系統(tǒng)安全管理

第7章系統(tǒng)安全管理數(shù)據(jù)庫中保存了大量的數(shù)據(jù)，有些數(shù)據(jù)對企業(yè)是極其重要的，是企業(yè)的核心機密，必須保證這些數(shù)據(jù)和操作的安全。因此，數(shù)據(jù)庫系統(tǒng)必須具備完善、方便的安全管理機制。Oracle中，數(shù)據(jù)庫的安全性主要包括：(1)對用戶登錄進行身份認證。當用戶登錄到數(shù)據(jù)庫系統(tǒng)時，系統(tǒng)對該用戶的賬號和口令進行認證，包括確認用戶賬戶是否有效以及能否訪問數(shù)據(jù)庫系統(tǒng)。(2)對用戶操作進行權限控制。當用戶登錄到數(shù)據(jù)庫后，只能對數(shù)據(jù)庫中的數(shù)據(jù)在允許的權限內進行操作。數(shù)據(jù)庫管理員(簡稱DBA)，對數(shù)據(jù)庫的管理具有最高的權限。一個用戶如果要對某一數(shù)據(jù)庫進行操作，必須滿足以下三個條件：(1)登錄Oracle服務器時必須通過身份驗證；(2)必須是該數(shù)據(jù)庫的用戶或者是某一數(shù)據(jù)庫角色的成員；(3)必須有執(zhí)行該操作的權限。在Oracle系統(tǒng)中，為了實現(xiàn)這種安全性，采取了用戶、角色和概要文件等的管理策略。7.1用戶Oracle有一套嚴格的用戶管理機制，新創(chuàng)建的用戶只有通過管理員授權才能獲得系統(tǒng)數(shù)據(jù)庫的使用權限，否則該用戶只有連接數(shù)據(jù)庫的權利。正是有了這一套嚴格的安全管理機制，才保證了數(shù)據(jù)庫系統(tǒng)的正常運轉，確保數(shù)據(jù)信息不泄露。7.1.1創(chuàng)建用戶用戶(USER)就是使用數(shù)據(jù)庫系統(tǒng)的所有合法操作者。Oracle10g有兩個基本用戶：SYSTEM和SYS。創(chuàng)建用戶就是建立一個安全、有用的帳戶，并且這個帳戶要有充分的權限和正確的缺省設置值。用戶既可以在OEM中創(chuàng)建，也可以使用SQL命令來創(chuàng)建。7.1.1創(chuàng)建用戶1. 利用OEM創(chuàng)建用戶(1) 在圖7.1所示的界面中，選中用戶單擊鼠標左鍵，進入“用戶搜索”界面，如圖7.2所示。圖7.2列出了已存在的用戶及帳戶的狀態(tài)、使用的概要文件和創(chuàng)建時間等用戶基本信息。

圖7.1Oracle企業(yè)管理器

7.1.1創(chuàng)建用戶圖7.2用戶搜索界面

7.1.1創(chuàng)建用戶(2) 單擊“創(chuàng)建”按鈕，進入“用戶創(chuàng)建”界面，如圖7.3所示。圖7.3一般信息選項頁面

7.1.1創(chuàng)建用戶(3)“一般信息”選項頁面?！耙话阈畔ⅰ边x項頁面包括如下幾個方面：名稱：將要創(chuàng)建的用戶名，用戶名一般采用Oracle10g字符集中的字符，最長可為30個字節(jié)。概要文件：指定分配給用戶的概要文件。默認分配一個DEFAULT概要文件。驗證：指定Oracle用來驗證用戶的方法。Oracle有3種驗證用戶的方法：口令、外部和全局。當使用口令驗證時，選擇“口令”選項；當使用操作系統(tǒng)用戶名(在此是WIN2003的用戶名)時，選擇“外部”；當用戶在多個數(shù)據(jù)庫中被全局標識時，選擇“全局”。輸入口令和驗證口令：只有在“驗證”選擇“口令”時才有效。只有在兩者完全一致時才通過確認。口令即刻失效：撤消原來的口令，撤消后可以更改用戶口令。默認表空間：為用戶創(chuàng)建的對象選擇默認表空間。臨時表空間：為用戶創(chuàng)建的對象選擇臨時表空間。狀態(tài)—鎖定：鎖定用戶的帳戶并禁止訪問該帳戶。狀態(tài)—未鎖定：解除對用戶帳戶的鎖定并允許訪問該帳戶。輸入新用戶名稱NICK；分配給用戶的概要文件為DEFAULT；設定自己的口令如manager；其它選項均為默認值。7.1.1創(chuàng)建用戶(4)“角色”選項頁面。角色選項頁面如圖7.4所示。在該選項頁面中，可以把某些角色賦予新用戶，這樣新用戶就繼承了這些角色的權限。界面中的表格包括以下3列：①角色：角色名稱。②管理理選項：表示新用戶是否可以將角色授予其他用戶或角色，默認情況下為禁用，用鼠標單擊“管理選項”標記可以解除禁用。③默認值：選中后，表示用戶一旦登錄到系統(tǒng)中，系統(tǒng)將會將所選角色設置為用戶默認的角色。新用戶默認的擁有CONNECT角色的權限。單擊“編輯列表”按鈕，打開“修改角色”界面，如圖7.5所示。“可用角色”列表框中列出了當前可用的角色。先在列表中選擇要賦予新用戶的角色，然后通過向右的箭頭按鈕或者雙擊該角色，把所選角色添加到“所選角色”列表中；通過向左的箭頭或雙擊取消在“所選角色”列表中選中的角色。單擊“確定”，界面返回到圖7.5所示界面，此時在該界面可以看到剛才所選的角色。7.1.1創(chuàng)建用戶

圖7.4角色選項頁面

圖7.5修改角色界面

7.1.1創(chuàng)建用戶(5)“系統(tǒng)權限”選項頁面?！跋到y(tǒng)權限”選項頁面如圖7.6所示。在該選項頁面，賦予新用戶指定的權限。單擊“編輯列表”按鈕，打開“修改系統(tǒng)權限”界面，如圖7.7所示。圖7.6系統(tǒng)權限選項頁面

圖7.7修改系統(tǒng)權限界面

7.1.1創(chuàng)建用戶(6) 對象權限選項頁面。對象權限選項頁面如圖7.8所示。在該選項頁面中，可以為新用戶授予操縱指定對象的權限。圖7.8對象權限選項頁面

7.1.1創(chuàng)創(chuàng)建建用戶戶(7)在在“選選擇對對象類類型””下拉拉框選選擇對對象，，如表表，單單擊添添加，，打開開“表表對象象”添添加界界面，如如圖7.9所示示。圖7.9添添加對對象權權限界界面7.1.1創(chuàng)創(chuàng)建建用戶戶(8)單單擊““手電電筒””形狀狀的按按鈕，，進入入“選選擇表表對象象”界界面，，如圖圖7.10所示示。勾勾選要要賦予權限限的表表，單單擊““選擇擇”按按鈕，，返回回到如如圖7.9所示示的界界面，，在此此時在在“選選擇表表對象”列列表框框出現(xiàn)現(xiàn)剛才才選擇擇所有有表。。圖7.10選擇擇表對對象界界面7.1.1創(chuàng)創(chuàng)建建用戶戶在“可可用權權限””列表表框選選擇相相應權權限，，使用用右箭箭頭或或雙擊擊鼠標標左鍵鍵把選選中的的系統(tǒng)統(tǒng)權限限添加加到““所選選權限限”列列表框框中；；使用用左肩肩頭取取消““所選選權限限”列列表框框中所所列出出的所所有已已授予予的權權限。。單擊““確定定”按按鈕，，返回回到圖圖7.8所所示界界面，，此時時界面面列出出了所所設置置的表表對象象相應應的權權限情情況。。該界面面列表表列出出了對對象權權限的的信息息：權限：：表示示已授授予的的權限限。方案：表示示已授予權權限所屬方方案。對象：表示示已授予的的數(shù)據(jù)庫對對象。授權選項：：是否可以以授權給其其他用戶。。選擇要刪除除的對象權權限，單擊擊“刪除””按鈕可以以刪除該對對象權限。。根據(jù)實際際情況，按照添加表表對象權限限的操作給給新用戶賦賦予相應的的對象權限限。7.1.1創(chuàng)建建用戶(9)限限額選項頁頁面。限額額選項頁面面如圖7.11所示示。在該選選項頁面中中對新用戶戶指定對應應表空間的大小限額額。在列表中選選擇表空間間并通過選選擇“無””、“無限限制”或““值”單選選按鈕指定定限額大小小。在此對對所有表空間選擇擇“無”。。圖7.11限額選項項頁面7.1.1創(chuàng)建建用戶(10)使使用者組組切換權限限選項頁面面。使用者者組切換權權限選項頁頁面如圖7.12所所示。在該選項頁面面，可以為為新用戶授授予相應的的使用者組組的權限。。單擊“修改改”按鈕，，進入“修修改使用者者組”界面面，如圖7.13所所示。圖7.12使用者組組切換權限限選項頁面面圖7.13修改使用用者組界面面7.1.1創(chuàng)建建用戶(11)代代理用戶戶選項頁面面。代理用用戶選項頁頁面如圖7.14所所示。在該該選項頁面面中可以指指定可代理理新用戶的的用戶和指指定新用戶戶可代理的的用戶。圖7.14代理用戶戶選項頁面面7.1.1創(chuàng)建建用戶單擊“可代代理此用戶戶的用戶””欄的“添添加”按鈕鈕，進入““用戶選擇擇”界面，，如圖7.15所示示。勾選可可代理新用戶戶的用戶，，單擊“選選擇”按鈕鈕，返回到到圖7.14所示界界面，此時時“可代理理此用戶的的用戶”欄出現(xiàn)剛才才勾選的所所有用戶。。若要刪除除某個用戶戶，選中用用戶名前單單選按鈕，，單擊“移移去”按鈕，即可刪刪除。圖7.15用戶選擇擇界面7.1.1創(chuàng)建建用戶至此，新用用戶的所有有信息以及及權限都已已設置完成成，單擊““顯示SQL”按鈕鈕，可以查查看創(chuàng)建該該用戶相應的的SQL命命令，如圖圖7.16所示。在在圖7.15所示界界面中單擊擊“確定””按鈕，系系統(tǒng)完成創(chuàng)創(chuàng)建工作后返回回到圖7.2所示界界面，完成成創(chuàng)建用戶戶操作過程程。圖7.16創(chuàng)建新用用戶的SQL語句7.1.1創(chuàng)建建用戶2. 利用用SQL語語句創(chuàng)建用用戶可以使用CREATEUSER命令令來創(chuàng)建一一個新的數(shù)數(shù)據(jù)庫用戶戶帳戶，但但是創(chuàng)建者者必須具有有CREATEUSER系統(tǒng)統(tǒng)權限。語法格式：：CREATEUSERuser_name/*將要要創(chuàng)建的用用戶名*/[IDENTIFIEDBYpassword|EXTERNALLLY|GLOBALLYAS‘‘external_name’]/*表明Oracle如何驗驗證用戶*/[DEFAULTTABLESPACEtablespace_name]/*標識用用戶所創(chuàng)建建對象的缺缺省表空間間*/[TEMPORARYTABLESPACEtablespace_name]/*標識用用戶的臨時時段的表空空間*/[QUOTAintegerK|integerM|UNLIMTEDONtablespace_name]/*用戶規(guī)規(guī)定的表空空間存儲對對象，最多多可達到這這個定額規(guī)規(guī)定的總尺尺寸*/[PROFILEprofile_name]/*將指定定的概要文文件分配給給用戶*/[DEFAULTROLErole,…n∣ALL[EXCEPTrole,…n]∣NONE][PASSWORDEXPIRE][ACCOUNTLOCK|NULOCK]/*帳戶是否否鎖定*/7.1.1創(chuàng)建建用戶2. 利用用SQL語語句創(chuàng)建用用戶其中：user_name：將要創(chuàng)創(chuàng)建用戶的的名稱。IDENTIFIED：表示示Oracle如何何驗證用戶戶。BYpassword：創(chuàng)創(chuàng)建一個本本地用戶，，該用戶必必須指定password進進行登錄。。Password只能包含含數(shù)據(jù)庫字字符集中的單單字節(jié)字符符，而不管管該字符集集是否還包包含多字節(jié)節(jié)字符。EXTERNALLY：創(chuàng)建建一個外部部用戶，該該用戶必須須由外部服服務程序(如操作系系統(tǒng)或第三三方服務程程序)來進進行驗證。GLOBALLYAS‘‘external_name’：創(chuàng)創(chuàng)建一個全全局用戶(globaluser)，必須由由企業(yè)目錄錄服務器驗驗證用戶。。DEFAULTTABLESPACE：標識識用戶所創(chuàng)創(chuàng)建對象的的缺省表空空間為tablespace_name指定的的表空間。。如果忽略該子子句就放入入SYSTEM表空空間。TEMPORARYTABLESPACE：：標識用戶戶的臨時段段的表空間間為tablespace_name指定的表表空間。如如果忽略該子句，，臨時段就就缺省為SYSTEM表空間間。QUOTA：允許用用在以tablespace_name指定的的表空間中中分配空間間定額并建建立一個integer字節(jié)節(jié)的定額，，使用K或M來指定該該定額，以以千字節(jié)或或兆字節(jié)為為單位。PROFILE：將將profile_name指定的概概要文件分分配給用戶戶。該概要要文件限制制用戶可使使用的數(shù)據(jù)據(jù)庫資源的的總量。DEFAULTROLE：：允許將一一個或多個個缺省角色色分配給用用戶。Role是將將要分配的的預定義角角色，n代代表可以分配多個，，中間用““，”隔離離。ALL[EXCEPT]role：：把所有預預定義的角角色分配給給用戶，或或把指定的的那些角色色除外的所所有角色分分配給用戶戶。NONE：：不分配給給用戶角色色。PASSWORDEXPIRE：使使用戶的password失失效。ACCOUNTLOCK：：鎖定用戶戶的帳戶并并禁止訪問問。ACCOUNTUNLOCK：解解除用戶戶的帳戶戶的鎖定定并允許許訪問該該帳戶。。7.1.1創(chuàng)創(chuàng)建用用戶【例7.1】創(chuàng)建一個個名稱為為AUTHOR的用戶戶，口令令為ANGEL，缺省省表空間間為USERS，臨時時表空間間為TEMP。。沒有定定額，使使用缺省省概要文文件。CREATEUSERAUTHORIDENTIFIEDBYANGELDEFAULTTABLESPACEUSERSTEMPORARYTABLESPACETEMP;當使用CREATEUSER語句句創(chuàng)建用用戶時，，該用戶戶權限域域為空。?？梢允故褂迷撚糜脩舻卿涗浀絆racle，，但使用用該用戶戶不能進進行任何何操作。。給用戶戶授予權權限可以以使用GRANT語句句來實現(xiàn)現(xiàn)。語法格式式：GRANTsystem_priv|roleTOuser[WITHADMINOPTIN]其中：system_priv：要要授予的的系統(tǒng)權權限。如如果把權權限授予予了user，，Oracle就把權權限添加加到該用用戶的權限域域，該用用戶立即即可使用用該權限限。Role：要授授予的角角色，一一旦授予予用戶角角色，該該用戶就就能行使使該角色色的權限限。WITHADMINOPTIN：把向向其他用用戶授權權的能力力傳遞給給被授予予者。7.1.1創(chuàng)創(chuàng)建用用戶【例7.2】授予例7.1所所創(chuàng)建的的用戶AUTHOR以以DBA的角色色。GRANTDBATOAUTHOR;授予用戶戶AUTHOR一些系系統(tǒng)權限限，并且且該用戶戶可以向向其他用用戶授權權。GRANTCREATEANYTABLE,CREATEANYVIEWTOAUTHORWITHADMINOPTION;【例7.3】重新創(chuàng)建建用戶AUTHOR，，口令為為ANGEL，，缺省表表空間為為USERS，，臨時表空間間為TEMP。。沒有定定額，使使用缺省省概要文文件，授授予所有有預定義義角色，，登錄數(shù)據(jù)庫前前修改口口令。DROPUSERAUTHOR;CREATEUSERAUTHORIDENTIFIEDBYANGELDEFAULTTABLESPACEUSERSTEMPORARYTABLESPACETEMPPASSWORDEXPIRE;7.1.2管管理用戶戶1.利利用OEM管理理用戶在如圖7.2所所示的界界面中，，查找并并選擇要要更改的的用戶。。也可以以通過搜搜索功能能查找具具體某個個用戶，，在搜索欄欄的“名名稱”文文本框輸輸入具體體用戶名名稱，如如NICK，單單擊“開開始”按按鈕，如如果存在在Nick用戶戶，則顯示在結結果欄。。選擇NICK用戶，，單擊““編輯””按鈕，，進入““編輯用用戶”界界面，如如圖7.17所所示，可可以看出，針對對某一用用戶的管管理窗口口和創(chuàng)建建用戶窗窗口相似似，具體體操作和和創(chuàng)建用用戶也相相似。圖7.17編輯輯用戶界界面7.1.2管管理用戶戶2.利利用SQL語語句管理理用戶利用SQL語句句的ALTERUSER、、GRANTUSER和REVOKE命命令也可可以管理理用戶，但前提是是執(zhí)行者必須須具有ALTERUSER和REVOKE權權限。但更改改自己的口令不需該權限限。(1)ALTERUSER命令令語法格式：ALTERUSERuser_nameIDENTIFIEDBYpassword∣EXTERNALLY∣GLOBALLYAS‘external_name’[DEFAULTTABLESPACEtablespace_name][TEMPORARYTABLESPACEtablespace_name][QUOTAintegerK|integerM|UNLIMTEDONtablespace_name][PROFILEprofile_name]DEFAULTROLErole∣ALL[EXCEPTrole]∣∣NONEPASSWORDEXPIRE[ACCOUNTLOCK|UNLOCK]7.1.2管管理用戶其中：IDENTIFIEDGLOBALLYAS：表明用用戶必須通過過LDAPV3兼容目目錄服務(如如OracleInternetDirectory)驗證。只有有當直接授給給該用戶的所所有外部角色色被收回時才能將驗證證用戶訪問的的方法更改為為IDENTIFIEDGLOBALLYAS‘external_name’。。DEFAULTROLE：只包含含用GRANT語句直接接授予用戶的的角色。不能能用DEFAULTROLE子句去啟啟用下列角色色：①沒有授予予用戶的角色色。②通過其他他角色授予的的角色。③由外部服服務(如操作作系統(tǒng))或OracleInternetDirectory管管理的角色。。ALTERUSER語語句中其他關關鍵字和參數(shù)數(shù)與CREATEUSER語句中中的意思相同同。(2)REVOKE命命令語法格式：REVOKEsystem_priv|roleFROMUSER其中：system_priv是賦賦予用戶的系系統(tǒng)權限；role是賦賦予用戶的角角色。7.1.2管管理用戶【例7.4】】賦予用戶權限限和角色。授予AUTHOR的定額額USERS表空間中的的100MB。ALTERUSERAUTHORQUOTA100MONUSERS;鎖定AUTHOR用戶帳帳戶。ALTERUSERAUTHORACCOUNTLOCK;回收用戶AUTHOR的的DBA的角角色。REVOKEDBAFROMAUTHOR;回收用戶NICK對表XS修改的權權限。REVOKEALTERONADMIN.XSFROMNICK;回收用戶NICK和AUTHOR對對表XS刪除除和插入數(shù)據(jù)據(jù)的權限。REVOKEDELETE,INSERTONADMINXSFROMNICK,AUTHOR;回收用戶的權權限時，如果果回收的權限限并沒有賦予予用戶，那么么系統(tǒng)會提示示未賦予用戶該權限。7.1.2管管理用戶3. 刪除用用戶在圖7.11所示的窗口口中，在用戶戶文件夾下選選擇要刪除的的用戶，單擊擊右鍵，在彈彈出的快捷菜單中中選擇“移去去”，即可刪刪除所選擇的的用戶。使用DROP命令也可以以從數(shù)據(jù)庫中中撤消一個用用戶。這個命命令只有一個個參數(shù)，即CASCADE，在撤消消該用戶之前前，它撤消用用戶模式中的的所有對象。。如果用戶擁擁有對象，必須指指定CASCADE以撤撤消用戶。下下面給出一個個樣本DROPUSER命令：DROPUSERAUTHORCASCADE;7.2權限限和角色當數(shù)據(jù)庫較小小、訪問數(shù)據(jù)據(jù)庫的用戶不不多時，對用用戶在每個表表上要求的特特定訪問進行授授權還是可以以接受的。但但是，隨著數(shù)數(shù)據(jù)庫的增大大以及用戶數(shù)數(shù)量的增多，數(shù)數(shù)據(jù)庫的維護護將會成為很很麻煩的事情情。在實際的的權限分配方方案中，通常是是這樣運用角角色的，先由由DBA為數(shù)數(shù)據(jù)庫定義一一系列的角色色，然后再由DBA將權限分分配給基于這這些角色的用用戶。7.2.1角角色1. 兩種角角色(1) 安全全應用角色。。DBA可以以授予安全應應用角色運行行給定數(shù)據(jù)庫庫應用時所有有必要的權限。然后后將該安全應應用角色授予予其他角色或或者用戶，應應用可以包含含幾個不同的角色，每個個角色都包含含不同的權限限集合。(2) 用戶戶角色。DBA可以為數(shù)數(shù)據(jù)庫用戶組組創(chuàng)建用戶角角色，賦予一一般的權限需需要。2. 數(shù)據(jù)庫庫角色(1) 角色色可以被授予予系統(tǒng)和方案案對象權限。。(2) 角色色被授予其他他角色。(3) 任何何角色可以被被授予任何數(shù)數(shù)據(jù)庫對象。。(4) 授予予用戶的角色色，在給定的的時間里，要要么啟用，要要么禁用。3. 角色和和用戶的安全全域每個角色和用用戶都包含自自己唯一的安安全域，角色色的安全域包包括授予角色色的權限。用戶安全域包包括對應方案案中的所有方方案對象的權權限，授予用用戶的權限和和授予當前起用的用戶的的角色的權限限。用戶安全全域同樣包含含授予用戶組組PUBLIC的權限和和角色。4. 預定義義角色Oracle系統(tǒng)在按照照完成后就有有整套的用于于系統(tǒng)管理的的角色，這些些角色稱為預預定義角色。Oracle10g的預定定義角色比以以前版本有所所增加，表7－1是Oracle10g預定定義角色。7.2.1角角色表7-1Oracle10g預定定角色表7-1Oracle10g預定定角色7.2.2創(chuàng)創(chuàng)建角色1. 利用OEM創(chuàng)建角角色創(chuàng)建角色的方方法和創(chuàng)建用用戶的方法類類似，使用的的界面也有許許多相同之處處。在圖7.1所所示的界面中中，選中“角角色”單擊左左鍵，進入““角色搜索””界面，如圖圖7.18所所示。圖7.18角角色搜索界面面7.2.2創(chuàng)創(chuàng)建角色圖7.18界界面列出所有有已存在的角角色。單擊““創(chuàng)建”按鈕鈕，進入“創(chuàng)創(chuàng)建角色”界界面，如圖7.19所示，該界面包包括“一般信信息”、“角角色”、“系系統(tǒng)權限”、、“對象權限限”和“使用用者組切換組組”5個選項項頁面。圖7.19創(chuàng)創(chuàng)建角色─一一般信息界界面7.2.2創(chuàng)創(chuàng)建角色(1)“一一般信息”選選項頁面：在在“名稱”文文本框輸入新新角色名稱，，如WORLD。Oracle提供了了下列列4種種確定定啟用用角色色時驗驗證的的方法法：無：啟啟用角角色時時不用用口令令驗證證?？诹睿海盒枰诹盍铗炞C證，口口令正正確才才能使使用角角色。。外部：：驗證證操作作系統(tǒng)統(tǒng)中的的用戶戶。全局：：用戶戶在多多個數(shù)數(shù)據(jù)庫庫中被被全局局標識識。如果選選擇““口令令”，，則需需要輸輸入兩兩次相相同的的口令令。在在此選選擇““無””選項項。(2)角角色選選項頁頁面：：角色色選項項頁面面如圖圖7.20所示示。在在該選選項頁頁面中中，可可以把把某個個角色賦賦予新新角色色，這這樣新新角色色就繼繼承了了相應應角色色的權權限。。這個個選項項頁面面中的的信息息和創(chuàng)建建用戶戶的角角色選選項卡卡類似似。在此把把DBA和和CONNECT角角色賦賦予新新角色色，這這樣新新角色色擁有有了DBA和CONNECT角色同同樣的的權限限。(3)系系統(tǒng)權權限選選項頁頁面：：系統(tǒng)統(tǒng)權限限選項項頁面面如圖圖7.21所示示。在在界面面中授授予新角色色系統(tǒng)統(tǒng)權限限使之之繼承承相應應的權權限。。該選選項頁頁面的的信息息和操操作方方法與與創(chuàng)建用用戶的的系統(tǒng)統(tǒng)權限限選項項頁面面類似似。在此授授予SYSDBA系系統(tǒng)權權限7.2.2創(chuàng)創(chuàng)建角角色圖7.20創(chuàng)建建角色色—角角色選選項頁頁面圖7.21創(chuàng)建建角色色—系系統(tǒng)權權限選選項頁頁面7.2.2創(chuàng)創(chuàng)建角角色(4)對對象權權限選選項頁頁面：：對象象權限限選項項界面面如圖圖7.22所示示。在在該界界面中中授予予新角角色對對象權權限使之之繼承承相應應的權權限。。該選選項頁頁面的的信息息和操操作方方法與與圖創(chuàng)創(chuàng)建用用戶的的系統(tǒng)統(tǒng)權限限選項項頁面面類似。。根據(jù)需需要授授予新新角色色相應應的對對象權權限。。圖7.22創(chuàng)建建角色色—對對象權權限選選項頁頁面7.2.2創(chuàng)創(chuàng)建角角色(5)使使用者者組切切換權權限選選項頁頁面：：使用用者組組選項項界面面如圖圖7.23所示示。在在該選選項頁頁面中中，可可以將新新角色色授予予相應應的使使用者者權限限。該該選項項頁面面的信信息和和操作作方法法與創(chuàng)創(chuàng)建用用戶的的系統(tǒng)統(tǒng)權限限選項頁頁面類類似。。根據(jù)需需要授授予新新角色色相應應的使使用者者權限限。確認5個選選項頁頁面設設置無無誤后后，單單擊““確定定”按按鈕，，創(chuàng)建建成功功后系系統(tǒng)返返回到到圖7.18所所示界界面，，完成創(chuàng)創(chuàng)建角角色操操作。。圖7.23創(chuàng)建建角色色—使使用者者選項項頁面面7.2.2創(chuàng)創(chuàng)建角角色2.利利用用SQL命命令創(chuàng)創(chuàng)建角角色利用CREATEROLE創(chuàng)建建的新新角色色在最最初權權限是是空的的，可可用GRANT語句句將權權限添添加到到角色色中。。(1)CREATEROLE語句句語法格格式：：CREATEROLErole_name[NOTIDENTIFIED][IDENTIFIEDBYpassword∣EXTERNALLY∣∣GLOBALLY]其中：：role_name：新新創(chuàng)建建角色色的名名稱。。NOTIDENTIFIED：：該角角色由由數(shù)據(jù)據(jù)庫授授權，，不需需要口口令使使該角角色生生效。。DENTIFIED：在在用SETROLE語語句使使該角角色生生效之之前必必須由由指定定的方方法來來授權權一個個用戶戶。BYpassword：創(chuàng)創(chuàng)建一一個局局部用用戶，，在使使角色色生效效之前前，用用戶必必須指指定password定定義的的口令?？诳诹钪恢荒苁鞘菙?shù)據(jù)據(jù)庫字字符集集中的的單字字節(jié)字字符。。EXTERNALLY：：創(chuàng)建建一個個外部部用戶戶。在在使角角色生生效之之前，，必須須由外外部服服務(如操操作系系統(tǒng))來授權用用戶。。GLOBALLY：：創(chuàng)建建一個個全局局用戶戶。在在利用用SETROLE語句句使角角色生生效前前或在在登錄錄時，，用戶戶必須由由企業(yè)業(yè)目錄錄服務務授權權使用用該角角色。。7.2.2創(chuàng)創(chuàng)建建角角色色2.利利用用SQL命命令令創(chuàng)創(chuàng)建建角角色色(2)GRANT語語句句語法法格格式式：：GRANTsystem_priv|roleTOrole[WITHADMINOPTIN]參數(shù)數(shù)和和關關鍵鍵字字含含義義同同權權限限添添加加到到用用戶戶中中的的GRANT語語句句【例例7.5】】創(chuàng)建建一一個個新新的的角角色色ACCOUNT_CREATE，，它它只只能能創(chuàng)創(chuàng)建建用用戶戶，，而而不不能能執(zhí)執(zhí)行其其他他DBA級級命命令令。。CREATEROLEACCOUNT_CREATE;GRANTCREATESESSION,CREATEUSER,ALTERUSERTOACCOUNT_CREATE;7.2.3管管理理角角色色角色色管管理理就就是是修修改改角角色色的的權權限限、、生生成成角角色色報報告告和和刪刪除除角角色色等等工工作作。。1.利利用用OEM管管理理角角色色(1)修修改改角角色色如圖圖7.18所所示示，，在在““角角色色搜搜索索””界界面面中中，，選選擇擇要要更更改改的的角角色色名名稱稱，，單單擊擊““修修改改””按按鈕，，進進入入““編編輯輯角角色色””界界面面。。某某一一角角色色的的管管理理界界面面和和創(chuàng)創(chuàng)建建角角色色界界面面相相似似，，具具體體操操作作和創(chuàng)創(chuàng)建建角角色色也也相相似似，，在在此此不不在在贅贅述述。。(2)刪刪除除角角色色要刪刪除除某某個個角角色色，，在在如如圖圖7.18所所示示的的窗窗口口中中選選擇擇要要刪刪除除的的角角色色；；也也可可以以通通過過搜搜索索功能能查查找找某某個個角角色色，，然然后后單單擊擊““刪刪除除””按按鈕鈕，，在在““確確認認””界界面面單單擊擊““是是””，，即即可可刪刪除除角角色色。。7.2.3管管理理角角色色2.利利用用SQL語語句句管管理理角角色色利用SQL語句句的ALTERROLE、、GRANTROLE和REVOKE命命令也可可以管理角色色。操作作者必須須被授予予具有ADMINOPTION的的角色或或具有ALTERANYROLW系統(tǒng)統(tǒng)權限。。語法格式式：ALTERROLErole_name[NOTIDENTIFIED][IDENTIFIEDBYpassword∣∣EXTERNALLY∣GLOBALLY]ALTERROLE語句的的關鍵字字和參數(shù)數(shù)CREATEROLE語語句的相相同，請請參照CREATEROLE語句句的關鍵鍵字和參參數(shù)含義義。使用SQL語句句管理角角色和使使用SQL語句句管理用用戶基本本一樣，，請讀者者參照使使用SQL語句管理理用戶的的方法，，自己嘗嘗試一下下。在此此說明一一點，在在將角色色修改為為IDENTIFIEDGLOBALLY之前，，必須注注意：(1)取取消所有有在外部部識別的的角色授授權。(2)取取消所有有用戶、、角色和和PUBLIC的角色色授權。。7.2.4權權限管理理權限是執(zhí)執(zhí)行特定定SQL語句和和訪問對對象的權權利。權權限被授授予的用用戶能夠夠完成這這些特定的工作作。一個個用戶可可以通過過兩種方方式得到到權限：：(1)顯顯式地將將權限授授予給用用戶。(2)可可以將權權限授予予某個角角色，然然后為用用戶加入入這個角角色。由于使用用角色管管理權限限比較簡簡單，所所以一般般先將權權限授予予給角色色，然后后分配給給各個用戶。。Oracle支持系系統(tǒng)權限限和方案案對象權權限。1.系系統(tǒng)權限限系統(tǒng)權限限是執(zhí)行行特定操操作（例例如創(chuàng)建建數(shù)據(jù)庫庫、從表表中刪除除行數(shù)據(jù)據(jù)等）的的權限。。Oracle中中包含60種不不同的系系統(tǒng)權限限?？梢砸詫⑾到y(tǒng)統(tǒng)權限授授予用戶戶和角色色，如果果將系統(tǒng)權限授授予某個個角色，，就可以以使用該該角色管管理系統(tǒng)統(tǒng)權限。。有兩種種方法可可以授予予或回收系統(tǒng)統(tǒng)權限，，一是使使用OEM，二二是使用用SQL語句GRANT和REVOKE。。注意：由于系系統(tǒng)權限限大，在在數(shù)據(jù)庫庫配置時時，對于于一般用用戶盡量量不要授授予在數(shù)數(shù)據(jù)字典上使用用ANY系統(tǒng)權權限(如如ALTERANYTABLE)。7.2.4權權限管理理2.方方案對象象權限方案對象象權限是是對特定定方案對對象執(zhí)行行特定操操作的權權利，這這些方案案對象主主要包括括表、視圖圖、序列列、過程程、函數(shù)數(shù)和包等等。有些些方案對對象(如如簇、索索引、觸觸發(fā)器和和數(shù)據(jù)庫鏈接接)沒有有對應的的對象權權限，它它們是通通過系統(tǒng)統(tǒng)權限控控制的。。例如，，修改簇簇用戶必須擁擁有ALTERANYCLUSER系系統(tǒng)權限限。Oracle方案案對象有有下列9種權限限：(1)SELECT：讀取取表、視視圖、序序列中的的行。(2)UPDATE：更新新表、視視圖和序序列中的的行。(3)DELETE：刪除除表、視圖圖中的數(shù)據(jù)據(jù)。(4)INSERT：向表表和視圖中中插入數(shù)據(jù)據(jù)。(5)EXECUTE：執(zhí)執(zhí)行類型、、函數(shù)、包包和過程。。(6)READ：：讀取數(shù)據(jù)據(jù)字典中的的數(shù)據(jù)。(7)INDEX：生成索索引。(8)PEFERENCES：生成成外鍵。(9)ALTER：修改表表、序列、、同義詞中中的結構。。7.2.5安全特特性1.表安安全在表和視圖圖上賦予DELETE、INSERT、SELECT和和UPDATE權限限可進行查查詢和操作作表數(shù)據(jù)?？梢砸韵拗艻NSERT權限到表表的特定的的列，而所所有其他列列都接受NULL或或者默認值。使用可可選的UPDATE，用戶能能夠更新特特定列的值值。如果用戶需需要在表上上執(zhí)行DDL操作，，那么需要要ALTER、INDEX和和REFERNCES權限還還可能需要其其他系統(tǒng)或或者對象權權限。例如如，如果需需要在表上上創(chuàng)建觸發(fā)發(fā)器，用戶戶就需要ALTERTABLE對象象權限和CREATETRIGGER系統(tǒng)權權限。與INSERT和UPDATE權限相同，REFRENCES權權限能夠對對表的特定定列授予權權限。2.視圖圖安全對視圖的方方案對象權權限允許執(zhí)執(zhí)行大量的的DML操操作，影響響視圖創(chuàng)建建的基表，，對表的DML對象權限與與視圖相似似。要創(chuàng)建建視圖，必必須滿足下下面2條：：(1)授予CREATEVIEW系統(tǒng)權限限或者CREATEANYVIEW系統(tǒng)權權限。(2)顯式授予SELECT、INSERT、UPDATE和和DELETE對象象權限，或或者顯式授授予SELECTANYTABLE、、INSERTANYTABLE、UPDATEANYTABLE、DELETEANYTABLE系統(tǒng)權限限。為了其他用用戶能夠訪訪問視圖，，可以通過過GRANTOPTION子句或者者使用ADMINOPTION子句授授予適當?shù)牡南到y(tǒng)權限限。由于下下面2條：：(1)視圖訪問基基表的所選選擇的列的的數(shù)據(jù)。(2)在定義視圖圖時，使用用WHERE子句控控制基表的的部分數(shù)據(jù)據(jù)。上述兩點可可以增加表表的安全層層次，包括括列層和基基于值的安安全性7.2.5安全特特性3. 過程程安全過程方案的的對象權限限(其中包包括獨立的的過程、函函數(shù)和包)只有EXECUTE權限。。將這個權限授授予需要執(zhí)執(zhí)行過程或或需要編譯譯另一個需需要調用它它的過程。。(1)過過程對象。。具有某個個過程的EXECUTE對象象權限的用用戶可以執(zhí)執(zhí)行該過程程，也可以編譯引引用該過程程的程序單單元。過程程調用時不不會檢查權權限。具有有EXECUTEANYPROCEDURE系統(tǒng)權限限的用戶可可以執(zhí)行數(shù)數(shù)據(jù)庫中的的任何過程程。當用戶戶需要創(chuàng)建過程時時，必須擁擁有CREATEPROCEDURE系統(tǒng)權權限或者是是CREATEANYPROCEDURE系統(tǒng)權限限。當需要要修改過程程時，需要要ALTERANYPROCEDURE系統(tǒng)權限。。擁有過程的的用戶必須須擁有在過過程體中引引用的方案案對象的權權限。為了了創(chuàng)建過程程，必須為過程引引用的所有有對象授予予用戶必要要的權限。。(2)包包對象。擁擁有包的EXECUTE對象象權限的用用戶，可以以執(zhí)行包中中的任何公公共過程和函數(shù)，，能夠訪問問和修改任任何公共包包變量的值值。對于包包不能授予予EXECUTE權權限，當為數(shù)數(shù)據(jù)庫應用用開發(fā)過程程、函數(shù)和和包時，要要考慮建立立安全性。。7.2.5安全特特性4. 類型型安全(1)命命名類型的的系統(tǒng)權限限Oracle10g為命名名類型(對對象類型、、VARRAY和嵌嵌套表)定定義了系統(tǒng)統(tǒng)權限，如如表7.2所示。表7.2命命名類型的的系統(tǒng)權限限7.2.5安全特特性4.類型型安全(2)對對象權限。。如果在命命名類型上上存在EXECUTE權限，，那么用戶戶可以使用用命名類型完成成定義表、、在關系包包中定義列列及聲明命命名類型的的變量和類類型。(3)創(chuàng)創(chuàng)建類型和和表權限。。在創(chuàng)建類類型時，必必須滿足以以下要求：：①如果在在自己模式式上創(chuàng)建類類型，則必必須擁有CREATETYPE系統(tǒng)統(tǒng)權限；如如果需要在其他用用戶上創(chuàng)建建類型，則則必須擁有有CREATEANYTYPE系系統(tǒng)權限。。②類型的的所有者必必須顯式授授予訪問定定義類型引引用的其他他類型的EXECUTE權限，或者授授予EXECUTEANYTYPE系統(tǒng)權權限，所有有者不能通通過角色獲獲取所需的的權限。③如果類類型所有者者需要訪問問其他類型型，則必須須已經接受受EXECUTE權權限或者是是EXECUTEANYTYPE系系統(tǒng)權限。。如果使用類類型創(chuàng)建表表，則必須須滿足以下下要求：①表的所所有者必須須顯式授予予EXECUTE對對象權限，，能夠訪問問所有引用用的類型，，或者授予EXECUTEANYTYPE系系統(tǒng)權限。。②如果表表的所有者者需要訪問問其他用戶戶的表時，，則必須在在GRANTOPTION選項中接受參考考類型的EXECUTE對象象權限，或或者在ADMINOPTION中接接受EXECUTEANYTYPE系系統(tǒng)權限。。7.2.5安全特特性【例7.6】使用類型創(chuàng)創(chuàng)建類型和和表的權限限。假設USER1、USER2和USER3這三三個用戶都都有CONNECT和RESOURCE角色。。① USER1在自自己的模式式執(zhí)行下面面的DDL語句：CREATETYPEtype1ASOBJECT(attr1number);CREATETYPEtype2ASOBJECT(attr2number);GRANTEXECUTEONtype1TOUSER2;GRANTEXECUTEONtype2TOUSER2WITHCRANTOPTION;② USER2在自自己的模式式執(zhí)行下面面的DDL語句：CREATETABLEtab1OFUSER1.type1;CREATETYPEtype3ASOBJECT(attr3user1.type2);CREATETABLEtab2(col1user1.type2);由于USER2在GRANTOPTION中中擁有對USER1的TYPE2的EXECUTE2權權限，所以以能夠成功執(zhí)行。GRANTEXECUTEONtype3TOUSER3;GRANTSELECTONtab2TOUSER3;然而，由于于在GRANTOPTION中USER2沒沒有USER1的TYPE的的EXECUTE權權限，所以以下面的授權失敗敗：CRANTSELECTONtab1TOUSER3;③ USER3可以以成功執(zhí)行行下面的語語句：CREATETYPEtype4ASOBJECT(attr4user2.type3);CREATETABLEtab3OFtype4;7.2.5安全特特性4. 類型型安全(4)類類型訪問和和對象訪問問的權限。。在列層和和表層上的的DML命命令權限，，可以應用用到對象列列和行對象象上。Oracle為對象表表定義的權權限如表7.3所示示。表7.3對對象表的權權限7.3概概要文件和和數(shù)據(jù)字典典視圖概要文件用用來限制由由用戶使用用的系統(tǒng)和和數(shù)據(jù)庫資資源，并管管理口令限限制。如果果數(shù)據(jù)庫中中沒有創(chuàng)建概要文文件，將使使用默認的的概要文件件。7.3.1創(chuàng)建概概要文件可以使用OEM或SQL語句句來創(chuàng)建概概要文件。。1. 使用用OEM創(chuàng)創(chuàng)建概要文文件啟動并登錄錄到OEM，以SYSDBA的身份連連接到要操操作的數(shù)據(jù)據(jù)庫，如圖圖7.1所所示。選擇“概要要文件”，，進入“概概要文件搜搜索”界面面，如圖7.24所所示。在該該界面單擊擊“創(chuàng)建””按鈕，進入入“創(chuàng)建概概要文件””界面，如如圖7.25所示。。該界面包包括一般信信息和口令令兩個選項頁面面，通過對對選項頁面面中信息的的設置，可可以完成概概要文件的的定義。7.3.1創(chuàng)建概概要文件1. 使用用OEM創(chuàng)創(chuàng)建概要文文件圖7.24概要文件件搜索界面面圖7.25創(chuàng)建概要要文件—一一般信息息選項頁面面7.3.1創(chuàng)建概概要文件(1)一一般信息選選項頁面。。在如圖7.25所所示的“一一般信息””選項界面面中，可以以指定將要要創(chuàng)建的概概要文件的名名稱以及其其他詳細資資料和數(shù)據(jù)據(jù)庫服務。。詳細資料區(qū)區(qū)設置的內內容如下：：CPU/會會話：一個個會話占用用CPU的的時間總量量(以秒/100為為單位)。。CPU/調調用：一個個調用占用用CPU的的時間最大大值(以秒秒/100為單位)。連接時間：：一個會話話持續(xù)的時時間的最大大值(以分分鐘為單位位)。空閑時間：：一個會話話處于空閑閑狀態(tài)的時時間最大值值(以分鐘鐘為單位)?？臻e時時間是會話話中持續(xù)不活動的一一段時間。。長時間運運行的查詢詢和其他操操作不受此此限值的約約束。數(shù)據(jù)庫服務務區(qū)設置的的內容如下下：并行會話數(shù)數(shù)：一個用用戶進行并并行會話的的最大數(shù)量量。讀取數(shù)/會會話：一個個會話讀取取的數(shù)據(jù)塊塊總量。該該限值包括括從內存和和磁盤讀取取的塊。讀取數(shù)/調調用：一個個調用在處處理一個PL/SQL語句時時讀取數(shù)據(jù)據(jù)塊的最大大數(shù)量。專用SGA：在系統(tǒng)統(tǒng)全局區(qū)(SGA)的共享池池中，一個個會話可分分配的專用用空間量的的最大值。。專用SGA的的限值只在在使用多線線程服務器器體系結構構的情況下下適用。限制：一個個會話耗費費的資源總總量。它包包括會話占占用CPU的時間、、連接時間間、會話中中的讀取數(shù)和分配的的專用SGA空間量量Default：使使用DEFAULT概要文件件中為該資資源指定的的限值。Unlimited：可以不不受限制地地利用該資資源。值：在現(xiàn)有有值中選擇擇一個。這這些默認值值是該項目目的常用值值，這些值值根據(jù)項目目的不同而而不同。7.3.1創(chuàng)建概概要文件(2)口口令選項頁頁面?？诹盍钸x項界面面如圖7.26。在在該界面可可以設置帳帳戶口令各各種參數(shù)。。圖7.26創(chuàng)建概要要文件—口口令選項頁頁面7.3.1創(chuàng)建概概要文件對于“口令令”選項，，可以設置置有效期和和失效后鎖鎖定狀態(tài)。。有效期：多多少天后口口令失效。。最大鎖定天天數(shù)：口令令失效后第第一次用它它登錄后多多少天內可可以更改此此口令。對于“歷史史記錄”選選項，設置置如何保留留。保留的口令令數(shù)：口令令能被重新新使用前必必須被更改改的次數(shù)。。保留天數(shù)：：限定口令令失效后經經過多少天天才可以重重新使用。。分配了該概概要文件的的用戶，在在登錄到數(shù)數(shù)據(jù)庫時允允許使用一一個PL/SQL例例行程序來來校驗口令令。PL/SQL例行程程序必須在在本地使用用，才能在在應用該概概要文件的的數(shù)據(jù)庫上上執(zhí)行。Oracle提供了一個個默認腳本(utlpwdmg.sql)，也也可以創(chuàng)建自自己的例行程程序或使用第第三方軟件。檢驗口令令的例行程序序必須歸SYS所有。默默認情況下的的設置為“空空”，即不進進行口令校驗驗。若選擇“啟用用口令復雜性性函數(shù)”復復選框，則可可以強制用戶戶的口令符合合復雜度標準準。例如，可可以要求口令的的最小長度、、不是一些簡簡單的詞、至至少包括一個個數(shù)字或標點點符號。若選擇“登錄錄失敗后鎖定定帳戶”復復選框，則可可以設置限定定用戶在登錄錄幾次失敗后后將無法使用用該帳戶；在登登錄失敗達到到指定次數(shù)后后，指定該帳帳戶將被鎖定定的天數(shù)。如果選擇了““Unlimited””選項，只有有數(shù)據(jù)庫管理理員才能為該該帳戶解除鎖鎖定。單擊“確定””按鈕，系統(tǒng)統(tǒng)創(chuàng)建概要文文件。概要文文件創(chuàng)建成功功后，返回到到圖7.24所示的界面面，完成創(chuàng)建操作，，此時能在該該界面看到上上面所創(chuàng)建的的概要文件的的基本信息。。7.3.1創(chuàng)創(chuàng)建概要文文件2.使用CREATEPROFILE命令令創(chuàng)建概要文文件語法格式：CREATEPROFILELIMITprofile_nameresource_parameters∣password_parameters說明：①profile_name：將將要創(chuàng)建的概概要文件的名名稱。②resource_parameters：對一個用用戶指定資源源限制的參數(shù)數(shù)。③password_parameters：口令參數(shù)數(shù)。7.3.1創(chuàng)創(chuàng)建概要文文件2.使用CREATEPROFILE命令令創(chuàng)建概要文文件resource_parameters的表表達式語法格式：[SESSIONS_PER_USERinteger∣UNLIMITED∣DEFAULT]/*限制一個個用戶并發(fā)會會話個數(shù)*/[CPU_PER_SESSIONinteger∣∣UNLIMITED∣∣DEFAULT]/*限制一次次會話的CPU時間，以以秒/100為單位*/[CPU_PER_CALLinteger∣UNLIMITED∣DEFAULT]/*限制一次次調用的CPU時間，以以秒/100為單位*/[CONNECT_TIMEinteger∣UNLIMITED∣DEFAULT]/*一次會話話持續(xù)的時間間，以分鐘為為單位*/[IDLE_TIMEinteger∣UNLIMITED∣DEFAULT]/*限制一次次會話期間的的連續(xù)不活動動時間，以分分鐘為單位*/[LOGICAL_READS_PER_SESSIONinteger∣∣UNLIMITED∣∣DEFAULT]/*規(guī)定一次次會話中讀取取數(shù)據(jù)塊的數(shù)數(shù)目，包括從從內存和磁盤盤中讀取的塊塊數(shù)*/[LOGICAL_READS_PER_CALLinteger∣UNLIMITED∣DEFAULT]/*規(guī)定處理理一個SQL語句一次調調用所讀的數(shù)數(shù)據(jù)塊的數(shù)目目*/[COMPOSITE_LIMTinteger∣UNLIMITED∣DEFAULT]/*規(guī)定一次次會話的資源源開銷，以服服務單位表示示該參數(shù)值*/[PRIVATE_SGAinteger{K∣M}∣UNLIMITED∣DEFAULT]/*規(guī)定一次次會話在系統(tǒng)統(tǒng)全局取(SGA)的共共享池可分配配的私有空間間的數(shù)目，以以字節(jié)表示?？梢允褂糜肒或M來表表示千字節(jié)或或兆字節(jié)*/7.3.1創(chuàng)創(chuàng)建概要文文件2.使用CREATEPROFILE命令令創(chuàng)建概要文文件(2)password_parameters的表達達式[FAILED_LOGIN__ATTEMPTSexpression∣∣UNLIMITED∣∣DEFAULT]/*在鎖定用用戶帳戶之前前登錄用戶帳帳戶的失敗次次數(shù)。*/[PASSWORD_LIFE_TIMEexpression∣UNLIMITED∣DEFAULT]/*限制同一一口令可用于于驗證的天數(shù)數(shù)*/[PASSWORD_REUSE_TIMEexpression∣UNLIMITED∣DEFAULT]/*規(guī)定口令令不被重復使使用的天數(shù)*/[PASSWORD_REUSE_MAXexpression∣UNLIMITED∣DEFAULT]/*規(guī)定當前前口令被重新新使用前需要要更改口令的的次數(shù),如果果PASSWORD_REUSE_TIME設設置為一整數(shù)數(shù)值，則該設設置UNLIMITED。*/[PASSWORD_LOOK_TIMEexpression∣UNLIMITED∣DEFAULT]/*指定次數(shù)數(shù)的登錄失敗敗而引起的帳帳戶封鎖的天天數(shù)*/[PASSWORD_GRACE_TIMEexpression∣UNLIMITED∣DEFAULT]/*在登錄依依然被允許但但已開始發(fā)出出警告之后的的天數(shù)*/[PASSWORD_VERIFY_FUNCTIONfunction∣∣NULL∣∣DEFAULT]/*允許PL/SQL的的口令校驗腳腳本作為CREATEPROFILE語句的的參數(shù)*//*function口令復雜性性校驗程序的的名字。NULL表示沒沒有口令校驗驗功能*/7.3.1創(chuàng)創(chuàng)建概要文文件【例7.7】】創(chuàng)建一個LIMITED_PROFILE概要要文件，把它它提供給用戶戶NICK使使用。CREATEPROFILELIMITED_PROFILELIMITFAILED_LOGIN_ATTEMPTS5PASSWORD_LOCK_TIME10;ALTERUSERNICKPROFILELIMITED_PROFILE;如果連續(xù)5次次與AUTHOR帳戶的的連接失敗，，該帳戶將自自動由Oracle鎖定定。然后使用AUTHOR帳戶戶的正確口令令時，系統(tǒng)會會提示錯誤信信息，只有對對帳戶解鎖后，才能再使使用該帳戶。。若一個帳戶由由于多次連接接失敗而被鎖鎖定，當超過過其概要文件件的PASSWORD_LOCK_TIME值時將將自動解鎖。。例如，在本本例為AUTHOR鎖定定10后即被解鎖。。7.3.2管管理概要文文件1. 利用OEM管理概概要文件(1) 為用用戶分配概要要文件如圖7.1所所示界面中，，單擊“用用戶”，進入入“用戶搜索索”界面，如如圖7.27所示。選擇擇要重新分配配概要文件的用用戶名稱；也也可以通過搜搜索功能查找找出該用戶名名稱，單擊““編輯”按鈕鈕，進入“編編輯用戶”界面面，如圖7.28所示。。從“概要文文件”下拉列列表中選擇將將要分配的概概要文件，單單擊“應用”按鈕，完完成為某個用用戶分配概要要文件的操作作。圖7.27用用戶搜索界面面圖7.28編編輯用戶界面面7.3.2管管理概要文文件1. 利用OEM管理概概要文件(2) 修改改概要文件在如圖7.24所示的界界面中，選擇擇要修改的概概要文件名稱稱，或是通過過搜索功能查查找要修改的的概要名稱，單單擊“編輯””按鈕，進入入“編輯概要要文件”界面面，如圖7.29所示。。圖7.29編編輯概要文件件界面7.3.2管管理概要文文件1. 利用OEM管理概概要文件(3) 刪除除概要文件按照如下步驟驟即可刪除指指定的概要文文件：在如圖圖7.24所所示界面中選選擇將要刪除除的概要文件，單單擊“刪除””按鈕，在出出現(xiàn)的確認界界面中選擇““是”，就可可以把指定的的概要文件從當前前數(shù)據(jù)庫中刪刪除。7.3.2管管理概要文文件2. 使用SQL語句管管理概要文件件語法格式：ALTERPROFILEprofileLIMITresource_parameters∣password_parameters其中：resource_parameters和password_parameters表達式與與CREATEPROFILE中一樣。。ALTERPROFILE語句句中的關鍵字字和參數(shù)與CREATEPROFILE語句相同同，請參照CREATEPROFILE的語語法說明。注意：不能從DEFAULT概概要文件中刪刪除限制。7.3.2管管理概要文文件【例7.8】】強制LIMITED_PROFILE概要文件件的用戶每10天改變一一次口令。ALTERPROFILELIMITED_PROFILELIMITPASSWORD_LIFE_TIME10;命令修改了LIMITED_PROFILE概概要文件，PASSWORD_LIFE_TIME設為10，因此使用這個個概要文件的的用戶在10天后就會過過期。如果口口令過期，就就必須在下次次注冊時修改它它，除非概要要文件對過期期口令有特定定的寬限期。。【例7.9】】設置PASSWORD_GRACE_TIME為10天。。ALTERPROFILELIMITED_PROFILELIMITPASSWORD_GRACE_TIME10;為過期口令設設定寬限期為為10，10過后還未修修改口令，帳帳戶就會過期期。過期帳戶戶需要數(shù)據(jù)庫管管理員人工干干預才能重新新激活。7.3.3數(shù)數(shù)據(jù)字典視視圖(1)ALL_USERS視圖：：當前用戶可可以看見的所所有用戶。輸入下列命名名：SELECT*FROMSYS.ALL_USERS;執(zhí)行結果如圖圖7.31所所示。圖7.31查查看用戶7.3.3數(shù)數(shù)據(jù)字典視視圖(2)DBA_USERS視圖：：查看數(shù)據(jù)庫庫中所有的用用戶信息。(3)USER_USERS視圖：：當前正在使使用數(shù)據(jù)庫的的用戶信息。。(4)DBA_TS_QUOTAS視圖：用用戶的表空間間限額情況。。(5)USER_PASSWORD_LIMITS視圖圖：分配給該該用戶的口令令配置文件參參數(shù)。(6)USER_RESOURCE_LIMITS視圖圖：當前用戶戶的資源限制制。(7)V$SESSION視圖：：每個當前會會話的會話信信息。(8)V$SESSTAT視圖：：用戶會話的的統(tǒng)計數(shù)據(jù)。。(9)DBA_ROLES視圖：：當前數(shù)據(jù)庫庫中存在的所所有角色。(10)SESSION_ROLES視圖：：用戶當前啟啟用的角色。。(11)DBA_ROLE_PRIVS視圖圖：授予給用用戶(或角色色)的角色，，也就是用戶戶(或角色)與角色之間的的授予關系。。7.3.3數(shù)數(shù)據(jù)字典視視圖使用如下SQL語句查看看：SELECT*FROMDBA_ROLE_PRIVS;(部分)結果果：GRANTEE GRANTED_ROLEADM DEFADMINCONNECTNOYESADMINDBANO YES… ……… …DBARESOURCENO YESDBADELETE_CATALOG_ROLEYES YESDBAEXECUTE_CATALOG_ROLEYESYESDBAEXP_FULL_DATABASENO YESDBAIMP_FULL_DATABASENO YES… ……… …這里，顯示的的是所有用戶戶(或角色)的信息。7.3.3數(shù)數(shù)據(jù)字典視視圖下面建立一個個新的用戶，，并賦予其一一些基本的權權限。然后使使用SELECT*FROMDBA_ROLE_PRIVS語句句，看有什么么結果。SQL語句如下下