教学讲座PPT安全管理

1、 复习复习 p索引索引分类分类 n惟一性索引与非惟一性索引惟一性索引与非惟一性索引 n平衡树索引与位图索引平衡树索引与位图索引 n单列索引与复合索引单列索引与复合索引 n函数索引函数索引 p作业作业1. 在在scott.emp表中的表中的sal列建立一个降序列建立一个降序 索引索引scott.indexsal，存储在表空间，存储在表空间users中中 create index scott.indexsal on scott.emp(sal desc) tablespace users; p序列序列 序列用于产生序列用于产生惟一序号惟一序号的数据库对象，用于为的数据库对象，用于为 多个数据库用户

2、依次生成不重复的多个数据库用户依次生成不重复的连续整数连续整数。 p序列的属性序列的属性 currval：返回序列当前值：返回序列当前值 nextval：返回序列的下一个值：返回序列的下一个值 p返回序列的当前值返回序列的当前值 select 方案名方案名.序列名序列名.currval from 表名表名 p返回序列下一个值返回序列下一个值 select 方案名方案名.序列名序列名. nextval from 表名表名 p使用序列插入数据使用序列插入数据 insert into 表名表名values( )方案名方案名. 序列名序列名. nextval p作业作业5.使用使用sql语句向语句向

3、scott.dept(deptno,dname,loc)表中插入两条记录表中插入两条记录 ，其中，其中deptno列的值使用序列列的值使用序列scott.mylist1生成生成 ，其他字段的值自选。，其他字段的值自选。 insert into scott.dept values (scott.mylist1.nextval,信息部信息部,北京北京); insert into scott.dept values (scott.mylist1.nextval,外联部外联部,三河三河); 9.7.4 同义词同义词 p同义词是数据库中表、索引、视图或其他模式同义词是数据库中表、索引、视图或其他模式 对

4、象的一个对象的一个别名别名。 p同义词可以简化对象访问。当数据库对象改变同义词可以简化对象访问。当数据库对象改变 时，只需要修改同义词而不需要修改应用程序。时，只需要修改同义词而不需要修改应用程序。 p创建同义词创建同义词 create public synonym 同义词同义词 for 数据库对象名数据库对象名; p例如，例如，create public synonym scott.se for scott.emp; 公有同义词公有同义词 第第10章章 安全管理安全管理 主要内容主要内容 poracle数据库安全性概述数据库安全性概述 p用户管理用户管理 p权限管理权限管理 p角色角色管理管

5、理 p概要文件概要文件管理管理 p审计审计 p利用利用oem进行安全管理进行安全管理 10.1 数据库安全性概述数据库安全性概述 poracle数据安全控制机制数据安全控制机制 n用户管理用户管理 n权限管理权限管理 n角色管理角色管理 n表空间设置和配额表空间设置和配额 n用户资源限制用户资源限制 n数据库审计数据库审计 10.2 用户管理用户管理 10.2.1 用户管理概述用户管理概述 poracle数据库初始用户数据库初始用户 n sys：是数据库中具有最高权限的数据库：是数据库中具有最高权限的数据库 管理员；管理员； n system：是一个辅助的数据库管理员：是一个辅助的数据库管理员

6、; nscott：是一个用于测试网络连接的普通：是一个用于测试网络连接的普通 用户，其初始口令为用户，其初始口令为tiger。 npublic：实质上是一个用户组，：实质上是一个用户组，数据库数据库 中任何一个用户都属于该组成员中任何一个用户都属于该组成员。要为数。要为数 据库中每个用户都授予某个权限，只需把据库中每个用户都授予某个权限，只需把 权限授予权限授予public就可以了。就可以了。 p用户属性用户属性 n用户身份认证方式用户身份认证方式 n默认表空间默认表空间 n临时表空间临时表空间 n表空间配额表空间配额 n概要文件概要文件 n账户状态账户状态 1. 用户身份认证方式用户身份认证

7、方式 p数据库身份认证：数据库用户口令以加密方数据库身份认证：数据库用户口令以加密方 式保存在数据库内部，当用户连接数据库时式保存在数据库内部，当用户连接数据库时 必须输入必须输入用户名和口令用户名和口令 p外部身份认证：用户的账户口令管理和身份外部身份认证：用户的账户口令管理和身份 验证由外部服务完成。外部服务可以是验证由外部服务完成。外部服务可以是操作操作 系统系统或网络服务。或网络服务。 p全局身份认证：全局身份认证：oracle使用网络中的安全管使用网络中的安全管 理服务器（理服务器（oracle enterprise security manager）对用户进行身份认证。）对用户进行

8、身份认证。 2.默认表空间默认表空间 n为用户指定存储其创建数据库对象的永为用户指定存储其创建数据库对象的永 久表空间。久表空间。 n系统会自动将数据库对象存储在当前用系统会自动将数据库对象存储在当前用 户的默认表空间中。户的默认表空间中。 3.临时表空间临时表空间 n如果没有为用户指定临时表空间，则系如果没有为用户指定临时表空间，则系 统将数据库的默认临时表空间作为用户统将数据库的默认临时表空间作为用户 的临时表空间。的临时表空间。 4.表空间配额表空间配额 n限制用户在限制用户在永久表空间中可以使用的存永久表空间中可以使用的存 储空间的大小储空间的大小 n默认情况下，新建用户在任何表空间中

9、默认情况下，新建用户在任何表空间中 都都没有任何配额没有任何配额。 n用户在临时表空间中不需要配额。用户在临时表空间中不需要配额。 5.概要文件概要文件 n概要文件限制用户对数据库系统资源的概要文件限制用户对数据库系统资源的 使用，同时设置用户的口令管理策略。使用，同时设置用户的口令管理策略。 n如果没有为用户指定概要文件，如果没有为用户指定概要文件，oracle将将 为用户自动指定为用户自动指定default概要文件。概要文件。 default 概要文件概要文件 6.账户状态账户状态 n在创建用户的同时，可以设定用户的初在创建用户的同时，可以设定用户的初 始状态，包括始状态，包括用户口令是否

10、过期用户口令是否过期以及以及账账 户是否锁定户是否锁定等。等。 n口令过期：用户第一次登录时，必须修口令过期：用户第一次登录时，必须修 改密码改密码 n锁定账户后，用户就不能与锁定账户后，用户就不能与oracle数据库数据库 建立连接。建立连接。 10.2.2.创建用户创建用户 create user 用户名用户名 identified by 密码密码 |globally as external_name default tablespace 永久表空间永久表空间 temporary tablespace 临时表空间临时表空间 quota n k|m|unlimited on 永久表空间永久表

11、空间 profile 概要文件概要文件 password expire account lock|unlock; 口令过期口令过期 锁定帐户锁定帐户 数据库认证数据库认证 外部认证外部认证 全局认证全局认证 |externally p例例1，创建一个用户，创建一个用户user3，口令为，口令为abcd，默，默 认表空间为认表空间为users，在该表空间的配额为，在该表空间的配额为 10 mb，初始状态为锁定。，初始状态为锁定。 create user user3 identified by abcd default tablespace users quota 10m on users acc

12、ount lock; 练习，创建一个用户练习，创建一个用户user4，口令为，口令为user4，默认，默认 表空间为表空间为example，在该表空间的配额为，在该表空间的配额为 10 mb。设置为口令过期。概要文件为。设置为口令过期。概要文件为 example_profile(假设该概要文件已经创建假设该概要文件已经创建) create user user4 identified by user4 default tablespace example quota 10m on example profile example_profile password expire; alter use

13、r 用户名用户名 identifiedby password|externally |globally as external_name default tablespace 永久表空间永久表空间 temporary tablespace 临时表空间临时表空间 quota n k|m|unlimited on 永久表空间永久表空间 profile 概要文件概要文件 default role 角色列表角色列表|all except角色列表角色列表|none password expire account lock|unlock; 10.2.3 修改用户修改用户 设置用户的默设置用户的默 认角色认

14、角色 10.2.4删除用户删除用户 pdrop user 用户名用户名 cascade ; p如果该用户创建了数据库对象，如果该用户创建了数据库对象，必须使用必须使用 cascade选项，先删除该用户的所有数据选项，先删除该用户的所有数据 库对象库对象 p系统将引用该用户对象的其他数据库对象标系统将引用该用户对象的其他数据库对象标 志为志为invalid不可用不可用 10.3 权限管理权限管理 10.3.1权限管理概述权限管理概述 p所谓权限就是执行特定类型所谓权限就是执行特定类型sql命令或访问命令或访问 其他用户的对象的权利。其他用户的对象的权利。 p分类分类 n系统权限系统权限：指在：指

15、在数据库级别数据库级别执行某种操作的执行某种操作的 权限，或权限，或针对某一类对象针对某一类对象执行某种操作的权执行某种操作的权 限。例如限。例如，insert any table n对象权限对象权限：指：指对某个特定的数据库对象对某个特定的数据库对象执行执行 某种操作的权限。例如某种操作的权限。例如，对，对scott.emp表的表的 insert权限。权限。 p授权方法授权方法 n直接授权：利用直接授权：利用grant命令直接为用户命令直接为用户 授权。授权。 n间接授权：先将权限授予间接授权：先将权限授予角色角色，然后再，然后再 将角色授予用户。将角色授予用户。 用户用户 权限权限 权限权

16、限1 权限权限2 权限权限3 角色角色 用户用户2 授权授权 10.3.2 系统权限系统权限管理管理 1.系统权限分类系统权限分类 p一类是对数据库一类是对数据库某一类对象某一类对象的操作能力，的操作能力， 通常带有通常带有any关键字。例如，关键字。例如，create any table，drop any index 。 p另一类系统权限是另一类系统权限是数据库级别数据库级别的某种操作的某种操作 能力。例如，能力。例如，create session。 p常用系统权限见表常用系统权限见表12-1 2 系统权限的授权系统权限的授权 pgrant 权限列表权限列表 to 用户列表用户列表|角色列表

17、角色列表|public with admin option; pwith admin option：表示允许系统权：表示允许系统权 限接收者再限接收者再把此权限授予其他用户把此权限授予其他用户。 授权给所授权给所 有用户有用户 例例9，dba为用户为用户user1授予授予create session， create table ，create index系统权系统权 限。限。user1获得权限后，使用获得权限后，使用user1为用户为用户user3 授予授予create table权限。权限。 1.使用使用sys登录，为登录，为user1用户授权用户授权 grant create sessio

18、n, create table, create view to user1 with admin option; 2.使用使用user1登录数据库登录数据库 3.为为user3授权限授权限 grant create table to user3; 练习，为用户练习，为用户user1授予授予create session， create table，create index系统系统 权限权限,并允许该用户将权限授予其他用户。并允许该用户将权限授予其他用户。 grant create session, create table, create view to user1 with admin opt

19、ion; prevoke 权限列表权限列表 from 用户列表用户列表|角色列表角色列表|public; p例，收回例，收回user2用户的用户的create table,权限权限 prevoke create table from user2； 3. 系统权限的回收系统权限的回收 p注意事项注意事项 n多个多个管理员授予用户同一个系统权限后，管理员授予用户同一个系统权限后， 若若一个管理员回收一个管理员回收该系统权限，该用户该系统权限，该用户将将 不再拥有不再拥有相应的系统权限。相应的系统权限。 n为了为了回收回收用户系统权限的传递性（授权时用户系统权限的传递性（授权时 使用了使用了with

20、 admin option子句），子句）， 必须必须先回收先回收其系统权限，然后再授予其相其系统权限，然后再授予其相 应的系统权限。应的系统权限。 n如果用户如果用户a将获得的系统权限授予用户将获得的系统权限授予用户b， 那么用户那么用户a系统权限被回收后，系统权限被回收后，用户用户b的系的系 统权限并不受影响。统权限并不受影响。 10.3.3 对象权限对象权限管理管理 1.对象权限分类对象权限分类 p对象权限是对对象权限是对某个特定模式对象某个特定模式对象的操作权限的操作权限 p对象权限见表对象权限见表12-2 2. 对象权限的授权对象权限的授权 pgrant 权限列表权限列表|all on

21、 模式模式.对象名对象名 to 用户列表用户列表|角色列表角色列表 with grant option; pwith grant option：表示允许对象权限：表示允许对象权限 接收者把此对象权限授予其他用户。接收者把此对象权限授予其他用户。 例例10，将将scott模式下的模式下的emp表的表的select， update，insert权限授予权限授予user1用户。用户。 grant select, insert, update on scott.emp to user1; prevoke 权限列表权限列表 | all on 模式模式.对象名对象名 from 用户列表用户列表|角色列表角

22、色列表; p注意事项注意事项 n如果用户如果用户a将其获得的对象权限授予另外的将其获得的对象权限授予另外的 用户用户b，那么用户，那么用户a的对象权限被回收后，的对象权限被回收后， 用户用户b的对象权限也被回收。的对象权限也被回收。 3. 对象权限的回收对象权限的回收 例：创建用户例：创建用户teacher,其表空间为其表空间为myspace1使其具有创使其具有创 建表的权限建表的权限,并且使用并且使用teacher用户创建数据表用户创建数据表depart 1.用用sys用户登陆数据库，创建表空间，用户登陆数据库，创建表空间，创建创建teacher用用 户户，设置，设置teacher登陆密码和

23、使用的表空间登陆密码和使用的表空间 2.分配表空间限额分配表空间限额 3.赋予系统权限赋予系统权限 creat session, select any dictionary , create any table 4.使用使用teacher登陆登陆 5.在方案在方案teacher和表空间和表空间maspace1中创建数据表中创建数据表 10.4角色管理角色管理 10.4.1 oracle数据库角色概述数据库角色概述 p角色就是一系列相关角色就是一系列相关权限的集合权限的集合 p将角色授予用户，该用户就得到了该角色将角色授予用户，该用户就得到了该角色 所具有的所有权限所具有的所有权限 p在在ora

24、cle中角色分为中角色分为系统预定义角色系统预定义角色和和用用 户自定义角色户自定义角色 用户用户权限权限1 权限权限2 权限权限3 角色角色 10.4.2 预定义预定义角色角色 p预定义角色概述预定义角色概述 noracle系统自动创建系统自动创建的一些常用的角色，的一些常用的角色， 这些角色这些角色已经由系统授予已经由系统授予了相应的权限了相应的权限 n可以直接利用预定义的角色为用户授权，可以直接利用预定义的角色为用户授权， 也可以修改预定义角色的权限。也可以修改预定义角色的权限。 10.4.3 自定义自定义角色角色 1. 创建角色创建角色 create role 角色名角色名 not i

25、dentified|identified by 密码密码; pnot identified：用于指定该角色由数据：用于指定该角色由数据 库授权，使该库授权，使该角色生效时不需要口令角色生效时不需要口令； pidentified by password：用于设置角色：用于设置角色 生效时的认证口令。生效时的认证口令。 例，创建角色例，创建角色role1，设置生效认证口令为，设置生效认证口令为abcd create role role1 identified by abcd; 2.角色权限的授予与回收角色权限的授予与回收 p角色创建后，给角色授予适当的角色创建后，给角色授予适当的系统权限系统权限、

26、对对 象权限象权限或或已有角色已有角色。 p在数据库运行过程中，可以为角色增加权限，在数据库运行过程中，可以为角色增加权限， 也可以回收其权限。也可以回收其权限。 p一个角色可以被授予另一个角色，但不能授予一个角色可以被授予另一个角色，但不能授予 其本身，不能产生循环授权。其本身，不能产生循环授权。 p 示例示例 ngrant role2, create table to role1; nrevoke connect from role1; 3 修改角色修改角色 p修改角色修改角色生效或失效时的认证密码生效或失效时的认证密码 p修改角色的语法修改角色的语法 alter role 角色名角色名

27、not identified|identified by 密码密码； p示例示例 nalter role role1 identified by “123456”; not identified; 4 角色的生效与失效角色的生效与失效 p角色的失效是指角色暂时不可用。角色的失效是指角色暂时不可用。 p当一个角色生效或失效时，用户从角色中获得当一个角色生效或失效时，用户从角色中获得 的的权限也生效或失效权限也生效或失效。 p在进行角色生效或失效设置时，需要输入角色在进行角色生效或失效设置时，需要输入角色 的的identified认证口令，避免非法设置。认证口令，避免非法设置。 pset role

28、 角色名角色名 identified by 密码密码 |all except 角色名角色名 |none; 将该角色将该角色 设为生效设为生效 将除将除except角色角色 外的所有角色设为外的所有角色设为 生效生效 所有角色设为失所有角色设为失 效效 p示例示例 pset role role1 identified by “123456”; 练习练习1，将当前用户的所有角色设为生效，将当前用户的所有角色设为生效 pset role all; 将当前用户所有角色设为失效将当前用户所有角色设为失效 pset role none; except role1; （5）删除角色）删除角色 p语法结构语法

29、结构 ndrop role role_name; p角色被删除后，用户通过该角色获得的权角色被删除后，用户通过该角色获得的权 限被回收。限被回收。 10.4.4 利用角色进行权限管理利用角色进行权限管理 1.给用户或角色授予角色给用户或角色授予角色 grant 角色列表角色列表 to 角色角色|用户用户； p例如，将例如，将role1角色授予用户角色授予用户user1，将，将role1 角色授予角色角色授予角色role2。 pgrant role1 to user1; pgrant role1 to role2; 2.从用户或角色回收角色从用户或角色回收角色 prevoke 角色列表角色列表

30、from 角色角色|用户用户； p例如，回收角色例如，回收角色role2的的role1角色。角色。 prevoke role1 from role2; 3 用户角色的激活或屏蔽用户角色的激活或屏蔽 p当用户被授予一个角色后，该角色即成为当用户被授予一个角色后，该角色即成为 该用户的默认角色该用户的默认角色 p可以通过可以通过alter user 命令激活或屏蔽用命令激活或屏蔽用 户的默认角色户的默认角色 palter user 用户名用户名 default role 角色名角色名 |all except 角色名角色名 |none; 将该角色将该角色 设为生效设为生效 将当前用户除将当前用户除

31、except角色外的角色外的 所有角色设为生效所有角色设为生效 当前用户所有角当前用户所有角 色设为失效色设为失效 p例，将例，将user1的的role1角色设为生效角色设为生效 alter user user1 default role role1; p 练习，将练习，将user1的的role1角色设为失效角色设为失效 alter user user1 default role all except role1; p将将user1的所有角色设为失效的所有角色设为失效 palter user user1 default role none; 练习练习 p创建角色创建角色myrole，使其具有，

32、使其具有drop any tbale的系统权限。将该角色授予用户的系统权限。将该角色授予用户 teacher，使用，使用teacher用户连接数据库，删用户连接数据库，删 除数据表。除数据表。 p将将teacher用户的用户的myrole角色设为失效，再角色设为失效，再 使用使用teacher用户连接数据库，删除数据表。用户连接数据库，删除数据表。 10.5概要文件管理概要文件管理 10.5.1 概要文件概述概要文件概述 p概要文件（概要文件（profile）是数据库和系统资）是数据库和系统资 源源限制限制的集合的集合 p利用概要文件，可以限制用户对数据库和利用概要文件，可以限制用户对数据库和

33、 系统资源的使用，同时还可以对用户口令系统资源的使用，同时还可以对用户口令 进行管理。进行管理。 p每个用户每个用户必须必须有一个概要文件有一个概要文件 p如果没有为用户显式地指定，系统默认将如果没有为用户显式地指定，系统默认将 default概要文件作为用户的概要文件概要文件作为用户的概要文件 p资源限制级别资源限制级别 n会话级资源限制：对用户在会话级资源限制：对用户在一个会话过程一个会话过程 中所能使用的资源进行限制。中所能使用的资源进行限制。 n调用级资源限制：对调用级资源限制：对一条一条sql语句语句在执行在执行 过程中所能使用的资源进行限制。过程中所能使用的资源进行限制。 p当数据

34、库启动当数据库启动“资源限制参数资源限制参数” resource_limit时，概要文件才起作用时，概要文件才起作用 10.5.2 概要文件中参数介绍概要文件中参数介绍 p资源限制参数资源限制参数 p口令管理参数口令管理参数 10.6 审计审计 10.6.1 审计概述审计概述 1.审计的概念审计的概念 p审计是审计是监视和记录监视和记录用户对数据库所进行的用户对数据库所进行的 操作，以供操作，以供dba进行进行统计和分析统计和分析。 p利用审计可以完成下列任务：利用审计可以完成下列任务： n调查数据库中的可疑活动。调查数据库中的可疑活动。 n监视和收集特定数据库活动的数据。监视和收集特定数据库

35、活动的数据。 p利用审计功能监视和记录数据库中的操作，利用审计功能监视和记录数据库中的操作， 形成形成审计记录审计记录，并存储到数据字典或操作，并存储到数据字典或操作 系统文件中系统文件中 p一条审计记录中包含用户名、会话标识、一条审计记录中包含用户名、会话标识、 终端标识、所访问的模式对象名称、执行终端标识、所访问的模式对象名称、执行 的操作、操作的完整语句代码、日期和时的操作、操作的完整语句代码、日期和时 间戳、所使用的系统权限等。间戳、所使用的系统权限等。 2.审计分类审计分类 p语句审计：对特定的语句审计：对特定的sql语句进行审计，语句进行审计， 不指定具体对象。不指定具体对象。 p

36、权限审计：对特定的系统权限使用情况进权限审计：对特定的系统权限使用情况进 行审计。行审计。 p对象审计：对特定的模式对象上执行的特对象审计：对特定的模式对象上执行的特 定语句进行审计。定语句进行审计。 p精细审计：对基于内容的各种精细审计：对基于内容的各种sql语句进语句进 行审计，可以使用布尔表达式对列级别上行审计，可以使用布尔表达式对列级别上 的内容进行审计。的内容进行审计。 p根据用户执行的语句是否成功分为：根据用户执行的语句是否成功分为： n成功执行语句的审计成功执行语句的审计 n不成功执行语句的审计不成功执行语句的审计 n无论语句是否执行成功都进行审计无论语句是否执行成功都进行审计

37、p根据对同一个语句审计次数的不同分为：根据对同一个语句审计次数的不同分为： n会话级审计：在一次会话中，同一个语句只会话级审计：在一次会话中，同一个语句只 审计一次，形成一条审计记录；审计一次，形成一条审计记录； n存取方式审计：同一个语句每执行一次便审存取方式审计：同一个语句每执行一次便审 计一次，即同一条语句形成多个审计记录。计一次，即同一条语句形成多个审计记录。 （3）审计的启动）审计的启动 p通过修改静态参数通过修改静态参数audit_trail值来启动或关闭数据库值来启动或关闭数据库 的审计功能。的审计功能。 paudit_trail参数可以取值：为参数可以取值：为db，os，non

38、e， true，false，db_extended，xml或或 extended。 ndb表示启动审计功能，审计信息写入表示启动审计功能，审计信息写入sys.aud$数据数据 字典中；字典中； nos表示启动审计功能，审计信息写入操作系统文件中；表示启动审计功能，审计信息写入操作系统文件中； n默认为默认为none，表示不启动审计功能；，表示不启动审计功能； ntrue功能与功能与db选项一样；选项一样； nfalse表示不启动审计功能，但表示不启动审计功能，但oracle会监视特定活会监视特定活 动并写入操作系统文件，如例程的启动、关闭以及动并写入操作系统文件，如例程的启动、关闭以及 dba

39、连接数据库等。连接数据库等。 p通过通过sql*plus环境启动数据库的审计功能。环境启动数据库的审计功能。 nalter system set audit_trail =db scope=spfile; nshutdown immediate nstartup p通过通过oem数据库控制台启动数据库的审计数据库控制台启动数据库的审计 功能。功能。 10.6.2 语句审计语句审计 p概念概念 n语句审计是指对特定类型的语句审计是指对特定类型的sql语句进行审计，语句进行审计， 与具体的对象没有关系。与具体的对象没有关系。 n可以审计某个用户或所有用户的可以审计某个用户或所有用户的sql语句；语

40、句； n可以是会话级审计或存取方式审计；可以是会话级审计或存取方式审计； n可以对成功执行的可以对成功执行的sql语句、没有成功执行的语句、没有成功执行的 sql语句或无论是否成功执行的语句或无论是否成功执行的sql语句进行语句进行 审计。审计。 p语句审计的基本语法为语句审计的基本语法为 naudit sql_statement|sql_statement_option nby user1,user2 nby session|access nwhenever not successful p参数说明参数说明 nsql_statement：被审计的被审计的sql语句语句 nsql_statem

41、ent_option：被审计的：被审计的sql语句选项语句选项 nby user：指定审计的用户，如果没有指定，则审计所：指定审计的用户，如果没有指定，则审计所 有用户；有用户； nby session：语句级审计，同一个：语句级审计，同一个sql语句只审计一语句只审计一 次（默认）；次（默认）； nby access：存取方式审计，同一个：存取方式审计，同一个sql语句执行几语句执行几 次审计几次；次审计几次； nwhenever successful：只审计成功的：只审计成功的sql语句；语句； nwhenever not successful：只审计不成功的：只审计不成功的 sql语句。

42、语句。 p示例示例 naudit table by scott by access; nsqlaudit view by scott by session; nsqlaudit alter table by scott,sfd by session whenever successful; nsqlaudit session by sfd; nsqlconn scott/tiger nsqlcreate table test_audit(sno number,sname char(20); nsqlalter table test_audit add (sex char(2); nsqlcon

43、n / as sysdba nsqlselect * from aud$; p如果要了解当前数据库对哪些用户进行了语如果要了解当前数据库对哪些用户进行了语 句审计，以及审计设置信息，可以通过查询句审计，以及审计设置信息，可以通过查询 数据字典视图数据字典视图dba_stmt_audit_opts获获 得。得。 nselect user_name,audit_option,success nfrom dba_stmt_audit_opts; p取消对某个语句的审计，只需将取消对某个语句的审计，只需将audit命令命令 改为改为noaudit命令就可以了。命令就可以了。 10.6.3 权限审计权限

44、审计 p概念概念 n权限审计是指对特定系统权限的使用情况进行审计。权限审计是指对特定系统权限的使用情况进行审计。 p语法语法 naudit system_privilege nby user1,user2 nby session|access nwhenever not successful p示例示例 naudit create any table,create any view by scott,sfd; naudit alter any table by sfd by session whenever successful; p如果要了解当前数据库对哪些用户的系统如果要了解当前数据库对哪

45、些用户的系统 权限进行了审计以及审计设置信息，可以权限进行了审计以及审计设置信息，可以 通过查询数据字典通过查询数据字典 dba_priv_audit_opts获得。获得。 nselect user_name,privilege,success from dba_priv_audit_opts; p取消对某个系统权限的审计，只需将取消对某个系统权限的审计，只需将 audit命令改为命令改为noaudit命令就可以了。命令就可以了。 10.6.4 对象审计对象审计 p概念概念 n对象审计是指对特定模式对象执行的特点操对象审计是指对特定模式对象执行的特点操 作进行审计，与用户没有关系。作进行审计，

46、与用户没有关系。 p语法为语法为 naudit object_privilege on schema.object_name nby user1,user2by session|accesswhenever not successful p参数说明参数说明 nobject_privilege：特定的对象权限特定的对象权限 nschema.object_name：特定模式对象。：特定模式对象。 p对对scott模式下的模式下的emp表、表、dept表进行审计。表进行审计。 naudit select,update on scott.emp by access; naudit insert,del

47、ete on scott.dept by session whenever not successful; p如果要了解当前数据库对哪些模式对象进如果要了解当前数据库对哪些模式对象进 行了审计以及审计设置信息，可以通过查行了审计以及审计设置信息，可以通过查 询数据字典视图询数据字典视图dba_obj_audit_opts 获得。获得。 nselect owner,object_type,ins,upd,sel,del from dba_obj_audit_opts; p如果要取消对某个模式对象的审计，只需如果要取消对某个模式对象的审计，只需 将将audit命令改为命令改为noaudit命令就可

48、以命令就可以 了。了。 10.6.5 精细审计精细审计 p概念概念 n精细审计是精细审计是oracle 10g的新特性，可以对的新特性，可以对 表或视图上执行的表或视图上执行的select，insert， update，delete操作创建审计策略。操作创建审计策略。 n通过通过dbma_fga包对审计策略进行管理。包对审计策略进行管理。 pdbma_fga包中定义了下列包中定义了下列4个用于精细个用于精细 审计策略管理的子程序审计策略管理的子程序 n add_policy：创建一个审计策略：创建一个审计策略 ndrop_policy：删除一个审计策略：删除一个审计策略 nenable_pol

49、icy：启用一个审计策略：启用一个审计策略 ndisable_policy：禁用一个审计策略：禁用一个审计策略 pdbms_fga.add_policy( p object_schema varchar2, p object_name varchar2, p policy_name varchar2, p audit_condition varchar2, p audit_column varchar2, p handler_schema varchar2, p handler_module varchar2, p enable boolean, p statement_types varch

50、ar2, p audit_trail binary_integer in default, p audit_column_opts binary_integer in default p); pdbms_fga.drop_policy( p object_schema varchar2, p object_name varchar2, p policy_name varchar2 ); pdbms_fga.enable_policy( p object_schema varchar2, p object_name varchar2, p policy_name varchar2, p enable boolean); pdbms_fga.disable_policy( p object_schema varchar2, p object_name varchar2, p policy_name varchar2 ); p精细审计的步骤精细审计的步骤 n首先创建一个精细审计策略首先创建一个精细审计策略 n然后启动精细审计策略然后启动精细审计策略 p 示例示例 n对对 scott模式下模式下emp表中