系統(tǒng)安全管理

第7章系統(tǒng)安全管理數(shù)據(jù)庫(kù)中保存了大量的數(shù)據(jù)，有些數(shù)據(jù)對(duì)企業(yè)是極其重要的，是企業(yè)的核心機(jī)密，必須保證這些數(shù)據(jù)和操作的安全。因此，數(shù)據(jù)庫(kù)系統(tǒng)必須具備完善、方便的安全管理機(jī)制。Oracle中，數(shù)據(jù)庫(kù)的安全性主要包括：(1)對(duì)用戶登錄進(jìn)行身份認(rèn)證。當(dāng)用戶登錄到數(shù)據(jù)庫(kù)系統(tǒng)時(shí)，系統(tǒng)對(duì)該用戶的賬號(hào)和口令進(jìn)行認(rèn)證，包括確認(rèn)用戶賬戶是否有效以及能否訪問數(shù)據(jù)庫(kù)系統(tǒng)。(2)對(duì)用戶操作進(jìn)行權(quán)限控制。當(dāng)用戶登錄到數(shù)據(jù)庫(kù)后，只能對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)在允許的權(quán)限內(nèi)進(jìn)行操作。數(shù)據(jù)庫(kù)管理員(簡(jiǎn)稱DBA)，對(duì)數(shù)據(jù)庫(kù)的管理具有最高的權(quán)限。一個(gè)用戶如果要對(duì)某一數(shù)據(jù)庫(kù)進(jìn)行操作，必須滿足以下三個(gè)條件：(1)登錄Oracle服務(wù)器時(shí)必須通過身份驗(yàn)證；(2)必須是該數(shù)據(jù)庫(kù)的用戶或者是某一數(shù)據(jù)庫(kù)角色的成員；(3)必須有執(zhí)行該操作的權(quán)限。在Oracle系統(tǒng)中，為了實(shí)現(xiàn)這種安全性，采取了用戶、角色和概要文件等的管理策略。7.1用戶Oracle有一套嚴(yán)格的用戶管理機(jī)制，新創(chuàng)建的用戶只有通過管理員授權(quán)才能獲得系統(tǒng)數(shù)據(jù)庫(kù)的使用權(quán)限，否則該用戶只有連接數(shù)據(jù)庫(kù)的權(quán)利。正是有了這一套嚴(yán)格的安全管理機(jī)制，才保證了數(shù)據(jù)庫(kù)系統(tǒng)的正常運(yùn)轉(zhuǎn)，確保數(shù)據(jù)信息不泄露。7.1.1創(chuàng)建用戶用戶(USER)就是使用數(shù)據(jù)庫(kù)系統(tǒng)的所有合法操作者。Oracle10g有兩個(gè)基本用戶：SYSTEM和SYS。創(chuàng)建用戶就是建立一個(gè)安全、有用的帳戶，并且這個(gè)帳戶要有充分的權(quán)限和正確的缺省設(shè)置值。用戶既可以在OEM中創(chuàng)建，也可以使用SQL命令來創(chuàng)建。7.1.1創(chuàng)建用戶1. 利用OEM創(chuàng)建用戶(1) 在圖7.1所示的界面中，選中用戶單擊鼠標(biāo)左鍵，進(jìn)入“用戶搜索”界面，如圖7.2所示。圖7.2列出了已存在的用戶及帳戶的狀態(tài)、使用的概要文件和創(chuàng)建時(shí)間等用戶基本信息。

圖7.1Oracle企業(yè)管理器

7.1.1創(chuàng)建用戶圖7.2用戶搜索界面

7.1.1創(chuàng)建用戶(2) 單擊“創(chuàng)建”按鈕，進(jìn)入“用戶創(chuàng)建”界面，如圖7.3所示。圖7.3一般信息選項(xiàng)頁面

7.1.1創(chuàng)建用戶(3)“一般信息”選項(xiàng)頁面?！耙话阈畔ⅰ边x項(xiàng)頁面包括如下幾個(gè)方面：名稱：將要?jiǎng)?chuàng)建的用戶名，用戶名一般采用Oracle10g字符集中的字符，最長(zhǎng)可為30個(gè)字節(jié)。概要文件：指定分配給用戶的概要文件。默認(rèn)分配一個(gè)DEFAULT概要文件。驗(yàn)證：指定Oracle用來驗(yàn)證用戶的方法。Oracle有3種驗(yàn)證用戶的方法：口令、外部和全局。當(dāng)使用口令驗(yàn)證時(shí)，選擇“口令”選項(xiàng)；當(dāng)使用操作系統(tǒng)用戶名(在此是WIN2003的用戶名)時(shí)，選擇“外部”；當(dāng)用戶在多個(gè)數(shù)據(jù)庫(kù)中被全局標(biāo)識(shí)時(shí)，選擇“全局”。輸入口令和驗(yàn)證口令：只有在“驗(yàn)證”選擇“口令”時(shí)才有效。只有在兩者完全一致時(shí)才通過確認(rèn)?？诹罴纯淌В撼废瓉淼目诹睿废罂梢愿挠脩艨诹?。默認(rèn)表空間：為用戶創(chuàng)建的對(duì)象選擇默認(rèn)表空間。臨時(shí)表空間：為用戶創(chuàng)建的對(duì)象選擇臨時(shí)表空間。狀態(tài)—鎖定：鎖定用戶的帳戶并禁止訪問該帳戶。狀態(tài)—未鎖定：解除對(duì)用戶帳戶的鎖定并允許訪問該帳戶。輸入新用戶名稱NICK；分配給用戶的概要文件為DEFAULT；設(shè)定自己的口令如manager；其它選項(xiàng)均為默認(rèn)值。7.1.1創(chuàng)建用戶(4)“角色”選項(xiàng)頁面。角色選項(xiàng)頁面如圖7.4所示。在該選項(xiàng)頁面中，可以把某些角色賦予新用戶，這樣新用戶就繼承了這些角色的權(quán)限。界面中的表格包括以下3列：①角色：角色名稱。②管理理選項(xiàng)：表示新用戶是否可以將角色授予其他用戶或角色，默認(rèn)情況下為禁用，用鼠標(biāo)單擊“管理選項(xiàng)”標(biāo)記可以解除禁用。③默認(rèn)值：選中后，表示用戶一旦登錄到系統(tǒng)中，系統(tǒng)將會(huì)將所選角色設(shè)置為用戶默認(rèn)的角色。新用戶默認(rèn)的擁有CONNECT角色的權(quán)限。單擊“編輯列表”按鈕，打開“修改角色”界面，如圖7.5所示?！翱捎媒巧绷斜砜蛑辛谐隽水?dāng)前可用的角色。先在列表中選擇要賦予新用戶的角色，然后通過向右的箭頭按鈕或者雙擊該角色，把所選角色添加到“所選角色”列表中；通過向左的箭頭或雙擊取消在“所選角色”列表中選中的角色。單擊“確定”，界面返回到圖7.5所示界面，此時(shí)在該界面可以看到剛才所選的角色。7.1.1創(chuàng)建用戶

圖7.4角色選項(xiàng)頁面

圖7.5修改角色界面

7.1.1創(chuàng)建用戶(5)“系統(tǒng)權(quán)限”選項(xiàng)頁面。“系統(tǒng)權(quán)限”選項(xiàng)頁面如圖7.6所示。在該選項(xiàng)頁面，賦予新用戶指定的權(quán)限。單擊“編輯列表”按鈕，打開“修改系統(tǒng)權(quán)限”界面，如圖7.7所示。圖7.6系統(tǒng)權(quán)限選項(xiàng)頁面

圖7.7修改系統(tǒng)權(quán)限界面

7.1.1創(chuàng)建用戶(6) 對(duì)象權(quán)限選項(xiàng)頁面。對(duì)象權(quán)限選項(xiàng)頁面如圖7.8所示。在該選項(xiàng)頁面中，可以為新用戶授予操縱指定對(duì)象的權(quán)限。圖7.8對(duì)象權(quán)限選項(xiàng)頁面

7.1.1創(chuàng)創(chuàng)建建用戶戶(7)在在“選選擇對(duì)對(duì)象類類型””下拉拉框選選擇對(duì)對(duì)象，，如表表，單單擊添添加，，打開開“表表對(duì)象象”添添加界界面，如如圖7.9所示示。圖7.9添添加對(duì)對(duì)象權(quán)權(quán)限界界面7.1.1創(chuàng)創(chuàng)建建用戶戶(8)單單擊““手電電筒””形狀狀的按按鈕，，進(jìn)入入“選選擇表表對(duì)象象”界界面，，如圖圖7.10所示示。勾勾選要要賦予權(quán)限限的表表，單單擊““選擇擇”按按鈕，，返回回到如如圖7.9所示示的界界面，，在此此時(shí)在在“選選擇表表對(duì)象”列列表框框出現(xiàn)現(xiàn)剛才才選擇擇所有有表。。圖7.10選擇擇表對(duì)對(duì)象界界面7.1.1創(chuàng)創(chuàng)建建用戶戶在“可可用權(quán)權(quán)限””列表表框選選擇相相應(yīng)權(quán)權(quán)限，，使用用右箭箭頭或或雙擊擊鼠標(biāo)標(biāo)左鍵鍵把選選中的的系統(tǒng)統(tǒng)權(quán)限限添加加到““所選選權(quán)限限”列列表框框中；；使用用左肩肩頭取取消““所選選權(quán)限限”列列表框框中所所列出出的所所有已已授予予的權(quán)權(quán)限。。單擊““確定定”按按鈕，，返回回到圖圖7.8所所示界界面，，此時(shí)時(shí)界面面列出出了所所設(shè)置置的表表對(duì)象象相應(yīng)應(yīng)的權(quán)權(quán)限情情況。。該界面面列表表列出出了對(duì)對(duì)象權(quán)權(quán)限的的信息息：權(quán)限：：表示示已授授予的的權(quán)限限。方案：表示示已授予權(quán)權(quán)限所屬方方案。對(duì)象：表示示已授予的的數(shù)據(jù)庫(kù)對(duì)對(duì)象。授權(quán)選項(xiàng)：：是否可以以授權(quán)給其其他用戶。。選擇要?jiǎng)h除除的對(duì)象權(quán)權(quán)限，單擊擊“刪除””按鈕可以以刪除該對(duì)對(duì)象權(quán)限。。根據(jù)實(shí)際際情況，按照添加表表對(duì)象權(quán)限限的操作給給新用戶賦賦予相應(yīng)的的對(duì)象權(quán)限限。7.1.1創(chuàng)建建用戶(9)限限額選項(xiàng)頁頁面。限額額選項(xiàng)頁面面如圖7.11所示示。在該選選項(xiàng)頁面中中對(duì)新用戶戶指定對(duì)應(yīng)應(yīng)表空間的大小限額額。在列表中選選擇表空間間并通過選選擇“無””、“無限限制”或““值”單選選按鈕指定定限額大小小。在此對(duì)對(duì)所有表空間選擇擇“無”。。圖7.11限額選項(xiàng)項(xiàng)頁面7.1.1創(chuàng)建建用戶(10)使使用者組組切換權(quán)限限選項(xiàng)頁面面。使用者者組切換權(quán)權(quán)限選項(xiàng)頁頁面如圖7.12所所示。在該選項(xiàng)頁面面，可以為為新用戶授授予相應(yīng)的的使用者組組的權(quán)限。。單擊“修改改”按鈕，，進(jìn)入“修修改使用者者組”界面面，如圖7.13所所示。圖7.12使用者組組切換權(quán)限限選項(xiàng)頁面面圖7.13修改使用用者組界面面7.1.1創(chuàng)建建用戶(11)代代理用戶戶選項(xiàng)頁面面。代理用用戶選項(xiàng)頁頁面如圖7.14所所示。在該該選項(xiàng)頁面面中可以指指定可代理理新用戶的的用戶和指指定新用戶戶可代理的的用戶。圖7.14代理用戶戶選項(xiàng)頁面面7.1.1創(chuàng)建建用戶單擊“可代代理此用戶戶的用戶””欄的“添添加”按鈕鈕，進(jìn)入““用戶選擇擇”界面，，如圖7.15所示示。勾選可可代理新用戶戶的用戶，，單擊“選選擇”按鈕鈕，返回到到圖7.14所示界界面，此時(shí)時(shí)“可代理理此用戶的的用戶”欄出現(xiàn)剛才才勾選的所所有用戶。。若要?jiǎng)h除除某個(gè)用戶戶，選中用用戶名前單單選按鈕，，單擊“移移去”按鈕，即可刪刪除。圖7.15用戶選擇擇界面7.1.1創(chuàng)建建用戶至此，新用用戶的所有有信息以及及權(quán)限都已已設(shè)置完成成，單擊““顯示SQL”按鈕鈕，可以查查看創(chuàng)建該該用戶相應(yīng)的的SQL命命令，如圖圖7.16所示。在在圖7.15所示界界面中單擊擊“確定””按鈕，系系統(tǒng)完成創(chuàng)創(chuàng)建工作后返回回到圖7.2所示界界面，完成成創(chuàng)建用戶戶操作過程程。圖7.16創(chuàng)建新用用戶的SQL語句7.1.1創(chuàng)建建用戶2. 利用用SQL語語句創(chuàng)建用用戶可以使用CREATEUSER命令令來創(chuàng)建一一個(gè)新的數(shù)數(shù)據(jù)庫(kù)用戶戶帳戶，但但是創(chuàng)建者者必須具有有CREATEUSER系統(tǒng)統(tǒng)權(quán)限。語法格式：：CREATEUSERuser_name/*將要要?jiǎng)?chuàng)建的用用戶名*/[IDENTIFIEDBYpassword|EXTERNALLLY|GLOBALLYAS‘‘external_name’]/*表明Oracle如何驗(yàn)驗(yàn)證用戶*/[DEFAULTTABLESPACEtablespace_name]/*標(biāo)識(shí)用用戶所創(chuàng)建建對(duì)象的缺缺省表空間間*/[TEMPORARYTABLESPACEtablespace_name]/*標(biāo)識(shí)用用戶的臨時(shí)時(shí)段的表空空間*/[QUOTAintegerK|integerM|UNLIMTEDONtablespace_name]/*用戶規(guī)規(guī)定的表空空間存儲(chǔ)對(duì)對(duì)象，最多多可達(dá)到這這個(gè)定額規(guī)規(guī)定的總尺尺寸*/[PROFILEprofile_name]/*將指定定的概要文文件分配給給用戶*/[DEFAULTROLErole,…n∣ALL[EXCEPTrole,…n]∣NONE][PASSWORDEXPIRE][ACCOUNTLOCK|NULOCK]/*帳戶是否否鎖定*/7.1.1創(chuàng)建建用戶2. 利用用SQL語語句創(chuàng)建用用戶其中：user_name：將要?jiǎng)?chuàng)創(chuàng)建用戶的的名稱。IDENTIFIED：表示示Oracle如何何驗(yàn)證用戶戶。BYpassword：創(chuàng)創(chuàng)建一個(gè)本本地用戶，，該用戶必必須指定password進(jìn)進(jìn)行登錄。。Password只能包含含數(shù)據(jù)庫(kù)字字符集中的單單字節(jié)字符符，而不管管該字符集集是否還包包含多字節(jié)節(jié)字符。EXTERNALLY：創(chuàng)建建一個(gè)外部部用戶，該該用戶必須須由外部服服務(wù)程序(如操作系系統(tǒng)或第三三方服務(wù)程程序)來進(jìn)進(jìn)行驗(yàn)證。GLOBALLYAS‘‘external_name’：創(chuàng)創(chuàng)建一個(gè)全全局用戶(globaluser)，必須由由企業(yè)目錄錄服務(wù)器驗(yàn)驗(yàn)證用戶。。DEFAULTTABLESPACE：標(biāo)識(shí)識(shí)用戶所創(chuàng)創(chuàng)建對(duì)象的的缺省表空空間為tablespace_name指定的的表空間。。如果忽略該子子句就放入入SYSTEM表空空間。TEMPORARYTABLESPACE：：標(biāo)識(shí)用戶戶的臨時(shí)段段的表空間間為tablespace_name指定的表表空間。如如果忽略該子句，，臨時(shí)段就就缺省為SYSTEM表空間間。QUOTA：允許用用在以tablespace_name指定的的表空間中中分配空間間定額并建建立一個(gè)integer字節(jié)節(jié)的定額，，使用K或M來指定該該定額，以以千字節(jié)或或兆字節(jié)為為單位。PROFILE：將將profile_name指定的概概要文件分分配給用戶戶。該概要要文件限制制用戶可使使用的數(shù)據(jù)據(jù)庫(kù)資源的的總量。DEFAULTROLE：：允許將一一個(gè)或多個(gè)個(gè)缺省角色色分配給用用戶。Role是將將要分配的的預(yù)定義角角色，n代代表可以分配多個(gè)，，中間用““，”隔離離。ALL[EXCEPT]role：：把所有預(yù)預(yù)定義的角角色分配給給用戶，或或把指定的的那些角色色除外的所所有角色分分配給用戶戶。NONE：：不分配給給用戶角色色。PASSWORDEXPIRE：使使用戶的password失失效。ACCOUNTLOCK：：鎖定用戶戶的帳戶并并禁止訪問問。ACCOUNTUNLOCK：解解除用戶戶的帳戶戶的鎖定定并允許許訪問該該帳戶。。7.1.1創(chuàng)創(chuàng)建用用戶【例7.1】創(chuàng)建一個(gè)個(gè)名稱為為AUTHOR的用戶戶，口令令為ANGEL，缺省省表空間間為USERS，臨時(shí)時(shí)表空間間為TEMP。。沒有定定額，使使用缺省省概要文文件。CREATEUSERAUTHORIDENTIFIEDBYANGELDEFAULTTABLESPACEUSERSTEMPORARYTABLESPACETEMP;當(dāng)使用CREATEUSER語句句創(chuàng)建用用戶時(shí)，，該用戶戶權(quán)限域域?yàn)榭?。。可以使使用該用用戶登錄錄到Oracle，，但使用用該用戶戶不能進(jìn)進(jìn)行任何何操作。。給用戶戶授予權(quán)權(quán)限可以以使用GRANT語句句來實(shí)現(xiàn)現(xiàn)。語法格式式：GRANTsystem_priv|roleTOuser[WITHADMINOPTIN]其中：system_priv：要要授予的的系統(tǒng)權(quán)權(quán)限。如如果把權(quán)權(quán)限授予予了user，，Oracle就把權(quán)權(quán)限添加加到該用用戶的權(quán)限域域，該用用戶立即即可使用用該權(quán)限限。Role：要授授予的角角色，一一旦授予予用戶角角色，該該用戶就就能行使使該角色色的權(quán)限限。WITHADMINOPTIN：把向向其他用用戶授權(quán)權(quán)的能力力傳遞給給被授予予者。7.1.1創(chuàng)創(chuàng)建用用戶【例7.2】授予例7.1所所創(chuàng)建的的用戶AUTHOR以以DBA的角色色。GRANTDBATOAUTHOR;授予用戶戶AUTHOR一些系系統(tǒng)權(quán)限限，并且且該用戶戶可以向向其他用用戶授權(quán)權(quán)。GRANTCREATEANYTABLE,CREATEANYVIEWTOAUTHORWITHADMINOPTION;【例7.3】重新創(chuàng)建建用戶AUTHOR，，口令為為ANGEL，，缺省表表空間為為USERS，，臨時(shí)表空間間為TEMP。。沒有定定額，使使用缺省省概要文文件，授授予所有有預(yù)定義義角色，，登錄數(shù)據(jù)庫(kù)前前修改口口令。DROPUSERAUTHOR;CREATEUSERAUTHORIDENTIFIEDBYANGELDEFAULTTABLESPACEUSERSTEMPORARYTABLESPACETEMPPASSWORDEXPIRE;7.1.2管管理用戶戶1.利利用OEM管理理用戶在如圖7.2所所示的界界面中，，查找并并選擇要要更改的的用戶。。也可以以通過搜搜索功能能查找具具體某個(gè)個(gè)用戶，，在搜索欄欄的“名名稱”文文本框輸輸入具體體用戶名名稱，如如NICK，單單擊“開開始”按按鈕，如如果存在在Nick用戶戶，則顯示在結(jié)結(jié)果欄。。選擇NICK用戶，，單擊““編輯””按鈕，，進(jìn)入““編輯用用戶”界界面，如如圖7.17所所示，可可以看出，針對(duì)對(duì)某一用用戶的管管理窗口口和創(chuàng)建建用戶窗窗口相似似，具體體操作和和創(chuàng)建用用戶也相相似。圖7.17編輯輯用戶界界面7.1.2管管理用戶戶2.利利用SQL語語句管理理用戶利用SQL語句句的ALTERUSER、、GRANTUSER和REVOKE命命令也可可以管理理用戶，但前提是是執(zhí)行者必須須具有ALTERUSER和REVOKE權(quán)權(quán)限。但更改改自己的口令不需該權(quán)限限。(1)ALTERUSER命令令語法格式：ALTERUSERuser_nameIDENTIFIEDBYpassword∣EXTERNALLY∣GLOBALLYAS‘external_name’[DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtablespace_name][QUOTAintegerK|integerM|UNLIMTEDONtablespace_name][PROFILEprofile_name]DEFAULTROLErole∣ALL[EXCEPTrole]∣∣NONEPASSWORDEXPIRE[ACCOUNTLOCK|UNLOCK]7.1.2管管理用戶其中：IDENTIFIEDGLOBALLYAS：表明用用戶必須通過過LDAPV3兼容目目錄服務(wù)(如如OracleInternetDirectory)驗(yàn)證。只有有當(dāng)直接授給給該用戶的所所有外部角色色被收回時(shí)才能將驗(yàn)證證用戶訪問的的方法更改為為IDENTIFIEDGLOBALLYAS‘external_name’。。DEFAULTROLE：只包含含用GRANT語句直接接授予用戶的的角色。不能能用DEFAULTROLE子句去啟啟用下列角色色：①?zèng)]有授予予用戶的角色色。②通過其他他角色授予的的角色。③由外部服服務(wù)(如操作作系統(tǒng))或OracleInternetDirectory管管理的角色。。ALTERUSER語語句中其他關(guān)關(guān)鍵字和參數(shù)數(shù)與CREATEUSER語句中中的意思相同同。(2)REVOKE命命令語法格式：REVOKEsystem_priv|roleFROMUSER其中：system_priv是賦賦予用戶的系系統(tǒng)權(quán)限；role是賦賦予用戶的角角色。7.1.2管管理用戶【例7.4】】賦予用戶權(quán)限限和角色。授予AUTHOR的定額額USERS表空間中的的100MB。ALTERUSERAUTHORQUOTA100MONUSERS;鎖定AUTHOR用戶帳帳戶。ALTERUSERAUTHORACCOUNTLOCK;回收用戶AUTHOR的的DBA的角角色。REVOKEDBAFROMAUTHOR;回收用戶NICK對(duì)表XS修改的權(quán)權(quán)限。REVOKEALTERONADMIN.XSFROMNICK;回收用戶NICK和AUTHOR對(duì)對(duì)表XS刪除除和插入數(shù)據(jù)據(jù)的權(quán)限。REVOKEDELETE,INSERTONADMINXSFROMNICK,AUTHOR;回收用戶的權(quán)權(quán)限時(shí)，如果果回收的權(quán)限限并沒有賦予予用戶，那么么系統(tǒng)會(huì)提示示未賦予用戶該權(quán)限。7.1.2管管理用戶3. 刪除用用戶在圖7.11所示的窗口口中，在用戶戶文件夾下選選擇要?jiǎng)h除的的用戶，單擊擊右鍵，在彈彈出的快捷菜單中中選擇“移去去”，即可刪刪除所選擇的的用戶。使用DROP命令也可以以從數(shù)據(jù)庫(kù)中中撤消一個(gè)用用戶。這個(gè)命命令只有一個(gè)個(gè)參數(shù)，即CASCADE，在撤消消該用戶之前前，它撤消用用戶模式中的的所有對(duì)象。。如果用戶擁擁有對(duì)象，必須指指定CASCADE以撤撤消用戶。下下面給出一個(gè)個(gè)樣本DROPUSER命令：DROPUSERAUTHORCASCADE;7.2權(quán)限限和角色當(dāng)數(shù)據(jù)庫(kù)較小小、訪問數(shù)據(jù)據(jù)庫(kù)的用戶不不多時(shí)，對(duì)用用戶在每個(gè)表表上要求的特特定訪問進(jìn)行授授權(quán)還是可以以接受的。但但是，隨著數(shù)數(shù)據(jù)庫(kù)的增大大以及用戶數(shù)數(shù)量的增多，數(shù)數(shù)據(jù)庫(kù)的維護(hù)護(hù)將會(huì)成為很很麻煩的事情情。在實(shí)際的的權(quán)限分配方方案中，通常是是這樣運(yùn)用角角色的，先由由DBA為數(shù)數(shù)據(jù)庫(kù)定義一一系列的角色色，然后再由DBA將權(quán)限分分配給基于這這些角色的用用戶。7.2.1角角色1. 兩種角角色(1) 安全全應(yīng)用角色。。DBA可以以授予安全應(yīng)應(yīng)用角色運(yùn)行行給定數(shù)據(jù)庫(kù)庫(kù)應(yīng)用時(shí)所有有必要的權(quán)限。然后后將該安全應(yīng)應(yīng)用角色授予予其他角色或或者用戶，應(yīng)應(yīng)用可以包含含幾個(gè)不同的角色，每個(gè)個(gè)角色都包含含不同的權(quán)限限集合。(2) 用戶戶角色。DBA可以為數(shù)數(shù)據(jù)庫(kù)用戶組組創(chuàng)建用戶角角色，賦予一一般的權(quán)限需需要。2. 數(shù)據(jù)庫(kù)庫(kù)角色(1) 角色色可以被授予予系統(tǒng)和方案案對(duì)象權(quán)限。。(2) 角色色被授予其他他角色。(3) 任何何角色可以被被授予任何數(shù)數(shù)據(jù)庫(kù)對(duì)象。。(4) 授予予用戶的角色色，在給定的的時(shí)間里，要要么啟用，要要么禁用。3. 角色和和用戶的安全全域每個(gè)角色和用用戶都包含自自己唯一的安安全域，角色色的安全域包包括授予角色色的權(quán)限。用戶安全域包包括對(duì)應(yīng)方案案中的所有方方案對(duì)象的權(quán)權(quán)限，授予用用戶的權(quán)限和和授予當(dāng)前起用的用戶的的角色的權(quán)限限。用戶安全全域同樣包含含授予用戶組組PUBLIC的權(quán)限和和角色。4. 預(yù)定義義角色Oracle系統(tǒng)在按照照完成后就有有整套的用于于系統(tǒng)管理的的角色，這些些角色稱為預(yù)預(yù)定義角色。Oracle10g的預(yù)定定義角色比以以前版本有所所增加，表7－1是Oracle10g預(yù)定定義角色。7.2.1角角色表7-1Oracle10g預(yù)定定角色表7-1Oracle10g預(yù)定定角色7.2.2創(chuàng)創(chuàng)建角色1. 利用OEM創(chuàng)建角角色創(chuàng)建角色的方方法和創(chuàng)建用用戶的方法類類似，使用的的界面也有許許多相同之處處。在圖7.1所所示的界面中中，選中“角角色”單擊左左鍵，進(jìn)入““角色搜索””界面，如圖圖7.18所所示。圖7.18角角色搜索界面面7.2.2創(chuàng)創(chuàng)建角色圖7.18界界面列出所有有已存在的角角色。單擊““創(chuàng)建”按鈕鈕，進(jìn)入“創(chuàng)創(chuàng)建角色”界界面，如圖7.19所示，該界面包包括“一般信信息”、“角角色”、“系系統(tǒng)權(quán)限”、、“對(duì)象權(quán)限限”和“使用用者組切換組組”5個(gè)選項(xiàng)項(xiàng)頁面。圖7.19創(chuàng)創(chuàng)建角色─一一般信息界界面7.2.2創(chuàng)創(chuàng)建角色(1)“一一般信息”選選項(xiàng)頁面：在在“名稱”文文本框輸入新新角色名稱，，如WORLD。Oracle提供了了下列列4種種確定定啟用用角色色時(shí)驗(yàn)驗(yàn)證的的方法法：無：?jiǎn)⒂媒墙巧珪r(shí)時(shí)不用用口令令驗(yàn)證證?？诹睿海盒枰诹盍铗?yàn)證證，口口令正正確才才能使使用角角色。。外部：：驗(yàn)證證操作作系統(tǒng)統(tǒng)中的的用戶戶。全局：：用戶戶在多多個(gè)數(shù)數(shù)據(jù)庫(kù)庫(kù)中被被全局局標(biāo)識(shí)識(shí)。如果選選擇““口令令”，，則需需要輸輸入兩兩次相相同的的口令令。在在此選選擇““無””選項(xiàng)項(xiàng)。(2)角角色選選項(xiàng)頁頁面：：角色色選項(xiàng)項(xiàng)頁面面如圖圖7.20所示示。在在該選選項(xiàng)頁頁面中中，可可以把把某個(gè)個(gè)角色賦賦予新新角色色，這這樣新新角色色就繼繼承了了相應(yīng)應(yīng)角色色的權(quán)權(quán)限。。這個(gè)個(gè)選項(xiàng)項(xiàng)頁面面中的的信息息和創(chuàng)建建用戶戶的角角色選選項(xiàng)卡卡類似似。在此把把DBA和和CONNECT角角色賦賦予新新角色色，這這樣新新角色色擁有有了DBA和CONNECT角色同同樣的的權(quán)限限。(3)系系統(tǒng)權(quán)權(quán)限選選項(xiàng)頁頁面：：系統(tǒng)統(tǒng)權(quán)限限選項(xiàng)項(xiàng)頁面面如圖圖7.21所示示。在在界面面中授授予新角色色系統(tǒng)統(tǒng)權(quán)限限使之之繼承承相應(yīng)應(yīng)的權(quán)權(quán)限。。該選選項(xiàng)頁頁面的的信息息和操操作方方法與與創(chuàng)建用用戶的的系統(tǒng)統(tǒng)權(quán)限限選項(xiàng)項(xiàng)頁面面類似似。在此授授予SYSDBA系系統(tǒng)權(quán)權(quán)限7.2.2創(chuàng)創(chuàng)建角角色圖7.20創(chuàng)建建角色色—角角色選選項(xiàng)頁頁面圖7.21創(chuàng)建建角色色—系系統(tǒng)權(quán)權(quán)限選選項(xiàng)頁頁面7.2.2創(chuàng)創(chuàng)建角角色(4)對(duì)對(duì)象權(quán)權(quán)限選選項(xiàng)頁頁面：：對(duì)象象權(quán)限限選項(xiàng)項(xiàng)界面面如圖圖7.22所示示。在在該界界面中中授予予新角角色對(duì)對(duì)象權(quán)權(quán)限使之之繼承承相應(yīng)應(yīng)的權(quán)權(quán)限。。該選選項(xiàng)頁頁面的的信息息和操操作方方法與與圖創(chuàng)創(chuàng)建用用戶的的系統(tǒng)統(tǒng)權(quán)限限選項(xiàng)項(xiàng)頁面面類似。。根據(jù)需需要授授予新新角色色相應(yīng)應(yīng)的對(duì)對(duì)象權(quán)權(quán)限。。圖7.22創(chuàng)建建角色色—對(duì)對(duì)象權(quán)權(quán)限選選項(xiàng)頁頁面7.2.2創(chuàng)創(chuàng)建角角色(5)使使用者者組切切換權(quán)權(quán)限選選項(xiàng)頁頁面：：使用用者組組選項(xiàng)項(xiàng)界面面如圖圖7.23所示示。在在該選選項(xiàng)頁頁面中中，可可以將新新角色色授予予相應(yīng)應(yīng)的使使用者者權(quán)限限。該該選項(xiàng)項(xiàng)頁面面的信信息和和操作作方法法與創(chuàng)創(chuàng)建用用戶的的系統(tǒng)統(tǒng)權(quán)限限選項(xiàng)頁頁面類類似。。根據(jù)需需要授授予新新角色色相應(yīng)應(yīng)的使使用者者權(quán)限限。確認(rèn)5個(gè)選選項(xiàng)頁頁面設(shè)設(shè)置無無誤后后，單單擊““確定定”按按鈕，，創(chuàng)建建成功功后系系統(tǒng)返返回到到圖7.18所所示界界面，，完成創(chuàng)創(chuàng)建角角色操操作。。圖7.23創(chuàng)建建角色色—使使用者者選項(xiàng)項(xiàng)頁面面7.2.2創(chuàng)創(chuàng)建角角色2.利利用用SQL命命令創(chuàng)創(chuàng)建角角色利用CREATEROLE創(chuàng)建建的新新角色色在最最初權(quán)權(quán)限是是空的的，可可用GRANT語句句將權(quán)權(quán)限添添加到到角色色中。。(1)CREATEROLE語句句語法格格式：：CREATEROLErole_name[NOTIDENTIFIED][IDENTIFIEDBYpassword∣EXTERNALLY∣∣GLOBALLY]其中：：role_name：新新創(chuàng)建建角色色的名名稱。。NOTIDENTIFIED：：該角角色由由數(shù)據(jù)據(jù)庫(kù)授授權(quán)，，不需需要口口令使使該角角色生生效。。DENTIFIED：在在用SETROLE語語句使使該角角色生生效之之前必必須由由指定定的方方法來來授權(quán)權(quán)一個(gè)個(gè)用戶戶。BYpassword：創(chuàng)創(chuàng)建一一個(gè)局局部用用戶，，在使使角色色生效效之前前，用用戶必必須指指定password定定義的的口令。口口令只只能是是數(shù)據(jù)據(jù)庫(kù)字字符集集中的的單字字節(jié)字字符。。EXTERNALLY：：創(chuàng)建建一個(gè)個(gè)外部部用戶戶。在在使角角色生生效之之前，，必須須由外外部服服務(wù)(如操操作系系統(tǒng))來授權(quán)用用戶。。GLOBALLY：：創(chuàng)建建一個(gè)個(gè)全局局用戶戶。在在利用用SETROLE語句句使角角色生生效前前或在在登錄錄時(shí)，，用戶戶必須由由企業(yè)業(yè)目錄錄服務(wù)務(wù)授權(quán)權(quán)使用用該角角色。。7.2.2創(chuàng)創(chuàng)建建角角色色2.利利用用SQL命命令令創(chuàng)創(chuàng)建建角角色色(2)GRANT語語句句語法法格格式式：：GRANTsystem_priv|roleTOrole[WITHADMINOPTIN]參數(shù)數(shù)和和關(guān)關(guān)鍵鍵字字含含義義同同權(quán)權(quán)限限添添加加到到用用戶戶中中的的GRANT語語句句【例例7.5】】創(chuàng)建建一一個(gè)個(gè)新新的的角角色色ACCOUNT_CREATE，，它它只只能能創(chuàng)創(chuàng)建建用用戶戶，，而而不不能能執(zhí)執(zhí)行其其他他DBA級(jí)級(jí)命命令令。。CREATEROLEACCOUNT_CREATE;GRANTCREATESESSION,CREATEUSER,ALTERUSERTOACCOUNT_CREATE;7.2.3管管理理角角色色角色色管管理理就就是是修修改改角角色色的的權(quán)權(quán)限限、、生生成成角角色色報(bào)報(bào)告告和和刪刪除除角角色色等等工工作作。。1.利利用用OEM管管理理角角色色(1)修修改改角角色色如圖圖7.18所所示示，，在在““角角色色搜搜索索””界界面面中中，，選選擇擇要要更更改改的的角角色色名名稱稱，，單單擊擊““修修改改””按按鈕，，進(jìn)進(jìn)入入““編編輯輯角角色色””界界面面。。某某一一角角色色的的管管理理界界面面和和創(chuàng)創(chuàng)建建角角色色界界面面相相似似，，具具體體操操作作和創(chuàng)創(chuàng)建建角角色色也也相相似似，，在在此此不不在在贅贅述述。。(2)刪刪除除角角色色要?jiǎng)h刪除除某某個(gè)個(gè)角角色色，，在在如如圖圖7.18所所示示的的窗窗口口中中選選擇擇要要?jiǎng)h刪除除的的角角色色；；也也可可以以通通過過搜搜索索功能能查查找找某某個(gè)個(gè)角角色色，，然然后后單單擊擊““刪刪除除””按按鈕鈕，，在在““確確認(rèn)認(rèn)””界界面面單單擊擊““是是””，，即即可可刪刪除除角角色色。。7.2.3管管理理角角色色2.利利用用SQL語語句句管管理理角角色色利用SQL語句句的ALTERROLE、、GRANTROLE和REVOKE命命令也可可以管理角色色。操作作者必須須被授予予具有ADMINOPTION的的角色或或具有ALTERANYROLW系統(tǒng)統(tǒng)權(quán)限。。語法格式式：ALTERROLErole_name[NOTIDENTIFIED][IDENTIFIEDBYpassword∣∣EXTERNALLY∣GLOBALLY]ALTERROLE語句的的關(guān)鍵字字和參數(shù)數(shù)CREATEROLE語語句的相相同，請(qǐng)請(qǐng)參照CREATEROLE語句句的關(guān)鍵鍵字和參參數(shù)含義義。使用SQL語句句管理角角色和使使用SQL語句句管理用用戶基本本一樣，，請(qǐng)讀者者參照使使用SQL語句管理理用戶的的方法，，自己嘗嘗試一下下。在此此說明一一點(diǎn)，在在將角色色修改為為IDENTIFIEDGLOBALLY之前，，必須注注意：(1)取取消所有有在外部部識(shí)別的的角色授授權(quán)。(2)取取消所有有用戶、、角色和和PUBLIC的角色色授權(quán)。。7.2.4權(quán)權(quán)限管理理權(quán)限是執(zhí)執(zhí)行特定定SQL語句和和訪問對(duì)對(duì)象的權(quán)權(quán)利。權(quán)權(quán)限被授授予的用用戶能夠夠完成這這些特定的工作作。一個(gè)個(gè)用戶可可以通過過兩種方方式得到到權(quán)限：：(1)顯顯式地將將權(quán)限授授予給用用戶。(2)可可以將權(quán)權(quán)限授予予某個(gè)角角色，然然后為用用戶加入入這個(gè)角角色。由于使用用角色管管理權(quán)限限比較簡(jiǎn)簡(jiǎn)單，所所以一般般先將權(quán)權(quán)限授予予給角色色，然后后分配給給各個(gè)用戶。。Oracle支持系系統(tǒng)權(quán)限限和方案案對(duì)象權(quán)權(quán)限。1.系系統(tǒng)權(quán)限限系統(tǒng)權(quán)限限是執(zhí)行行特定操操作（例例如創(chuàng)建建數(shù)據(jù)庫(kù)庫(kù)、從表表中刪除除行數(shù)據(jù)據(jù)等）的的權(quán)限。。Oracle中中包含60種不不同的系系統(tǒng)權(quán)限限?？梢砸詫⑾到y(tǒng)統(tǒng)權(quán)限授授予用戶戶和角色色，如果果將系統(tǒng)權(quán)限授授予某個(gè)個(gè)角色，，就可以以使用該該角色管管理系統(tǒng)統(tǒng)權(quán)限。。有兩種種方法可可以授予予或回收系統(tǒng)統(tǒng)權(quán)限，，一是使使用OEM，二二是使用用SQL語句GRANT和REVOKE。。注意：由于系系統(tǒng)權(quán)限限大，在在數(shù)據(jù)庫(kù)庫(kù)配置時(shí)時(shí)，對(duì)于于一般用用戶盡量量不要授授予在數(shù)數(shù)據(jù)字典上使用用ANY系統(tǒng)權(quán)權(quán)限(如如ALTERANYTABLE)。7.2.4權(quán)權(quán)限管理理2.方方案對(duì)象象權(quán)限方案對(duì)象象權(quán)限是是對(duì)特定定方案對(duì)對(duì)象執(zhí)行行特定操操作的權(quán)權(quán)利，這這些方案案對(duì)象主主要包括括表、視圖圖、序列列、過程程、函數(shù)數(shù)和包等等。有些些方案對(duì)對(duì)象(如如簇、索索引、觸觸發(fā)器和和數(shù)據(jù)庫(kù)鏈接接)沒有有對(duì)應(yīng)的的對(duì)象權(quán)權(quán)限，它它們是通通過系統(tǒng)統(tǒng)權(quán)限控控制的。。例如，，修改簇簇用戶必須擁擁有ALTERANYCLUSER系系統(tǒng)權(quán)限限。Oracle方案案對(duì)象有有下列9種權(quán)限限：(1)SELECT：讀取取表、視視圖、序序列中的的行。(2)UPDATE：更新新表、視視圖和序序列中的的行。(3)DELETE：刪除除表、視圖圖中的數(shù)據(jù)據(jù)。(4)INSERT：向表表和視圖中中插入數(shù)據(jù)據(jù)。(5)EXECUTE：執(zhí)執(zhí)行類型、、函數(shù)、包包和過程。。(6)READ：：讀取數(shù)據(jù)據(jù)字典中的的數(shù)據(jù)。(7)INDEX：生成索索引。(8)PEFERENCES：生成成外鍵。(9)ALTER：修改表表、序列、、同義詞中中的結(jié)構(gòu)。。7.2.5安全特特性1.表安安全在表和視圖圖上賦予DELETE、INSERT、SELECT和和UPDATE權(quán)限限可進(jìn)行查查詢和操作作表數(shù)據(jù)?？梢砸韵拗艻NSERT權(quán)限到表表的特定的的列，而所所有其他列列都接受NULL或或者默認(rèn)值。使用可可選的UPDATE，用戶能能夠更新特特定列的值值。如果用戶需需要在表上上執(zhí)行DDL操作，，那么需要要ALTER、INDEX和和REFERNCES權(quán)限還還可能需要其其他系統(tǒng)或或者對(duì)象權(quán)權(quán)限。例如如，如果需需要在表上上創(chuàng)建觸發(fā)發(fā)器，用戶戶就需要ALTERTABLE對(duì)象象權(quán)限和CREATETRIGGER系統(tǒng)權(quán)權(quán)限。與INSERT和UPDATE權(quán)限相同，REFRENCES權(quán)權(quán)限能夠?qū)?duì)表的特定定列授予權(quán)權(quán)限。2.視圖圖安全對(duì)視圖的方方案對(duì)象權(quán)權(quán)限允許執(zhí)執(zhí)行大量的的DML操操作，影響響視圖創(chuàng)建建的基表，，對(duì)表的DML對(duì)象權(quán)限與與視圖相似似。要?jiǎng)?chuàng)建建視圖，必必須滿足下下面2條：：(1)授予CREATEVIEW系統(tǒng)權(quán)限限或者CREATEANYVIEW系統(tǒng)權(quán)權(quán)限。(2)顯式授予SELECT、INSERT、UPDATE和和DELETE對(duì)象象權(quán)限，或或者顯式授授予SELECTANYTABLE、、INSERTANYTABLE、UPDATEANYTABLE、DELETEANYTABLE系統(tǒng)權(quán)限限。為了其他用用戶能夠訪訪問視圖，，可以通過過GRANTOPTION子句或者者使用ADMINOPTION子句授授予適當(dāng)?shù)牡南到y(tǒng)權(quán)限限。由于下下面2條：：(1)視圖訪問基基表的所選選擇的列的的數(shù)據(jù)。(2)在定義視圖圖時(shí)，使用用WHERE子句控控制基表的的部分?jǐn)?shù)據(jù)據(jù)。上述兩點(diǎn)可可以增加表表的安全層層次，包括括列層和基基于值的安安全性7.2.5安全特特性3. 過程程安全過程方案的的對(duì)象權(quán)限限(其中包包括獨(dú)立的的過程、函函數(shù)和包)只有EXECUTE權(quán)限。。將這個(gè)權(quán)限授授予需要執(zhí)執(zhí)行過程或或需要編譯譯另一個(gè)需需要調(diào)用它它的過程。。(1)過過程對(duì)象。。具有某個(gè)個(gè)過程的EXECUTE對(duì)象象權(quán)限的用用戶可以執(zhí)執(zhí)行該過程程，也可以編譯引引用該過程程的程序單單元。過程程調(diào)用時(shí)不不會(huì)檢查權(quán)權(quán)限。具有有EXECUTEANYPROCEDURE系統(tǒng)權(quán)限限的用戶可可以執(zhí)行數(shù)數(shù)據(jù)庫(kù)中的的任何過程程。當(dāng)用戶戶需要?jiǎng)?chuàng)建過程時(shí)時(shí)，必須擁擁有CREATEPROCEDURE系統(tǒng)權(quán)權(quán)限或者是是CREATEANYPROCEDURE系統(tǒng)權(quán)限限。當(dāng)需要要修改過程程時(shí)，需要要ALTERANYPROCEDURE系統(tǒng)權(quán)限。。擁有過程的的用戶必須須擁有在過過程體中引引用的方案案對(duì)象的權(quán)權(quán)限。為了了創(chuàng)建過程程，必須為過程引引用的所有有對(duì)象授予予用戶必要要的權(quán)限。。(2)包包對(duì)象。擁擁有包的EXECUTE對(duì)象象權(quán)限的用用戶，可以以執(zhí)行包中中的任何公公共過程和函數(shù)，，能夠訪問問和修改任任何公共包包變量的值值。對(duì)于包包不能授予予EXECUTE權(quán)權(quán)限，當(dāng)為數(shù)數(shù)據(jù)庫(kù)應(yīng)用用開發(fā)過程程、函數(shù)和和包時(shí)，要要考慮建立立安全性。。7.2.5安全特特性4. 類型型安全(1)命命名類型的的系統(tǒng)權(quán)限限Oracle10g為命名名類型(對(duì)對(duì)象類型、、VARRAY和嵌嵌套表)定定義了系統(tǒng)統(tǒng)權(quán)限，如如表7.2所示。表7.2命命名類型的的系統(tǒng)權(quán)限限7.2.5安全特特性4.類型型安全(2)對(duì)對(duì)象權(quán)限。。如果在命命名類型上上存在EXECUTE權(quán)限，，那么用戶戶可以使用用命名類型完成成定義表、、在關(guān)系包包中定義列列及聲明命命名類型的的變量和類類型。(3)創(chuàng)創(chuàng)建類型和和表權(quán)限。。在創(chuàng)建類類型時(shí)，必必須滿足以以下要求：：①如果在在自己模式式上創(chuàng)建類類型，則必必須擁有CREATETYPE系統(tǒng)統(tǒng)權(quán)限；如如果需要在其他用用戶上創(chuàng)建建類型，則則必須擁有有CREATEANYTYPE系系統(tǒng)權(quán)限。。②類型的的所有者必必須顯式授授予訪問定定義類型引引用的其他他類型的EXECUTE權(quán)限，或者授授予EXECUTEANYTYPE系統(tǒng)權(quán)權(quán)限，所有有者不能通通過角色獲獲取所需的的權(quán)限。③如果類類型所有者者需要訪問問其他類型型，則必須須已經(jīng)接受受EXECUTE權(quán)權(quán)限或者是是EXECUTEANYTYPE系系統(tǒng)權(quán)限。。如果使用類類型創(chuàng)建表表，則必須須滿足以下下要求：①表的所所有者必須須顯式授予予EXECUTE對(duì)對(duì)象權(quán)限，，能夠訪問問所有引用用的類型，，或者授予EXECUTEANYTYPE系系統(tǒng)權(quán)限。。②如果表表的所有者者需要訪問問其他用戶戶的表時(shí)，，則必須在在GRANTOPTION選項(xiàng)中接受參考考類型的EXECUTE對(duì)象象權(quán)限，或或者在ADMINOPTION中接接受EXECUTEANYTYPE系系統(tǒng)權(quán)限。。7.2.5安全特特性【例7.6】使用類型創(chuàng)創(chuàng)建類型和和表的權(quán)限限。假設(shè)USER1、USER2和USER3這三三個(gè)用戶都都有CONNECT和RESOURCE角色。。① USER1在自自己的模式式執(zhí)行下面面的DDL語句：CREATETYPEtype1ASOBJECT(attr1number);CREATETYPEtype2ASOBJECT(attr2number);GRANTEXECUTEONtype1TOUSER2;GRANTEXECUTEONtype2TOUSER2WITHCRANTOPTION;② USER2在自自己的模式式執(zhí)行下面面的DDL語句：CREATETABLEtab1OFUSER1.type1;CREATETYPEtype3ASOBJECT(attr3user1.type2);CREATETABLEtab2(col1user1.type2);由于USER2在GRANTOPTION中中擁有對(duì)USER1的TYPE2的EXECUTE2權(quán)權(quán)限，所以以能夠成功執(zhí)行。GRANTEXECUTEONtype3TOUSER3;GRANTSELECTONtab2TOUSER3;然而，由于于在GRANTOPTION中USER2沒沒有USER1的TYPE的的EXECUTE權(quán)權(quán)限，所以以下面的授權(quán)失敗?。篊RANTSELECTONtab1TOUSER3;③ USER3可以以成功執(zhí)行行下面的語語句：CREATETYPEtype4ASOBJECT(attr4user2.type3);CREATETABLEtab3OFtype4;7.2.5安全特特性4. 類型型安全(4)類類型訪問和和對(duì)象訪問問的權(quán)限。。在列層和和表層上的的DML命命令權(quán)限，，可以應(yīng)用用到對(duì)象列列和行對(duì)象象上。Oracle為對(duì)象表表定義的權(quán)權(quán)限如表7.3所示示。表7.3對(duì)對(duì)象表的權(quán)權(quán)限7.3概概要文件和和數(shù)據(jù)字典典視圖概要文件用用來限制由由用戶使用用的系統(tǒng)和和數(shù)據(jù)庫(kù)資資源，并管管理口令限限制。如果果數(shù)據(jù)庫(kù)中中沒有創(chuàng)建概要文文件，將使使用默認(rèn)的的概要文件件。7.3.1創(chuàng)建概概要文件可以使用OEM或SQL語句句來創(chuàng)建概概要文件。。1. 使用用OEM創(chuàng)創(chuàng)建概要文文件啟動(dòng)并登錄錄到OEM，以SYSDBA的身份連連接到要操操作的數(shù)據(jù)據(jù)庫(kù)，如圖圖7.1所所示。選擇“概要要文件”，，進(jìn)入“概概要文件搜搜索”界面面，如圖7.24所所示。在該該界面單擊擊“創(chuàng)建””按鈕，進(jìn)入入“創(chuàng)建概概要文件””界面，如如圖7.25所示。。該界面包包括一般信信息和口令令兩個(gè)選項(xiàng)頁面面，通過對(duì)對(duì)選項(xiàng)頁面面中信息的的設(shè)置，可可以完成概概要文件的的定義。7.3.1創(chuàng)建概概要文件1. 使用用OEM創(chuàng)創(chuàng)建概要文文件圖7.24概要文件件搜索界面面圖7.25創(chuàng)建概要要文件—一一般信息息選項(xiàng)頁面面7.3.1創(chuàng)建概概要文件(1)一一般信息選選項(xiàng)頁面。。在如圖7.25所所示的“一一般信息””選項(xiàng)界面面中，可以以指定將要要?jiǎng)?chuàng)建的概概要文件的名名稱以及其其他詳細(xì)資資料和數(shù)據(jù)據(jù)庫(kù)服務(wù)。。詳細(xì)資料區(qū)區(qū)設(shè)置的內(nèi)內(nèi)容如下：：CPU/會(huì)會(huì)話：一個(gè)個(gè)會(huì)話占用用CPU的的時(shí)間總量量(以秒/100為為單位)。。CPU/調(diào)調(diào)用：一個(gè)個(gè)調(diào)用占用用CPU的的時(shí)間最大大值(以秒秒/100為單位)。連接時(shí)間：：一個(gè)會(huì)話話持續(xù)的時(shí)時(shí)間的最大大值(以分分鐘為單位位)?？臻e時(shí)間：：一個(gè)會(huì)話話處于空閑閑狀態(tài)的時(shí)時(shí)間最大值值(以分鐘鐘為單位)?？臻e時(shí)時(shí)間是會(huì)話話中持續(xù)不活動(dòng)的一一段時(shí)間。。長(zhǎng)時(shí)間運(yùn)運(yùn)行的查詢?cè)兒推渌俨僮鞑皇艽舜讼拗档募s約束。數(shù)據(jù)庫(kù)服務(wù)務(wù)區(qū)設(shè)置的的內(nèi)容如下下：并行會(huì)話數(shù)數(shù)：一個(gè)用用戶進(jìn)行并并行會(huì)話的的最大數(shù)量量。讀取數(shù)/會(huì)會(huì)話：一個(gè)個(gè)會(huì)話讀取取的數(shù)據(jù)塊塊總量。該該限值包括括從內(nèi)存和和磁盤讀取取的塊。讀取數(shù)/調(diào)調(diào)用：一個(gè)個(gè)調(diào)用在處處理一個(gè)PL/SQL語句時(shí)時(shí)讀取數(shù)據(jù)據(jù)塊的最大大數(shù)量。專用SGA：在系統(tǒng)統(tǒng)全局區(qū)(SGA)的共享池池中，一個(gè)個(gè)會(huì)話可分分配的專用用空間量的的最大值。。專用SGA的的限值只在在使用多線線程服務(wù)器器體系結(jié)構(gòu)構(gòu)的情況下下適用。限制：一個(gè)個(gè)會(huì)話耗費(fèi)費(fèi)的資源總總量。它包包括會(huì)話占占用CPU的時(shí)間、、連接時(shí)間間、會(huì)話中中的讀取數(shù)和分配的的專用SGA空間量量Default：使使用DEFAULT概要文件件中為該資資源指定的的限值。Unlimited：可以不不受限制地地利用該資資源。值：在現(xiàn)有有值中選擇擇一個(gè)。這這些默認(rèn)值值是該項(xiàng)目目的常用值值，這些值值根據(jù)項(xiàng)目目的不同而而不同。7.3.1創(chuàng)建概概要文件(2)口口令選項(xiàng)頁頁面?？诹盍钸x項(xiàng)界面面如圖7.26。在在該界面可可以設(shè)置帳帳戶口令各各種參數(shù)。。圖7.26創(chuàng)建概要要文件—口口令選項(xiàng)頁頁面7.3.1創(chuàng)建概概要文件對(duì)于“口令令”選項(xiàng)，，可以設(shè)置置有效期和和失效后鎖鎖定狀態(tài)。。有效期：多多少天后口口令失效。。最大鎖定天天數(shù)：口令令失效后第第一次用它它登錄后多多少天內(nèi)可可以更改此此口令。對(duì)于“歷史史記錄”選選項(xiàng)，設(shè)置置如何保留留。保留的口令令數(shù)：口令令能被重新新使用前必必須被更改改的次數(shù)。。保留天數(shù)：：限定口令令失效后經(jīng)經(jīng)過多少天天才可以重重新使用。。分配了該概概要文件的的用戶，在在登錄到數(shù)數(shù)據(jù)庫(kù)時(shí)允允許使用一一個(gè)PL/SQL例例行程序來來校驗(yàn)口令令。PL/SQL例行程程序必須在在本地使用用，才能在在應(yīng)用該概概要文件的的數(shù)據(jù)庫(kù)上上執(zhí)行。Oracle提供了一個(gè)個(gè)默認(rèn)腳本(utlpwdmg.sql)，也也可以創(chuàng)建自自己的例行程程序或使用第第三方軟件。檢驗(yàn)口令令的例行程序序必須歸SYS所有。默默認(rèn)情況下的的設(shè)置為“空空”，即不進(jìn)進(jìn)行口令校驗(yàn)驗(yàn)。若選擇“啟用用口令復(fù)雜性性函數(shù)”復(fù)復(fù)選框，則可可以強(qiáng)制用戶戶的口令符合合復(fù)雜度標(biāo)準(zhǔn)準(zhǔn)。例如，可可以要求口令的的最小長(zhǎng)度、、不是一些簡(jiǎn)簡(jiǎn)單的詞、至至少包括一個(gè)個(gè)數(shù)字或標(biāo)點(diǎn)點(diǎn)符號(hào)。若選擇“登錄錄失敗后鎖定定帳戶”復(fù)復(fù)選框，則可可以設(shè)置限定定用戶在登錄錄幾次失敗后后將無法使用用該帳戶；在登登錄失敗達(dá)到到指定次數(shù)后后，指定該帳帳戶將被鎖定定的天數(shù)。如果選擇了““Unlimited””選項(xiàng)，只有有數(shù)據(jù)庫(kù)管理理員才能為該該帳戶解除鎖鎖定。單擊“確定””按鈕，系統(tǒng)統(tǒng)創(chuàng)建概要文文件。概要文文件創(chuàng)建成功功后，返回到到圖7.24所示的界面面，完成創(chuàng)建操作，，此時(shí)能在該該界面看到上上面所創(chuàng)建的的概要文件的的基本信息。。7.3.1創(chuàng)創(chuàng)建概要文文件2.使用CREATEPROFILE命令令創(chuàng)建概要文文件語法格式：CREATEPROFILELIMITprofile_nameresource_parameters∣password_parameters說明：①profile_name：將將要?jiǎng)?chuàng)建的概概要文件的名名稱。②resource_parameters：對(duì)一個(gè)用用戶指定資源源限制的參數(shù)數(shù)。③password_parameters：口令參數(shù)數(shù)。7.3.1創(chuàng)創(chuàng)建概要文文件2.使用CREATEPROFILE命令令創(chuàng)建概要文文件resource_parameters的表表達(dá)式語法格式：[SESSIONS_PER_USERinteger∣UNLIMITED∣DEFAULT]/*限制一個(gè)個(gè)用戶并發(fā)會(huì)會(huì)話個(gè)數(shù)*/[CPU_PER_SESSIONinteger∣∣UNLIMITED∣∣DEFAULT]/*限制一次次會(huì)話的CPU時(shí)間，以以秒/100為單位*/[CPU_PER_CALLinteger∣UNLIMITED∣DEFAULT]/*限制一次次調(diào)用的CPU時(shí)間，以以秒/100為單位*/[CONNECT_TIMEinteger∣UNLIMITED∣DEFAULT]/*一次會(huì)話話持續(xù)的時(shí)間間，以分鐘為為單位*/[IDLE_TIMEinteger∣UNLIMITED∣DEFAULT]/*限制一次次會(huì)話期間的的連續(xù)不活動(dòng)動(dòng)時(shí)間，以分分鐘為單位*/[LOGICAL_READS_PER_SESSIONinteger∣∣UNLIMITED∣∣DEFAULT]/*規(guī)定一次次會(huì)話中讀取取數(shù)據(jù)塊的數(shù)數(shù)目，包括從從內(nèi)存和磁盤盤中讀取的塊塊數(shù)*/[LOGICAL_READS_PER_CALLinteger∣UNLIMITED∣DEFAULT]/*規(guī)定處理理一個(gè)SQL語句一次調(diào)調(diào)用所讀的數(shù)數(shù)據(jù)塊的數(shù)目目*/[COMPOSITE_LIMTinteger∣UNLIMITED∣DEFAULT]/*規(guī)定一次次會(huì)話的資源源開銷，以服服務(wù)單位表示示該參數(shù)值*/[PRIVATE_SGAinteger{K∣M}∣UNLIMITED∣DEFAULT]/*規(guī)定一次次會(huì)話在系統(tǒng)統(tǒng)全局取(SGA)的共共享池可分配配的私有空間間的數(shù)目，以以字節(jié)表示?？梢允褂糜肒或M來表表示千字節(jié)或或兆字節(jié)*/7.3.1創(chuàng)創(chuàng)建概要文文件2.使用CREATEPROFILE命令令創(chuàng)建概要文文件(2)password_parameters的表達(dá)達(dá)式[FAILED_LOGIN__ATTEMPTSexpression∣∣UNLIMITED∣∣DEFAULT]/*在鎖定用用戶帳戶之前前登錄用戶帳帳戶的失敗次次數(shù)。*/[PASSWORD_LIFE_TIMEexpression∣UNLIMITED∣DEFAULT]/*限制同一一口令可用于于驗(yàn)證的天數(shù)數(shù)*/[PASSWORD_REUSE_TIMEexpression∣UNLIMITED∣DEFAULT]/*規(guī)定口令令不被重復(fù)使使用的天數(shù)*/[PASSWORD_REUSE_MAXexpression∣UNLIMITED∣DEFAULT]/*規(guī)定當(dāng)前前口令被重新新使用前需要要更改口令的的次數(shù),如果果PASSWORD_REUSE_TIME設(shè)設(shè)置為一整數(shù)數(shù)值，則該設(shè)設(shè)置UNLIMITED。*/[PASSWORD_LOOK_TIMEexpression∣UNLIMITED∣DEFAULT]/*指定次數(shù)數(shù)的登錄失敗敗而引起的帳帳戶封鎖的天天數(shù)*/[PASSWORD_GRACE_TIMEexpression∣UNLIMITED∣DEFAULT]/*在登錄依依然被允許但但已開始發(fā)出出警告之后的的天數(shù)*/[PASSWORD_VERIFY_FUNCTIONfunction∣∣NULL∣∣DEFAULT]/*允許PL/SQL的的口令校驗(yàn)?zāi)_腳本作為CREATEPROFILE語句的的參數(shù)*//*function口令復(fù)雜性性校驗(yàn)程序的的名字。NULL表示沒沒有口令校驗(yàn)驗(yàn)功能*/7.3.1創(chuàng)創(chuàng)建概要文文件【例7.7】】創(chuàng)建一個(gè)LIMITED_PROFILE概要要文件，把它它提供給用戶戶NICK使使用。CREATEPROFILELIMITED_PROFILELIMITFAILED_LOGIN_ATTEMPTS5PASSWORD_LOCK_TIME10;ALTERUSERNICKPROFILELIMITED_PROFILE;如果連續(xù)5次次與AUTHOR帳戶的的連接失敗，，該帳戶將自自動(dòng)由Oracle鎖定定。然后使用AUTHOR帳戶戶的正確口令令時(shí)，系統(tǒng)會(huì)會(huì)提示錯(cuò)誤信信息，只有對(duì)對(duì)帳戶解鎖后，才能再使使用該帳戶。。若一個(gè)帳戶由由于多次連接接失敗而被鎖鎖定，當(dāng)超過過其概要文件件的PASSWORD_LOCK_TIME值時(shí)將將自動(dòng)解鎖。。例如，在本本例為AUTHOR鎖定定10后即被解鎖。。7.3.2管管理概要文文件1. 利用OEM管理概概要文件(1) 為用用戶分配概要要文件如圖7.1所所示界面中，，單擊“用用戶”，進(jìn)入入“用戶搜索索”界面，如如圖7.27所示。選擇擇要重新分配配概要文件的用用戶名稱；也也可以通過搜搜索功能查找找出該用戶名名稱，單擊““編輯”按鈕鈕，進(jìn)入“編編輯用戶”界面面，如圖7.28所示。。從“概要文文件”下拉列列表中選擇將將要分配的概概要文件，單單擊“應(yīng)用”按鈕，完完成為某個(gè)用用戶分配概要要文件的操作作。圖7.27用用戶搜索界面面圖7.28編編輯用戶界面面7.3.2管管理概要文文件1. 利用OEM管理概概要文件(2) 修改改概要文件在如圖7.24所示的界界面中，選擇擇要修改的概概要文件名稱稱，或是通過過搜索功能查查找要修改的的概要名稱，單單擊“編輯””按鈕，進(jìn)入入“編輯概要要文件”界面面，如圖7.29所示。。圖7.29編編輯概要文件件界面7.3.2管管理概要文文件1. 利用OEM管理概概要文件(3) 刪除除概要文件按照如下步驟驟即可刪除指指定的概要文文件：在如圖圖7.24所所示界面中選選擇將要?jiǎng)h除除的概要文件，單單擊“刪除””按鈕，在出出現(xiàn)的確認(rèn)界界面中選擇““是”，就可可以把指定的的概要文件從當(dāng)前前數(shù)據(jù)庫(kù)中刪刪除。7.3.2管管理概要文文件2. 使用SQL語句管管理概要文件件語法格式：ALTERPROFILEprofileLIMITresource_parameters∣password_parameters其中：resource_parameters和password_parameters表達(dá)式與與CREATEPROFILE中一樣。。ALTERPROFILE語句句中的關(guān)鍵字字和參數(shù)與CREATEPROFILE語句相同同，請(qǐng)參照CREATEPROFILE的語語法說明。注意：不能從DEFAULT概概要文件中刪刪除限制。7.3.2管管理概要文文件【例7.8】】強(qiáng)制LIMITED_PROFILE概要文件件的用戶每10天改變一一次口令。ALTERPROFILELIMITED_PROFILELIMITPASSWORD_LIFE_TIME10;命令修改了LIMITED_PROFILE概概要文件，PASSWORD_LIFE_TIME設(shè)為10，因此使用這個(gè)個(gè)概要文件的的用戶在10天后就會(huì)過過期。如果口口令過期，就就必須在下次次注冊(cè)時(shí)修改它它，除非概要要文件對(duì)過期期口令有特定定的寬限期。。【例7.9】】設(shè)置PASSWORD_GRACE_TIME為10天。。ALTERPROFILELIMITED_PROFILELIMITPASSWORD_GRACE_TIME10;為過期口令設(shè)設(shè)定寬限期為為10，10過后還未修修改口令，帳帳戶就會(huì)過期期。過期帳戶戶需要數(shù)據(jù)庫(kù)管管理員人工干干預(yù)才能重新新激活。7.3.3數(shù)數(shù)據(jù)字典視視圖(1)ALL_USERS視圖：：當(dāng)前用戶可可以看見的所所有用戶。輸入下列命名名：SELECT*FROMSYS.ALL_USERS;執(zhí)行結(jié)果如圖圖7.31所所示。圖7.31查查看用戶7.3.3數(shù)數(shù)據(jù)字典視視圖(2)DBA_USERS視圖：：查看數(shù)據(jù)庫(kù)庫(kù)中所有的用用戶信息。(3)USER_USERS視圖：：當(dāng)前正在使使用數(shù)據(jù)庫(kù)的的用戶信息。。(4)DBA_TS_QUOTAS視圖：用用戶的表空間間限額情況。。(5)USER_PASSWORD_LIMITS視圖圖：分配給該該用戶的口令令配置文件參參數(shù)。(6)USER_RESOURCE_LIMITS視圖圖：當(dāng)前用戶戶的資源限制制。(7)V$SESSION視圖：：每個(gè)當(dāng)前會(huì)會(huì)話的會(huì)話信信息。(8)V$SESSTAT視圖：：用戶會(huì)話的的統(tǒng)計(jì)數(shù)據(jù)。。(9)DBA_ROLES視圖：：當(dāng)前數(shù)據(jù)庫(kù)庫(kù)中存在的所所有角色。(10)SESSION_ROLES視圖：：用戶當(dāng)前啟啟用的角色。。(11)DBA_ROLE_PRIVS視圖圖：授予給用用戶(或角色色)的角色，，也就是用戶戶(或角色)與角色之間的的授予關(guān)系。。7.3.3數(shù)數(shù)據(jù)字典視視圖使用如下SQL語句查看看：SELECT*FROMDBA_ROLE_PRIVS;(部分)結(jié)果果：GRANTEE GRANTED_ROLEADM DEFADMINCONNECTNOYESADMINDBANO YES… ……… …DBARESOURCENO YESDBADELETE_CATALOG_ROLEYES YESDBAEXECUTE_CATALOG_ROLEYESYESDBAEXP_FULL_DATABASENO YESDBAIMP_FULL_DATABASENO YES… ……… …這里，顯示的的是所有用戶戶(或角色)的信息。7.3.3數(shù)數(shù)據(jù)字典視視圖下面建立一個(gè)個(gè)新的用戶，，并賦予其一一些基本的權(quán)權(quán)限。然后使使用SELECT*FROMDBA_ROLE_PRIVS語句句，看有什么么結(jié)果。SQL語句如下下