【正文】 acle在調(diào)用級可設(shè)置幾種資源限制。 在會話級：每一次用戶連接到一數(shù)據(jù)庫，建立一會話。 另外 Oracle為安全管理員在數(shù)據(jù)庫提供是否對環(huán)境文件資源限制的選擇 。 資源限制是由環(huán)境文件管理 。 2． 用戶的表空間設(shè)置和定額 關(guān)于表空間的使用有幾種設(shè)置選擇： ? 用戶的缺省表空間 ? 用戶的臨時表空間 ? 數(shù)據(jù)庫表空間的空間使用定額 3. 用戶資源限制和環(huán)境文件 用戶可用的各種系統(tǒng)資源總量的限制是用戶安全域的部分 。 2） 通過操作系統(tǒng)對用戶身份確認進行集中控制：如果操作系統(tǒng)與數(shù)據(jù)庫用戶信息一致 ， 那么 Oracle無須存儲和管理用戶名以及密碼 。 創(chuàng)建用戶 修改用戶 刪除用戶 數(shù)據(jù)庫的存取控制 用戶管理 1．用戶鑒別 2．用戶的表空間設(shè)置和定額 數(shù)據(jù)庫的存取控制 3．用戶資源限制和環(huán)境文件 4．用戶環(huán)境文件 1. 用戶鑒別 為了防止非授權(quán)的數(shù)據(jù)庫用戶的使用 ， Oracle提供三種確認方法： 操作系統(tǒng)確認 ， Oracle數(shù)據(jù)庫確認和網(wǎng)絡(luò)服務(wù)確認 。 2. 用戶安全性策略 （ 1） 一般用戶的安全性 1） 密碼的安全性 2） 權(quán)限管理 （ 2） 終端用戶的安全性 3. 數(shù)據(jù)庫管理者安全性策略 （ 1） 保護作為 sys和 system用戶的連接 （ 2） 保護管理者與數(shù)據(jù)庫的連接 （ 3） 使用角色對管理者權(quán)限進行管理 4. 應(yīng)用程序開發(fā)者的安全性策略 （ 1） 應(yīng)用程序開發(fā)者和他們的權(quán)限 （ 2） 應(yīng)用程序開發(fā)者的環(huán)境 1） 程序開發(fā)者不應(yīng)與終端用戶競爭數(shù)據(jù)庫資源； 2） 程序開發(fā)者不能損害數(shù)據(jù)庫其他應(yīng)用產(chǎn)品 。 2） 一般數(shù)據(jù)庫用戶不應(yīng)該有 create或 delete與數(shù)據(jù)庫相關(guān)文件的操作系統(tǒng)權(quán)限 。已授權(quán)的用戶可任意地可將它授權(quán)給其它用戶，由于這個原因，這種安全性類型叫做任意型。 （ 5）審計用戶動作。 （ 3）控制磁盤使用。 安全性內(nèi)容 在 Oracle多用戶數(shù)據(jù)庫系統(tǒng)中，安全機制作下列工作： （ 1）防止非授權(quán)的數(shù)據(jù)庫存取。 （ 5）數(shù)據(jù)庫審計是否是有效的。 （ 3）用戶對象可用的磁盤空間的數(shù)量。 系統(tǒng)安全性是指在系統(tǒng)級控制數(shù)據(jù)庫的存取和使用的機制，包含： （ 1）有效的用戶名 /口令的組合。在數(shù)據(jù)庫系統(tǒng)這一級中提供兩種控制：用戶標(biāo)識和鑒定，數(shù)據(jù)存取控制。 第六章 Oracle的安全管理 本章內(nèi)容安排 Oracle9i的安全保障機制 用戶管理 權(quán)限和角色 概要文件 數(shù)據(jù)審計 Oracle9i的安全保障機制 安全性內(nèi)容 安全性策略 數(shù)據(jù)庫的安全性 是指保護數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。Oracle的安全管理 本章學(xué)習(xí)目標(biāo) 數(shù)據(jù)庫安全性問題一直是人們關(guān)注的焦點，數(shù)據(jù)庫數(shù)據(jù)的丟失以及數(shù)據(jù)庫被非法用戶的侵入對于任何一個應(yīng)用系統(tǒng)來說都是至關(guān)重要的問題。確保信息安全的重要基礎(chǔ)在于數(shù)據(jù)庫的安全性能。 在數(shù)據(jù)庫存儲這一級可采用密碼技術(shù)，當(dāng)物理存儲設(shè)備失竊后，它起到保密作用。 數(shù)據(jù)庫安全可分為二類：系統(tǒng)安全性和數(shù)據(jù)安全性。 （ 2）一個用戶是否授權(quán)可連接數(shù)據(jù)庫。 （ 4）用戶的資源限制。 （ 6）用戶可執(zhí)行哪些系統(tǒng)操作。 （ 2）防止非授權(quán)的對模式對象的存取。 （ 4）控制系統(tǒng)資源使用。 用戶要存取一對象必須有相應(yīng)的權(quán)限授給該用戶。 Oracle利用下列機制管理數(shù)據(jù)庫安全性： ? 數(shù)據(jù)庫用戶和模式 ? 權(quán)限 ? 角色 ? 存儲設(shè)置和空間份額 ? 資源限制 ? 審計 1． 系統(tǒng)安全性策略 2．用戶安全性策略 安全性策略 3．?dāng)?shù)據(jù)庫管理者安全性策略 4．應(yīng)用程序開發(fā)者的安全性策略 1. 系統(tǒng)安全性策略 （ 1） 管理數(shù)據(jù)庫用戶 （ 2） 用戶身份確認 （ 3） 操作系統(tǒng)安全性 1） 數(shù)據(jù)庫管理員必須有 create和 delete文件的操作系統(tǒng)權(quán)限 。 3） 如果操作系統(tǒng)能為數(shù)據(jù)庫用戶分配角色 ， 那么安全性管理者必須有修改操作系統(tǒng)帳戶安全性區(qū)域的操作系統(tǒng)權(quán)限 。 （ 3） 應(yīng)用程序開發(fā)者的空間限制 作為數(shù)據(jù)庫安全性管理者 ， 應(yīng)該特別地為每個應(yīng)用程序開發(fā)者設(shè)置以下的一些限制： 1） 開發(fā)者可以創(chuàng)建 table或 index的表空間； 2） 在每一個表空間中 ， 開發(fā)者所擁有的空間份額 。 由操作系統(tǒng)鑒定用戶的優(yōu)點是： 1） 用戶能更快 ， 更方便地聯(lián)入數(shù)據(jù)庫 。 3） 用戶進入數(shù)據(jù)庫和操作系統(tǒng)審計信息一致 。利用顯式地設(shè)置資源限制 ， 安全管理員可防止用戶無控制地消耗寶貴的系統(tǒng)資源 。 一個環(huán)境文件是命名的一組賦給用戶的資源限制 。 Oracle可限制幾種類型的系統(tǒng)資源的使用 ， 每種資源可在會話級 、 調(diào)用級或兩者上控制 。每一個會話在執(zhí)行 SQL語句的計算機上耗費 CPU時間和內(nèi)存量進行限制。 有下列資源限制： （ 1）為了防止無控制地使用 CPU時間， Oracle可限制每次 Oracle調(diào)用的 CPU時間和在一次會話期間 Oracle調(diào)用所使用的 CPU的時間，以 為單位。 （ 3） Oracle在會話級還提供其它幾種資源限制。 ? 會話空閑時間的限制，如果一次會話的 Oracle調(diào)用之間時間達到該空閑時間，當(dāng)前事務(wù)被回滾，會話被中止，會話資源返回給系統(tǒng)。 ? 每次會話的專用 SGA空間量的限制。 利用用戶環(huán)境文件可容易地管理資源限制 。 創(chuàng)建用戶 使用 CREATE USER語句可以創(chuàng)建一個新的數(shù)據(jù)庫用戶，執(zhí)行該語句的用戶必須具有 CREATE USER系統(tǒng)權(quán)限。一般會通過Oracle數(shù)據(jù)庫對用戶身份進行驗證，即采用數(shù)據(jù)庫認證方式。當(dāng)用戶連接數(shù)據(jù)庫時，Oracle從數(shù)據(jù)庫中提取口令來對用戶的身份進行驗證。 如果要通過操作系統(tǒng)來對用戶進行身份認證 ， 則必須使用 IDE