(quán)給用戶的角色可選擇地使其可用或不可用。（4）應用可知性，當用戶經(jīng)用戶名執(zhí)行應用時，該數(shù)據(jù)庫應用可查

16、詢字典，將自動地選擇使角色可用或不可用。（5）應用安全性，角色使用可由口令保護，應用可提供正確的口令使用角色，如不知其口令，不能使用角色。使用CREATE ROLE語句可以創(chuàng)建一個新的角色，執(zhí)行該語句的用戶必須具有CREATE ROLE系統(tǒng)權(quán)限。在角色剛剛創(chuàng)建時，它并不具有任何權(quán)限，這時的角色是沒有用處的。因此，在創(chuàng)建角色之后，通常會立即為它授予權(quán)限。例如：利用下面的語句創(chuàng)建了一個名為OPT_ROLE的角色，并且為它授予了一些對象權(quán)限和系統(tǒng)權(quán)限：CREATE ROLE OPT_ROLE;GRANT SELECT ON sal_history TO OPT_ROLE;GRANT INSERT,U

17、PDATE ON mount_entry TO OPT_ROLE;GRANT CREATE VIEW TO OPT_ROLE;6.3.2 創(chuàng)建角色在創(chuàng)建角色時必須為角色命名，新建角色的名稱不能與任何數(shù)據(jù)庫用戶或其他角色的名稱相同。與用戶類似，角色也需要進行認證。在執(zhí)行CREATE ROLE語句創(chuàng)建角色時，默認地將使用NOT IDENTIFIED子句，即在激活和禁用角色時不需要進行認證。如果需要確保角色的安全性，可以在創(chuàng)建角色時使用IDENTIFIED子句來設(shè)置角色的認證方式。與用戶類似，角色也可以使用兩種方式進行認證。使用ALTER ROLE語句可以改變角色的口令或認證方式。例如：利用下面的語

18、句來修改OPT_ROLE角色的口令（假設(shè)角色使用的是數(shù)據(jù)庫認證方式）：ALTER ROLE OPT_ROLE IDENTIFIED BY accts*new;1 1授予系統(tǒng)權(quán)限授予系統(tǒng)權(quán)限2 2授予對象權(quán)限授予對象權(quán)限6.3.3 授予權(quán)限或角色3 3授予角色授予角色1.授予系統(tǒng)權(quán)限授予系統(tǒng)權(quán)限在GRANT關(guān)鍵字之后指定系統(tǒng)權(quán)限的名稱，然后在TO關(guān)鍵字之后指定接受權(quán)限的用戶名，即可將系統(tǒng)權(quán)限授予指定的用戶。例如：利用下面的語句可以相關(guān)權(quán)限授予用戶chenjie：GRANT CREATE USER,ALTER USER,DROP USER TO chenjieWITH ADMIN OPTION;2

19、授予對象權(quán)限授予對象權(quán)限 Oracle對象權(quán)限指用戶在指定的表上進行特殊操作的權(quán)利。 在GRANT關(guān)鍵字之后指定對象權(quán)限的名稱，然后在ON關(guān)鍵字后指定對象名稱，最后在TO關(guān)鍵字之后指定接受權(quán)限的用戶名，即可將指定對象的對象權(quán)限授予指定的用戶。 使用一條GRANT語句可以同時授予用戶多個對象權(quán)限，各個權(quán)限名稱之間用逗號分隔。 有三類對象權(quán)限可以授予表或視圖中的字段，它們是分別是INSERT，UPDATE和REFERENCES對象權(quán)限。 例如：利用下面的語句可以將CUSTOMER表的SELECT和INSERT，UPDATE對象權(quán)限授予用戶chenqian：GRANT SELECT,INSERT(C

20、USTOMER_ID,CUSTOMER_name),UPDATE(desc) ON CUSTOMER TO chenqian WITH GRANT OPTION; 在授予對象權(quán)限時，可以使用一次關(guān)鍵字ALL或ALL PRIVILEGES將某個對象的所有對象權(quán)限全部授予指定的用戶。3授予角色授予角色 在GRANT關(guān)鍵字之后指定角色的名稱，然后在TO關(guān)鍵字之后指定用戶名，即可將角色授予指定的用戶。Oracle數(shù)據(jù)庫系統(tǒng)預先定義了CONNECT、RESOURCE、DBA、 EXP_FULL_DATABASE、IMP_FULL_DATABASE五個角色。CONNECT具有創(chuàng)建表、視圖、序列等權(quán)限；RE

21、SOURCE具有創(chuàng)建過程、觸發(fā)器、表、序列等權(quán)限、DBA具有全部系統(tǒng)權(quán)限；EXP_FULL_DATABASE、 IMP_FULL_DATABASE具有卸出與裝入數(shù)據(jù)庫的權(quán)限。 通過查詢sys.dba_sys_privs可以了解每種角色擁有的權(quán)利。例如：利用下面的語句可以將DBA角色授予用戶chenjie：GRANT DBA TO chenjie WITH GRANT OPTION;在同一條GRANT語句中，可以同時為用戶授予系統(tǒng)權(quán)限和角色。 如果在為某個用戶授予角色時使用了WITH ADMIN OPTION選項，該用戶將具有如下權(quán)利：（1）將這個角色授予其他用戶，使用或不使用WITH ADMI

22、N OPTION選項。（2）從任何具有這個角色的用戶那里回收該角色。（3）刪除或修改這個角色。注意：不能使用一條GRANT語句同時為用戶授予對象權(quán)限和角色。 使用REVOKE語句可以回收己經(jīng)授予用戶（或角色）的系統(tǒng)權(quán)限、對象權(quán)限與角色，執(zhí)行回收權(quán)限操作的用戶同時必須具有授予相同權(quán)限的能力。例如：利用下面的語句可以回收已經(jīng)授予用戶chenqian的SELECT和UPDATE對象權(quán)限：REVOKE SELECT,UPDATE ON CUSTOMER FROM chenqian; 利用下面的語句可以回收已經(jīng)授予用戶chenjie的CREATE ANY TABLE系統(tǒng)權(quán)限：REVOKE CREATE

23、ANY TABLE FROM chenjie; 利用下面的語句可以回收己經(jīng)授予用戶chenjie的OPT_ROLE角色：REVOKE OPT_ROLE FROM chenjie;6.3.4 回收權(quán)限或角色在回收對象權(quán)限時，可以使用關(guān)鍵字ALL或ALL PRIVILEGES將某個對象的所有對象權(quán)限全部回收。例如：利用下面的語句可以回收己經(jīng)授予用戶chenqian的CUSTOMER表的所有對象權(quán)限：REVOKE ALL ON CUSTOMER FROM chenjie; 一個用戶可以同時被授予多個角色，但是并不是所有的這些角色都同時起作用。角色可以處于兩種狀態(tài)：激活狀態(tài)或禁用狀態(tài)，禁用狀態(tài)的角色所

24、具有權(quán)限并不生效。 當用戶連接到數(shù)據(jù)庫中時，只有他的默認角色（Default Role）處于激活狀態(tài)。在ALTER USER角色中使用DEFAULT ROLE子句可以改變用戶的默認角色。例如：如果要將用戶所擁有的一個角色設(shè)置為默認角色，可以使用下面的語句：ALTER USER chenjie DEFAULT ROLE connect,OPT_ROLE;6.3.5 激活和禁用角色 在用戶會話的過程中，還可以使用SET ROLE語句來激活或禁用他所擁有的角色。用戶所同時激活的最大角色數(shù)目由初始化參數(shù)ENABLED ROLES決定（默認值為20）。如果角色在創(chuàng)建時使用了IDENTIFIED BY子句

25、，則在使用SET ROLE語句激活角色時也需要在IDENTIFIED BY子句中提供口令。 如果要激活用戶所擁有的所有角色，可以使用下面的語句：SET ROLE ALL; 6.4 概要文件1 1資源限制參數(shù)資源限制參數(shù)2 2口令策略參數(shù)口令策略參數(shù)6.4.1 概要文件中的參數(shù)1資源限制參數(shù)資源限制參數(shù)資源參數(shù)的值可以是一個整數(shù)，也可以是UNLIMITED或DEFAULT即使用默認概要文件中的參數(shù)設(shè)置。大部分資源限制都可以在兩個級別進行：會話級或調(diào)用級。會話級資源限制是對用戶在一個會話過程中所能使用的資源進行的限制，而調(diào)用級資源限制是對一條SQL語句在執(zhí)行過程中所能使用的資源進行的限制。當會話或

26、一條SQL語句占用的資源超過概要文件中的限制時，Oracle將中止并回退當前的操作，然后向用戶返回錯誤信息。這時用戶仍然有機會提交或回退當前的事務。如果受到的是會話級限制，在提交或回退事務后用戶會話被中止（斷開連接），但是如果受到的是調(diào)用級限制，用戶會話還能夠繼續(xù)進行，只是當前執(zhí)行的SQL語句被終止。 以下為概要文件中使用的各種資源參數(shù)：SESSIONS_PER_USER：該參數(shù)限制每個用戶所允許建立的最大并發(fā)會話數(shù)目。達到這個限制時，用戶不能再建立任何數(shù)據(jù)庫連接。CPU_PER_SESSION：該參數(shù)限制每個會話所能使用的CPU時間。CPU_PER_CALL：該參數(shù)限制每條SQL語句所能使用

27、的CPU時間。LAGICAL_READS_PER_SESSION：該參數(shù)限制每個會話所能讀取的數(shù)據(jù)塊數(shù)目，包括從內(nèi)存中讀取的數(shù)據(jù)塊和從硬盤中讀取的數(shù)據(jù)塊。LAGICAL_READS_PER_CALL：該參數(shù)限制每條SQL語句所能讀取的數(shù)據(jù)塊數(shù)目，包括從內(nèi)存中讀取的數(shù)據(jù)塊和從硬盤中讀取的數(shù)據(jù)塊。CONNECT_TIME：該參數(shù)限制每個會話能連接到數(shù)據(jù)庫的最長時間。當連接時間達到該參數(shù)的限制時，.用戶會話將自動斷開。IDLE_TIME：該參數(shù)限制每個會話所允許的最大連續(xù)空閑時間。如果一個會話持續(xù)的空閑時間達到該參數(shù)的限制，該會話將自動斷開。COMPOSITE_LIMIT：該參數(shù)用于設(shè)置“組合資源限

28、制”。PRIVATE_SGA：在共享服務器操作模式下，執(zhí)行SQL語句和PL/SQL語句時，Oracle將在SGA中創(chuàng)建私有SQL區(qū)。該參數(shù)限制在SGA中為每個會話所能分配的最大私有SQL區(qū)大小。在專用服務器操作模式下，該參數(shù)不起作用。2口令策略參數(shù)口令策略參數(shù)使用概要文件可以實現(xiàn)如下三種口令策略：（1）賬戶的鎖定賬戶鎖定策略是指用戶在連續(xù)輸入多少次錯誤的口令后，將由Oracle自動鎖定用戶的賬戶，并且可以設(shè)置賬戶鎖定的時間。（2）口令的過期時間口令過期策略用于強制用戶定期修改自己的口令。當口令過期后，Oracle將隨時提醒用戶修改口令。如果用戶仍然不修改自己的口令，Oracle將使他的口令失效

29、。（3）口令的復雜度在概要文件中可以通過指定的函數(shù)來強制用戶的口令必須具有一定的復雜度。以下為在概要文件中使用的各種口令參數(shù)：FAILED_LOGIN_ATTEMPTS：該參數(shù)指定允許的輸入錯誤口令的次數(shù)，超過該次數(shù)后用戶賬戶被自動鎖定。PASSWORD_LOCK_TIME：該參數(shù)指定用戶賬戶由于口令輸入錯誤而被鎖定后，持續(xù)保持鎖定狀態(tài)的時間。PASSWORD_LIFE_TIME：該參數(shù)指定同一個用戶口令可以持續(xù)使用的時間。如果在達到這個限制之前用戶還沒有更換另外一個口令，他的口令將失效。這時必須由DBA為他重新設(shè)置新的口令。PASSWORD_GRACE_TIME：該參數(shù)指定用戶口令過期的時間

30、。如果在達到這個限制之前用戶還沒有更換另外一個口令，Oracle將對他提出警告。在口令過期之后，用戶在達到PASSWORD_LIFE_TIME參數(shù)的限制之前有機會主動修改口令。PASSWORD_REUSE_TIME：該參數(shù)指定用戶在能夠重復使用一個口令前必須經(jīng)過的時間。PASSWORD_REUSE_MAX：該參數(shù)指定用戶在能夠重復使用一 個 口 令 之 前 必 須 對 口 令 進 行 修 改 的 次 數(shù) 。PASSWORD_REUSE_TIME參數(shù)和PASSWORD_REUSE_MAX參數(shù)只能設(shè)置一個，而另一個參數(shù)必須指定為UNLIMITED。PASSWORD_VERIFY_FUNCTION：

31、該參數(shù)指定用于驗證用戶口令復雜度的函數(shù)。Oracle通過一個內(nèi)置腳本提供了一個默認函數(shù)用于驗證用戶口令的復雜度，所有指定時間的口令參數(shù)都以天為單位。修改數(shù)據(jù)庫的資源限制狀態(tài)有兩種方式：在數(shù)據(jù)庫啟動之前，可以通過設(shè)置初始化參數(shù)RESOURCE_LIMIT來決定資源限制的狀態(tài)。如果RESOURCE LIMIT參數(shù)設(shè)置為TRUE，啟動數(shù)據(jù)庫后資源限制將處于激活狀態(tài)；反之如果RESOURCE LIMIT參數(shù)設(shè)置為FALSE，啟動數(shù)據(jù)庫后資源限制將處于禁用狀態(tài)。默認情況下，RESOURCE_LIMIT參數(shù)為FALSE。在數(shù)據(jù)庫啟動之后（處于打開狀態(tài)），可以使用ALTER SYSTEM語句來改變資源限制的

32、狀態(tài)，執(zhí)行該語句的用戶必須具有ALTER SYSTEM系統(tǒng)權(quán)限。6.4.2 激活和禁用資源限制例如：利用下面的語句可以將資源限制由禁用狀態(tài)切換到激活狀態(tài)：ALTER SYSTEM SET RESOURCE_LIMIT= TRUE; 如果在數(shù)據(jù)庫中使用了服務器端初始化參數(shù)文件（SPFILE），在使用ALTER SYSTEM語句改變資源限制的狀態(tài)時，可以選擇在初始化參數(shù)文件中修改記錄（默認的ALTER SYSTEM語句將使用SCOPE=BOTH子句），這樣在下一次啟動數(shù)據(jù)庫時修改仍然有效。1 1創(chuàng)建概要文件創(chuàng)建概要文件2 2修改概要文件修改概要文件6.4.3 管理概要文件3 3刪除概要文件刪除概要

33、文件4 4指定概要文件指定概要文件 5 5設(shè)置組合資源限制設(shè)置組合資源限制1創(chuàng)建概要文件創(chuàng)建概要文件使用CREATE PROFILE語句可以創(chuàng)建概要文件，執(zhí)行該語句的用戶必須具有CREATE PROFILE系統(tǒng)權(quán)限。DBA可以根據(jù)需要使用下面的語句來修改DEFAULT概要文件中的參數(shù)設(shè)置：ALTER PROFILE DEFAULT LIMIT .;要修改DEFAULT概要文件，用戶必須具有ALTER PROFILE系統(tǒng)權(quán)限。任何用戶都不能刪除DEFAULT概要文件。2修改概要文件修改概要文件概要文件在創(chuàng)建之后，可以使用ALTER PROFILE語句來修改其中的資源參數(shù)和口令參數(shù)，執(zhí)行該語句的用

34、戶必須具有ALTER PROFILE系統(tǒng)權(quán)限。例 如 ： 利 用 下 面 的 語 句 對 概 要 文 件ACCOUNTING_USER進行修改：ALTER PROFILE ACCOUNTING USER LIMITCPU_PER_CALL DEFAULTLOGICAL_READS_PER_SESSION 2000000;3刪除概要文件刪除概要文件使用DROP PROFILE語句可以刪除概要文件，執(zhí)行該語句的用戶必須具有DROP PROFILE系統(tǒng)權(quán)限。如果要刪除的概要文件已經(jīng)指定給了用戶，則必須在DROP PROFILE語句中使用CASCADE關(guān)鍵字。例如：利用下面的語句可以刪除ACCOUNT

35、ING_USER概要文件：DROP PROFILE ACCOUNTING_USER CASCADE;如果為用戶所指定的概要文件己經(jīng)被刪除，Oracle將自動為用戶重新指定DEFAULT概要文件。4指定概要文件指定概要文件在使用CREATE USER語句創(chuàng)建用戶時，可以通過PROFILE子句為新建用戶指定概要文件。另外，在使用ALTER USER語句修改用戶時也可以為他指定概要文件。例如：利用下面的語句可以將概要文件ACCOUNTING USER指定給用戶JACK：ALTER USER JACKPROFILE ACCOUNTING_USER;5設(shè)置組合資源限制設(shè)置組合資源限制在創(chuàng)建概要文件時通過COMPOSITE LIMIT子句來指定資源總限額。例如：利用下面的語句創(chuàng)建的概要文件中將資源總限額設(shè)置為20000：CREATE PROFILE clerk LIMITCOMPOSITE_LIMIT 20000SESSIONS_PER_USER 2CPU_PER_CALL 1000;注意：在