Oracle数据库安全检查和推荐

Maclean Liu(刘相兵

1.2        数据库安装和配置
1.        只安装需要的组件
为了安全性客户需要定制安装，防止安装不必要的组件。
以下是 Oracle Database 各个组件：
JSERVER JAVA VIRTUAL MACHINE
(8i,9i,10g,11gR1,11gR2)
描述: JVM and Jserver
------------------------------
JVM 是平台独立的将代码转换成二进制码并且运行的的环境。如果数据库需要Java组件需要安装
Oracle JServer 选项是一个在Oracle 数据库中运行的Java 虚拟机 （Java VM）
Schema:
--------
SYS


OLAP CATALOG, OLAP ANALYTIC WORKSPACE, ORACLE OLAP API
(9i,10gR1,10gR2,11gR1,11gR2)
描述:
------------
此组件是在9i中引入的，OLAP应用程序的开发是基于在商业智能和数据仓库系统的背景下，这种类型的使用OLAP API优化了功能。使用OLAP API，一个Java应用程序可以访问，操作，并显示多维数据。使用OLAP API也使得它可以在一步一步的过程中，允许撤消单独的查询步骤，无需复制整个查询定义查询。这种多级查询很容易修改和动态完善
OLAP API的目的是促进和发展OLAP应用程序，允许用户动态选择，汇总，计算，并通过图形用户界面的其他数据分析任务。一般来说，一个OLAP应用程序的用户界面显示如图表和交叉表，多维格式的数据。
Schema:
---------
OLAPSYS/MANAGER (9i, 10gR1, 10gR2, 11gR1,11gR2)


ORACLE DATA MINING
(9i,10gR1,10gR2,11gR1,11gR2)
Description:
------------
Oracle数据挖掘（ODM），是嵌入在Oracle数据库中的数据挖掘。 ODM的算法操作关系表或视图本身，因此无需数据提取和转移到独立的工具或专门的解析服务器。 ODM的集成架构在一个更简单，更可靠，更高效的数据管理和分析环境的结果。数据挖掘任务可以异步运行，独立于任何特定的用户界面作为标准数据库处理和应用的一部分。数据分析可以挖掘数据库中的数据，建立模型和方法，然后变成完整的应用程序组件，随时可以在生产环境中部署这些。
Schema:
---------
ODM, ODM_MTR : Oracle 9i
DMSYS/ DMSYS : Oracle 10g
SYS : Oracle 11gR1, 11gR2


ORACLE INTERMEDIA/(ORACLE MULTIMEDIA IN 11GR1 AND 11GR2)
Description:
------------
Oracle interMedia 是一个能然使Oracle数据库存储，管理和检索图像，音频，视频或其他异构数据集成特性。
在Oracle Database 11g Release 1 （11.1）和Release 2 （11.2），Oracle interMedia 名字已经改为Oracle Mutlimedia
Schema:
-------
ORDPLUGINS
ORDSYS
SI_INFORMTN_SCHEMA : 10g onwards.


ORACLE LABEL SECURITY
(9iR2,10gR1,10gR2,11gR1,11gR2)
Description:
------------
Oracle Label Security (OLS) 提供了数据库行级的安全。它保护标识单个行的数据行。如果用户尝试访问一个受策略保护的数据行，那么他必须有适当的授权。
Schema:
--------
LBACSYS (9iR2,10gR1,10gR2,11gR1,11gR2)

Oracle Rule Manager and Oracle Expression Filter
(10gR2,11gR1,11gR2)
Description:
------------
此特性允许你存储在数据库中的数据的条件表达式。表达式提供了一种筛选机制，放置一个VARCHAR2列约束，以确保存储的值是有效的SQL WHERE子句中的表达式。该机制还标识，可以在条件表达式中引用的一组属性。
Schema:
---------
EXFSYS:


ORACLE SPATIAL
(9iR2,10gR2,11gR1,11gR2)
Description:
------------
Oracle Spatial被设计使空间数据管理更轻松，更自然，并且定位功能和地理信息系统（GIS）应用程序的用户更容易使用。当空间数据存储在Oracle数据库中，它可以很容易地操纵，检索，关联在数据库中的所有其他数据。
Schema:
---------
MDSYS/MDSYS The Oracle Spatial and Oracle interMedia Locator administrator account
MDDATA/MDDATA The schema used by Oracle Spatial for storing Geocoder and router data


ORACLE TEXT
(8i,9iR2,10gR1,10gR2,11gR1,11gR2)
Description:
------------
Oracle 全文索引可以为文件或文本内容添加快速，准确的互联网信息检索，内容包括管理应用软件，电子商务目录，新闻服务，工作职位，等等。它可以将索引内容存储在文件系统，数据库或Web上。
Schema:
---------
CTXSYS/CTXSYS The Oracle Text account


ORACLE ULTRA SEARCH
(9iR2,10gR1,10gR2,11gR1,11gR2)
（此组件在Oracle 11gR2 中将不被支持，由Oracle Secure Enterprise Search (SES).取代
Schema:
---------
WKSYS: Stores data dictionay for Oracle Ultrasearch.


ORACLE WORKSPACE MANAGEr
Description:
------------
Oracle Workspace管理器，是Oracle9i的一个新功能能透明和安全的，在不改变应用程序的SQL（DML），同时允许同时读取和写入访问相同的生产数据。 Workspace管理器还支持Oracle8i和Oracle Spatial，由Oracle9i企业管理器的支持。
Schema:
---------
WMSYS: It stores data dictionary for Oracle Workspace Manager


ORACLE XDK FOR JAVA
(8i,9iR2,10gR2,11gR1,11gR2)

Description:
-----------
甲骨文Oracle XML开发工具包（XDK）是一个通用的组件集，使您可以构建和部署的C，C++和Java的软件程序，处理XML。为您的业务需求，这些组件可以组装成一个XML应用。
Schema:
---------
SYS: In 9.2 XDK should be installed in SYS schema, as 9.2.0.* patchsets upgrade XDK installed in SYS schema only.


ORACLE XML DATABASE
Description:
------------
可扩展标记语言（XML）是一种基于标记的标记语言，允许开发人员创建自己的标签来描述应用程序和系统之间的数据交换。 XML被广泛采用作为企业之间的信息交流的共同语言。它是人类可读的，也就是说，它是纯文本。因为它是纯文本，XML文件和基于XML的消息可以轻松地发送使用共同的协议，如HTTP或FTP。
Schema:
---------
XDB: Stores XML database related schema objects.


ORACLE ENTERPRISE MANAGER
Description:
------------
当你配置了db console 时这个组件将会出现在dba_registy视图中。这是从Oracle RDBMS 10gR1起的可用。请注意，如果要使用这个组件你需要安装Oracle企业管理器。
Schema:
---------
DBSNMP, SYSMAN, MGMT_VIEW (11gR1 and 11gR2 only)


ORACLE WAREHOUSE BUILDER
Description:
------------
这个组件将会出现在dba_registry中如果你配置了Warehouse Builder.

Schema:
---------
OWBSYS (This is available from Oracle RDBMS 11gR1 onwards, see below.)


ORACLE APPLICATION EXPRESS (APEX)
Description:
------------
Oracle Application Express（Oracle APEX）是Oracle数据库的快速Web应用开发工具。只使用一个网络浏览器和有限编程经验，您可以开发和部署，既快速又安全的专业应用。甲骨文APEX是完全支持的，没有成本Oracle数据库选项。
Schema:
---------
APEX_xxxxxx


ORACLE CONFIGURATION MANAGER INSTALLATION(OCM)
Description:
-----------
配置管理器持续跟踪关键甲骨文和系统的详细信息，提供必要的数据，以帮助您管理和服务的配置。收集的数据将通过HTTPS发送到Oracle的支持，从而保持了每个配置的安全。
Schema:
---------
OCM


2.        锁定或者将默认帐号设置为过期(重要)
数据库安装过程中需要使用很多用户，如果使用DBCA安装后将会自动锁定用户。
如果使用手动方式安装数据库，这类用户将不会被锁定。
建议手动安装数据库后将用户除了sys 和 system，其他均可以锁定
语句为alter user <username> account lock;
以下为 安装完成用户的状态
Username         Account Status
ANONYMOUS         EXPIRED & LOCKED
CTXSYS         EXPIRED & LOCKED
DBSNMP         EXPIRED & LOCKED
DIP         EXPIRED & LOCKED
DMSYS        EXPIRED & LOCKED
EXFSYS        EXPIRED & LOCKED
HR        EXPIRED & LOCKED
LBACSYS        EXPIRED & LOCKED
MDDATA        EXPIRED & LOCKED
MDSYS        EXPIRED & LOCKED
MGMT_VIEW        EXPIRED & LOCKED
ODM        EXPIRED & LOCKED
ODM_MTR        EXPIRED & LOCKED
OE        EXPIRED & LOCKED
OLAPSYS        EXPIRED & LOCKED
ORDPLUGINS        EXPIRED & LOCKED
ORDSYS        EXPIRED & LOCKED
OUTLN        EXPIRED & LOCKED
PM        EXPIRED & LOCKED
QS        EXPIRED & LOCKED
QS_ADM        EXPIRED & LOCKED
QS_CB        EXPIRED & LOCKED
QS_CBADM        EXPIRED & LOCKED
QS_CS        EXPIRED & LOCKED
QS_ES        EXPIRED & LOCKED
QS_OS        EXPIRED & LOCKED
QS_WS        EXPIRED & LOCKED
RMAN        EXPIRED & LOCKED
SCOTT         EXPIRED & LOCKED
SH        EXPIRED & LOCKED
SI_INFORMTN_SCHEMA        EXPIRED & LOCKED
SYS        OPEN
SYSMAN        EXPIRED & LOCKED
SYSTEM        OPEN
TSMSYS         EXPIRED & LOCKED
WK_TEST        EXPIRED & LOCKED
WKPROXY        EXPIRED & LOCKED
WKSYS        EXPIRED & LOCKED
WMSYS        EXPIRED & LOCKED
XDB        EXPIRED & LOCKED

3.        启用数据字典保护（可选）
使用数据字典保护将可以防止 拥有“ANY” 系统权限的用户使用数据字典除了拥有DBA权限的用户
更改 O7_DICTIONARY_ACCESSIBILITY 为 FALSE。

4.        有效地实施访问控制。（重要）
正确地验证用户端。虽然远程认证可以打开（TRUE），安装更安全如果将它关闭（FALSE，这是默认的）。数据库与远程认证开启，隐式信任每一位客户，因为它假定每一个客户身份验证的远程身份验证系统。然而，在一般的客户端（如远程PC）不能被信任执行正确的操作体系认证，所以开启此功能是一个非常糟糕的安全实践。强制执行适当的基于服务器的客户端连接到Oracle数据库的认证，将此功能关闭
设置 remote_os_authentication= FALSE，这是默认的

5.        限制操作系统访问（重要）
可以根据以下设置限制操作系统的访问
--限制操作系统用户数量
--限制操作系统用户的权限（root用户 DBA 组用户）
--一旦安装完成不允许更改 Oracle Database Home 目录的权限（包括系统管理用户和 数据库管理用户）
--限制符号链接。确保提供数据库路径或文件时，无论是档案或修改路径的任何部分是由一个不受信任的用户所拥有。应该由DBA或一些值得信赖的帐户，如root或者DBA组。


6.        更新数据库安全补丁
始终适用于所有相关的和当前的安全补丁，无论是Oracle数据库所在的操作系统和Oracle数据库本身和所有已安装的Oracle数据库的选项和组件。
可以从以下网址获得最新的Oracle 数据库CPU 补丁信息。
http://www.oracle.com/technology/deploy/security/alerts.htm

7.        Oracle_home/bin 下文件特殊权限检查
oracle home/bin 下一些文件需要特殊权限，请按照如下文档进行修改。

适用平台：
Linux x86
IBM AIX on POWER Systems (64-bit)
Oracle Solaris on x86 (32-bit)
Oracle Solaris on SPARC (64-bit)
Oracle Solaris on x86-64 (64-bit)
Linux x86-64
HP Tru64 UNIX
如果使用ASM $ORACLE_HOME/bin/oracle 须符合以下权限
[oracle@book bin]$ ls -l oracle
-rwsr-s--x 1 oracle oinstall 192308664 Mar  7 20:34 oracle
其余文件根据版本不同有所出入具体为：
命令如下：
1-        cd $ORACLE_HOME/bin
chown root:dba oradism
chmod 4750 oradism
chmod g+s oradism
2-        cd $ORACLE_HOME/bin
chown root:dba nmo
chmod 4710 nmo
3-        cd $ORACLE_HOME/bin
chown root:dba nmb
chmod 4710 nmb
4-        cd $ORACLE_HOME/bin
chown root:dba extjob
chmod 4710 extjob

Oracle Database10g Release 1 ：
-r-sr-s--- 1 root dba 0 Jul 1 23:15 ./bin/oradism
-rwsr-s--- 1 root dba 18944 Jul 22 11:22 ./bin/nmb
-rwsr-s--- 1 root dba 20110 Jul 22 11:22 ./bin/nmo

Oracle Database10g Release 2：
-r-sr-s--- 1 root dba 0 Jul 1 23:15 ./bin/oradism
-rwsr-s--- 1 root dba 18944 Jul 22 11:22 ./bin/nmb
-rwsr-s--- 1 root dba 20110 Jul 22 11:22 ./bin/nmo
-rwsr-x--- 1 root dba 65271 Oct 20 15:43 ./bin/extjob

Oracle Database11g Release 1:
在oracle 10gR2 基础多一些以下文件
-rwsr-x--- 1 root oinstall 29441 Oct 17 06:30 jssu
-rwsr-x--- 1 root oinstall 57627 Oct 17 06:30 nmhs

Oracle Database11g Release 2:
-rwsr-x--- 1 root oinstall 1101446 Jul 27 00:12 extjob
-rwsr-x--- 1 root oinstall 33054 Jul 27 00:12 jssu
-rws--x--- 1 root oinstall 28166 Jul 27 00:15 nmb
-rws--x--- 1 root oinstall 80536 Jul 27 00:11 nmhs
-rws--x--- 1 root oinstall 34802 Jul 27 00:11 nmo
-rwsr-x--- 1 root oinstall 72161 Jul 24 17:00 oradism

参考文章：Why are files under $ORACLE_HOME owned by root user? [ID 461144.1]









1.3        安全政策和提示
1.        数据库系统安全政策
数据库安全策略应包括几个子政策，
每个数据库都有一个或多个管理员负责维护所有的安全政策：安全管理员。如果小型数据库系统，数据库管理员可能有安全管理员的职责。但是，如果大型数据库系统，一个特殊的人或一群人可能负责那些安全管理员的职责。
    设置一位负责数据安全的 安全管理员（重要），安全策略必须为每个数据库设置。数据库安全策略应包括几个子政策
用户验证
数据库用户可以通过Oracle认证（验证为正确的人）使用数据库密码，主机操作系统，网络服务，或通过安全套接字层（SSL）。
Oracle 数据库支持以下几种验证方式：       
Identified and authenticated by the database, which is called database authentication.        Database Authentication
Authenticated by the operating system or network service, which is called external authentication.        External Authentication
Authenticated globally by Secure Sockets Layer (SSL), called global users, whose database access is through global roles, authorized by an enterprise directory.        Global Authentication and Authorization
Allowed to connect through a middle-tier server that authenticates the user, assumes that identity, and can enable specific roles for the user. This combination of actions and abilities is called proxy authentication and authorization.        Proxy Authentication and Authorization

建议采用database authentication.（重要）
如果选择的数据库对用户进行认证，那么管理，包括该用户的身份验证完全由Oracle数据库进行。当您创建或修改用户的密码。用户可以随时更改自己的密码。密码存储在于加密格式。虽然用户名可以是多字节，必须每个密码单字节字符，即使你的数据库使用多字节字符集。
使用数据库验证具有如下优势：
        用户帐户和所有的认证都是由数据库控制。没有任何依赖在数据库之外的系统。
        Oracle提供了强大的密码管理功能，使用数据库身份验证时，以增强安全性。
        如果用户数量较少，便于管理


为了增强安全性，使用数据库身份验证时，Oracle建议使用密码管理，包括帐户锁定，密码老化和过期，密码历史，密码复杂性验证。需要符合下章节密码管理政策

使用如下命令创建 数据库验证的用户

CREATE USER <username> IDENTIFIED BY <password>;

建议用户使用单字节字符作为密码，避免使用双字节字符以防止数据库迁移时发生密码无法使用。

操作系统安全
执行Oracle和任何数据库应用程序的操作系统环境，还必须考虑以下安全问题：
        数据库管理员必须具有操作系统权限创建和删除文件。（重要）
        典型的数据库用户不应该有创建或删除数据库文件的操作系统权限。（重要）
        如果操作系统识别用户的数据库角色，然后安全管理员必须有操作系统的权限来修改操作系统帐户的安全域。（重要）

（可以增加AIX 和 HP 的 security）



2.        数据安全政策
数据安全的机制，控制对数据库的访问和使用在对象级别。您的数据安全策略决定哪些用户拥有访问一个特定的模式对象，特定类型的对象上的每个用户允许的动作。例如，该政策可以建立scott用户可以发出SELECT和INSERT语句，但不使用emp表DELETE语句。您的数据安全策略还应该定义动作，如果有的话，审计每个对象的操作。
数据安全政策包含如下部分
使用视图控制对真实数据访问 （重要）
视图是从一个或多个表（可能包括其他意见）选定数据的演示。一个视图中显示选定的数据，也显示了底层表的结构，可以被看作是存储查询结果。
例如，所有雇员数据的基表可能有多个列和众多的信息行。如果你想某些用户组只能看到特定列，那么你可以创建该视图，只包含允许列。然后，您可以授予其他用户访问新的视图，而不允许访问基表。
这样可以保护数据，隔离访问信息。以防止不必要的信息泄漏。
使用FGAC细粒度访问控制 （推荐）
细粒度访问控制 FGAC 可以有如下的特性：
        为行级的SELECT，INSERT，UPDATE和DELETE 设定不同的访问控制
        只有当你需要时候才会使用（例如工资信息）
        对某一列调用一个特定的政策
        限制使用行级和列级控制相结合，通过VPD策略视图访问。
        有一些总是应用的政策，称为静态的政策，以及其他在执行过程中，可以改变的，称为动态政策
        对一个表可以使用多个政策
        区分不同应用之间的政策，通过使用策略组。每个政策组是一组属于一个应用程序的政策。

使用Application  Context

3.        用户安全政策
可以将用户按照使用类别分成 基本用户，管理员用户，开发用户分别使用不同的安全政策

基本用户安全
如果是由数据库管理用户身份验证，安全管理员应制定一个密码的安全政策，以保持数据库访问的安全性。例如，数据库用户应定期更改自己的密码，当然，当自己的密码透露给他人。强迫用户修改密码，在这种情况下，可以减少未经授权的数据库访问。
安全管理员应考虑为所有类型的用户权限管理相关的问题。例如，在许多用户名的数据库，使用Role 是非常有效的（您授予用户或其他角色的相关权限的命名组）提供给用户的权限管理。另外，在极少数的用户名与数据库，它可能更容易明确授予权限的用户和避免使用的角色。

使用Role（角色） 管理 可以参考如下例子




如果帐号随后需要一个新的数据库应用程序中的角色，那么该应用程序的作用可以授予帐号的作用，并在会计部门的所有用户将自动收到新的数据库应用程序相关联的特权。新的应用程序的作用，并不需要被授予个人用户需要的应用程序使用。
        如过会计（用户）随后需要一个role使用新的数据库应用，那个应用的角色就可以被赋予这个 accountant 角色中，所以拥有此角色的用户可以获得新的数据库应用。这个新的数据库应用不需要被单独一个个赋予需要的用户。
        相似的，如果会计部门不需要一个特别的应用，可以从所拥有的accounttant角色中去掉相应的 应用角色。
        如果ACCT_REC 和 ACCT_PAY 应用所需要的权限改变了，新的权限将自动从相应的应用角色和 Accountant 角色中被赋予/或者回收
建议使用角色对用户权限进行管理，以区分不同用户的使用目的，隔离各个用户不同的访问权限，并且不需要单独授予权限，提高管理安全性（重要）

管理员用户安全
安全管理员也应该有一个政策解决数据库管理员安全。例如，当数据库是大型的，有几种类型的数据库管理员，安全管理员可以决定分成几个管理角色赋予相关的管理员权限。另外，当数据库较小，只有几个管理员，它可能是更方便地创建一个管理员角色，并授予它的所有管理员
数据库安装完成后根据密码规则修改管理员用户密码（重要）
数据库安装新组件后根据密码规则修改相应的用户密码。（重要）
只有数据库管理员才允许使用“SYSDBA/SYSOPER” 登录(11G ASM 中使用SYSASM)（重要）
必须使用用户名密码登录或者使用密码文件或者使用外部操作系统验证（重要）
开发用户安全
安全管理员必须定义一个特殊的安全使用数据库应用程序的开发政策。安全管理员可以授予权限，应用程序开发人员创造必要的对象。另外，创建对象的权限可授予只有一个数据库管理员，然后接收从开发人员为对象创作的请求。
数据库应用开发用户是特殊的数据库用户，此类用户需要特殊的权限组，例如CREATE TABLE，CREATE PROCEDURE 等等。然后应该限制系统权限授予开发用户，以限制他们在数据库中的整体的行为能力并且应该给予审计。
建议做如下限制
控制数据库空间的使用量（重要）管理员需要根据开发用户的需求决定空间使用
控制数据库schema 对象的访问路径。（重要）
决定开发中对象的管理方式（如可以让开发用户创建，修改，删除表，索引，过程，包等）（或者由管理员来决定对象的操作）。（重要）
REATE TABLE, CREATE VIEW, 和CREATE PROCEDURE等系统权限可以赋予给开发用户。（重要）
不允许赋予开发用户任何带有 CREATE ANY 的系统权限，因为此权限运行用户在任何其他用户中创建任何对象。（重要）
限制开发用户只能访问自己用户相关的表空间。（重要）
限制开发用户对表空间所具有的限额。（重要）

4.        密码管理政策
使用 profile 管理用户的密码政策（重要）
在profile 中定义了以下4项密码管理政策
帐号锁定
当一个特定的用户超过了指定的登录尝试失败，服务器将自动锁定该用户帐户。您可以指定允许登录失败尝试的次数也可以指定锁定的时间。
例子如下：
CREATE PROFILE prof LIMIT
FAILED_LOGIN_ATTEMPTS 4
PASSWORD_LOCK_TIME 30;
ALTER USER johndoe PROFILE prof;

密码生命周期和超时时间
用户可以指定密码的生命周期，当指定的密码过期，用户或者DBA 必须更改密码。
例子如下：
CREATE PROFILE prof LIMIT
FAILED_LOGIN_ATTEMPTS 4
PASSWORD_LOCK_TIME 30
PASSWORD_LIFE_TIME 90
PASSWORD_GRACE_TIME 3;
ALTER USER johndoe PROFILE prof;

密码历史
PASSWORD_REUSE_TIME 可以设置密码经过多少天以后才能使用旧密码
PASSWORD_REUSE_MAX 可以设置密码需要经过多少此重置后才能被再次使用
如果用户都不指定，则用户可以任何时候重用密码，建议用户指定这2个参数设置（重要）。
如果没有参数是UNLIMITED，则是密码重用重用，但只有在满足这两个条件。用户必须更改密码指定的次数，并在指定的天数必须已经过去了。
例如，假设用户A的profile PASSWORD_REUSE_MAX设置为10和PASSWORD_REUSE_TIME设置为30。然后用户A不能重用密码直到密码已重置10次，并且过去30天。
如果任一参数被指定为无限的，则用户永远不能重用一个密码。

密码复杂性验证
密码复杂性需要符合以下几点（重要）
        至少4个字节长度
        和用户名不同
        至少包含一个字母，一个数字，一个特殊字符
        不能太简单，例如：welcome, account, database, user
        和之前密码至少有3个字符不同

如果需要重新定义以上要求，可以修改 $ORACLE_HOME/rdbms/admin/UTLPWDMG.SQL




5.        使用SecureFile
securefile 是11grR1 开始提供一种新的LOB 存储方式，之前的存储方式为BASICFILE
使用SecureFile和BASICFile对比有以下优势：加密，去除重复行，压缩
一般如果要使用SecureFile 可以在create table 语句中指定使用securefile
数据库参数DB_SECUREFILE 也定义了securefile 的使用范围
此参数有 以下选项
ALWAYS | FORCE | PERMITTED | NEVER | IGNORE   默认为PERMITTED
        如果使用NEVER 所有LOB 存储类型将会是 BASICFILE 即使在create table 中指定SECUREFILE
        如果使用ALWAYS，所有LOB存储类型将会是SECUREFILE 不过如果表空间非ASSM的话将会使用BASICFILE除非特别指定使用SECUREFILE
        如果使用FORCE，所有LOB存储类型将会是SECUREFILE，不过如果表空间是MSSM的话将会抛出错误。
        如果使用IGNORE，所有的SECUREFILE选项将会被忽略
以下是部分例子
去除重复行：partition  p1 将会去除重复行
CREATE TABLE t1 ( REGION VARCHAR2(20), a BLOB)
     LOB(a) STORE AS SECUREFILE (
           CACHE
)
PARTITION BY LIST (REGION) (
     PARTITION p1 VALUES ('x', 'y')
          LOB(a) STORE AS SECUREFILE (
               DEDUPLICATE
          ),
     PARTITION p2 VALUES (DEFAULT)
);
不去除重复行
CREATE TABLE t1 ( a CLOB)
    LOB(a) STORE AS SECUREFILE (
         KEEP_DUPLICATES
         CACHE
    );
使用压缩：
CREATE TABLE t1 ( a CLOB)
    LOB(a) STORE AS SECUREFILE (
         COMPRESS
         CACHE
         NOLOGGING
    );
使用较高压缩比率：
CREATE TABLE t1 ( a CLOB)
    LOB(a) STORE AS SECUREFILE (
         COMPRESS HIGH
         CACHE
    );
使用加密：
CREATE TABLE t1 ( a CLOB ENCRYPT USING 'AES128')
    LOB(a) STORE AS SECUREFILE (
         CACHE
    );

参考文档为：
Oracle® Database SecureFiles and Large Objects Developer's Guide
11g Release 1 (11.1)

6.        配置独立的服务名：
为数据库尤其是RAC 各项不同的工作性质配置不同的服务名 将不仅可以分割业务，并且便于监控和资源控制
可以使用如下命令创建服务
srvctl add service -d <dbname> -s<service name> -r <prefer name> -a <available name>
dbname 为数据库名 service name 为服务名 -r 为首选instance name -a 为备选instance name
举例如下
srvctl add service -d wmomse4 -s wmomse4_batch -r “wmomse41,wmomse42” -a “wmomse43”
srvctl config service -d wmomse4 -s wmomse4_batch
srvctl start service -d wmomse4 -s wmomse4_batch

7.        数据库密码大小写敏感
11gR1 中增加了新的参数 sec_case_sensitive_logon
此参数可以设置数据库是否对密码大大小写敏感。
设置为true将对大小写敏感
设置为false将不会对大小写敏感。