【正文】 n類(lèi)型用戶分配的角色命名規(guī)則：R_X_T注：X為長(zhǎng)度為48個(gè)字符的業(yè)務(wù)功能簡(jiǎn)稱(chēng)。Monitor類(lèi)型用戶分配的角色命名規(guī)則：注：應(yīng)按照第三方廠商提供的方式命名。其他類(lèi)型用戶分配的角色命名規(guī)則：R_XXX_SQL。注：XXX為長(zhǎng)度為三個(gè)字符的業(yè)務(wù)功能簡(jiǎn)稱(chēng)。. 用戶安全實(shí)現(xiàn)Oracle數(shù)據(jù)庫(kù)是通過(guò)“特權(quán)”（Privilege）這個(gè)概念來(lái)實(shí)現(xiàn)數(shù)據(jù)安全的。所謂特權(quán)指用一種指定的方式訪問(wèn)數(shù)據(jù)庫(kù)數(shù)據(jù)對(duì)象的一個(gè)許可，如查詢(xún)一個(gè)數(shù)據(jù)表的許可等。這個(gè)特權(quán)能夠被授予某個(gè)實(shí)體，因此這個(gè)授予實(shí)體特權(quán)（privilege）的過(guò)程，稱(chēng)之為“授權(quán)”（Grant）。涉及Oracle數(shù)據(jù)庫(kù)系統(tǒng)安全的實(shí)體有兩個(gè)，分別是系統(tǒng)特權(quán)（System Privileges）和對(duì)象特權(quán)（Object Privileges）。系統(tǒng)特權(quán)系統(tǒng)特權(quán)是指登錄到ORACLE數(shù)據(jù)庫(kù)系統(tǒng)的用戶，執(zhí)行數(shù)據(jù)庫(kù)系統(tǒng)級(jí)別的某種操作或者是某一數(shù)據(jù)庫(kù)對(duì)象的創(chuàng)建、修改、刪除。在ORACLE數(shù)據(jù)庫(kù)系統(tǒng)中有一系列的系統(tǒng)內(nèi)置預(yù)定義特權(quán)，系統(tǒng)用這些特權(quán)去控制數(shù)據(jù)的安全。不得授予普通用戶額外的全局權(quán)限，如select any/delete any/execute any等，應(yīng)用有特殊需求的除外。對(duì)象特權(quán)對(duì)象特權(quán)是指登錄到ORACLE數(shù)據(jù)庫(kù)系統(tǒng)的用戶，有權(quán)執(zhí)行數(shù)據(jù)庫(kù)對(duì)象級(jí)別的某種操作。例如表的INSERT，DELETE，UPDATE操作等。同樣，在ORACLE數(shù)據(jù)庫(kù)系統(tǒng)中有一系列的對(duì)象內(nèi)置預(yù)定義特權(quán)，系統(tǒng)用這些特權(quán)去控制數(shù)據(jù)的安全。由于ORACLE數(shù)據(jù)庫(kù)系統(tǒng)業(yè)務(wù)處理的復(fù)雜性，對(duì)ORACLE數(shù)據(jù)庫(kù)的系統(tǒng)特權(quán)和對(duì)象特權(quán)的分配也就變得十分復(fù)雜。因此，為了方便管理系統(tǒng)特權(quán)和對(duì)象特權(quán)，需要引入角色這個(gè)基本概念。所謂角色是指系統(tǒng)特權(quán)和對(duì)象特權(quán)的集合。通過(guò)對(duì)角色的管理，使得ORACLE數(shù)據(jù)庫(kù)的系統(tǒng)特權(quán)和對(duì)象特權(quán)管理變得更加方便和容易?；诮巧陌踩芾碇饕幸韵聨c(diǎn)優(yōu)勢(shì)：減少授權(quán)工作量：可以通過(guò)授權(quán)給與一組用戶相關(guān)聯(lián)的角色，再由該角色授權(quán)給該用戶組的成員用戶。動(dòng)態(tài)特權(quán)管理：如果授權(quán)給某個(gè)用戶的特權(quán)需要改變，只須修改相關(guān)角色的授權(quán)，那么與這個(gè)角色相關(guān)的用戶的特權(quán)會(huì)自動(dòng)改變，不須修改授權(quán)給用戶特權(quán)。設(shè)置特權(quán)的可用性：當(dāng)某個(gè)被授予用戶的角色，需要取消，只須對(duì)相應(yīng)的角色設(shè)置禁用（DISABLED）。因此，在任何特定的情況下，都可對(duì)用戶的授權(quán)進(jìn)行必要的控制。應(yīng)用程序級(jí)的設(shè)置可用性：前臺(tái)應(yīng)用程序在試圖以某個(gè)數(shù)據(jù)庫(kù)用戶的身份與后臺(tái)數(shù)據(jù)庫(kù)相連接時(shí)，可以對(duì)角色設(shè)置可用性。這種做法可以把非應(yīng)用程序例如SQL*PLUS或第三方的數(shù)據(jù)庫(kù)操作工具等，屏蔽在數(shù)據(jù)庫(kù)系統(tǒng)之外，以保證數(shù)據(jù)庫(kù)的安全。角色可以根據(jù)業(yè)務(wù)的需求自由定義，系統(tǒng)特權(quán)和對(duì)象特權(quán)可以授權(quán)給角色，角色也可授權(quán)給另外的角色，角色也可授權(quán)給用戶?；谏厦婷枋龅慕巧踩芾淼膬?yōu)點(diǎn)和特點(diǎn)，ORACLE數(shù)據(jù)庫(kù)系統(tǒng)選擇角色來(lái)實(shí)施數(shù)據(jù)庫(kù)用戶的授權(quán)管理，并根據(jù)ORACLE的業(yè)務(wù)需求從不同的角度實(shí)現(xiàn)業(yè)務(wù)的權(quán)限分配。根據(jù)需求，設(shè)置不同級(jí)別的角色，某一級(jí)別體現(xiàn)對(duì)某一項(xiàng)業(yè)務(wù)的特權(quán)。各角色級(jí)別之間或是子集關(guān)系，或是交集關(guān)系；同一級(jí)別的角色之間，或是交集，或是互為獨(dú)立集合的關(guān)系。隨著對(duì)業(yè)務(wù)需求的增加或變化，不斷增加、完善訪問(wèn)控制的粒度，并堅(jiān)持最小化特權(quán)原則。如下圖：通過(guò)存儲(chǔ)過(guò)程管理特權(quán)（stored procedures）使用存儲(chǔ)過(guò)程（stored procedures）來(lái)限制數(shù)據(jù)庫(kù)的操作，客戶端用戶只需有權(quán)執(zhí)行存儲(chǔ)過(guò)程，并通過(guò)存儲(chǔ)過(guò)程來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)表的訪問(wèn)。因而就屏蔽了用戶直接對(duì)數(shù)據(jù)庫(kù)表的操作。通過(guò)視圖（VIEWS）管理特權(quán)通過(guò)視圖（VIEWS）來(lái)控制ORACLE數(shù)據(jù)庫(kù)系統(tǒng)的安全。即只分配給用戶查詢(xún)視圖的特權(quán)，而對(duì)基表（定義視圖的相關(guān)的數(shù)據(jù)表）則進(jìn)行屏蔽，禁止對(duì)數(shù)據(jù)表的直接操作。視圖可以實(shí)現(xiàn)以下兩種安全級(jí)別：使用視圖可以限制對(duì)數(shù)據(jù)表中的特定的列的訪問(wèn)。使用視圖可以限制對(duì)數(shù)據(jù)表中的特定的行的訪問(wèn)。如：對(duì)于某一基表，要求只顯示部分行，則可通過(guò)創(chuàng)建實(shí)體的WHERE子句來(lái)控制行的顯示。. 用戶類(lèi)型及角色命名規(guī)范可以用SQL語(yǔ)句GRANT來(lái)授予系統(tǒng)權(quán)限和角色給其它角色和用戶。有GRANT ANY ROLE系統(tǒng)權(quán)限的任何用戶可以授予數(shù)據(jù)庫(kù)里的任何角色。下面的語(yǔ)句授予系統(tǒng)權(quán)限CREATE SESSION和角色ACCTS_PAY給用戶JWARD:SQLGRANT CREATE SESSION, ACCTS_PAY TO JWARD。注意：對(duì)象權(quán)限不能跟系統(tǒng)權(quán)限和角色在同一句GRANT語(yǔ)句里授予。 當(dāng)一個(gè)用戶創(chuàng)建一個(gè)角色，會(huì)把自動(dòng)這個(gè)角色帶關(guān)鍵字ADMIN OPTION地授予給它的創(chuàng)建者。一個(gè)帶有關(guān)鍵字ADMIN OPTION的被授予者有幾項(xiàng)擴(kuò)展性能：被授予者可以對(duì)數(shù)據(jù)庫(kù)的其它用戶或角色進(jìn)行授予或撤銷(xiāo)系統(tǒng)權(quán)限或角色的操作。（用戶不可以撤銷(xiāo)它本身的角色。）被授予者可以進(jìn)一步授予有關(guān)鍵字ADMIN OPTION系統(tǒng)或角色。擁有一個(gè)角色的被授予者可以改變或卸載這個(gè)角色。在下面的語(yǔ)句中，安全管理員把NEW_DBA角色授予給MICHAEL：SQLGRANT NEW_DBA TO MICHAEL WITH ADMIN OPTION。用戶MICHAEL不但可以使用隱含在角色NEW_DBA里的所有權(quán)限，當(dāng)有需要時(shí)還可以授予，撤銷(xiāo)或卸載NEW_DBA角色。只有在對(duì)安全管理員進(jìn)行相關(guān)權(quán)限和角色授予時(shí)，才允許帶有關(guān)鍵字ADMIN OPTION。同樣可以使用GRANT語(yǔ)句來(lái)授予對(duì)象權(quán)限給角色和用戶。要授予對(duì)象權(quán)限，必須要具備下面任意一個(gè)條件：l 擁有被授予的對(duì)象l 被授予過(guò)有關(guān)鍵字GRANT OPTION的對(duì)象權(quán)限。注意：系統(tǒng)權(quán)限和角色不能和對(duì)象權(quán)限在同一句GRANT語(yǔ)句中授予。下面的語(yǔ)句授予了對(duì)應(yīng)EMP表所有列的SELECT，INSERT和DELETE的對(duì)象權(quán)限給用戶JFEE和TSMITH：SQLGRANT SELECT, INSERT, DELETE ON EMP TO JFEE, TSMITH。要授予只對(duì)應(yīng)EMP表的ENAME列和JOB列的INSERT的對(duì)象權(quán)限給用戶JFEE和TSMITH，聲明下面的句子：SQLGRANT INSERT (ENAME, JOB) ON EMP TO JFEE, TSMITH。要把對(duì)應(yīng)于SALARY視圖的所有對(duì)象權(quán)限給用戶JFEE，要使用ALL關(guān)鍵字，例子如下所示：SQLGRANT ALL ON SALARY TO JFEE。擁有對(duì)象的用戶會(huì)自動(dòng)授予所有相關(guān)的有關(guān)鍵字GRANT OPTION的對(duì)象權(quán)限。這幾個(gè)權(quán)限讓被授予者有以下幾個(gè)擴(kuò)展權(quán)限：被授予者可以授予有或沒(méi)有關(guān)鍵字GRANT OPTION的對(duì)象權(quán)限給數(shù)據(jù)庫(kù)里的任何用戶或者任何角色。如果在帶有關(guān)鍵字GRANT OPTION情況下授予，被授予者得到一個(gè)表的對(duì)象權(quán)限，并且被授予者有CREATE VIEW 或 CREATE ANY VIEW的系統(tǒng)權(quán)限，那么被授予者就可以在這個(gè)表上建視圖和把這個(gè)視圖相應(yīng)的權(quán)限授予給數(shù)據(jù)庫(kù)的任何用戶或角色。當(dāng)把一個(gè)對(duì)象權(quán)限授予給一個(gè)角色時(shí)，關(guān)鍵字GRANT OPTION是不起作用的。Oracle防止通過(guò)角色來(lái)傳播對(duì)象權(quán)限，因此有某角色的被授予者不能通過(guò)角色來(lái)傳播擁有的對(duì)象權(quán)限?？梢允谟鑼?duì)應(yīng)于表里單獨(dú)一列的INSERT，UPDATE或REFERENCES的權(quán)限。在授予對(duì)應(yīng)列的INSERT權(quán)限之前，觀察這個(gè)表是否有許多定義了NOT NULL約束的列，如果是就終止授予。選擇性的把插入特性授予給那些沒(méi)有NOT NULL特性的列，防止了用戶插入任何列到表里。要避免這種情形，就要確定每一個(gè)NOT NULL的列既可以插入又有非空的默認(rèn)值。否則，被授予者插入記錄就會(huì)不成功并出現(xiàn)錯(cuò)誤。把ACCOUNTS表的ACCT_NO列的INSERT權(quán)限授予給用戶SCOTT：SQLGRANT INSERT (ACCT_NO) ON ACCOUNTS TO SCOTT。除了sys、system、rman用戶，其他oracle默認(rèn)用戶都應(yīng)該置為expire或lock狀態(tài)，除非有特殊需求。數(shù)據(jù)庫(kù)所有活動(dòng)狀態(tài)用戶的密碼不得設(shè)置為已知的默認(rèn)密碼（如：sys用戶密碼也不能設(shè)置為manager）；數(shù)據(jù)庫(kù)用戶的密碼應(yīng)該定期修改。. 數(shù)據(jù)庫(kù)分區(qū). 數(shù)據(jù)庫(kù)分區(qū)介紹分區(qū)技術(shù)是為解決數(shù)據(jù)庫(kù)中巨大的表或索引讀寫(xiě)速度過(guò)慢而提出的解決方案。分區(qū)技術(shù)是利用物理上和邏輯上對(duì)數(shù)據(jù)進(jìn)行分割來(lái)提高處理速度的。同時(shí)，合理的分區(qū)也提高了數(shù)據(jù)庫(kù)數(shù)據(jù)的可管理性。Partition表和索引考慮使用分區(qū)的條件：數(shù)據(jù)損壞的故障隔離；支持在線增加、刪除；特定分區(qū)上的批處理；按分區(qū)備份；維護(hù)時(shí)可訪問(wèn)正常分區(qū)；恢復(fù)最關(guān)鍵的數(shù)據(jù)分區(qū)。. 邏輯分割根據(jù)分區(qū)策略，一張表的數(shù)據(jù)可以邏輯上分布于多個(gè)分區(qū)、子分區(qū)中，對(duì)數(shù)據(jù)的查詢(xún)?nèi)绻梅謪^(qū)策略就可以縮小訪問(wèn)的范圍，在一定量級(jí)上提高查詢(xún)速度。同樣，對(duì)于索引分區(qū)也是一樣的，從邏輯上分割表，縮小處理中的范圍，能夠極大地提高Oracle本身的處理速度。. 物理分割對(duì)于邏輯分割后的分區(qū)，可以通過(guò)策略分布到不同的表空間中，從而分布到不同的數(shù)據(jù)文件中，而數(shù)據(jù)文件又可以分配到不同的存儲(chǔ)介質(zhì)空間中，這樣就可以充分利用操作系統(tǒng)的并行訪問(wèn)，同時(shí)也利用存儲(chǔ)介質(zhì)的并行訪問(wèn)，極大地同時(shí)提高寫(xiě)入和讀取速度。同樣，對(duì)于索引分區(qū)也是一樣的機(jī)制。. 數(shù)據(jù)分區(qū)的優(yōu)點(diǎn)分區(qū)允許數(shù)據(jù)庫(kù)管理員進(jìn)行數(shù)據(jù)管理操作：數(shù)據(jù)裝載，索引的創(chuàng)建和重建，在分區(qū)級(jí)別的備份與恢復(fù)。因此可節(jié)省數(shù)據(jù)庫(kù)管理員大量的操作時(shí)間。分區(qū)可大幅度減少因維護(hù)引起的宕機(jī)時(shí)間。分區(qū)的獨(dú)立性使數(shù)據(jù)庫(kù)管理員對(duì)同一表或索引的各個(gè)分區(qū)進(jìn)行并發(fā)的維護(hù)管理操作；也可對(duì)分區(qū)表并行的執(zhí)行SELECT 和DML操作。分區(qū)可增加數(shù)據(jù)庫(kù)的可用性。減少維護(hù)窗口，恢復(fù)次數(shù)以及系統(tǒng)失效的影響。分區(qū)不要求修改任何應(yīng)用程序。如，數(shù)據(jù)庫(kù)管理員可把非分區(qū)表轉(zhuǎn)換為分區(qū)表，而不必修改或重寫(xiě)SELECT 語(yǔ)句或DML語(yǔ)句。同時(shí)也不必重寫(xiě)前端的應(yīng)用程序代碼。. 數(shù)據(jù)分區(qū)的不足數(shù)據(jù)分區(qū)帶來(lái)了數(shù)據(jù)庫(kù)創(chuàng)建方面的復(fù)雜度。即維護(hù)操作原來(lái)是面向一個(gè)表或索引對(duì)象，現(xiàn)在則要面向幾十至上百個(gè)分區(qū)。但后臺(tái)工作復(fù)雜度的加大換來(lái)了前臺(tái)數(shù)據(jù)操作的效率提高，也是值得的。. Oracle分區(qū)技術(shù)范圍分區(qū)范圍分區(qū)是對(duì)某個(gè)可度量的字段在可以預(yù)見(jiàn)的范圍內(nèi)進(jìn)行劃分的分區(qū)方式，例如：日期字段。枚舉值分區(qū)枚舉值分區(qū)是對(duì)某個(gè)可列舉確定值的字段按照不同值進(jìn)行劃分的分區(qū)方式，例如：區(qū)縣代碼字段。散列分區(qū)散列分區(qū)是對(duì)某個(gè)離散性很大的字段按照根據(jù)散列算法計(jì)算出的散列值進(jìn)行分區(qū)，例如：證件號(hào)碼。組合范圍散列分區(qū)組合范圍枚舉值分區(qū)是按照范圍做主分區(qū)，在主分區(qū)的基礎(chǔ)上再次進(jìn)行按照枚舉值分區(qū)的組合分區(qū)。例如：日期區(qū)縣。組合枚舉散列分區(qū)組合范圍散列分區(qū)是按照范圍做主分區(qū)，在主分區(qū)的基礎(chǔ)上再次進(jìn)行按照散列分區(qū)的組合分區(qū)。例如：日期證件號(hào)碼。. 分區(qū)使用建議如果數(shù)據(jù)按照某個(gè)（某些）值分區(qū)，那么range分區(qū)就最合適，比如按照“銷(xiāo)售定額”、“財(cái)務(wù)年度”、“月份”等等，在這種情況下，range分區(qū)可以利用分區(qū)消除，這包括應(yīng)用中使用“＝”、“”、“”等作為條件。如果不能找到其他合適的自然條件進(jìn)行分區(qū)，那么HASH 分區(qū)就比較合適，這里建議選擇唯一列或者幾乎唯一的列作為分區(qū)鍵值。這種情況下，分區(qū)數(shù)據(jù)是均勻的，使用分區(qū)鍵值“＝”或者in(value1,value2…)時(shí)，hash分區(qū)可以利用分區(qū)消除，但是使用其他條件時(shí)，hash無(wú)法利用分區(qū)消除。如果分區(qū)后，每個(gè)分區(qū)的數(shù)據(jù)量還是很大，建議使用組合分區(qū)，例如，首先按照自然條件做range分區(qū)，之后，對(duì)分區(qū)再進(jìn)行分區(qū)。. 分區(qū)索引全局索引(GLOBAL index )指向任何一個(gè)分區(qū)中的記錄索引可以被分區(qū)或不分區(qū)表可以被分區(qū)或不分區(qū)分區(qū)鍵值可以是有前綴后沒(méi)有前綴本地索引(LOCAL index) 每個(gè)本地索引分區(qū)只包含本分區(qū)的記錄二種類(lèi)型的本地索引前綴(prefixed )：唯一或非唯一列，可有效的使用分區(qū)消除，適于索引并行查詢(xún)，適用于OLTP非前綴(nonprefixed)：適合于索引并行查詢(xún)，可有效的使用分區(qū)消除，唯一索引受限，適用于DSS分區(qū)鍵值可以與索引鍵值不同本地分區(qū)索引：每個(gè)表分區(qū)都有一個(gè)索引分區(qū)，而且只索引該表分區(qū)的數(shù)據(jù)。一個(gè)給定索引分區(qū)中的所有條目都指向一個(gè)表分區(qū)，表分區(qū)中的所有行都表示在一個(gè)索引分區(qū)中。優(yōu)點(diǎn): 容易維護(hù)。 適合并行索引掃描缺點(diǎn): 對(duì)少量記錄查詢(xún)相對(duì)效率不高 全局非分區(qū)索引：一個(gè)索引可以指向多個(gè)分區(qū)的數(shù)據(jù)優(yōu)點(diǎn): 對(duì)單個(gè)或少量記錄的訪問(wèn)比較有效缺點(diǎn): 管理維護(hù)上有額外成本全局分區(qū)索引：索引有獨(dú)立的分區(qū)鍵值，每個(gè)索引分區(qū)可能指向多個(gè)不同的表分區(qū)數(shù)據(jù)優(yōu)點(diǎn): 可用性和管理性缺點(diǎn): 對(duì)新數(shù)據(jù)的導(dǎo)入不會(huì)太有效. 數(shù)據(jù)庫(kù)實(shí)例配置對(duì)于Oracle各個(gè)版本的參數(shù)優(yōu)化，隨版本的區(qū)別而有所不同。但萬(wàn)變不離其宗，大部分的參數(shù)設(shè)置原理是相同的，其優(yōu)化原則也一致。數(shù)據(jù)庫(kù)字符集的確定非常重要，如果選擇不當(dāng)，會(huì)給業(yè)務(wù)數(shù)據(jù)的保存帶來(lái)麻煩。如在現(xiàn)實(shí)中，有的漢字保存到數(shù)據(jù)庫(kù)時(shí)發(fā)生亂碼，從而使客戶的信息不能正常保存和顯示。數(shù)據(jù)庫(kù)字符集在系統(tǒng)設(shè)計(jì)開(kāi)發(fā)階段就應(yīng)當(dāng)確定。在數(shù)據(jù)庫(kù)系統(tǒng)上線后，再更改數(shù)據(jù)庫(kù)字符集，代價(jià)會(huì)非常大。因?yàn)椴煌淖址O(shè)置之間，存在轉(zhuǎn)換操作，如果不兼容，只能逐條轉(zhuǎn)換。一般選擇原則是要適中，滿足當(dāng)前和未來(lái)業(yè)務(wù)數(shù)據(jù)的保存。既不要選擇太大，也不要過(guò)小。現(xiàn)有支持漢字的字符集包括 ：ZHS16CGB231280：此字符集較小，不建議使用ZHS16GBK：此字符包含了大部需要的漢字字符，由于目前已經(jīng)有了新的國(guó)標(biāo)GB18030－2005，而GB18030不是GBK的嚴(yán)格超集，部分字符編碼有改動(dòng)，如果要升級(jí)到GB18030只能是將庫(kù)