达梦数据库用户权限管理

三权分立（Separation of Duties, SoD）是一个重要的概念，它确保不同的角色和职责分离，以防止欺诈和错误。对于数据库系统，三权分立同样适用，通过将不同的权限分配给不同的用户，可以提高数据库的安全性和管理效率。

DM安全版本下提供建库参数PRIV_FLAG设置使用“三权分立”或“四权分立”安全机制，0 表示“三权分立”，1 表示“四权分立”，即仅DM安全版本提供“四权分立”安全机制，默认采用“三权分立”安全机制。企业版和标准版都采用“三权分立”安全机制。

在安装过程中，DM 数据库会预设数据库管理员账号 SYSDBA、数据库安全员账号 SYSSSO 和数据库审计员账号 SYSAUDITOR，其缺省口令都与用户名一致。“四权分立”的安全机制，将系统管理员分数据库管理员、数据库对象操作员、 数据库安全员和数据库审计员四类，在“三权分立”的基础上，新增数据库对象操作员账户 SYSDBO，其缺省口令为 SYSDBO。

1． 数据库管理员（DBA）

“三权分立”的安全机制，每个 DM 数据库至少需要一个数据库管理员来管理，负责评估数据库运行所需的软、硬件环境、安装和升级 DM 数据库、配置 DM 数据库参数、创建主要 的数据库存储结构（表空间）和对象（如表、视图、索引、角色、用户等）、监控和优化数 据库性能、数据导入导出以及数据库的备份和恢复等。

“三权分立”时数据库管理员既可进行系统管理和维护工作，也可对数据内容进行增删查 改动作。根据国产数据库军事使用要求，数据库管理员只能进行系统管理和维护工作，不能 对数据内容进行增删查改，数据库应用人员则可操作数据内容，而不能管理和维护系统。 四权分立”的安全机制，在原有“三权分立”基础上调整自主访问控制权限，只具有“三权分 立”中 DBA 角色预设的一部分与数据库管理相关的明确的数据库权限，如数据库创建、备份、 还原和校验等。

2． 数据库安全员（SSO）

对于很多对安全性要求不高的系统来说，C2 级安全特性已经能够工作得很好，此时不 需要考虑通过数据库安全员来进一步加强系统的安全机制。但是在很多大型的系统中，安全 性还是至关重要的，有必要由安全员来制定安全策略，强化系统安全机制，此时数据库安全 员的主要任务就是制定安全策略，定义新的数据库安全员，设置系统的安全等级、范围和组，并为主、客体定义安全标记，从而全面提升系统安全性。

3． 数据库审计员（AUDITOR）

数据库审计员可以设置要审计的对象和操作、定义新的数据库审计员、查看和分析审计 记录。通过设置审计，几乎可以跟踪任何人在系统内执行的任何操作，为事后追查提供便利。

4． 数据库对象操作员（DBO）

数据库对象操作员是“四权分立”新增加的一类用户，可以创建数据库对象，并对自己拥有 的数据库对象（表、视图、存储过程、序列、包、外部链接）具有所有的对象权限并可以授 出与回收，但其无法管理与维护数据库对象。 需要说明的是，在 DM 数据库中有一个特殊的预定义用户“SYS”，此用户仅用于保存系统 内部对象，并非数据库管理员，也无法进行登录。

更多资讯请上达梦技术社区了解：https://eco.dameng.com