【正文】 的集合。 ? 使用角色可以更容易地進(jìn)行權(quán)限管理，主要體現(xiàn)在如下三個(gè)方面。 ? (2)動(dòng)態(tài)權(quán)限管理：當(dāng)一組權(quán)限需要改變時(shí)，只需要更改角色的權(quán)限，則所有被授予了此角色的用戶自動(dòng)地立即獲得了修改后的權(quán)限。 ? 1．創(chuàng)建角色 ? 角色不屬于任何用戶，也不在任何模式下。 ? 例如，創(chuàng)建角色 fdy，命令如下： ? SQIjCREATE ROLE fdy： ? 角色建立之后，它不具有任何權(quán)限，為了使角色發(fā)揮作用，要給它授予相應(yīng)權(quán)限，權(quán)限可以是系統(tǒng)權(quán)限也可以是對(duì)象權(quán)限。下面的 ? 語句給角色 fdy授予連接到數(shù)據(jù)庫、建立視圖、查詢表 stud的權(quán)限： ? SQL一 GRANT CREATE SESS工 0N， CREATE V工 EW TO FDY： ? SQL一 GRANT SELECT ON stud TO fd3’： ? 同樣地，也可以將權(quán)限從角色收回，如下語句是將建立視圖的系統(tǒng)權(quán)限從角色： fdy中收回： ? sqlREVOKE CREATE VI EW FROM fdy在建立了角色并為其授予了權(quán)限之后，只有將該角色分配給用戶，該角色才能起作用。示例如下： ? SQLGRANT fdy TO testuser； ? SQLGRANT fdy TO jwcuser； ? 同樣地，回收角色采用 REVOKE命令，示例如下： ? SQLREVOKE fdy FROM testuser； 3．控制角色的可用性 ? 默認(rèn)情況下，用戶登錄時(shí)自動(dòng)啟用分配給該用戶的所有角色。 (1)默認(rèn)角色。使用 ALTER USER命令給用戶指定默認(rèn)角色。 ? (2)禁用和啟用角色。 SET ROLE命令用于角色的禁用和啟用。即使一個(gè)角色已經(jīng)被授予一個(gè)用戶或其他角色， Oracle也允許用戶刪除該角色。 例如，刪除 fdy角色，可以使用 DROPROLE命令： ? SQLDROP ROLE fdy； ? 當(dāng)建立數(shù)據(jù)庫時(shí)， Oracle自動(dòng)定義了多個(gè)角色。 ? (1)CONNECT、 RESOURCE、 DBA：提供這些角色的目的是為了向后與 Oracle服務(wù)器的早期版本兼容。 ? (3)DELETE— CATALOG_ROLE：對(duì)于數(shù)據(jù)字典表的DELETE權(quán)限。 ? (5)SELECTCATALOG_ROLE：對(duì)于數(shù)據(jù)字典表的SELECT權(quán)限。 ? 例如，查詢 dba roles視圖可以了解當(dāng)前數(shù)據(jù)庫的所有角色，其中 password_required列指出了該角色是否需要口令： ? SQLSELECT role， password— required FROM dba_roles； ? 如下命令可以查得用戶 jwcuser所具有的角色信息： ? SQLSELECT grante(Lrole FROM dba_role privs ? WHERE grantee=。； ? 又如，查詢 fdy角色所擁有的系統(tǒng)權(quán)限、對(duì)象權(quán)限，分別使用如下兩個(gè)命令： ? SQLSELECT。FDY 。例如，使用 PROFILE可以指定口令有效期、進(jìn)行口令復(fù)雜性校驗(yàn)、指定用戶連接時(shí)問以及最大空閑時(shí)間等。 ? (1)限制用戶執(zhí)行某些需要消耗大量資源的 SQL操作。 ? (3)在大而復(fù)雜的多用戶數(shù)據(jù)庫系統(tǒng)中合理分配資源。 當(dāng)建立數(shù)據(jù)庫時(shí)，系統(tǒng)會(huì)自動(dòng)建立 DEFAULT配置文件，該文件的所有口令及資源限制選項(xiàng)初始值均為UNLIMITED，即未進(jìn)行任何口令和資源限制。根據(jù)用戶所承擔(dān)任務(wù)的不 同， DBA應(yīng)該建立不同的 PROFILE，并將 PROFILE分配給相應(yīng)的用戶。 ? 管理口令有鎖定賬戶、終止口令、口令歷史以及口令校驗(yàn)等四種安全保護(hù)方式，共包含了 7個(gè)口令管理選項(xiàng)，如果僅指定某個(gè)或某幾個(gè)選項(xiàng)，那么其他選項(xiàng)將自動(dòng)使用 DEFAULT的相應(yīng)選項(xiàng)值。使用 PROFILE進(jìn)行資源限制，既可以限制整個(gè)會(huì)話的資源占用，也可以限制調(diào)用級(jí) (SQL語句 )的資源占用。 ? 例如，為了加強(qiáng)用戶 jwcuser的口令安全，要求其登錄失敗次數(shù)限制為 3次，如果其連續(xù)失敗 3次，則其賬戶自動(dòng)鎖定， 鎖定 7天后解除鎖定，而且要求其每 10天更改一次口令，一個(gè)口令再次使用必須間隔 300天；最多允許 5名人員同時(shí)以 jwcuser用戶登錄，每個(gè)會(huì)話連接時(shí)問不能超過 60min，會(huì)話空閑時(shí)間不能超過5min。為用戶分配 PROFILE。修改口令及資源限制由 ALTER PROFILE命令完成，使用該命令要求用戶必須具有 ALTER PROFILE系統(tǒng)權(quán)限。 例如，要求刪除 profile__]wcuser，由于該 PROFILE已經(jīng)分配給了用戶 jwcuser，可使用如下命令刪除： ? SQLDROP PROFILE profile_jwcuser CASCADE 。 以上對(duì) PROFILE的修改、刪除只對(duì)新會(huì)話起作用，對(duì)已經(jīng)存在的會(huì)話不會(huì)產(chǎn)生影響。 ? SQLSELECT profile FROM dba users WHERE username=’JWCUSER’； ? 2．查看 PROFILE的口令和資源限制選項(xiàng) 當(dāng)建立或修改 PROFILE時(shí)， Oracle會(huì)將PROFILE選項(xiàng)及值存放到數(shù)據(jù)字典profiles中。 AND resource_type=’KERNEL。 ? (1)profile： PROFILE名稱。 ? (3)resource— type： PASSWORD表示口令管理選項(xiàng)，而 KERNAL則表示資源限制選項(xiàng)。 小 結(jié) ? 本章主要討論了數(shù)據(jù)庫的安全管理內(nèi)容，包括如何創(chuàng)建用戶與更改用戶屬性、如何管限、角色的概念及如何通過角色管理權(quán)限，并簡要介紹 Oracle使用 PROFILE管理口令限制資源使用的方法和內(nèi)容。 ? A．使用的 CPU時(shí)間 B．連接到數(shù)據(jù)庫的總時(shí)間 ? C．一個(gè)會(huì)話處于不活動(dòng)的最長時(shí)問 D．讀塊的時(shí)間 ? 2．當(dāng)建立一個(gè)新用戶并且沒有指定一個(gè) PROFILE時(shí)， ( )。 ? A． dba_profiles B． dba_users C． dba_passwords D． v$session ? 4．當(dāng)用戶具有哪種權(quán)限或角色時(shí)可以建立數(shù)據(jù)庫 ?( ) ? A． SYSDBA B． SYSOPER C． DBA D． CONNECT ? 5．在以下哪些對(duì)象權(quán)限上可以授予列權(quán)限 ?( ) ? A． SELECT B． UPDATE C． DELETE D． INSERT ? 6．建立用戶時(shí)沒有指定 QUOTA選項(xiàng)，則用戶在其默認(rèn)表空間上可占用的空間 () ? A．無限制 B．為 0 C．不超過 10MB D．不超過100MB