12、概要件和数据库审计.docVIP

概要文件和数据库审计 【学习目标】 本章内容介绍了Oracle数据库概要文件和Oracle数据库审计的概念，通过概要文件可以进行口令管理和对用户资源进行限制。通过对数据库的审计可以监视和记录用户对数据库所作的操作，可以更好地保证数据库的安全以及数据库的高效运行。 【本章要点】 使用概要文件管理口令 使用概要文件进行资源限制 进行语句审计、权限审计和对象审计 【关键术语】 Profiles 概要文件 Password limits 口令限制 Resource limits 资源限制 Default profile 默认概要文件 Password expiration 口令失效 Password verification 口令验证 Password grace time 口令失效宽限时间 Audit 审计 Statement audit 语句审计 Privilege audit 权限审计 Object audit 对象审计 Audit trail 审计跟踪 概要文件管理 概要文件的作用 概要文件是口令限制和资源限制的命名集合，是Oracle安全策略的重要组成部分，利用概要文件可以对数据库用户进行口令管理和资源限制。例如使用概要文可以指定口令有效期、口令校验函数、用户连接时间以及最大空闲时间等。概要文件具有以下一些作用： 限制用户执行消耗资源过度的SQL操作。 自动断开空闲会话。 在大而复杂的多用户数据库系统中合理分配资源。 控制用户口令的使用。 在建立数据库时，Oracle会自动建立名称为DEFAULT的默认概要文件，初始的DEFAULT概要文件的所有口令及资源限制选项值均为UNLIMITED，即未进行任何口令及资源限制。当建立用户时，如果不指定概要文件，则Oracle会将DEFAULT概要文件分配给该用户。根据用户所承担任务的不同，DBA应该建立不同的概要文件，并将概要文件分配给相应用户。一个用户只能分配一个概要文件，一个概要文件可以同时包含口令限制和资源限制。 概要文件内容 概要文件内容包括口令和资源的限制，下面分别介绍这两部分的有关参数。 口令策略参数 口令策略参数可以实现帐户锁定、口令的过期以及口令的复杂度等策略，在概要文件中的口令参数可以有以下几个： FAILED_LOGIN_ATTEMPTS：该参数指定允许的输入错误口令的次数，超过该次数后用户帐户被自动锁定。 PASSWORD_LOCK_TIME：用于指定指定账户被锁定的天数(单位：天)。 PASSWORD_LIFE_TIME：指定口令的有效期(单位：天)。如果在达到有效期前用户还没有更换口令，它的口令将失效，这时必须由DBA为它重新设置新的口令。 PASSWORD_GRACE_TIME：用于指定口令失效的宽限期(单位：天)。 PASSWORD_REUSE_TIME：指定能够重复使用一个口令前必须经过的时间(单位：天)。 PASSWORD_REUSE_MAX：用于指定在重复使用口令之前必须对口令进行修改的次数。PASSWORD_REUSE_TIME和PASSWORD_REUSE_MAX两个参数只能设置一个，另一个必须为UNLIMITED。 PASSWORD_VERIFY_FUNCTION：指定验证口令复杂度的函数。Oracle提供了一个默认的口令校验函数，这可以通过运行脚本utlpwdmg.sql来建立该函数，脚本保存在ORACLE_HOME\rdbms\admin目录中。DBA也可以通过修改脚本来实现自己的口令校验函数。 2．资源限制参数 利用概要文件，可以对以下系统资源进行限制。 CPU时间 逻辑读 用户的并发会话数 空闲时间 连接时间 私有SGA区 对这些资源的限制是通过在概要文件中设置参数来实现的，参数的值可以是一个整数，也可以是UNLIMITED（即不受限制），还可以是DEFAULT（使用DEFAULT概要文件中的参数设置）。下面分别介绍有关参数： CPU_PER_SESSION：限制每个会话所能使用的CPU时间。参数值是一个整数，单位是百分之一秒。 SESSIONS_PER_USER：限制每个用户所允许建立的最大并发会话数。 CONNECT_TIME：限制每个会话能连接到数据库的最长时间，超过这个时间会话将自动断开。参数值是一个整数，单位是分钟。 IDLE_TIME：限制每个会话所允许的最长连续空闲时间，超过这个时间会话将自动断开。参数值是一个整数，单位是分钟。 LOGICAL_READS_PER _SESSION：限制每个会话所能读取的数据块数目。 PRIVATE_SGA：每个会话分配的私有SGA区大小（以字节为单位）。该参