安全性管理概述

第13章安全性管理本章概述本章的學(xué)習(xí)目標(biāo)主要內(nèi)容1本章概述

安全性是衡量數(shù)據(jù)庫(kù)產(chǎn)品性能的重要指標(biāo)。本章介紹Oracle11g數(shù)據(jù)庫(kù)的安全管理機(jī)制，內(nèi)容包括用戶(hù)管理，權(quán)限管理，角色管理，數(shù)據(jù)庫(kù)審計(jì)等。2

本章的學(xué)習(xí)目標(biāo)：●了解用戶(hù)、權(quán)限、角色的概念及作用●學(xué)會(huì)創(chuàng)建、修改、刪除用戶(hù)●

學(xué)會(huì)將系統(tǒng)權(quán)限和對(duì)象權(quán)限授予用戶(hù)，以及回收權(quán)限●

學(xué)會(huì)使用系統(tǒng)預(yù)定義角色，學(xué)會(huì)創(chuàng)建自定義角色，以及角色權(quán)限的授予和回收●

了解數(shù)據(jù)庫(kù)審計(jì)的概念及作用3主要內(nèi)容13.1概述13.2用戶(hù)管理13.3權(quán)限管理13.4角色管理13.5數(shù)據(jù)庫(kù)審計(jì)13.6小結(jié)13.7習(xí)題4

安全性在數(shù)據(jù)庫(kù)管理中占據(jù)重要的位置，沒(méi)有完善的安全機(jī)制的保護(hù)，可能會(huì)導(dǎo)致數(shù)據(jù)的泄露、損壞或丟失，因此安全性一直是數(shù)據(jù)庫(kù)產(chǎn)品性能的重要衡量指標(biāo)之一。Oracle數(shù)據(jù)庫(kù)的安全管理是從用戶(hù)登錄數(shù)據(jù)庫(kù)就開(kāi)始的。數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)的安全性主要包括兩個(gè)方面的含義：一是阻止未授權(quán)用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)；二是每個(gè)數(shù)據(jù)庫(kù)用戶(hù)都有不同的操作權(quán)限，用戶(hù)在數(shù)據(jù)庫(kù)中的操作將被限制在其權(quán)限范圍內(nèi)。

在Oracle數(shù)據(jù)庫(kù)中，用戶(hù)的身份通常被劃分為數(shù)據(jù)庫(kù)管理員和開(kāi)發(fā)人員，其中數(shù)據(jù)庫(kù)管理員承擔(dān)管理數(shù)據(jù)庫(kù)的責(zé)任，包括安全性管理、調(diào)優(yōu)、備份策略的制定、數(shù)據(jù)庫(kù)出現(xiàn)故障時(shí)的數(shù)據(jù)恢復(fù)、保證數(shù)據(jù)庫(kù)的可用性等。軟件系統(tǒng)的開(kāi)發(fā)人員作為數(shù)據(jù)庫(kù)管理員之外的一類(lèi)使用者，承擔(dān)軟件開(kāi)發(fā)的職責(zé)，對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)要求及技能掌握要求比數(shù)據(jù)庫(kù)管理員低，他們需要熟練掌握的SQL及PL/SQL的操作技能，能夠快速及高效率地完成對(duì)數(shù)據(jù)庫(kù)的操作需求，對(duì)調(diào)優(yōu)和備份恢復(fù)等操作通常不參與。所以，數(shù)據(jù)庫(kù)的安全管理通常屬于數(shù)據(jù)庫(kù)管理員的職責(zé)，DBA可以通過(guò)管理用戶(hù)、角色以及權(quán)限來(lái)控制數(shù)據(jù)庫(kù)的安全。但對(duì)于軟件開(kāi)發(fā)人員來(lái)說(shuō)，掌握一些安全機(jī)制及處理方式也是有必要的。5主要內(nèi)容13.1概述13.2用戶(hù)管理13.3權(quán)限管理13.4角色管理13.5數(shù)據(jù)庫(kù)審計(jì)13.6小結(jié)13.7習(xí)題613.2用戶(hù)管理

用戶(hù)是數(shù)據(jù)庫(kù)的使用者和管理者，用戶(hù)管理是Oracle數(shù)據(jù)庫(kù)安全管理的核心和基礎(chǔ)。每個(gè)連接到數(shù)據(jù)庫(kù)的用戶(hù)都必須是系統(tǒng)的合法用戶(hù)，用戶(hù)要想使用Oracle的系統(tǒng)資源（查詢(xún)數(shù)據(jù)、創(chuàng)建表等），就必須要擁有相應(yīng)的權(quán)限。Oracle數(shù)據(jù)庫(kù)的用戶(hù)管理包括創(chuàng)建用戶(hù)、修改用戶(hù)的安全參數(shù)、刪除用戶(hù)和查詢(xún)用戶(hù)信息等。713.2.1初始用戶(hù)

在創(chuàng)建Oracle數(shù)據(jù)庫(kù)時(shí)會(huì)自動(dòng)創(chuàng)建一些用戶(hù)，例如SYS、SYSTEM、SCOTT等，除了SYS、SYSTEM這兩個(gè)初始合法的管理員，其余用戶(hù)在創(chuàng)建后處于鎖定狀態(tài)，需要在安裝時(shí)或者安裝后對(duì)其解鎖并重新設(shè)定口令。這些初始用戶(hù)有其自身的職責(zé)和特點(diǎn)，軟件項(xiàng)目一般不建議使用這些初始用戶(hù)。即針對(duì)不同的項(xiàng)目，應(yīng)該由管理員分配不同的用戶(hù)，在開(kāi)發(fā)過(guò)程中，SCOTT用戶(hù)可以用來(lái)測(cè)試數(shù)據(jù)庫(kù)的可用性。

lSYS：是數(shù)據(jù)庫(kù)中具有最高權(quán)限的數(shù)據(jù)庫(kù)管理員，可以啟動(dòng)、修改和關(guān)閉數(shù)據(jù)庫(kù)，擁有數(shù)據(jù)字典。

lSYSTEM：是輔助數(shù)據(jù)庫(kù)管理員，不能啟動(dòng)和關(guān)閉數(shù)據(jù)庫(kù)，可以進(jìn)行一些其他的管理工作，例如創(chuàng)建用戶(hù)、刪除用戶(hù)等。

lSCOTT：數(shù)據(jù)庫(kù)的測(cè)試用戶(hù)，默認(rèn)口令為tiger。在該用戶(hù)下已經(jīng)創(chuàng)建了一些數(shù)據(jù)表，用于用戶(hù)學(xué)習(xí)及測(cè)試網(wǎng)絡(luò)連接，包括：EMP表、DEPT表等。813.2.2相關(guān)屬性和用戶(hù)相關(guān)的屬性包括以下幾種。（1）用戶(hù)身份認(rèn)證方式在用戶(hù)連接數(shù)據(jù)庫(kù)時(shí)，必須經(jīng)過(guò)身份認(rèn)證。Oracle數(shù)據(jù)庫(kù)用戶(hù)有3種身份認(rèn)證。數(shù)據(jù)庫(kù)身份認(rèn)證：這種方式即用戶(hù)名/口令方式，用戶(hù)口令以加密方式保存在數(shù)據(jù)庫(kù)內(nèi)部，用戶(hù)連接數(shù)據(jù)庫(kù)時(shí)必須輸入用戶(hù)名和口令，通過(guò)數(shù)據(jù)庫(kù)認(rèn)證后才能登錄數(shù)據(jù)庫(kù)。這是默認(rèn)的認(rèn)證方式。外部身份認(rèn)證：用戶(hù)賬戶(hù)由Oracle數(shù)據(jù)庫(kù)管理，但口令管理和身份驗(yàn)證由外部服務(wù)完成，外部服務(wù)可以是操作系統(tǒng)或網(wǎng)絡(luò)服務(wù)。當(dāng)用戶(hù)試圖建立與數(shù)據(jù)庫(kù)的連接時(shí)，數(shù)據(jù)庫(kù)不會(huì)要求用戶(hù)輸入用戶(hù)名和口令，而從外部服務(wù)中獲取當(dāng)前用戶(hù)的登錄信息。這種方式比較適合在局域網(wǎng)環(huán)境下，連接簡(jiǎn)單，不需要提供用戶(hù)名和口令，但是需要在創(chuàng)建用戶(hù)時(shí)做一些相應(yīng)的配置。9全局身份認(rèn)證：當(dāng)用戶(hù)試圖建立與數(shù)據(jù)庫(kù)的連接時(shí)，Oracle使用網(wǎng)絡(luò)中的安全管理服務(wù)器（OracleEnterpriseSecurityManager）對(duì)用戶(hù)進(jìn)行身份認(rèn)證。和外部身份認(rèn)證相同，用戶(hù)賬戶(hù)由數(shù)據(jù)庫(kù)管理，但Oracle不保存口令，當(dāng)用戶(hù)登錄時(shí)，需要通過(guò)網(wǎng)絡(luò)服務(wù)驗(yàn)證。Oracle的安全管理服務(wù)器可以提供全局范圍內(nèi)管理數(shù)據(jù)庫(kù)用戶(hù)的功能。（2）表空間配額表空間配額限制用戶(hù)在永久表空間中可用的存儲(chǔ)空間大小，默認(rèn)情況下，新用戶(hù)在任何表空間中都沒(méi)有任何配額。用戶(hù)在臨時(shí)表空間中不需要配額。

（3）默認(rèn)表空間用戶(hù)在創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象時(shí)，如果沒(méi)有顯示指明該對(duì)象在哪個(gè)空間，那么系統(tǒng)會(huì)將該對(duì)象自動(dòng)存儲(chǔ)在用戶(hù)的默認(rèn)表空間中，即SYSTEM表空間。一般不建議將用戶(hù)的對(duì)象建立在SYSTEM表空間中，所以默認(rèn)表空間應(yīng)指定。10(4)臨時(shí)時(shí)表空間如果用戶(hù)執(zhí)行行一些操作例例如排序、匯匯總和表間連連接等，系統(tǒng)統(tǒng)會(huì)首先使用用內(nèi)存中的排排序區(qū)SORT_AREA_SIZE，如果這塊排排序區(qū)大小不不夠，則將使使用用戶(hù)的臨臨時(shí)表空間。。一般使用系系統(tǒng)默認(rèn)臨時(shí)時(shí)表空間TEMP作為用戶(hù)的默默認(rèn)臨時(shí)表空空間。（5）賬戶(hù)狀態(tài)在創(chuàng)建用戶(hù)時(shí)時(shí)，可以設(shè)定定用戶(hù)的初始始狀態(tài)，包括括用戶(hù)口令是是否過(guò)期、用用戶(hù)賬戶(hù)是否否鎖定等。已已鎖定的用戶(hù)戶(hù)不能訪(fǎng)問(wèn)數(shù)數(shù)據(jù)庫(kù)，必須須由管理員進(jìn)進(jìn)行解鎖后才才允許訪(fǎng)問(wèn)。。數(shù)據(jù)庫(kù)管理理員可以隨時(shí)時(shí)鎖定賬戶(hù)或或解除鎖定。。（6）資源配置每個(gè)用戶(hù)都有有一個(gè)資源配配置，如果創(chuàng)創(chuàng)建用戶(hù)時(shí)沒(méi)沒(méi)有指定，Oracle會(huì)為用戶(hù)指定定默認(rèn)的資源源配置。資源源配置的作用用是對(duì)數(shù)據(jù)庫(kù)庫(kù)系統(tǒng)資源的的使用加以限限制，這些資資源包括：口口令是否過(guò)期期，口令輸入入錯(cuò)誤幾次后后鎖定該用戶(hù)戶(hù)，CPU時(shí)間，輸入/輸出（I/O）以及用戶(hù)打打開(kāi)的會(huì)話(huà)數(shù)數(shù)目等。1113.2.3創(chuàng)建用戶(hù)創(chuàng)建數(shù)據(jù)庫(kù)用用戶(hù)的語(yǔ)法如如下：CREATEUSERuserIDENTIFIED{BYpasswore|EXTERNALLY}[DEFAULTTABLESPACEtablespace][TEMPORARYTABLESPACEtablespace][QUOTA{integer[K|M]|UNLIMITED}ONtablespace[QUOTA{integer[K|M]|UNLIMITED}ONtablespace]…][PASSWORDEXPIRE][ACCOUNT{LOCK|UNLOCK}][PROFILE{profile|DEFAULT}]12參數(shù)說(shuō)明：user：要?jiǎng)?chuàng)建的用用戶(hù)名；BYpassword：用戶(hù)通過(guò)數(shù)數(shù)據(jù)庫(kù)驗(yàn)證方方式登錄，登登錄時(shí)需要提提供的口令；；EXTERNALLY：用戶(hù)需要通通過(guò)操作系統(tǒng)統(tǒng)驗(yàn)證；DEFAULT或TEMPORARYTABLESPACE：為用戶(hù)指定定默認(rèn)或臨時(shí)時(shí)表空間；QUOTA：定義在表空空間中允許用用戶(hù)使用的最最大空間，可可將限額定義義為整數(shù)字節(jié)節(jié)或千字節(jié)/兆字節(jié)。其中中關(guān)鍵字UNLIMITED用戶(hù)指定用戶(hù)戶(hù)可以使用表表空間中全部部可用空間；；PASSWORDEXPIRE：強(qiáng)制用戶(hù)在在使用SQL*Plus登錄到數(shù)據(jù)庫(kù)庫(kù)時(shí)重置口令令（該選項(xiàng)僅僅在用戶(hù)通過(guò)過(guò)數(shù)據(jù)庫(kù)進(jìn)行行驗(yàn)證時(shí)有效效）；ACCOUNTLOCK|UNLOCK：可用于顯示示鎖定或解除除鎖定用戶(hù)賬賬戶(hù)（UNLOCK為缺省設(shè)置））；PROFILE：指定用戶(hù)的的資源配置。。13【例13-1】創(chuàng)建用戶(hù)rose，口令為zzuli，默認(rèn)表空間間為USERS，在該表空間間的配額為50MB?？诹钤O(shè)置為為過(guò)期狀態(tài)，，即首次連接接數(shù)據(jù)庫(kù)時(shí)需需要修改口令令。(如果在SQLPlus中創(chuàng)建用戶(hù)成成功，最后會(huì)會(huì)顯示個(gè)用用戶(hù)已創(chuàng)建建。之類(lèi)類(lèi)的，最好寫(xiě)寫(xiě)在例題下面面，表示這是是運(yùn)行成功的的代碼，你實(shí)實(shí)驗(yàn)一下，看看看創(chuàng)建完結(jié)結(jié)果是什么，，寫(xiě)到下面。。后面的例題題都是這樣的的吧)SQL>CREATEUSERroseIDENTIFIEDBYzzuli2DEFAULTTABLESPACEUSERS3QUOTA50MONUSERS4PASSWORDEXPIRE;用戶(hù)已創(chuàng)建。。1413.2.4修改用戶(hù)用戶(hù)創(chuàng)建后，，可以更改用用戶(hù)的屬性，，如口令、默默認(rèn)表空間、、臨時(shí)表空間間、表空間配配額、概要文文件和用戶(hù)狀狀態(tài)等。但不不允許修改用用戶(hù)的名稱(chēng)，，除非將其刪刪除。修改數(shù)據(jù)庫(kù)用用戶(hù)使用ALTERUSER語(yǔ)句來(lái)實(shí)現(xiàn)，，ALTERUSER語(yǔ)句的語(yǔ)法格格式為：ALTERUSERuser_name[IDENTIFIED][BYPASSWORD|EXTERNALLY|GOLBALLYAS‘external_name’][DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtemp_tempspace_name][QUOTAnK|M|UNLIMITEDONtablespace_name][PROFILEprofile_name][DEFAULTROLErole_list|ALL[EXCEPTrole_list]|NONE][PASSWORDEXPIRE][ACCOUNTLOCK|UNLOCK];15對(duì)其中的參數(shù)數(shù)說(shuō)明如下。。lrole_list：角角色列表lALL：表示示所有角色lEXCEPTrole_list：表示除了了role_list列表中角色以以外的其他角角色。lNONE：表表示沒(méi)有默認(rèn)認(rèn)角色?！纠?3-2】修改用戶(hù)戶(hù)atea的默認(rèn)表空間間為USERS，在該表空間間的配額為100MB，在USERS表空間的配額額為30MB。命令如下：：SQL>ALTERUSERatea2DEFAULTTABLESPACEUSERS3QUOTA30MONUSERS;1613.2.5刪除用戶(hù)當(dāng)一個(gè)用戶(hù)不不再使用時(shí)，，可以將其刪刪除。刪除用用戶(hù)的語(yǔ)法：：DROPUSERuser_name[CASCADE]執(zhí)行該語(yǔ)句的的用戶(hù)必須具具有DROPUSER的系統(tǒng)權(quán)限限。刪除用戶(hù)戶(hù)時(shí)需要注意意如下幾點(diǎn)：：（1）如果用用戶(hù)方案中包包括任何對(duì)象象，在刪除用用戶(hù)時(shí)，必須須加上CASCADE短短語(yǔ)，Oracle數(shù)據(jù)據(jù)庫(kù)會(huì)先刪除除該用戶(hù)的所所有對(duì)象，然然后再刪除該該用戶(hù)。（2）如果用用戶(hù)當(dāng)前正與與Oracle服務(wù)器連連接，則不能能刪除?！纠?3-3】刪除用戶(hù)戶(hù)atea。。SQL>DROPUSERatea;--如如果atea用戶(hù)的方案案中沒(méi)有對(duì)象象SQL>DROPUSERateaCASCADE;--如果atea用戶(hù)戶(hù)的方案中有有對(duì)象1713.2.6查詢(xún)用戶(hù)信息息如果要獲取用用戶(hù)信息，可可以通過(guò)查詢(xún)?cè)償?shù)據(jù)字典視視圖或動(dòng)態(tài)性性能視圖來(lái)實(shí)實(shí)現(xiàn)。ALL_USERS：包包含數(shù)據(jù)庫(kù)所所有用戶(hù)的用用戶(hù)名、用戶(hù)戶(hù)ID和用戶(hù)戶(hù)創(chuàng)建時(shí)間。。DBA_USERS：包包含數(shù)據(jù)庫(kù)所所有用戶(hù)的詳詳細(xì)信息。USER_USERS：：包含當(dāng)前用用戶(hù)的詳細(xì)信信息。DBA_TS_QUOTAS：包含含所有用戶(hù)的的表空間配額額信息。USER_TS_QUOTAS：包包含當(dāng)前用戶(hù)戶(hù)的表空間配配額信息。V$SESSION：包包含用戶(hù)會(huì)話(huà)話(huà)信息。V$OPEN_CURSOR：包含含用戶(hù)執(zhí)行的的SQL語(yǔ)句句信息?！纠?3-4】查找所有有用戶(hù)的默認(rèn)認(rèn)表空間。（（查找的結(jié)果果應(yīng)該截圖，，顯示在下面面）SQL>SELECTuser_name,default_tablespace2FROMdba_users;18主要內(nèi)容13.1概概述13.2用用戶(hù)管理13.3權(quán)權(quán)限管理13.4角角色管理13.5數(shù)據(jù)庫(kù)審計(jì)13.6小結(jié)13.7習(xí)習(xí)題19在用戶(hù)創(chuàng)建完完成后，僅僅僅表示該用戶(hù)戶(hù)在Oracle系統(tǒng)中中進(jìn)行了注冊(cè)冊(cè)而已，這樣樣的用戶(hù)既不不能連接到數(shù)數(shù)據(jù)庫(kù)，更談?wù)劜簧线M(jìn)行查查詢(xún)、建表等等操作。要使使該用戶(hù)能夠夠連接到Oracle系系統(tǒng)并能使用用Oracle的資源，，如查詢(xún)表的的數(shù)據(jù)，創(chuàng)建建自己的表結(jié)結(jié)構(gòu)等，必須須由具有DBA角色的用用戶(hù)對(duì)該用戶(hù)戶(hù)進(jìn)行授權(quán)。。2013.3.1權(quán)限概述權(quán)限是指執(zhí)行行特定類(lèi)型的的SQL語(yǔ)句句或訪(fǎng)問(wèn)另一一個(gè)用戶(hù)的對(duì)對(duì)象的權(quán)利，，例如：連接接到數(shù)據(jù)庫(kù)，，創(chuàng)建表，查查詢(xún)其他用戶(hù)戶(hù)的表，調(diào)用用其他用戶(hù)的的存儲(chǔ)過(guò)程等等。Oracle數(shù)據(jù)庫(kù)庫(kù)使用權(quán)限來(lái)來(lái)控制用戶(hù)對(duì)對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)問(wèn)和用戶(hù)所能能執(zhí)行的操作作。用戶(hù)在數(shù)數(shù)據(jù)庫(kù)中可以以執(zhí)行什么樣樣的操作，以以及可以對(duì)哪哪些對(duì)象進(jìn)行行操作，完全全取決于該用用戶(hù)所擁有的的權(quán)限。根據(jù)系統(tǒng)管理理方式的不同同，在Oracle數(shù)據(jù)據(jù)庫(kù)中將權(quán)限限分為兩大類(lèi)類(lèi)，系統(tǒng)權(quán)限限和對(duì)象權(quán)限限。系統(tǒng)權(quán)限指數(shù)數(shù)據(jù)庫(kù)級(jí)別執(zhí)執(zhí)行某些操作作的權(quán)限，即即用戶(hù)執(zhí)行某某一特定的數(shù)數(shù)據(jù)庫(kù)操作或或某類(lèi)數(shù)據(jù)庫(kù)庫(kù)操作等的權(quán)權(quán)限，例如創(chuàng)創(chuàng)建表空間，，創(chuàng)建會(huì)話(huà)等等。21對(duì)象權(quán)限是是指對(duì)數(shù)據(jù)據(jù)庫(kù)中的特特定對(duì)象（（例如表、、視圖、序序列、過(guò)程程、函數(shù)或或程序包））的訪(fǎng)問(wèn)控控制，以及及用戶(hù)可以以在這些數(shù)數(shù)據(jù)庫(kù)對(duì)象象上執(zhí)行哪哪些操作。。例如插入入表記錄，，增加約束束條件等。。無(wú)論系統(tǒng)權(quán)權(quán)限還是對(duì)對(duì)象權(quán)限，，在Oracle數(shù)據(jù)庫(kù)中，，將權(quán)限授授予用戶(hù)的的方式有直直接授權(quán)和和間接授權(quán)權(quán)兩種。所所謂直接授授權(quán)就是利利用GRANT命令直接為為用戶(hù)授權(quán)權(quán)，間接授授權(quán)就是先先將權(quán)限授授予角色，，再將角色色授予用戶(hù)戶(hù)。另外，，已經(jīng)獲得得某種權(quán)限限的用戶(hù)可可以將他們們的權(quán)限或或其中一部部分權(quán)限再再授予其他他用戶(hù)。2213.3.2系統(tǒng)權(quán)限管管理在Orcale11g中含有200多種系統(tǒng)權(quán)權(quán)限，每種種系統(tǒng)權(quán)限限都為用戶(hù)戶(hù)提供了執(zhí)執(zhí)行某一種種或某一類(lèi)類(lèi)數(shù)據(jù)庫(kù)操操作的能力力，可以將將系統(tǒng)權(quán)限限授予用戶(hù)戶(hù)和角色。。由于系統(tǒng)統(tǒng)權(quán)限可能能影響到整整個(gè)數(shù)據(jù)庫(kù)庫(kù)，所有授授予系統(tǒng)權(quán)權(quán)限給用戶(hù)戶(hù)時(shí)需要慎慎重。1．授予系系統(tǒng)權(quán)限系統(tǒng)管理員員給用戶(hù)授授權(quán)時(shí)，應(yīng)應(yīng)該考慮到到不同用戶(hù)戶(hù)的身份。。例如數(shù)據(jù)據(jù)庫(kù)管理員員用戶(hù)應(yīng)該該具有創(chuàng)建建用戶(hù)、修修改用戶(hù)權(quán)權(quán)限、創(chuàng)建建表空間以以及可以對(duì)對(duì)數(shù)據(jù)庫(kù)任任何模式中中的對(duì)象進(jìn)進(jìn)行管理的的權(quán)限，而而數(shù)據(jù)庫(kù)開(kāi)開(kāi)發(fā)人員應(yīng)應(yīng)該具有在在自己的方方案中創(chuàng)建建表、視圖圖、過(guò)程等等的權(quán)限。。另外一些些普通用戶(hù)戶(hù)應(yīng)該只賦賦予CREATESESSION的權(quán)限。23授予系統(tǒng)權(quán)權(quán)限的語(yǔ)法法：GRANT{system_privilege|role}[，{system_privilege|role}]…TO{user|role|PUBLIC}[，{user|role|PUBLIC}]…[WITHADMINOPTION]參數(shù)說(shuō)明：：lsystem_privilege：要授予的的系統(tǒng)權(quán)限限luser：被授予權(quán)權(quán)限的用戶(hù)戶(hù)lrole：被授予的的角色名lPUBLIC：將系統(tǒng)權(quán)權(quán)限授予所所有用戶(hù)lWITHADMINOPTION：允許被授授予者進(jìn)一一步為其他他用戶(hù)或角角色授予權(quán)權(quán)限或角色色。當(dāng)授權(quán)權(quán)時(shí)帶有這這個(gè)子句時(shí)時(shí)，用戶(hù)才才可以將獲獲得的系統(tǒng)統(tǒng)權(quán)限再授授予其他用用戶(hù)，即系系統(tǒng)權(quán)限的的傳遞性。。24【例13-5】數(shù)據(jù)庫(kù)管管理員授予予CREATESESSION權(quán)限給用戶(hù)戶(hù)atea。SQL>GRANTCREATESESSIONTOatea;2.系統(tǒng)權(quán)權(quán)限收回一般用戶(hù)被被授予過(guò)高高的權(quán)限可可能會(huì)給Oracle系統(tǒng)帶來(lái)安安全隱患。。作為Oracle系統(tǒng)管理員員，應(yīng)該會(huì)會(huì)查詢(xún)當(dāng)前前Oracle系統(tǒng)中各個(gè)個(gè)用戶(hù)的權(quán)權(quán)限，并且且能夠使用用REVOKE命令撤銷(xiāo)用用戶(hù)的某些些不必要的的系統(tǒng)權(quán)限限。可以使用REVOKE語(yǔ)句撤銷(xiāo)系系統(tǒng)權(quán)限。。REVOKE{system_privilege|role}[，{system_privilege|role}]…FROM{user|role|PUBLIC}[，{user|role|PUBLIC}]…REVOKE語(yǔ)句中中的參數(shù)和和GRANT語(yǔ)句中相同同。25【例13-6】收回用戶(hù)戶(hù)atea的CREATESESSION權(quán)限SQL>REVOKECREATESESSIONFROMatea;需要說(shuō)明的的是，如果果數(shù)據(jù)庫(kù)管管理員使用用了GRANT語(yǔ)句給用戶(hù)戶(hù)A授予系統(tǒng)權(quán)權(quán)限時(shí)帶有有WITHADMINOPTION選項(xiàng)，則該該用戶(hù)A有權(quán)將系統(tǒng)統(tǒng)權(quán)限再次次授予其他他的用戶(hù)B。在這種情情況下，如如果數(shù)據(jù)庫(kù)庫(kù)管理員使使用REVOKE命令撤銷(xiāo)A用戶(hù)的系統(tǒng)統(tǒng)權(quán)限時(shí)，，用戶(hù)B的系統(tǒng)授權(quán)權(quán)仍然有效效。13.3.3對(duì)象權(quán)限管管理對(duì)象權(quán)限是是一種對(duì)于于特定對(duì)象象（表、視視圖、序列列、過(guò)程、、函數(shù)或程程序包等））執(zhí)行特定定操作的一一種權(quán)限。。數(shù)據(jù)庫(kù)用用戶(hù)擁有對(duì)對(duì)自己的對(duì)對(duì)象的所有有對(duì)象權(quán)限限，所以對(duì)對(duì)象權(quán)限的的管理實(shí)際際上即是對(duì)對(duì)象所有者者對(duì)其他用用戶(hù)操作該該對(duì)象的權(quán)權(quán)限管理。。261.授予對(duì)象權(quán)權(quán)限授予對(duì)象權(quán)權(quán)限的語(yǔ)法法：GRANT{object_privilege[(column_list)][，object_privilege[(column_list)]]…|ALL[PRIVILEGES]}ON[schema.]objectTO{user|role|PUBLIC}[,{user|role|PUBLIC}]…[WITHGRANTOPTION]其中參數(shù)說(shuō)說(shuō)明如下：：lobject_privilege：表示要授授予的對(duì)象象權(quán)限；lcolumn_list：指定表或或視圖列；；lALL：將將所所有有權(quán)權(quán)限限授授予予那那些些已已被被授授予予WITHGRANTOPTION的對(duì)對(duì)象象；；lONobject：object表示示將將要要被被授授予予權(quán)權(quán)限限的的目目標(biāo)標(biāo)對(duì)對(duì)象象；；lRole：角角色色名名；；lUser：被被授授予予的的用用戶(hù)戶(hù)名名；；lWITHGRANTOPTION：表表示示被被授授予予者者可可再再將將對(duì)對(duì)象象權(quán)權(quán)限限授授予予其其他他用用戶(hù)戶(hù)。。27【例例13-7】將將SELECT、INSERT、DELETE授權(quán)權(quán)給給atea用戶(hù)戶(hù)。。SQL>GRANTSELECT,INSERT,DELETEONempTOatea;2.對(duì)對(duì)象象權(quán)權(quán)限限回回收收要從從用用戶(hù)戶(hù)或或者者角角色色中中撤撤銷(xiāo)銷(xiāo)對(duì)對(duì)象象權(quán)權(quán)限限，，仍仍然然要要使使用用REVOKE命令令來(lái)來(lái)完完成成。。要要撤撤銷(xiāo)銷(xiāo)對(duì)對(duì)象象權(quán)權(quán)限限，，撤撤銷(xiāo)銷(xiāo)者者必必須須是是將將被被撤撤銷(xiāo)銷(xiāo)的的對(duì)對(duì)象象權(quán)權(quán)限限的的原原始始授授予予者者。。撤撤銷(xiāo)銷(xiāo)對(duì)對(duì)象象權(quán)權(quán)限限的的語(yǔ)語(yǔ)法法：：REVOKE{object_privilege[,object_privilege]…|ALL[PRIVILEGES]}ON[schema.]objectFROM{user|role|PUBLIC}[,{user|role|PUBLIC}]…[CASCADECONSTRAINTS]28其中中參參數(shù)數(shù)說(shuō)說(shuō)明明如如下下：：lobject_privilege：：指指定定將將撤撤銷(xiāo)銷(xiāo)的的對(duì)對(duì)象象權(quán)權(quán)限限；；lALL：：撤撤銷(xiāo)銷(xiāo)已已授授予予用用戶(hù)戶(hù)的的所所有有對(duì)對(duì)象象權(quán)權(quán)限限；；lON：：標(biāo)標(biāo)識(shí)識(shí)將將撤撤銷(xiāo)銷(xiāo)其其對(duì)對(duì)象象權(quán)權(quán)限限的的對(duì)對(duì)象象；；lFROM：：標(biāo)標(biāo)識(shí)識(shí)將將撤撤銷(xiāo)銷(xiāo)其其對(duì)對(duì)象象權(quán)權(quán)限限的的用用戶(hù)戶(hù)或或角角色色；；lCASCADECONSTRAINTS：：刪刪除除撤撤銷(xiāo)銷(xiāo)使使用用REFERENCES或ALL權(quán)限限定定義義的的任任何何引引用用完完整整性性約約束束限限制制；；【例13-8】從atea用戶(hù)撤銷(xiāo)emp對(duì)象的所有權(quán)權(quán)限。SQL>REVOKEALLONempFROMatea;需要注意的是是，如果數(shù)據(jù)據(jù)庫(kù)管理員使使用GRANT命令給用戶(hù)A授予對(duì)象權(quán)限限時(shí)帶有WITHADMINOPTION選項(xiàng)，則該用用戶(hù)A有權(quán)將權(quán)限再再次授予其他他的用戶(hù)B。在這種情況況下，如果數(shù)數(shù)據(jù)庫(kù)管理員員使用REVOKE命令撤銷(xiāo)A用戶(hù)的對(duì)象權(quán)權(quán)限時(shí)，用戶(hù)戶(hù)B的對(duì)象權(quán)限也也被撤銷(xiāo)。需需要注意，在在進(jìn)行系統(tǒng)權(quán)權(quán)限回收和進(jìn)進(jìn)行對(duì)象權(quán)限限回收時(shí)，效效果是不一樣樣的。2913.3.4權(quán)限查詢(xún)用戶(hù)被授予的的系統(tǒng)權(quán)限或或者對(duì)象權(quán)限限都被記錄在在Oracle的數(shù)據(jù)字典中中，了解某個(gè)個(gè)用戶(hù)被授予予哪些系統(tǒng)權(quán)權(quán)限和對(duì)象權(quán)權(quán)限是確保應(yīng)應(yīng)用系統(tǒng)安全全的重要工作作。如表13-1所示為Oracle11g用于存放用戶(hù)戶(hù)、系統(tǒng)權(quán)限限和對(duì)象權(quán)限限有關(guān)的數(shù)據(jù)據(jù)字典?！纠?3-9】查詢(xún)所有的對(duì)對(duì)象權(quán)限。（（查找的結(jié)果果應(yīng)該截圖粘粘貼在下面））SQL>SELECT*FROMdba_tab_privs;30主要內(nèi)容13.1概概述13.2用用戶(hù)管理13.3權(quán)權(quán)限管理13.4角角色管理13.5數(shù)據(jù)庫(kù)審計(jì)13.6小結(jié)13.7習(xí)題題3113.4角色管理Oracle中的權(quán)限限分類(lèi)很多，，設(shè)置十分復(fù)復(fù)雜，就系統(tǒng)統(tǒng)權(quán)限而言，，在Oracle11g中就超過(guò)了200種，為數(shù)據(jù)庫(kù)庫(kù)管理員正確確有效地管理理數(shù)據(jù)庫(kù)權(quán)限限帶來(lái)了困難難，而角色就就是簡(jiǎn)化權(quán)限限管理的一種種數(shù)據(jù)庫(kù)對(duì)象象。13.4.1角色概述角色是權(quán)限管管理的一種工工具，是一系系列權(quán)限的集集合，角色可可以被授予任任何用戶(hù)，也也可以從用戶(hù)戶(hù)中收回。使用角色可以以簡(jiǎn)化權(quán)限的的管理，可以以?xún)H用一條語(yǔ)語(yǔ)句就能從用用戶(hù)那里授予予或者回收許許多權(quán)限，而而不必對(duì)用戶(hù)戶(hù)一一授權(quán)。。使用角色還還可以實(shí)現(xiàn)權(quán)權(quán)限的動(dòng)態(tài)管管理，比如隨隨著應(yīng)用的變變化可以增加加或者減少角角色的權(quán)限，，這樣通過(guò)改改變角色權(quán)限限，就改變了了多個(gè)用戶(hù)的的權(quán)限。32角色、用戶(hù)及及權(quán)限是一組組有密切關(guān)系系的對(duì)象，既既然角色是一一組權(quán)限的集集合，那么他他被授予某個(gè)個(gè)用戶(hù)時(shí)才能能有意義，可可以如圖13-1所示幫助我們們理解角色、、用戶(hù)及權(quán)限限的關(guān)系。圖13-1用戶(hù)、角色和和權(quán)限的關(guān)系系33在復(fù)雜的大型型應(yīng)用系統(tǒng)，，要求對(duì)應(yīng)用用系統(tǒng)功能進(jìn)進(jìn)行分類(lèi)，從從而形成角色色的雛形，再再使用CREATEROLE語(yǔ)句將它們創(chuàng)創(chuàng)建為角色；；最后根據(jù)用用戶(hù)工作的分分工，將不同同的角色（包包括系統(tǒng)預(yù)定定義的角色））授予各類(lèi)用用戶(hù)。如果應(yīng)應(yīng)用系統(tǒng)的規(guī)規(guī)模很小，用用戶(hù)數(shù)也不多多，則可以直直接將應(yīng)用的的權(quán)限授予用用戶(hù)，即使是是這樣，用戶(hù)戶(hù)也必須對(duì)Oracle系統(tǒng)的預(yù)定義義角色有所了了解。角色所對(duì)應(yīng)的的權(quán)限集合中中可以包含系系統(tǒng)權(quán)限和對(duì)對(duì)象權(quán)限。角角色是可以授授予另外一個(gè)個(gè)角色的，需需要避免將角角色授予它本本身，也不能能循環(huán)授予。。13.4.2創(chuàng)建角色如果系統(tǒng)預(yù)定定義的角色不不符合用戶(hù)的的需要，數(shù)據(jù)據(jù)庫(kù)管理員還還可以創(chuàng)建更更多的角色。。創(chuàng)建用戶(hù)自自定義角色使使用CREATEROLE語(yǔ)句來(lái)實(shí)現(xiàn)。。34創(chuàng)建角色語(yǔ)句句的語(yǔ)法格式式如下：CREATEROLErole_name[NOTIDENTIFIED][IDENTIFIEDBYpassword];對(duì)其中的參數(shù)數(shù)說(shuō)明如下：：lrole_name：用于指定自自定義角色名名稱(chēng)，該名稱(chēng)稱(chēng)不能與任何何用戶(hù)名或其其他角色相同同。lNOTIDENTIFIED：用戶(hù)指定該該角色由數(shù)據(jù)據(jù)庫(kù)授權(quán)，使使該角色生效效時(shí)不需要口口令。lIDENTIFIEDBYpassword：用于設(shè)置角角色生效時(shí)的的認(rèn)證口令。?！纠?3-10】創(chuàng)建不驗(yàn)證的的角色doctor_clerkSQL>CREATEROLEdoctor_clerk;【例13-11】創(chuàng)建使用口令令驗(yàn)證的角色色SQL>CREATEROLEunit_clerkIDENTIFIEDBYcaption;【例13-12】創(chuàng)建外部驗(yàn)證證的角色SQL>CREATEROLEunit_managerIDENTIFIEDEXTERNALLY;3513.4.3角色授權(quán)權(quán)當(dāng)角色被建立立后，沒(méi)有任任何權(quán)限，只只有對(duì)其授予予權(quán)限，才有有使用的意義義。因此，在在創(chuàng)建角色后后，通常還需需要立即為它它授予權(quán)限。?？梢酝ㄟ^(guò)給給用戶(hù)授權(quán)的的GRANT語(yǔ)句給角色授授權(quán)，并將角角色賦予相應(yīng)應(yīng)的數(shù)據(jù)庫(kù)用用戶(hù)。角色權(quán)限的授授予與回收和和用戶(hù)權(quán)限的的授予與回收收類(lèi)似，語(yǔ)法法也與其相同同?！纠?3-13】為teller角色授予CREATESESSION和CREATEDATABASELINK權(quán)限SQL>GRANTCREATESESSION,CREATEDATABASELINKtoteller;對(duì)角色授權(quán)后后，就可以將將角色授予某某個(gè)用戶(hù)?！纠?3-14】將teller角色授予用戶(hù)戶(hù)wangSQL>GRANTtellerTOwang;3613.4.4角色的生生效/失效當(dāng)某角色生效效時(shí)，屬于角角色的用戶(hù)可可以執(zhí)行該角角色所具有的的所有權(quán)限操操作，而當(dāng)某某角色失效時(shí)時(shí)，擁有這個(gè)個(gè)角色的用戶(hù)戶(hù)將不能執(zhí)行行該角色的任任何權(quán)限操作作。因此，通通過(guò)設(shè)置角色色的生效或失失效，可以動(dòng)動(dòng)態(tài)改變用戶(hù)戶(hù)的權(quán)限。設(shè)置角色生效效或失效使用用SETROLE語(yǔ)句，語(yǔ)法格格式為：SETROLE{role[IDENTIFIEDBYpassword][,role[IDENTIFIEDBYpassword]]…|ALL[EXCEPTrole[,role]…]|NONE}37參數(shù)說(shuō)明如下下：lrole：是是角色的名稱(chēng)稱(chēng)；lIDENTIFIEDBYpassword：提供角角色生效時(shí)所所需的口令；；lALL：除了了EXCEPT子句中列出的的角色外，授授予當(dāng)前用戶(hù)戶(hù)的全部角色色生效；lEXCEPTrole：這些角色色不生效；lNONE：當(dāng)當(dāng)前會(huì)話(huà)的全全部角色失效效（只有直接接授予用戶(hù)的的權(quán)限是可用用的）。角色的生效針針對(duì)的是會(huì)話(huà)話(huà)，在下一個(gè)個(gè)會(huì)話(huà)中，用用戶(hù)的活動(dòng)角角色將默認(rèn)為為默認(rèn)角色。。如果角色設(shè)置置了口令，則則SETROLE命令中必須包包含口令才能能使角色生效效。分配給用用戶(hù)的默認(rèn)角角色不需要口口令，這些角角色同沒(méi)有口口令的角色一一樣在登錄時(shí)時(shí)生效。38【例13-15】在當(dāng)前會(huì)話(huà)話(huà)中使角色doctor_clerk生效。SQL>SETROLEdoctor_clerk;【例13-16】在當(dāng)前會(huì)話(huà)話(huà)中使除了unit_manager之外的所有角角色生效。SQL>SETROLEALLEXCEPTunit_manager;【例13-17】設(shè)置當(dāng)前用用戶(hù)所有角色色失效。SQL>SETROLENONE;13.4.5修改角色色修改角色時(shí)，，只能修改角角色生效或失失效時(shí)的認(rèn)證證方式，也就就是說(shuō)，是否否必須經(jīng)過(guò)Oracle確認(rèn)才允許對(duì)對(duì)角色進(jìn)行修修改。而且，，當(dāng)前用戶(hù)的的角色必須通通過(guò)ADMIN選項(xiàng)進(jìn)行授予予，或者當(dāng)前前用戶(hù)必須具具有ALTERANYROLE系統(tǒng)權(quán)限。修改角色的語(yǔ)語(yǔ)法：ALTERROLErole{NOTIDENTIFIED|IDENTIFIED{BYpassword|USINGpackage|EXTERNALLY|GLOBALLY}};39參數(shù)說(shuō)明如下下：lrole：角色名稱(chēng)；；lNOTIDENTIFIED：表明該角色色生效時(shí)，不不需要進(jìn)行驗(yàn)驗(yàn)證；lIDENTIFIED：表明該角色色生效時(shí)，需需要進(jìn)行驗(yàn)證證；lBYpassword：提供角色生生效時(shí)所使用用的口令；lEXTERNALLY：表明該角色色生效之前，，用戶(hù)必須由由外部服務(wù)（（例如操作系系統(tǒng)或網(wǎng)絡(luò)服服務(wù)）授權(quán)；；lGLOBALLY：表明通過(guò)SETROLE語(yǔ)句使角色生生效之前或登登錄時(shí)，必須須由企業(yè)目錄錄服務(wù)授權(quán)用用戶(hù)使用該角角色。40【例13-18】修改角色unit_clerk由外部驗(yàn)證。。SQL>ALTERROLEunit_clerkIDENTIFIEDEXTERNALLY;【例13-19】修改角色unit_manager不驗(yàn)證。SQL>ALTERROLEunit_managerNOTIDENTIFIED;【例13-20】修改角色doctor_clerk驗(yàn)證密碼。SQL>ALTERROLEdoctor_clerkIDENTIFIEDBYORDER;13.4.6刪除角色色如果不再需要要某個(gè)角色或或者某個(gè)角色色的設(shè)置不太太合理時(shí)，就就可以使用DROPROLE來(lái)刪除角色，，使用該角色色的用戶(hù)的權(quán)權(quán)限同時(shí)也被被回收。刪除除用戶(hù)一般由由DBA操作。41刪除角色的語(yǔ)語(yǔ)法如下：DROPROLErole;參數(shù)說(shuō)明如下下：lrole：角色名稱(chēng)；；【例13-21】刪除角色unit_clerk。SQL>DROPROLEunit_clerk;13.4.7查詢(xún)角色色信息可以通過(guò)查詢(xún)?cè)償?shù)據(jù)字典或或動(dòng)態(tài)性能視視圖獲得數(shù)據(jù)據(jù)庫(kù)角色的相相關(guān)信息。lDBA_ROLES：數(shù)數(shù)據(jù)庫(kù)中的所所有角色及其其描述；lDBA_ROLES_PRIVS：：授予用戶(hù)和和角色的角色色信息；lDBA_SYS_PRIVS：授予予用戶(hù)和角色色的系統(tǒng)權(quán)限限；lUSER_ROLE_PRIVS：：為當(dāng)前用戶(hù)戶(hù)授予的角色色信息；lROLE_ROLE_PRIVS：：授予角色的的角色信息；；42lROLE_SYS_PRIVS：授授予角色的系系統(tǒng)權(quán)限信息息；lROLE_TAB_PRIVS：授授予角色的對(duì)對(duì)象權(quán)限信息息；lSESSION_PRIVS：當(dāng)前前會(huì)話(huà)所具有有的系統(tǒng)權(quán)限限信息；lSESSION_ROLES：用戶(hù)戶(hù)當(dāng)前授權(quán)的的角色信息。?！纠?3-22】查詢(xún)用戶(hù)martha的角色及默認(rèn)認(rèn)角色。（應(yīng)應(yīng)該有截圖））SQL>SELECT*FROMdba_roles_privs2WHEREgrantee=‘MARTHA’;【例13-23】查詢(xún)DBA角色所具有的的系統(tǒng)權(quán)限信信息。（應(yīng)該該有截圖）SQL>SELECT*FROMROLE_SYS_PRIVS2WHEREROLE=‘DBA’;43主要內(nèi)容13.1概概述13.2用用戶(hù)管理13.3權(quán)權(quán)限管理13.4角角色管理13.5數(shù)據(jù)庫(kù)審計(jì)13.6小結(jié)13.7習(xí)題題4413.5數(shù)據(jù)庫(kù)審計(jì)審計(jì)是監(jiān)視和和記錄用戶(hù)對(duì)對(duì)數(shù)據(jù)庫(kù)所進(jìn)進(jìn)行的操作，，以供DBA進(jìn)行統(tǒng)計(jì)和分分析。對(duì)于安安全要求較高高的應(yīng)用系統(tǒng)統(tǒng)來(lái)說(shuō)，數(shù)據(jù)據(jù)庫(kù)管理員可可以啟用Oracle系統(tǒng)提供的審審計(jì)機(jī)制，以以滿(mǎn)足最終客客戶(hù)對(duì)安全的的需求。Oracle數(shù)據(jù)庫(kù)系統(tǒng)統(tǒng)提供對(duì)其內(nèi)內(nèi)部所發(fā)生的的活動(dòng)進(jìn)行審審計(jì)的功能，，也就是Oracle系統(tǒng)對(duì)任何用用戶(hù)進(jìn)行的登登錄、操作數(shù)數(shù)據(jù)庫(kù)對(duì)象進(jìn)進(jìn)行自動(dòng)登記記，以方便數(shù)數(shù)據(jù)庫(kù)管理者者在事后進(jìn)行行監(jiān)督和檢查查。。45通常對(duì)以下3種情況進(jìn)行審審計(jì)，如表13-2所示?！纠?3-24】啟動(dòng)數(shù)據(jù)庫(kù)的的審計(jì)功能ALTERSYSTEMSETaudit_trail=‘DB’SCOPE=SPFILE;SHUTDOWNIMMEDIATESTARTUP46主要內(nèi)容13.1概概述13.2用用戶(hù)管理13.3權(quán)權(quán)限管理13.4角角色管理13.5數(shù)據(jù)庫(kù)審計(jì)13.6小結(jié)13.7習(xí)題題4713.6小結(jié)本章主要介紹紹了Oracle數(shù)據(jù)庫(kù)的安全全管理機(jī)制，，包括用戶(hù)管管理、權(quán)限管管理、角色管管理和數(shù)據(jù)庫(kù)庫(kù)審計(jì)等。確確保Oracle數(shù)據(jù)庫(kù)系統(tǒng)的的可用性和安安全性是DBA的主要職責(zé)，，Oracle數(shù)據(jù)庫(kù)安全管管理是以用戶(hù)戶(hù)為核心進(jìn)行行的，包括用用戶(hù)的創(chuàng)建、、權(quán)限的授予予與回收、對(duì)對(duì)用戶(hù)占用資資源的限制和和口令管理等等。489、靜夜四四無(wú)鄰，，荒居舊舊業(yè)貧。。。12月-2212月-22Wednesday,December28,202210、雨中黃黃葉樹(shù)，，燈下白白頭人。。。20:50:2220:50:2220:5012/28/20228:50:22PM11、以我獨(dú)沈沈久，愧君君相見(jiàn)頻。。。12月-2220:50:2220:50Dec-2228-Dec-2212、故人江江海別，，幾度隔隔山川。。。20:50:2220:50:2220:50Wednesday,December28,202213、乍見(jiàn)翻疑夢(mèng)夢(mèng)，相悲各問(wèn)問(wèn)年。。12月-2212月-2220:50:2220:50:22December28,202214、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國(guó)國(guó)見(jiàn)青青山。。。28十十二二月20228:50:22下下午20:50:2212月月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月228:50下下午午12月月-2220:50December28,202216、行動(dòng)出出成果，，工作出出財(cái)富。。。2022/12/2820:50:2220:50:2228December202217、做前，能能夠環(huán)視四四周；做時(shí)時(shí)，你只能能或者最好