GBase 8s 安全技术指南

1 管理员分类与职责

1.1 管理员的分类

系统提供三个方面的管理员操作：数据管理员操作、安全管理员操作和审计管理 员操作。为此，系统设置了三类管理人员：数据管理员、安全管理员和审计管理员。
数据管理员使用企业管理器负责数据的管理、用户管理以及设定用户对数据库对 象（库、表、字段等）的操作权限（DDL、DML 等）。在系统初始版本生成时建立并激 活第一个负责数据管理的数据管理员 sysdba 并定义其初始口令，为 GBase8szyj 。
安全管理员使用安全管理器进行系统的强制访问控制管理。包括安全标记设置、 授权及安全审计员日志的审查分析，它为每个主体和每个客体设置安全级别，包括密 级、范畴和访问特性。任何经过该软件的操作都要由统一的安全机制对主体及客体的 安全级别进行比较审查。强制访问控制安全管理员还可以根据需要，修改自己的口令。 具体地讲，安全管理员负责所有强制访问控制命令的操作。其具体职能是：
 标识、修改（安全标签）
 标识、修改与删除客体标识
 标识、修改与删除主体标识
 有关安全信息的浏览
在系统初始版本生成时建立并激活数据安全管理员 sysdsa 并定义其初始口令， 为 GBase8szyj。
审计管理员使用审计工具进行审计功能的设置、维护和管理操作，负责系统审计 功能的管理。对用户在数据库中的活动事件进行记录，该活动可能是修改或展示数据， 或者是审计和安全策略的配置等。在系统初始版本生成时建立并激活审计管理员 sysdaa 并定义其初始口令，为 GBase8szyj 。

1.2 数据库登录模式分类

1.2.1 功能概述

GBase 8s Server 提供三种用户登录模式，分别是数据库内部用户模式、维护模 式和全模式，描述如下：
数据库内部用户模式：仅支持 sysdba、sysdsa、sysdaa 以及由 sysdba 创建的 用户使用数据库。
 维护模式：仅支持 root、gbasedbt 用户访问数据库，可用于进行数据库备份恢 复、导入导出等工作。该模式下不支持数据库内部用户登录。
 全模式：同时支持数据库内部用户模式和维护模式。

1.2.2 配置说明

用户登录模式功能可通过设置 ONCONFIG 文件 CONF_SWITCH 配置项控制登录模 式。推荐使用CONF_SWITCH=2 模式，可通过 onmode -wf CONF_SWITCH=2 设置。