数据库系统安全机制设立
学习者:张源凯
目录
1、DM安全机制概括
2、DM系统管理员的类型
3、数据库管理员(DBA)
4、数据库审计员(AUDITOR)
5、数据库对象操作员(DBO)
6、数据库管理员的任务
7、数据库安全员的任务
8、数据库审计员的任务
----------------------------------------------------------------------------------------------------------------------------
1、DM安全机制概括
DM数据库采用”三权分立”或”四权分立”的安全机制,来保证数据库系统的安全性。
2、DM系统管理员的类型
DM数据库实现了B1级安全特性。”三权分立”的安全机制,将系统管理员分为数据库管理员、数据库安全员、和数据库审计员三类。在安装过程中,DM数据库会预设数据库管理员账号SYSDBA、数据库安全员账号SYSSSO和数据库审计员账号SYSAUDITOR,其口令均由用户自己设置。”四权分立”的安全机制,将系统管理员分数据库管理员、数据库对象操作员、数据库安全员和数据库审计员四类,在”三权分立”的基础上,新增数据库对象操作员账户SYSDBO,其口令由用户自己设置。
3、数据库管理员(DBA)
“三权分立”的安全机制,每个DM数据库至少需要一个数据库管理员来管理,负责评估数据库运行所需的软、硬件环境、安装和升级DM数据库、配置DM数据库参数、创建主要的数据库存储结构和对象、监控和优化数据库性能、数据导入导出以及数据库的备份和恢复等。
“三权分立”时数据库管理员即可进行系统管理和维护工作,也可对数据内容进行增删查改动作。根据国产数据库军事使用要求,数据库管理员只能进行系统管理和维护工作,不能对数据内容进行增删查改,数据库应用人员则可操作数据内容,而不能管理和维护系统。
“四权分立”的安全机制,在原有“三权分立”基础上调整自主访问控制权限,只具有“三权分立”中 DBA 角色预设的一部分与数据库管理相关的明确的数据库权限,如数据库创建、备份、还原和校验等。
4、数据库审计员(AUDITOR)
数据库审计员可以设置要审计的对象和操作、定义新的数据库审计员、查看和分析审计记录。通过设置审计,几乎可以跟踪任何人在系统内执行的任何操作,为事后追查提供便利。
5、数据库对象操作员(DBO)
数据库对象操作员是“四权分立”新增加的一类用户,可以创建数据库对象,并对自己拥有的数据库对象(表、视图、存储过程、序列、包、外部链接)具有所有的对象权限并可以授出与回收,但其无法管理与维护数据库对象。
需要说明的是,在 DM 数据库中有一个特殊的预定义用户“SYS”,此用户仅用于保存系统内部对象,并非数据库管理员,也无法进行登录。
6、数据库管理员的任务
每个数据库至少需要一个 DBA 来管理,DBA 可能是一个团队,也可能是一个人。在不同的公司,数据库管理员的职责可能也会有比较大的区别,数据库管理员的职责主要包括:
- 评估数据库服务器所需软、硬件运行环境
- 安装和升级DM服务器
- 数据库结构设计
- 监控和优化数据库的性能
- 计划和实施备份与故障恢复
7、数据库安全员的任务
数据库安全员的主要职责就是制定并应用安全策略,强化系统安全机制。数据库安全员 SYSSSO 是 DM 数据库初始化的时候就已经创建好的,可以以该用户登录到 DM 数据库来创建新的数据库安全员。SYSSSO 或者新的数据库安全员都可以制定自己的安全策略,在安全策略中定义安全级别、范围和组,然后基于定义的安全级别、范围和组来创建安全标记,并将安全标记分别应用到主体(用户)和客体(表),以便启用强制访问控制功能。数据库安全员不能对用户数据进行增、删、改、查,也不能执行普通的 DDL 操作,他们只负责制定安全机制,将合适的安全标记应用到主体和客体,通过这种方式可以有效的对 DBA 的权限进行限制,DBA 此后就不能直接访问添加有安全标记的数据,除非安全员给 DBA 也设定了与之匹配的安全标记,DBA 的权限受到了有效的约束。
8、数据库审计员的任务
在 DM 数据库中,审计员主要是创建和删除数据库审计员,设置/取消对数据库对象和操作的审计设置,查看和分析审计记录等。
社区地址:https://eco.dameng.com