达梦数据库三员包括:系统管理员(SYSDBA)、安全员(SYSSO)、审计员(SYSAUDITOR)三个。
系统管理员(SYSDBA)负责生成用户身份标识符和系统运行维护。可以创建、删除用户,可以修改用户属性,没有修改用户安全属性的权限。可以创建、删除角色。可管理表空间。可以备份恢复数据库。没有审计权限。没有自主访问控制权限。安全员(SYSSO)不能创建用户,负责用户权限设定以及系统日志、普通用户和安全审计员日志的审查分析。能配置自主访问控制。能够对数据库管理系统中所有主体和客体进行标记。审计员(SYSAUDITOR)不能创建用户,负责对系统管理员和安全保密管理员的日志进行审查分析。
系统管理员
1.负责生成用户身份标识符和系统运行维护。SYSDBA可以不可以修改用户密码,但是可以查看用户的属性。使用DM管理工具,系统管理员SYSDBA登陆,右键选中左侧导航栏中管理用户,选定要查看的用户选择“属性”,查看该用户的属性信息。
2.可以创建、删除用户。但是对普通用户的表没有操作权限。只有普通用户对SYSDBA进行授权后,才能够对表进行操作。
3.可以创建(CREATE ROLE)、删除角色(DROP ROLE)。在创建用户时可以给用户指定角色。比如为TEST1用户指定为DBA角色:GRANT "DBA" TO "TEST1";
4.可以管理表空间(TABLESPACE),创建、修改以及增加数据文件,修改数据文件的大小。举例如下:
--创建名为“TS1.dbf”,大小为128M的表空间:CREATE TABLESPACE TS1 DATAFILE 'TS1.dbf' SIZE 128;
--修改表空间TS1的名字为TS2:ALTER TABLESPACE TS1 RENAME TO TS2;
--在表空间中增加一个数据文件大小为128M的数据文件:ALTER TABLESPACE TS2 ADD DATAFILE 'TS1_1.DBF' SIZE 128;
--修改数据文件TS1.dbf的大小为200M:ALTER TABLESPACE TS2 RESIZE DATAFILE 'TS1.DBF' TO 200;
--删除表空间:DROP TABLESPACETS2;5.可以备份恢复数据库。
5.可以备份恢复数据库。
6.没有审计权限。没有自主访问控制权限。
数据库安全员
1.不能够创建用户,但在创建用户时,需要由安全员来分发用户密码。用户创建完成后,密码的修改由用户自己负责,SYSSSO不再具有修改密码的权限。
2.负责用户权限设定,可以将系统权限授予指定用户。一些常见的系统权限CREATE TABLE、SELECT TABLE、INSERT VIEW、BACKUP DATABASE等等。比如:将表的SELECT权限授予TEST1用户GRANT SELECT TABLE TOTEST1。
3.可以修改用户属性,例如会话超时时间、用户的最大会话数等等,但是没有修改用户安全属性的权限。比如:修改会话超时时间:ALTER USER "TEST1" LIMIT CONNECT_IDLE_TIME 3;修改最大会话数:ALTER USER "TEST1" LIMIT SESSION_PER_USER 5;
4.对普通用户和安全审计员日志的进行审查分析。可以根据需求设置相应的设计策略。比如审计普通用户和安全审计员的连接登录状况,包括成功和失败,执行:SP_AUDIT_STMT('CONNECT', 'NULL', 'ALL')。
5.能够对数据库管理系统中所有主体和客体进行标记。
数据库审计员
负责对系统管理员和安全保密管理员的日志进行审查分析。例如审计系统管理员和安全保密管理员的连接登录状况,包括成功和失败,执行:SP_AUDIT_STMT('CONNECT', 'NULL', 'ALL')。审计系统管理员对表的更新操作,执行:SP_AUDIT_STMT('UPDATE TABLE', 'NULL', ' SYSDBA');审计安全保密管理员的策略设置,执行:SP_AUDIT_STMT('MACPOLICY', 'SYSSSO', 'ALL');