ORA-12420错误导致策略包缺少必要函数，远程帮忙修复解决办法分享

ORA-12420错误是Oracle数据库安全领域，特别是在使用Oracle Database Vault（数据库保险库）时，可能遇到的一个比较棘手的问题，这个错误的核心信息通常是“策略包缺少必要函数”，它直接导致依赖于该策略包的某些数据库操作，比如用户登录、特定SQL语句的执行等，被意外阻止，想象一下，你为数据库设置了一套精密的安保规则（策略包），但突然发现这个安保系统的一个关键部件（函数）不见了，导致整个门禁系统失灵，合法用户也被挡在门外，这就是ORA-12420错误的典型场景。

根据Oracle官方支持社区和多位技术专家的经验分享,这个错误通常不是凭空出现的，其根源往往在于对策略包（Policy Package）或其依赖对象的不当操作，主要原因可以归结为以下几点：

第一,也是最常见的原因，是直接删除了策略包中所引用的自定义函数，Database Vault允许你创建复杂的授权规则，这些规则常常会调用你自己编写的PL/SQL函数来判断一个操作是否被允许，你可能有一个名为“CHECK_ACCESS”的函数，它被你的“SECURE_LOGIN_POLICY”策略包所调用，如果你在修改数据库时，不小心或者在没有意识到依赖关系的情况下，将这个“CHECK_ACCESS”函数删除了（DROP FUNCTION），那么当下次策略包需要执行它时，就会因为找不到该函数而抛出ORA-12420错误。

第二,对策略包依赖的函数进行了重命名或修改了参数，但没有同步更新策略包中的引用，你可能为了代码规范而重命名了函数，或者修改了函数的参数列表，如果策略包内部仍然按照旧的函数名和参数格式去调用，同样会导致“找不到函数”的问题。

第三,在还原（Import）或升级数据库的过程中出现问题，从一个备份中还原数据库时，如果还原顺序不当，可能会先还原了引用函数的策略包，而后还原的函数对象因为某种原因失败或丢失，也会造成策略包处于一种不完整的状态。

第四,Oracle Database Vault本身的配置或元数据损坏，虽然较为罕见，但也不能完全排除由于软件缺陷、存储问题或异常关机等原因，导致记录策略包与函数之间依赖关系的内部元数据出现错乱。

当遇到ORA-12420错误时，首要任务是保持冷静，然后按照系统化的步骤来诊断和修复，以下是基于实践总结出的解决办法：

第一步：精准定位问题根源

你不能盲目操作,必须先确切地知道是哪个策略包缺失了哪个函数，Oracle的错误信息通常会提供一些线索，但可能不够详细，你需要以具有足够权限的用户（如DV_OWNER或DV_ACCTMGR角色，甚至是SYSDBA）登录数据库，进行深入查询。

一个非常有效的查询语句是检查DBA_DV_POLICY_DEVICE视图，你可以尝试执行类似以下的SQL（来源：Oracle社区专家建议）：

SELECT policy_name, rule_set_name, enabled_flag FROM DBA_DV_POLICY_DEVICE;

但这可能还不够直接,更直接的方法是检查策略包相关的数据字典视图，或者直接查看导致错误的策略包的定义，由于具体视图可能因Oracle版本而异，一个通用的方法是，如果你能从错误日志或应用反馈中得知是哪个策略包出了问题（比如叫“RESTRICTIVE_PKG”），那么可以尝试查看其源代码：

SELECT TEXT FROM DBA_SOURCE WHERE NAME = 'RESTRICTIVE_PKG' AND TYPE = 'PACKAGE BODY';

仔细审查其代码,寻找那些被调用但可能已被删除的函数名，这个过程可能需要一些PL/SQL代码阅读能力。

第二步：根据原因采取修复行动

1. 函数确实被删除。 这是最简单的情况，解决方案就是重新创建这个缺失的函数，你需要找到该函数最初创建的SQL脚本（希望你有完善的版本管理），或者根据业务逻辑重新编写一个，使用CREATE OR REPLACE FUNCTION语句将其重新创建到数据库中，一旦函数被成功创建，策略包就能重新找到它，错误便会消失。

2. 函数存在，但策略包引用错误。 如果检查发现函数实际上存在，但名称或参数不匹配，那么你有两个选择：

   

   • 修改函数：将函数改回策略包所期望的名称和参数格式，这通常更简单直接。
   • 修改策略包：重新编译策略包，使其指向正确的函数，这可能需要你使用DBMS_MACADM包中的过程来更新策略规则，先禁用规则，更新规则表达式（其中包含函数调用），再启用规则，这个过程相对复杂，建议参考Oracle官方文档中关于DBMS_MACADM.UPDATE_RULE的用法。

3. 元数据损坏或复杂依赖问题。 如果上述方法都无效，问题可能更深层，可以尝试简单地重新编译策略包：

   ALTER PACKAGE your_problem_package_name COMPILE BODY;

   编译过程能自动解决一些轻微的依赖关系问题。

   如果仍不行,更彻底的方法是：先记录下该策略包的所有规则配置，然后使用Database Vault的管理工具（如DBMS_MACADM包）或Oracle Enterprise Manager界面，删除并重新创建这个策略包，这是一个重量级操作，务必在业务低峰期进行，并确保你有完整的配置备份，在删除前，一定要用SQL语句将策略包的所有规则定义和授权细节查询出来并保存好。

第三步：全面测试与预防

修复完成后,绝对不要立即认为万事大吉，必须进行全面的测试：

• 模拟受该策略包影响的各类操作,如特定用户的登录、特定表的查询和更新等。
• 检查数据库的告警日志和Database Vault的专属日志，确认没有新的错误产生。
• 验证所有相关的应用程序功能是否恢复正常。

为了从根本上预防ORA-12420错误，应该建立良好的变更管理规范：

• 严格的变更流程：对Database Vault策略包及其依赖的函数进行任何修改或删除前，必须评估影响范围，并在测试环境充分验证。
• 完善的备份：不仅备份数据，还要备份所有的模式对象创建脚本，特别是这些安全策略相关的代码。
• 清晰的文档：维护一份文档，清晰地记录每个策略包依赖哪些函数和对象，方便在变更时进行影响分析。

解决ORA-12420错误是一个“侦探”过程，关键在于准确找到缺失的“拼图”（函数），然后将其放回原位，通过谨慎的诊断和有条不紊的修复，完全可以解决此问题，并借此机会加强数据库安全组件的管理流程。