Oracle的安全管理培训教案

1、Oracle的安全管理本章学习习目标数据库安安全性问问题一直直是人们们关注的的焦点，数据库库数据的的丢失以以及数据据库被非非法用户户的侵入入对于任任何一个个应用系系统来说说都是至至关重要要的问题题。确保保信息安安全的重重要基础础在于数数据库的的安全性性能。第六章Oracle的安安全管理理本章内容容安排6.1Oracle9i的安全全保障机机制6.2用用户户管理6.3权权限限和角色色6.4概概要要文件6.5数数据据审计 6.1Oracle9i的安全全保障机机制6.1.1安安全性性内容6.1.2安安全性性策略数据库的的安全性性是指保护护数据库库以防止止不合法法的使用用所造成成的数据据泄露、更改或或破

2、坏。在数据库库存储这这一级可可采用密密码技术术，当物物理存储储设备失失窃后，它起到到保密作作用。在在数据库库系统这这一级中中提供两两种控制制：用户户标识和和鉴定，数据存存取控制制。数据库安安全可分分为二类类：系统统安全性性和数据据安全性性。系统安全全性是指指在系统统级控制制数据库库的存取取和使用用的机制制，包含含：（1）有有效的用用户名/口令的的组合。（2）一一个用户户是否授授权可连连接数据据库。（3）用用户对象象可用的的磁盘空空间的数数量。（4）用用户的资资源限制制。（5）数数据库审审计是否否是有效效的。（6）用用户可执执行哪些些系统操操作。6.1.1安安全性性内容在Oracle多用户户数据

3、库库系统中中，安全全机制作作下列工工作：（1）防防止非授授权的数数据库存存取。（2）防防止非授授权的对对模式对对象的存存取。（3）控控制磁盘盘使用。（4）控控制系统统资源使使用。（5）审审计用户户动作。用户要存存取一对对象必须须有相应应的权限限授给该该用户。已授权权的用户户可任意意地可将将它授权权给其它它用户，由于这这个原因因，这种种安全性性类型叫叫做任意意型。Oracle利利用下列列机制管管理数据据库安全全性：数据库库用户和和模式权限角色存储设设置和空空间份额额资源限限制审计1系统统安全性性策略2用户户安全性性策略6.1.2安安全性性策略3数据据库管理理者安全全性策略略4应用用程序开开发者的

4、的安全性性策略系统安全全性策略略（1）管管理数据据库用户户（2）用用户身份份确认（3）操操作系统统安全性性1）数据据库管理理员必须须有create和delete文文件的操操作系统统权限。2）一般般数据库库用户不不应该有有create或delete与数数据库相相关文件件的操作作系统权权限。3）如果果操作系系统能为为数据库库用户分分配角色色，那么么安全性性管理者者必须有有修改操操作系统统帐户安安全性区区域的操操作系统统权限。2.用户安全全性策略略（1）一一般用户户的安全全性1）密码码的安全全性2）权限限管理（2）终终端用户户的安全全性3.数据库管管理者安安全性策策略（1）保保护作为为sys和sys

5、tem用户户的连接接（2）保保护管理理者与数数据库的的连接（3）使使用角色色对管理理者权限限进行管管理4.应用程序序开发者者的安全全性策略略（1）应应用程序序开发者者和他们们的权限限（2）应应用程序序开发者者的环境境1）程序序开发者者不应与与终端用用户竞争争数据库库资源；2）程序序开发者者不能损损害数据据库其他他应用产产品。（3）应应用程序序开发者者的空间间限制作为数据据库安全全性管理理者，应应该特别别地为每每个应用用程序开开发者设设置以下下的一些些限制：1）开发发者可以以创建table或index的表表空间；2）在每每一个表表空间中中，开发发者所拥拥有的空空间份额额。6.2.2创创建用用户6

6、.2.3修修改用用户6.2.4删删除用用户6.2.1数数据库库的存取取控制6.2用用户户管理1用户户鉴别2用户户的表空空间设置置和定额额6.2.1数数据库库的存取取控制3用户户资源限限制和环环境文件件4用户户环境文文件用户鉴别别为了防止止非授权权的数据据库用户户的使用用，Oracle提供供三种确确认方法法：操作系统统确认，Oracle数据库库确认和和网络服服务确认认。由操作系系统鉴定定用户的的优点是是：1）用户户能更快快，更方方便地联联入数据据库。2）通过过操作系系统对用用户身份份确认进进行集中中控制：如果操操作系统统与数据据库用户户信息一一致，那那么Oracle无须须存储和和管理用用户名以以

7、及密码码。3）用户户进入数数据库和和操作系系统审计计信息一一致。 2用户户的表空空间设置置和定额额关于表空空间的使使用有几几种设置置选择：用户的的缺省表表空间用户的的临时表表空间数据库库表空间间的空间间使用定定额3.用户资源源限制和和环境文文件用户可用用的各种种系统资资源总量量的限制制是用户户安全域域的部分分。利用用显式地地设置资资源限制制，安全全管理员员可防止止用户无无控制地地消耗宝宝贵的系系统资源源。资源源限制是是由环境境文件管管理。一一个环境境文件是是命名的的一组赋赋给用户户的资源源限制。另外Oracle为为安全管管理员在在数据库库提供是是否对环环境文件件资源限限制的选选择。Oracle

8、可可限制几几种类型型的系统统资源的的使用，每种资资源可在在会话级级、调用用级或两两者上控控制。在会话级级：每一一次用户户连接到到一数据据库，建建立一会会话。每每一个会会话在执执行SQL语句句的计算算机上耗耗费CPU时间间和内存存量进行行限制。在调用级级：在SQL语语句执行行时，处处理该语语句有几几步，为为了防止止过多地地调用系系统，Oracle在在调用级级可设置置几种资资源限制制。有下列资资源限制制：（1）为为了防止止无控制制地使用用CPU时间，Oracle可限制制每次Oracle调调用的CPU时时间和在在一次会会话期间间Oracle调用所所使用的的CPU的时间间，以0.01秒为单单位。（2）

9、为为了防止止过多的的I/O，Oracle可限限制每次次调用和和每次会会话的逻逻辑数据据块读的的数目。（3）Oracle在在会话级级还提供供其它几几种资源源限制。每个用户户的并行行会话数数的限制制。会话空闲闲时间的的限制，如果一一次会话话的Oracle调用用之间时时间达到到该空闲闲时间，当前事事务被回回滚，会会话被中中止，会会话资源源返回给给系统。每次会话话可消逝逝时间的的限制，如果一一次会话话期间超超过可消消逝时间间的限制制，当前前事务被被回滚，会话被被删除，该会话话的资源源被释放放。每次会话话的专用用SGA空间量量的限制制。4用户户环境文文件用户环境境文件是是指定资资源限制制的命名名集，可可

10、赋给Oracle数数据库的的有效的的用户。利用用用户环境境文件可可容易地地管理资资源限制制。在许多情情况中决决定用户户的环境境文件的的合适资资源限制制的最好好的方法法是收集集每种资资源使用用的历史史信息。6.2.2创创建用用户使用CREATEUSER语句可可以创建建一个新新的数据据库用户户，执行行该语句句的用户户必须具具有CREATEUSER系统权权限。在创建用用户时必必须指定定用户的的认证方方式。一一般会通通过Oracle数据库对对用户身身份进行行验证，即采用用数据库库认证方方式。在在这种情情况下，创建用用户时必必须为新新用户指指定一个个口令，口令以以加密方方式保存存在数据据库中。当用户户连

11、接数数据库时时，Oracle从数据库库中提取取口令来来对用户户的身份份进行验验证。 使用IDENTIFIEDBY子子句为用用户设置置口令，这时用用户将通通过数据据库来进进行身份份认证。如果要要通过操操作系统统来对用用户进行行身份认认证，则则必须使使用IDENTIFIEDEXTERNALBY子子句。使用DEFAULTTABLESPACE子句句为用户户指定默默认表空空间。如如果没有有指定默默认表空空间，Oracle会会把SYSTEM表空空间作为为用户的的默认表表空间。为用户户指定了了默认表表空间之之后，还还必须使使用QUOTA子句来来为用户户在默认认表空间间中分配配的空间间配额。 此外，常常用的一

12、一些子句句有：TEMPORARY TABLESPACE子子句：为为用户指指定临时时表空间间。PROFILE子句句：为用用户指定定一个概概要文件件。如果果没有为为用户显显式地指指定概要要文件，Oracle将自动动为他指指定DEFAULT概概要文件件。DEFAULTROLE子句：为用户户指定默默认的角角色。PASSWORDEXPIRE子句：设置用用户口令令的初始始状态为为过期。ACCOUNTLOCK子句：设置用用户账户户的初始始状态为为锁定，缺省为为：ACCOUNTUNLOCK。在建立新新用户之之后，通通常会需需要使用用GRANT语语句为他他授予CREATESESSION系统统权限，使他具具有连接

13、接到数据据库中的的能力。或为新新用户直直接授予予Oracle中预定定义的CONNECT角色。6.2.3修修改用用户在创建用用户之后后，可以以使用ALTERUSER语句对对用户进进行修改改，执行行该语句句的用户户必须具具有ALTER USER系系统权限限。例如：利利用下面面的语句句可以修修改用户户chenjie的认认证方式式、默认认表空间间、空间间配额：ALTERUSER chenjieIDENTIFIED BY chenjie_pwQUATA10MONmbl_tbs; ALTERUSER语句最最常用的的情况是是用来修修改用户户自己的的口令，任何用用户都可可以使用用ALTERUSERIDENTI

14、FIED BY语句来来修改自自己的口口令，而而不需要要具有任任何其他他权限。但是如如果要修修改其他他用户的的口令，则必须须具有ALTERUSER系统权权限。 DBA还还会经常常使用ALTERUSER语句锁锁定或解解锁用户户账户。例如：ALTERUSER chenjieACCOUNTLOCK;ALTERUSER chenjieACCOUNTUNLOCK;6.2.4删删除用用户使用DROPUSER语句句可以删删除已有有的用户户，执行行该语句句的用户户必须具具有DROPUSER系统统权限。如果用户户当前正正连接到到数据库库中，则则不能删删除这个个用户。要删除除已连接接的用户户，首先先必须使使用ALT

15、ER SYSTEMKILL SESSION语语句终止止他的会会话，然然后再使使用DROPUSER语句句将其删删除。如果要删删除的用用户模式式中包含含有模式式对象，必须在在DROPUSER子句中中指定CASCADE关键字字，否则则Oracle将返回回错误信信息。例例如：利利用下面面的语句句将删除除用户chenjie，并且且同时删删除他所所拥有的的所有表表、索引引等模式式对象：DROP USERchenjieCASCADE;6.3.2创创建角角色6.3.3授授予权权限或角角色6.3.4回回收权权限或角角色6.3.1基基本概概念6.3权权限限和角色色6.3.5激激活和和禁用角角色1权限限2角色色6.

16、3.1基基本概概念1.权限限权限是执行一一种特殊殊类型的的SQL语句或或存取另另一用户户的对象象的权力力。有两两类权限限：系统统权限和和对象权权限。1）系统权限限：是执行行一处特特殊动作作或者在在对象类类型上执执行一种种特殊动动作的权权利。系统权限限可授权权给用户户或角色色，一般般，系统统权限只只授予管管理人员员和应用用开发人人员，终终端用户户不需要要这些相相关功能能。2）对象权限限：在指定定的表、视图、序列、过程、函数或或包上执执行特殊殊动作的的权利。2.角色色为相关权权限的命命名组，可授权权给用户户和角色色。数据据库角色色包含下下列功能能：（1）一一个角色色可授予予系统权权限或对对象权限限

17、。（2）一一个角色色可授权权给其它它角色，但不能能循环授授权。（3）任任何角色色可授权权给任何何数据库库用户。（4）授授权给用用户的每每一角色色可以是是可用的的或者不不可用的的。一个个用户的的安全域域仅包含含当前对对该用户户可用的的全部角角色的权权限。（5）一一个间接接授权角角色对用用户可显显式地使使其可用用或不可可用。在一个数数据库中中，每一一个角色色名必须须唯一。角色名名与用户户不同，角色不不包含在在任何模模式中，所以建建立角色色的用户户被删除除时不影影响该角角色。一般，建建立角色色服务有有两个目目的：为为数据库库应用管管理权限限和为用用户组管管理权限限。相应应的角色色称为应应用角色色和用

18、户户角色。应用角色色是授予予的运行行数据库库应用所所需的全全部权限限。用户角色色是为具具有公开开权限需需求的一一组数据据库用户户而建立立的。用用户权限限管理是是受应用用角色或或权限授授权给用用户角色色所控制制，然后后将用户户角色授授权给相相应的用用户。ORACEL利利用角色色更容易易地进行行权限管管理。有有下列优优点：（1）减减少权限限管理，不要显显式地将将同一权权限组授授权给几几个用户户，只需需将这权权限组授授给角色色，然后后将角色色授权给给每一用用户。（2）动动态权限限管理，如果一一组权限限需要改改变，只只需修改改角色的的权限，所有授授给该角角色的全全部用户户的安全全域将自自动地反反映对角

19、角色所作作的修改改。（3）权权限的选选择可用用性，授授权给用用户的角角色可选选择地使使其可用用或不可可用。（4）应应用可知知性，当当用户经经用户名名执行应应用时，该数据据库应用用可查询询字典，将自动动地选择择使角色色可用或或不可用用。（5）应应用安全全性，角角色使用用可由口口令保护护，应用用可提供供正确的的口令使使用角色色，如不不知其口口令，不不能使用用角色。使用CREATEROLE语句可可以创建建一个新新的角色色，执行行该语句句的用户户必须具具有CREATEROLE系统权权限。在角色刚刚刚创建建时，它它并不具具有任何何权限，这时的的角色是是没有用用处的。因此，在创建建角色之之后，通通常会立立

20、即为它它授予权权限。例例如：利利用下面面的语句句创建了了一个名名为OPT_ROLE的角色色，并且且为它授授予了一一些对象象权限和和系统权权限：CREATEROLEOPT_ROLE;GRANTSELECTONsal_historyTOOPT_ROLE;GRANTINSERT,UPDATE ON mount_entry TO OPT_ROLE;GRANTCREATEVIEWTOOPT_ROLE;6.3.2创创建角角色在创建角角色时必必须为角角色命名名，新建建角色的的名称不不能与任任何数据据库用户户或其他他角色的的名称相相同。与用户类类似，角角色也需需要进行行认证。在执行行CREATE ROLE语语

21、句创建建角色时时，默认认地将使使用NOTIDENTIFIED子句，即在激激活和禁禁用角色色时不需需要进行行认证。如果需需要确保保角色的的安全性性，可以以在创建建角色时时使用IDENTIFIED子句来来设置角角色的认认证方式式。与用用户类似似，角色色也可以以使用两两种方式式进行认认证。使用ALTER ROLE语语句可以以改变角角色的口口令或认认证方式式。例如如：利用用下面的的语句来来修改OPT_ROLE角色色的口令令（假设设角色使使用的是是数据库库认证方方式）：ALTERROLE OPT_ROLE IDENTIFIEDBYaccts*new;1授予予系统权权限2授予予对象权权限6.3.3授授予权

22、权限或角角色3授予予角色1.授予予系统权权限在GRANT关关键字之之后指定定系统权权限的名名称，然然后在TO关键键字之后后指定接接受权限限的用户户名，即即可将系系统权限限授予指指定的用用户。例如：利利用下面面的语句句可以相相关权限限授予用用户chenjie：GRANTCREATEUSER,ALTERUSER,DROPUSERTOchenjieWITH ADMIN OPTION;2授予予对象权权限Oracle对对象权限限指用户在在指定的的表上进进行特殊殊操作的的权利。在GRANT关关键字之之后指定定对象权权限的名名称，然然后在ON关键键字后指指定对象象名称，最后在在TO关关键字之之后指定定接受权

23、权限的用用户名，即可将将指定对对象的对对象权限限授予指指定的用用户。使用一条条GRANT语语句可以以同时授授予用户户多个对对象权限限，各个个权限名名称之间间用逗号号分隔。有三类对对象权限限可以授授予表或或视图中中的字段段，它们们是分别别是INSERT，UPDATE和和REFERENCES对象象权限。例如：利利用下面面的语句句可以将将CUSTOMER表表的SELECT和INSERT，UPDATE对象权权限授予予用户chenqian：GRANTSELECT,INSERT(CUSTOMER_ID,CUSTOMER_name),UPDATE(desc)ONCUSTOMERTOchenqianWITHG

24、RANTOPTION;在授予对对象权限限时，可可以使用用一次关关键字ALL或或ALL PRIVILEGES将将某个对对象的所所有对象象权限全全部授予予指定的的用户。3授予予角色在GRANT关关键字之之后指定定角色的的名称，然后在在TO关关键字之之后指定定用户名名，即可可将角色色授予指指定的用用户。Oracle数数据库系系统预先先定义了了CONNECT、RESOURCE、DBA、 EXP_FULL_DATABASE、IMP_FULL_DATABASE五个角角色。CONNECT具有创创建表、视图、序列等等权限；RESOURCE具具有创建建过程、触发器器、表、序列等等权限、DBA具有全全部系统统权限

25、；EXP_FULL_DATABASE、 IMP_FULL_DATABASE具有卸卸出与装装入数据据库的权权限。通过查询询sys.dba_sys_privs可可以了解解每种角角色拥有有的权利利。例如：利利用下面面的语句句可以将将DBA角色授授予用户户chenjie：GRANTDBATOchenjieWITH GRANT OPTION;在同一条条GRANT语语句中，可以同同时为用用户授予予系统权权限和角角色。如果在为为某个用用户授予予角色时时使用了了WITHADMINOPTION选选项，该该用户将将具有如如下权利利：（1）将将这个角角色授予予其他用用户，使使用或不不使用WITH ADMIN OPT

26、ION选项项。（2）从从任何具具有这个个角色的的用户那那里回收收该角色色。（3）删删除或修修改这个个角色。注意：不能使用用一条GRANT语句句同时为为用户授授予对象象权限和和角色。使用REVOKE语句句可以回回收己经经授予用用户（或或角色）的系统统权限、对象权权限与角角色，执执行回收收权限操操作的用用户同时时必须具具有授予予相同权权限的能能力。例如：利利用下面面的语句句可以回回收已经经授予用用户chenqian的SELECT和UPDATE对对象权限限：REVOKESELECT,UPDATEONCUSTOMERFROM chenqian;利用下面面的语句句可以回回收已经经授予用用户chenjie

27、的的CREATE ANYTABLE系统统权限：REVOKECREATE ANYTABLEFROM chenjie;利用下面面的语句句可以回回收己经经授予用用户chenjie的的OPT_ROLE角角色：REVOKEOPT_ROLEFROMchenjie;6.3.4回回收权权限或角角色在回收对对象权限限时，可可以使用用关键字字ALL或ALLPRIVILEGES将某个个对象的的所有对对象权限限全部回回收。例如：利利用下面面的语句句可以回回收己经经授予用用户chenqian的CUSTOMER表的所所有对象象权限：REVOKEALL ON CUSTOMER FROMchenjie;一个用户户可以同同时被

28、授授予多个个角色，但是并并不是所所有的这这些角色色都同时时起作用用。角色色可以处处于两种种状态：激活状状态或禁禁用状态态，禁用用状态的的角色所所具有权权限并不不生效。当用户连连接到数数据库中中时，只只有他的的默认角角色（Default Role）处于激激活状态态。在ALTERUSER角色中中使用DEFAULT ROLE子子句可以以改变用用户的默默认角色色。例如：如如果要将将用户所所拥有的的一个角角色设置置为默认认角色，可以使使用下面面的语句句：ALTERUSER chenjieDEFAULTROLE connect,OPT_ROLE;6.3.5激激活和和禁用角角色在用户会会话的过过程中，还可以

29、以使用SETROLE语句句来激活活或禁用用他所拥拥有的角角色。用用户所同同时激活活的最大大角色数数目由初初始化参参数ENABLEDROLES决决定（默默认值为为20）。如果果角色在在创建时时使用了了IDENTIFIEDBY子句句，则在在使用SETROLE语句句激活角角色时也也需要在在IDENTIFIEDBY子句句中提供供口令。如果要激激活用户户所拥有有的所有有角色，可以使使用下面面的语句句：SETROLEALL;6.4.2激激活和和禁用资资源限制制6.4.3管管理概概要文件件6.4.1概概要文文件中的的参数6.4概概要要文件1资源源限制参参数2口令令策略参参数6.4.1概概要文文件中的的参数1

30、资源源限制参参数资源参数数的值可可以是一一个整数数，也可可以是UNLIMITED或或DEFAULT即使使用默认认概要文文件中的的参数设设置。大部分资资源限制制都可以以在两个个级别进进行：会会话级或或调用级级。会话话级资源源限制是是对用户户在一个个会话过过程中所所能使用用的资源源进行的的限制，而调用用级资源源限制是是对一条条SQL语句在在执行过过程中所所能使用用的资源源进行的的限制。当会话或或一条SQL语语句占用用的资源源超过概概要文件件中的限限制时，Oracle将中止止并回退退当前的的操作，然后向向用户返返回错误误信息。这时用用户仍然然有机会会提交或或回退当当前的事事务。如如果受到到的是会会话

31、级限限制，在在提交或或回退事事务后用用户会话话被中止止（断开开连接），但是是如果受受到的是是调用级级限制，用户会会话还能能够继续续进行，只是当当前执行行的SQL语句句被终止止。以下为概概要文件件中使用用的各种种资源参参数：SESSIONS_PER_USER：该参数数限制每每个用户户所允许许建立的的最大并并发会话话数目。达到这这个限制制时，用用户不能能再建立立任何数数据库连连接。CPU_PER_SESSION：该参参数限制制每个会会话所能能使用的的CPU时间。CPU_PER_CALL：该参参数限制制每条SQL语语句所能能使用的的CPU时间。LAGICAL_READS_PER_SESSION：该该

32、参数限限制每个个会话所所能读取取的数据据块数目目，包括括从内存存中读取取的数据据块和从从硬盘中中读取的的数据块块。LAGICAL_READS_PER_CALL：该该参数限限制每条条SQL语句所所能读取取的数据据块数目目，包括括从内存存中读取取的数据据块和从从硬盘中中读取的的数据块块。CONNECT_TIME：该参参数限制制每个会会话能连连接到数数据库的的最长时时间。当当连接时时间达到到该参数数的限制制时，.用户会会话将自自动断开开。IDLE_TIME：该参参数限制制每个会会话所允允许的最最大连续续空闲时时间。如如果一个个会话持持续的空空闲时间间达到该该参数的的限制，该会话话将自动动断开。COM

33、POSITE_LIMIT：该参参数用于于设置“组合资资源限制制”。PRIVATE_SGA：在共享享服务器器操作模模式下，执行SQL语语句和PL/SQL语语句时，Oracle将在SGA中中创建私私有SQL区。该参数数限制在在SGA中为每每个会话话所能分分配的最最大私有有SQL区大小小。在专专用服务务器操作作模式下下，该参参数不起起作用。2口令令策略参参数使用概要要文件可可以实现现如下三三种口令令策略：（1）账账户的锁锁定账户锁定定策略是是指用户户在连续续输入多多少次错错误的口口令后，将由Oracle自自动锁定定用户的的账户，并且可可以设置置账户锁锁定的时时间。（2）口口令的过过期时间间口令过期期

34、策略用用于强制制用户定定期修改改自己的的口令。当口令令过期后后，Oracle将随随时提醒醒用户修修改口令令。如果果用户仍仍然不修修改自己己的口令令，Oracle将使使他的口口令失效效。（3）口口令的复复杂度在概要文文件中可可以通过过指定的的函数来来强制用用户的口口令必须须具有一一定的复复杂度。以下为在在概要文文件中使使用的各各种口令令参数：FAILED_LOGIN_ATTEMPTS：该参参数指定定允许的的输入错错误口令令的次数数，超过过该次数数后用户户账户被被自动锁锁定。PASSWORD_LOCK_TIME：该参参数指定定用户账账户由于于口令输输入错误误而被锁锁定后，持续保保持锁定定状态的的时

35、间。PASSWORD_LIFE_TIME：该参参数指定定同一个个用户口口令可以以持续使使用的时时间。如如果在达达到这个个限制之之前用户户还没有有更换另另外一个个口令，他的口口令将失失效。这这时必须须由DBA为他他重新设设置新的的口令。PASSWORD_GRACE_TIME：该该参数指指定用户户口令过过期的时时间。如如果在达达到这个个限制之之前用户户还没有有更换另另外一个个口令，Oracle将对他他提出警警告。在在口令过过期之后后，用户户在达到到PASSWORD_LIFE_TIME参数的的限制之之前有机机会主动动修改口口令。PASSWORD_REUSE_TIME：该该参数指指定用户户在能够够重复

36、使使用一个个口令前前必须经经过的时时间。PASSWORD_REUSE_MAX：该参参数指定定用户在在能够重重复使用用一个口口令之前前必须对对口令进进行修改改的次数数。PASSWORD_REUSE_TIME参参数和PASSWORD_REUSE_MAX参参数只能能设置一一个，而而另一个个参数必必须指定定为UNLIMITED。PASSWORD_VERIFY_FUNCTION：该参参数指定定用于验验证用户户口令复复杂度的的函数。Oracle通过一一个内置置脚本提提供了一一个默认认函数用用于验证证用户口口令的复复杂度，所有指定定时间的的口令参参数都以以天为单单位。修改数据据库的资资源限制制状态有有两种方

37、方式：在数据库库启动之之前，可可以通过过设置初初始化参参数RESOURCE_LIMIT来决定定资源限限制的状状态。如如果RESOURCE LIMIT参数设设置为TRUE，启动动数据库库后资源源限制将将处于激激活状态态；反之之如果RESOURCELIMIT参数数设置为为FALSE，启动数数据库后后资源限限制将处处于禁用用状态。默认情情况下，RESOURCE_LIMIT参参数为FALSE。在数据库库启动之之后（处处于打开开状态），可以以使用ALTERSYSTEM语语句来改改变资源源限制的的状态，执行该该语句的的用户必必须具有有ALTERSYSTEM系统权权限。6.4.2激激活和和禁用资资源限制制例

38、如：利利用下面面的语句句可以将将资源限限制由禁禁用状态态切换到到激活状状态：ALTERSYSTEMSET RESOURCE_LIMIT=TRUE;如果在数数据库中中使用了了服务器器端初始始化参数数文件（SPFILE），在在使用ALTERSYSTEM语语句改变变资源限限制的状状态时，可以选选择在初初始化参参数文件件中修改改记录（默认的的ALTERSYSTEM语句将将使用SCOPE=BOTH子句），这样样在下一一次启动动数据库库时修改改仍然有有效。1创建建概要文文件2修改改概要文文件6.4.3管管理概概要文件件3删除除概要文文件4指定定概要文文件5设置置组合资资源限制制1创建建概要文文件使用CRE

39、ATEPROFILE语句可可以创建建概要文文件，执执行该语语句的用用户必须须具有CREATEPROFILE系统统权限。DBA可可以根据据需要使使用下面面的语句句来修改改DEFAULT概要要文件中中的参数数设置：ALTERPROFILE DEFAULTLIMIT.;要修改DEFAULT概要文文件，用用户必须须具有ALTERPROFILE系统权权限。任任何用户户都不能能删除DEFAULT概要文文件。2修改改概要文文件概要文件件在创建建之后，可以使使用ALTER PROFILE语语句来修修改其中中的资源源参数和和口令参参数，执执行该语语句的用用户必须须具有ALTERPROFILE系统权权限。例如：利

40、利用下面面的语句句对概要要文件ACCOUNTING_USER进进行修改改：ALTERPROFILE ACCOUNTINGUSERLIMITCPU_PER_CALLDEFAULTLOGICAL_READS_PER_SESSION 2000000;3删除除概要文文件使用DROPPROFILE语句句可以删删除概要要文件，执行该该语句的的用户必必须具有有DROPPROFILE系统权权限。如如果要删删除的概概要文件件已经指指定给了了用户，则必须须在DROPPROFILE语句句中使用用CASCADE关键键字。例如：利利用下面面的语句句可以删删除ACCOUNTING_USER概要要文件：DROP PROFI

41、LEACCOUNTING_USER CASCADE;如果为用用户所指指定的概概要文件件己经被被删除，Oracle将自动动为用户户重新指指定DEFAULT概概要文件件。4指定定概要文文件在使用CREATEUSER语句句创建用用户时，可以通通过PROFILE子子句为新新建用户户指定概概要文件件。另外外，在使使用ALTER USER语语句修改改用户时时也可以以为他指指定概要要文件。例如：利利用下面面的语句句可以将将概要文文件ACCOUNTINGUSER指定定给用户户JACK：ALTERUSER JACKPROFILE ACCOUNTING_USER;5设置置组合资资源限制制在创建概概要文件件时通过过COMPOSITE LIMIT子句来来指定资资源总限限额。例如：利利用下面面的语句句创建的的概要文文件中将将资源总总限额设设置为20000：CREATEPROFILEclerkLIMITCOMPOSITE_LIMIT20000SESSIONS_PER_