Oracle第10章安全管理.pptVIP

查询角色CONNECT所具有的系统权限信息。 SELECT * FROM ROLE_SYS_PRIVS WHERE ROLE=CONNECT; 查询DBA角色被授予的角色信息。 SELECT * FROM ROLE_ROLE_PRIVS WHERE ROLE=DBA; 第六十二页，共一百零二页。 10.5概要文件管理 概要文件概述 概要文件中参数介绍 概要文件的管理 第六十三页，共一百零二页。 10.5.1 概要文件概述 概要文件的作用 资源限制级别和类型 启用或停用资源限制 第六十四页，共一百零二页。 （1）概要文件的作用 概要文件（PROFILE）是数据库和系统资源限制的集合，是Oracle数据库安全策略的重要组成部分。 利用概要文件，可以限制用户对数据库和系统资源的使用，同时还可以对用户口令进行管理。。 在Oracle数据库创建的同时，系统会创建一个名为DEFAULT的默认概要文件。如果没有为用户显式地指定一个概要文件，系统默认将DEFAULT概要文件作为用户的概要文件。 第六十五页，共一百零二页。 （2）资源限制级别和类型 资源限制级别 会话级资源限制：对用户在一个会话过程中所能使用的资源进行限制。 调用级资源限制：对一条SQL语句在执行过程中所能使用的资源进行限制。 资源限制类型 ?CPU使用时间； 逻辑读； 每个用户的并发会话数； 用户连接数据库的空闲时间； 用户连接数据库的时间； 私有SQL区和PL/SQL区的使用。 第六十六页，共一百零二页。 （3）启用或停用资源限制 在数据库启动前启用或停用资源限制 将数据库初始化参数文件中的参数RESOURCE_LIMIT的值设置为TRUE或FALSE（默认），来启用或停用系统资源限制。 在数据库启动后启用或停用资源限制 使用ALTER SYSTEM语句修改RESOURCE_LIMIT的参数值为TRUE或FALSE，来启动或关闭系统资源限制。 ALTER SYSTEM SET RESOURCE_LIMIT=TRUE; 第六十七页，共一百零二页。 10.5.2 概要文件中参数 资源限制参数 口令管理参数 第六十八页，共一百零二页。 （1）资源限制参数 CPU_PER_SESSION：限制用户在一次会话期间可以占用的CPU 时间总量，单位为百分之一秒。当达到该时间限制后，用户就不能在会话中执行任何操作了，必须断开连接，然后重新建立连接。 CPU_PER_CALL：限制每个调用可以占用的CPU 时间总量，单位为百分之一秒。当一个SQL语句执行时间达到该限制后，该语句以错误信息结束。 CONNECT_TIME：限制每个会话可持续的最大时间值，单位为分钟。当数据库连接持续时间超出该设置时，连接被断开。 第六十九页，共一百零二页。 IDLE_TIME：限制每个会话处于连续空闲状态的最大时间值，单位为分钟。当会话空闲时间超过该设置时，连接被断开。 SESSIONS_PER_USER：限制一个用户打开数据库会话的最大数量。 LOGICAL_READS_PER_SESSION：允许一个会话读取数据块的最大数量，包括从内存中读取的数据块和从磁盘中读取的数据块的总和。 LOGICAL_READS_PER_CALL：允许一个调用读取的数据块的最大数量，包括从内存中读取的数据块和从磁盘中读取的数据块的总和。 第七十页，共一百零二页。 PRIVATE_SGA：在共享服务器操作模式中，执行SQL语句或PL/SQL程序时，Oracle将在SGA中创建私有SQL区。该参数限制在SGA中一个会话可分配私有SQL区的最大值。 COMPOSITE_LIMIT：称为“综合资源限制”，是一个用户会话可以消耗的资源总限额。该参数由CPU_PER_SESSION，LOGICAL_READS_PER_SESSION，PRIVATE_SGA，CONNECT_ TIME几个参数综合决定。 第七十一页，共一百零二页。 （2）口令管理参数 FAILED_LOGIN_ATTEMPTS：限制用户在登录Oracle数据库时允许失败的次数。一个用户尝试登录数据库的次数达到该值时，该用户的账户将被锁定，只有解锁后才可以继续使用。 PASSWORD_LOCK_TIME：设定当用户登录失败后，用户账户被锁定的时间长度。 PASSWORD_LIFE_TIME：设置用户口令的有效天数。达到限制的天数后，该口令将过期，需要设置新口令。 第七十二页，共一百零二页。 系统权限授予时需要注意的几点： 只有DBA才应当拥有ALTER DATABASE 系统权限。 应用程序开发者一般需要拥有CREATE TABLE、CREATE VIEW和CREATE INDEX等系统权限。 普通用户一般只具有CRE