【正文】 Transaction類型用戶分配的角色命名規(guī)則：R_X_T注：X為長度為48個字符的業(yè)務(wù)功能簡稱。Monitor類型用戶分配的角色命名規(guī)則：注：應(yīng)按照第三方廠商提供的方式命名。其他類型用戶分配的角色命名規(guī)則：R_XXX_SQL。注：XXX為長度為三個字符的業(yè)務(wù)功能簡稱。. 用戶安全實(shí)現(xiàn)Oracle數(shù)據(jù)庫是通過“特權(quán)”（Privilege）這個概念來實(shí)現(xiàn)數(shù)據(jù)安全的。所謂特權(quán)指用一種指定的方式訪問數(shù)據(jù)庫數(shù)據(jù)對象的一個許可，如查詢一個數(shù)據(jù)表的許可等。這個特權(quán)能夠被授予某個實(shí)體，因此這個授予實(shí)體特權(quán)（privilege）的過程，稱之為“授權(quán)”（Grant）。涉及Oracle數(shù)據(jù)庫系統(tǒng)安全的實(shí)體有兩個，分別是系統(tǒng)特權(quán)（System Privileges）和對象特權(quán)（Object Privileges）。系統(tǒng)特權(quán)系統(tǒng)特權(quán)是指登錄到ORACLE數(shù)據(jù)庫系統(tǒng)的用戶，執(zhí)行數(shù)據(jù)庫系統(tǒng)級別的某種操作或者是某一數(shù)據(jù)庫對象的創(chuàng)建、修改、刪除。在ORACLE數(shù)據(jù)庫系統(tǒng)中有一系列的系統(tǒng)內(nèi)置預(yù)定義特權(quán)，系統(tǒng)用這些特權(quán)去控制數(shù)據(jù)的安全。不得授予普通用戶額外的全局權(quán)限，如select any/delete any/execute any等，應(yīng)用有特殊需求的除外。對象特權(quán)對象特權(quán)是指登錄到ORACLE數(shù)據(jù)庫系統(tǒng)的用戶，有權(quán)執(zhí)行數(shù)據(jù)庫對象級別的某種操作。例如表的INSERT，DELETE，UPDATE操作等。同樣，在ORACLE數(shù)據(jù)庫系統(tǒng)中有一系列的對象內(nèi)置預(yù)定義特權(quán)，系統(tǒng)用這些特權(quán)去控制數(shù)據(jù)的安全。由于ORACLE數(shù)據(jù)庫系統(tǒng)業(yè)務(wù)處理的復(fù)雜性，對ORACLE數(shù)據(jù)庫的系統(tǒng)特權(quán)和對象特權(quán)的分配也就變得十分復(fù)雜。因此，為了方便管理系統(tǒng)特權(quán)和對象特權(quán)，需要引入角色這個基本概念。所謂角色是指系統(tǒng)特權(quán)和對象特權(quán)的集合。通過對角色的管理，使得ORACLE數(shù)據(jù)庫的系統(tǒng)特權(quán)和對象特權(quán)管理變得更加方便和容易?；诮巧陌踩芾碇饕幸韵聨c(diǎn)優(yōu)勢：減少授權(quán)工作量：可以通過授權(quán)給與一組用戶相關(guān)聯(lián)的角色，再由該角色授權(quán)給該用戶組的成員用戶。動態(tài)特權(quán)管理：如果授權(quán)給某個用戶的特權(quán)需要改變，只須修改相關(guān)角色的授權(quán)，那么與這個角色相關(guān)的用戶的特權(quán)會自動改變，不須修改授權(quán)給用戶特權(quán)。設(shè)置特權(quán)的可用性：當(dāng)某個被授予用戶的角色，需要取消，只須對相應(yīng)的角色設(shè)置禁用（DISABLED）。因此，在任何特定的情況下，都可對用戶的授權(quán)進(jìn)行必要的控制。應(yīng)用程序級的設(shè)置可用性：前臺應(yīng)用程序在試圖以某個數(shù)據(jù)庫用戶的身份與后臺數(shù)據(jù)庫相連接時，可以對角色設(shè)置可用性。這種做法可以把非應(yīng)用程序例如SQL*PLUS或第三方的數(shù)據(jù)庫操作工具等，屏蔽在數(shù)據(jù)庫系統(tǒng)之外，以保證數(shù)據(jù)庫的安全。角色可以根據(jù)業(yè)務(wù)的需求自由定義，系統(tǒng)特權(quán)和對象特權(quán)可以授權(quán)給角色，角色也可授權(quán)給另外的角色，角色也可授權(quán)給用戶?；谏厦婷枋龅慕巧踩芾淼膬?yōu)點(diǎn)和特點(diǎn)，ORACLE數(shù)據(jù)庫系統(tǒng)選擇角色來實(shí)施數(shù)據(jù)庫用戶的授權(quán)管理，并根據(jù)ORACLE的業(yè)務(wù)需求從不同的角度實(shí)現(xiàn)業(yè)務(wù)的權(quán)限分配。根據(jù)需求，設(shè)置不同級別的角色，某一級別體現(xiàn)對某一項(xiàng)業(yè)務(wù)的特權(quán)。各角色級別之間或是子集關(guān)系，或是交集關(guān)系；同一級別的角色之間，或是交集，或是互為獨(dú)立集合的關(guān)系。隨著對業(yè)務(wù)需求的增加或變化，不斷增加、完善訪問控制的粒度，并堅(jiān)持最小化特權(quán)原則。如下圖：通過存儲過程管理特權(quán)（stored procedures）使用存儲過程（stored procedures）來限制數(shù)據(jù)庫的操作，客戶端用戶只需有權(quán)執(zhí)行存儲過程，并通過存儲過程來實(shí)現(xiàn)對數(shù)據(jù)庫表的訪問。因而就屏蔽了用戶直接對數(shù)據(jù)庫表的操作。通過視圖（VIEWS）管理特權(quán)通過視圖（VIEWS）來控制ORACLE數(shù)據(jù)庫系統(tǒng)的安全。即只分配給用戶查詢視圖的特權(quán)，而對基表（定義視圖的相關(guān)的數(shù)據(jù)表）則進(jìn)行屏蔽，禁止對數(shù)據(jù)表的直接操作。視圖可以實(shí)現(xiàn)以下兩種安全級別：使用視圖可以限制對數(shù)據(jù)表中的特定的列的訪問。使用視圖可以限制對數(shù)據(jù)表中的特定的行的訪問。如：對于某一基表，要求只顯示部分行，則可通過創(chuàng)建實(shí)體的WHERE子句來控制行的顯示。. 用戶類型及角色命名規(guī)范可以用SQL語句GRANT來授予系統(tǒng)權(quán)限和角色給其它角色和用戶。有GRANT ANY ROLE系統(tǒng)權(quán)限的任何用戶可以授予數(shù)據(jù)庫里的任何角色。下面的語句授予系統(tǒng)權(quán)限CREATE SESSION和角色ACCTS_PAY給用戶JWARD:SQLGRANT CREATE SESSION, ACCTS_PAY TO JWARD。注意：對象權(quán)限不能跟系統(tǒng)權(quán)限和角色在同一句GRANT語句里授予。 當(dāng)一個用戶創(chuàng)建一個角色，會把自動這個角色帶關(guān)鍵字ADMIN OPTION地授予給它的創(chuàng)建者。一個帶有關(guān)鍵字ADMIN OPTION的被授予者有幾項(xiàng)擴(kuò)展性能：被授予者可以對數(shù)據(jù)庫的其它用戶或角色進(jìn)行授予或撤銷系統(tǒng)權(quán)限或角色的操作。（用戶不可以撤銷它本身的角色。）被授予者可以進(jìn)一步授予有關(guān)鍵字ADMIN OPTION系統(tǒng)或角色。擁有一個角色的被授予者可以改變或卸載這個角色。在下面的語句中，安全管理員把NEW_DBA角色授予給MICHAEL：SQLGRANT NEW_DBA TO MICHAEL WITH ADMIN OPTION。用戶MICHAEL不但可以使用隱含在角色NEW_DBA里的所有權(quán)限，當(dāng)有需要時還可以授予，撤銷或卸載NEW_DBA角色。只有在對安全管理員進(jìn)行相關(guān)權(quán)限和角色授予時，才允許帶有關(guān)鍵字ADMIN OPTION。同樣可以使用GRANT語句來授予對象權(quán)限給角色和用戶。要授予對象權(quán)限，必須要具備下面任意一個條件：l 擁有被授予的對象l 被授予過有關(guān)鍵字GRANT OPTION的對象權(quán)限。注意：系統(tǒng)權(quán)限和角色不能和對象權(quán)限在同一句GRANT語句中授予。下面的語句授予了對應(yīng)EMP表所有列的SELECT，INSERT和DELETE的對象權(quán)限給用戶JFEE和TSMITH：SQLGRANT SELECT, INSERT, DELETE ON EMP TO JFEE, TSMITH。要授予只對應(yīng)EMP表的ENAME列和JOB列的INSERT的對象權(quán)限給用戶JFEE和TSMITH，聲明下面的句子：SQLGRANT INSERT (ENAME, JOB) ON EMP TO JFEE, TSMITH。要把對應(yīng)于SALARY視圖的所有對象權(quán)限給用戶JFEE，要使用ALL關(guān)鍵字，例子如下所示：SQLGRANT ALL ON SALARY TO JFEE。擁有對象的用戶會自動授予所有相關(guān)的有關(guān)鍵字GRANT OPTION的對象權(quán)限。這幾個權(quán)限讓被授予者有以下幾個擴(kuò)展權(quán)限：被授予者可以授予有或沒有關(guān)鍵字GRANT OPTION的對象權(quán)限給數(shù)據(jù)庫里的任何用戶或者任何角色。如果在帶有關(guān)鍵字GRANT OPTION情況下授予，被授予者得到一個表的對象權(quán)限，并且被授予者有CREATE VIEW 或 CREATE ANY VIEW的系統(tǒng)權(quán)限，那么被授予者就可以在這個表上建視圖和把這個視圖相應(yīng)的權(quán)限授予給數(shù)據(jù)庫的任何用戶或角色。當(dāng)把一個對象權(quán)限授予給一個角色時，關(guān)鍵字GRANT OPTION是不起作用的。Oracle防止通過角色來傳播對象權(quán)限，因此有某角色的被授予者不能通過角色來傳播擁有的對象權(quán)限?？梢允谟鑼?yīng)于表里單獨(dú)一列的INSERT，UPDATE或REFERENCES的權(quán)限。在授予對應(yīng)列的INSERT權(quán)限之前，觀察這個表是否有許多定義了NOT NULL約束的列，如果是就終止授予。選擇性的把插入特性授予給那些沒有NOT NULL特性的列，防止了用戶插入任何列到表里。要避免這種情形，就要確定每一個NOT NULL的列既可以插入又有非空的默認(rèn)值。否則，被授予者插入記錄就會不成功并出現(xiàn)錯誤。把ACCOUNTS表的ACCT_NO列的INSERT權(quán)限授予給用戶SCOTT：SQLGRANT INSERT (ACCT_NO) ON ACCOUNTS TO SCOTT。除了sys、system、rman用戶，其他oracle默認(rèn)用戶都應(yīng)該置為expire或lock狀態(tài)，除非有特殊需求。數(shù)據(jù)庫所有活動狀態(tài)用戶的密碼不得設(shè)置為已知的默認(rèn)密碼（如：sys用戶密碼也不能設(shè)置為manager）；數(shù)據(jù)庫用戶的密碼應(yīng)該定期修改。. 數(shù)據(jù)庫分區(qū). 數(shù)據(jù)庫分區(qū)介紹分區(qū)技術(shù)是為解決數(shù)據(jù)庫中巨大的表或索引讀寫速度過慢而提出的解決方案。分區(qū)技術(shù)是利用物理上和邏輯上對數(shù)據(jù)進(jìn)行分割來提高處理速度的。同時，合理的分區(qū)也提高了數(shù)據(jù)庫數(shù)據(jù)的可管理性。Partition表和索引考慮使用分區(qū)的條件：數(shù)據(jù)損壞的故障隔離；支持在線增加、刪除；特定分區(qū)上的批處理；按分區(qū)備份；維護(hù)時可訪問正常分區(qū)；恢復(fù)最關(guān)鍵的數(shù)據(jù)分區(qū)。. 邏輯分割根據(jù)分區(qū)策略，一張表的數(shù)據(jù)可以邏輯上分布于多個分區(qū)、子分區(qū)中，對數(shù)據(jù)的查詢?nèi)绻梅謪^(qū)策略就可以縮小訪問的范圍，在一定量級上提高查詢速度。同樣，對于索引分區(qū)也是一樣的，從邏輯上分割表，縮小處理中的范圍，能夠極大地提高Oracle本身的處理速度。. 物理分割對于邏輯分割后的分區(qū)，可以通過策略分布到不同的表空間中，從而分布到不同的數(shù)據(jù)文件中，而數(shù)據(jù)文件又可以分配到不同的存儲介質(zhì)空間中，這樣就可以充分利用操作系統(tǒng)的并行訪問，同時也利用存儲介質(zhì)的并行訪問，極大地同時提高寫入和讀取速度。同樣，對于索引分區(qū)也是一樣的機(jī)制。. 數(shù)據(jù)分區(qū)的優(yōu)點(diǎn)分區(qū)允許數(shù)據(jù)庫管理員進(jìn)行數(shù)據(jù)管理操作：數(shù)據(jù)裝載，索引的創(chuàng)建和重建，在分區(qū)級別的備份與恢復(fù)。因此可節(jié)省數(shù)據(jù)庫管理員大量的操作時間。分區(qū)可大幅度減少因維護(hù)引起的宕機(jī)時間。分區(qū)的獨(dú)立性使數(shù)據(jù)庫管理員對同一表或索引的各個分區(qū)進(jìn)行并發(fā)的維護(hù)管理操作；也可對分區(qū)表并行的執(zhí)行SELECT 和DML操作。分區(qū)可增加數(shù)據(jù)庫的可用性。減少維護(hù)窗口，恢復(fù)次數(shù)以及系統(tǒng)失效的影響。分區(qū)不要求修改任何應(yīng)用程序。如，數(shù)據(jù)庫管理員可把非分區(qū)表轉(zhuǎn)換為分區(qū)表，而不必修改或重寫SELECT 語句或DML語句。同時也不必重寫前端的應(yīng)用程序代碼。. 數(shù)據(jù)分區(qū)的不足數(shù)據(jù)分區(qū)帶來了數(shù)據(jù)庫創(chuàng)建方面的復(fù)雜度。即維護(hù)操作原來是面向一個表或索引對象，現(xiàn)在則要面向幾十至上百個分區(qū)。但后臺工作復(fù)雜度的加大換來了前臺數(shù)據(jù)操作的效率提高，也是值得的。. Oracle分區(qū)技術(shù)范圍分區(qū)范圍分區(qū)是對某個可度量的字段在可以預(yù)見的范圍內(nèi)進(jìn)行劃分的分區(qū)方式，例如：日期字段。枚舉值分區(qū)枚舉值分區(qū)是對某個可列舉確定值的字段按照不同值進(jìn)行劃分的分區(qū)方式，例如：區(qū)縣代碼字段。散列分區(qū)散列分區(qū)是對某個離散性很大的字段按照根據(jù)散列算法計(jì)算出的散列值進(jìn)行分區(qū)，例如：證件號碼。組合范圍散列分區(qū)組合范圍枚舉值分區(qū)是按照范圍做主分區(qū)，在主分區(qū)的基礎(chǔ)上再次進(jìn)行按照枚舉值分區(qū)的組合分區(qū)。例如：日期區(qū)縣。組合枚舉散列分區(qū)組合范圍散列分區(qū)是按照范圍做主分區(qū)，在主分區(qū)的基礎(chǔ)上再次進(jìn)行按照散列分區(qū)的組合分區(qū)。例如：日期證件號碼。. 分區(qū)使用建議如果數(shù)據(jù)按照某個（某些）值分區(qū)，那么range分區(qū)就最合適，比如按照“銷售定額”、“財(cái)務(wù)年度”、“月份”等等，在這種情況下，range分區(qū)可以利用分區(qū)消除，這包括應(yīng)用中使用“＝”、“”、“”等作為條件。如果不能找到其他合適的自然條件進(jìn)行分區(qū)，那么HASH 分區(qū)就比較合適，這里建議選擇唯一列或者幾乎唯一的列作為分區(qū)鍵值。這種情況下，分區(qū)數(shù)據(jù)是均勻的，使用分區(qū)鍵值“＝”或者in(value1,value2…)時，hash分區(qū)可以利用分區(qū)消除，但是使用其他條件時，hash無法利用分區(qū)消除。如果分區(qū)后，每個分區(qū)的數(shù)據(jù)量還是很大，建議使用組合分區(qū)，例如，首先按照自然條件做range分區(qū)，之后，對分區(qū)再進(jìn)行分區(qū)。. 分區(qū)索引全局索引(GLOBAL index )指向任何一個分區(qū)中的記錄索引可以被分區(qū)或不分區(qū)表可以被分區(qū)或不分區(qū)分區(qū)鍵值可以是有前綴后沒有前綴本地索引(LOCAL index) 每個本地索引分區(qū)只包含本分區(qū)的記錄二種類型的本地索引前綴(prefixed )：唯一或非唯一列，可有效的使用分區(qū)消除，適于索引并行查詢，適用于OLTP非前綴(nonprefixed)：適合于索引并行查詢，可有效的使用分區(qū)消除，唯一索引受限，適用于DSS分區(qū)鍵值可以與索引鍵值不同本地分區(qū)索引：每個表分區(qū)都有一個索引分區(qū)，而且只索引該表分區(qū)的數(shù)據(jù)。一個給定索引分區(qū)中的所有條目都指向一個表分區(qū)，表分區(qū)中的所有行都表示在一個索引分區(qū)中。優(yōu)點(diǎn): 容易維護(hù)。 適合并行索引掃描缺點(diǎn): 對少量記錄查詢相對效率不高 全局非分區(qū)索引：一個索引可以指向多個分區(qū)的數(shù)據(jù)優(yōu)點(diǎn): 對單個或少量記錄的訪問比較有效缺點(diǎn): 管理維護(hù)上有額外成本全局分區(qū)索引：索引有獨(dú)立的分區(qū)鍵值，每個索引分區(qū)可能指向多個不同的表分區(qū)數(shù)據(jù)優(yōu)點(diǎn): 可用性和管理性缺點(diǎn): 對新數(shù)據(jù)的導(dǎo)入不會太有效. 數(shù)據(jù)庫實(shí)例配置對于Oracle各個版本的參數(shù)優(yōu)化，隨版本的區(qū)別而有所不同。但萬變不離其宗，大部分的參數(shù)設(shè)置原理是相同的，其優(yōu)化原則也一致。數(shù)據(jù)庫字符集的確定非常重要，如果選擇不當(dāng)，會給業(yè)務(wù)數(shù)據(jù)的保存帶來麻煩。如在現(xiàn)實(shí)中，有的漢字保存到數(shù)據(jù)庫時發(fā)生亂碼，從而使客戶的信息不能正常保存和顯示。數(shù)據(jù)庫字符集在系統(tǒng)設(shè)計(jì)開發(fā)階段就應(yīng)當(dāng)確定。在數(shù)據(jù)庫系統(tǒng)上線后，再更改數(shù)據(jù)庫字符集，代價(jià)會非常大。因?yàn)椴煌淖址O(shè)置之間，存在轉(zhuǎn)換操作，如果不兼容，只能逐條轉(zhuǎn)換。一般選擇原則是要適中，滿足當(dāng)前和未來業(yè)務(wù)數(shù)據(jù)的保存。既不要選擇太大，也不要過小?，F(xiàn)有支持漢字的字符集包括 ：ZHS16CGB231280：此字符集較小，不建議使用ZHS16GBK：此字符包含了大部需要的漢字字符，由于目前已經(jīng)有了新的國標(biāo)GB18030－2005，而GB18030不是GBK的嚴(yán)格超集，部分字符編碼有改動，如果要升級到