[合同协议]16系统安全管理3.pptVIP

Oracle数据库安全性控制（续） 主要内容 用户管理 权限管理 角色管理 概要文件管理 数据库审计 角色 概要文件管理 概要文件：资源文件、配置文件 用来限制由用户使用的系统和数据库资源，并管理口令限制。 如果数据库中没有创建概要文件，将使用默认的概要文件（default）。 Default文件中的各参数初值为unlimited。 自定义配置文件中没有指定参数值的参数取default中相应的参数值。 概要文件管理 Default概要文件不是os文件，是sys用户的几个表（profile、profname、resource_map、resource_cost表等） 由sql.bsq脚本自动创建（%oracle_home%\RDBMS\ADMIN） 概要文件管理—资源限制参数 口令资源参数 FAILED_LOGON_ATTEMPTS 允许的最大失败登录次数 PASSWORD_LOCK_TIME 口令锁定天数 PASSWORD_LIFE_TIME 口令有效期 PASSWORD_GRACE_TIME 宽限天数 PASSWORD_REUSE_MAX 口令重用前需更改的次数 PASSWORD_REUSE_TIME 口令被重用前的最小天数 PASSWORD_VERIFY_FUNCTION 口令校验函数 内核资源参数 CPU_PER_SESSION 每个会话可以占用的cpu时间总量 CPU_PER_CALL 每次调用占用的cpu时间 CONNECT_TIME 指定会话的最大连接时间 IDLE_TIME 空闲时间 SESSIONS_PER_USER 并发打开的会话数量 LOGICAL_READS_PER_SESSION 每个会话读取的块数 LOGICAL_READS_PER_CALL 每个调用读取的块数 PRIVATE_SGA 专用SGA COMPOSITE_LIMIT 资源总限额 概要文件管理—资源限制的激活 口令资源参数 总是被激活、可用的和生效的 内核资源参数 必须修改初始化参数resource_limit为true 概要文件管理—创建 创建语法： 概要文件管理—更改 更改语法： 对概要文件的任何更改都不影响当前会话。 概要文件管理—分配、删除 分配方法： 创建用户时利用profile语句将概要文件分配给用户 创建用户后，用alter user指定概要文件 概要文件删除 已分配概要文件的删除需要加cascade 删除不影响当前的会话 概要文件管理—查看信息 相关数据字典 DBA_PROFILES DBA_USERS USER_PASSWORD_LIMITS USER_RESOURCE_LIMITS RESOURCE_COST 主要内容 用户管理 权限管理 角色管理 概要文件管理 数据库审计 数据库审计 审计是监视和记录所选用户的数据活动，用于调查可疑活动和监视与收集特定数据库活动的数据。 审计记录包括被审计的操作、执行操作的用户、操作的时间等信息。 管理员可以启用和禁用审计信息记录。当在数据库中启用审计时，在语句执行阶段生成审计记录。 数据库审计—激活与级别 审计的激活: 修改初始化参数AUDIT_TRAIL DB或TRUE ：激活，记录保存在sys.aud$表中 OS： 激活，记录保存在OS文件中 FALSE或NONE：禁止审计 审计的级别 语句审计 权限审计 对象审计 数据库审计—设置命令 Whenever successful/ whenever not successful 语句是否成功决定审计与否 By session（默认选项） By 用户名：审计某个用户的操作 By access：每次执行语句都生成一条审计记录 数据库审计—语句审计 审计某种类型的SQL语句或语句选项 语法格式： AUDIT 语句选项名[，语句选项名|ALL] [BY user,…n] [BY {SESSION∣ACCESS}] [WHENEVER [NOT] SUCCESSFUL] 语句审计不影响当前会话 数据库审计—权限审计 审计与系统权限相关的SQL语句 语法格式： AUDIT 权限名|角色名[，角色名|ALL privilege] [BY 用户名,…n] [BY {SESSION∣ACCESS}] [WHENEVER [NOT] SUCCESSFUL] 权