數(shù)據(jù)庫(kù)系統(tǒng)管理與應(yīng)用 課件 項(xiàng)目6　達(dá)夢(mèng)數(shù)據(jù)庫(kù)的安全管理

數(shù)據(jù)安全管理相關(guān)法律法規(guī)及標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)系統(tǒng)管理與應(yīng)用

習(xí)標(biāo)學(xué)目相關(guān)法律法規(guī)01相關(guān)標(biāo)準(zhǔn)和規(guī)范02數(shù)據(jù)安全管理規(guī)范實(shí)例03相關(guān)法律法規(guī)011相關(guān)法律法規(guī)為保障網(wǎng)絡(luò)安全，規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益，國(guó)家先后出臺(tái)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全審查辦法》等法律法規(guī)，對(duì)網(wǎng)絡(luò)行為、數(shù)據(jù)處理活動(dòng)等進(jìn)行規(guī)范，共同構(gòu)成我國(guó)信息安全的法律框架?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》是為保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展制定，由全國(guó)人民代表大會(huì)常務(wù)委員會(huì)于2016年11月7日發(fā)布，自2017年6月1日起施行。1相關(guān)法律法規(guī)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》有以下幾個(gè)方面值得特別關(guān)注：一是確定網(wǎng)絡(luò)空間主權(quán)原則、網(wǎng)絡(luò)安全與信息化發(fā)展并重原則、網(wǎng)絡(luò)空間安全共同治理原則，二是提出制定網(wǎng)絡(luò)安全戰(zhàn)略，明確網(wǎng)絡(luò)空間治理目標(biāo)，提高了我國(guó)網(wǎng)絡(luò)安全政策的透明度；三是明確了網(wǎng)信部門(mén)與其他相關(guān)網(wǎng)絡(luò)監(jiān)管部門(mén)的職責(zé)分工，完善了網(wǎng)絡(luò)安全監(jiān)管體制；四是強(qiáng)化了網(wǎng)絡(luò)運(yùn)行安全，重點(diǎn)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施；五是完善了網(wǎng)絡(luò)安全義務(wù)和責(zé)任，加大了違法懲處力度；六是將監(jiān)測(cè)預(yù)警與應(yīng)急處置措施制度化、法制化。1相關(guān)法律法規(guī)《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》于2021年6月10日第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議通過(guò)，并于2021年9月1日起正式實(shí)施?！吨腥A人民共和國(guó)數(shù)據(jù)安全法》作為我國(guó)第一部專門(mén)規(guī)定“數(shù)據(jù)”安全的法律，明確了對(duì)“數(shù)據(jù)”的規(guī)制原則。

一是明確將數(shù)據(jù)安全上升到國(guó)家安全范疇，明確“維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國(guó)家安全觀”，并將“維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益”寫(xiě)入本法的立法目的條款中。

二是建立重要數(shù)據(jù)和數(shù)據(jù)分級(jí)分類管理制度，“根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)”。1相關(guān)法律法規(guī)《中華人民共和國(guó)數(shù)據(jù)安全法》三是完善數(shù)據(jù)出境風(fēng)險(xiǎn)管理。

四是明確規(guī)定數(shù)據(jù)安全保護(hù)義務(wù)，建立健全全流程數(shù)據(jù)安全管理制度，組織開(kāi)展教育培訓(xùn)。重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，進(jìn)一步落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任主體。

對(duì)出現(xiàn)缺陷、漏洞等風(fēng)險(xiǎn)，要采取補(bǔ)救措施：發(fā)生數(shù)據(jù)安全事件，應(yīng)當(dāng)立即采取處置措施，并按規(guī)定上報(bào)。并要求企業(yè)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估并上報(bào)風(fēng)評(píng)報(bào)告。針對(duì)數(shù)據(jù)服務(wù)商或交易機(jī)構(gòu)，要求其提供并說(shuō)明數(shù)據(jù)來(lái)源證據(jù)，要審核相關(guān)人員身份并留存記錄。數(shù)據(jù)服務(wù)經(jīng)營(yíng)者應(yīng)當(dāng)取得行政許可的，服務(wù)提供者應(yīng)當(dāng)依法取得許可。《數(shù)據(jù)安全法》還明確要求企業(yè)依法配合公安、安全等部門(mén)進(jìn)行犯罪調(diào)查。境外執(zhí)法機(jī)構(gòu)要調(diào)取存儲(chǔ)在中國(guó)的數(shù)據(jù)，未經(jīng)批準(zhǔn)，不得提供。1相關(guān)法律法規(guī)《網(wǎng)絡(luò)安全審查辦法》《網(wǎng)絡(luò)安全審查辦法》于2021年11月16日經(jīng)國(guó)家互聯(lián)網(wǎng)信息辦公室2021年第20次室務(wù)會(huì)議審議通過(guò)，自2022年2月15日起施行?！毒W(wǎng)絡(luò)安全審查辦法》將網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開(kāi)展數(shù)據(jù)處理活動(dòng)影響或可能影響國(guó)家安全等情形納入網(wǎng)絡(luò)安全審查，審查的重點(diǎn)《網(wǎng)絡(luò)安全審查辦法》第十條明確規(guī)定，對(duì)網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市審查時(shí)，重點(diǎn)評(píng)估企業(yè)上市可能帶來(lái)的核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險(xiǎn)；關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響、控制、惡意利用的風(fēng)險(xiǎn)，以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)等因素。相關(guān)標(biāo)準(zhǔn)和規(guī)范022相關(guān)標(biāo)準(zhǔn)和規(guī)范1.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估為了指導(dǎo)數(shù)據(jù)處理活動(dòng)，相關(guān)部門(mén)制定了100余項(xiàng)技術(shù)標(biāo)準(zhǔn)和規(guī)范，主要涉及數(shù)據(jù)技術(shù)、安全技術(shù)、安全管理和重點(diǎn)領(lǐng)域等，下面列出一些涉及數(shù)據(jù)安全的技術(shù)標(biāo)準(zhǔn)和規(guī)范：

1.1《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》GB/T20984-20221.2《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》GB/T31509-20152.3《信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南》GB/T33132-20162相關(guān)標(biāo)準(zhǔn)和規(guī)范2.信息系統(tǒng)安全工程

2.1《信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求》GB/T20271-20062.2《信息安全技術(shù)系統(tǒng)安全I(xiàn)程能力成熟度模型》GB/T20261-20203.信息系統(tǒng)風(fēng)險(xiǎn)管理3.1《信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南》GB/Z24364-20093.2《信息安全技術(shù)信息安全治理》GB/T32923-20162相關(guān)標(biāo)準(zhǔn)和規(guī)范4.信息安全管理體系4.1《信息安全技術(shù)信息安全管理體系要求》GB/T22080-20164.2《信息安全技術(shù)信息安全管理實(shí)用規(guī)則》GB/T19716-20054.3《信息安全技術(shù)信息安全控制措施審核員指南》GB/Z32916-20164.4《信息安全技術(shù)信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》GB/T25067-20204.5《信息安全技術(shù)信息安全控制實(shí)踐指南》GB/T22081-2016.4.6《信息安全技術(shù)信息系統(tǒng)安全管理評(píng)估要求》GB/T28453-20124.7《信息技術(shù)信息技術(shù)安全管理指南第1部分:信息技術(shù)安全概念和模型》GB/T19715.1-20054.8《信息技術(shù)信息技術(shù)安全管理指南第2部分:管理和規(guī)劃信息技術(shù)安全》GB/T19715.2-20052相關(guān)標(biāo)準(zhǔn)和規(guī)范5.信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)5.1《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》GB/T17859-19995.2《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB/T22239-20195.3《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》GB/T25058-20195.4《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T25070-20195.5《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》GB/T28448-20195.6《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》GB/T28449-20185.7《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》GB/T22240-20185.8《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》GB/T36627-20185.9《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范》GB/T36959-20182相關(guān)標(biāo)準(zhǔn)和規(guī)范6.安全保障評(píng)估6.1《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第1部分：簡(jiǎn)介和一般模型》GB/T20274.120066.2《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第2部分：技術(shù)保障》GB/T20274.220086.3《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第3部分：管理保障》GB/T20274.320086.4《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第4部分：工程保障》GB/T20274.420087.應(yīng)急響應(yīng)7.1《信息安全技術(shù)信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》GB/T24363-20097.2《信息安全技術(shù)信息安全事件管理指南》GB/Z20985-20077.3《信息安全技術(shù)信息安全事件分類分級(jí)指南》GB/Z20986-20072相關(guān)標(biāo)準(zhǔn)和規(guī)范8.數(shù)據(jù)安全8.1《信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》GB/T35274-20178.2《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》GB/T37988-20198.3《信息安全技術(shù)大數(shù)據(jù)安全管理指南》GB/T37973-20198.4《數(shù)據(jù)管理能力成熟度評(píng)估模型》GB/T36073-20189.業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)9.1《公共安全業(yè)務(wù)連續(xù)性管理體系要求》GB/T30146-20139.2《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》GB/T20988-20079.3《信息安全技術(shù)災(zāi)難恢復(fù)服務(wù)能力評(píng)估準(zhǔn)則》GB/T37046-20189.4《信息安全技術(shù)災(zāi)難恢復(fù)服務(wù)要求》GB/T36957-2018數(shù)據(jù)庫(kù)安全管理規(guī)范實(shí)例033數(shù)據(jù)庫(kù)安全管理規(guī)范實(shí)例數(shù)據(jù)庫(kù)安全管理規(guī)范實(shí)例1.目的2.適用范圍3.數(shù)據(jù)庫(kù)管理員職責(zé)（配置管理、賬戶管理、運(yùn)行監(jiān)控、數(shù)據(jù)備份管理、日志管理、應(yīng)急處理）4.數(shù)據(jù)庫(kù)安全員職責(zé)（日常檢查、安全策略設(shè)置、賬戶授權(quán)、檢查分析違規(guī)安全事件和行為）5.數(shù)據(jù)庫(kù)審計(jì)員職責(zé)（變更審核、日志審計(jì)、日志管理）6.安全管理（環(huán)境安全、服務(wù)器安全、數(shù)據(jù)庫(kù)安全、賬戶管理、訪問(wèn)控制、）7.備份與恢復(fù)（統(tǒng)籌建設(shè)災(zāi)難備份系統(tǒng)、建立數(shù)據(jù)備份機(jī)制、備份文件保管、數(shù)據(jù)恢復(fù)）

詳細(xì)內(nèi)容見(jiàn)教材6.1.3學(xué)習(xí)了解數(shù)據(jù)安全相關(guān)法律法規(guī)。01學(xué)習(xí)了解有關(guān)數(shù)據(jù)的標(biāo)準(zhǔn)和規(guī)范能夠編寫(xiě)單位數(shù)據(jù)安全管理制度（規(guī)范）03總結(jié)02謝謝觀看數(shù)據(jù)庫(kù)系統(tǒng)管理與應(yīng)用達(dá)夢(mèng)數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)系統(tǒng)管理與應(yīng)用

習(xí)標(biāo)學(xué)目達(dá)夢(mèng)數(shù)據(jù)庫(kù)初始用戶01創(chuàng)建用戶02修改用戶03刪除用戶04達(dá)夢(mèng)數(shù)據(jù)庫(kù)初始用戶01數(shù)據(jù)庫(kù)管理員DBA數(shù)據(jù)庫(kù)安全員SSO數(shù)據(jù)庫(kù)審計(jì)員AUDITOR達(dá)夢(mèng)數(shù)據(jù)庫(kù)初始用戶數(shù)據(jù)庫(kù)對(duì)象操作員DBO用戶名：SYSDBA默認(rèn)口令：SYSDBA用戶名：SYSSSO默認(rèn)口令：SYSSSO用戶名：SYSAUDITOR默認(rèn)口令：SYSAUDITOR用戶名：SYSDBO默認(rèn)口令：SYSDBO01數(shù)據(jù)庫(kù)管理員（DBA）每個(gè)數(shù)據(jù)庫(kù)至少需要一個(gè)DBA來(lái)管理，DBA可以是一個(gè)人，也可以是一個(gè)團(tuán)隊(duì)。達(dá)夢(mèng)數(shù)據(jù)庫(kù)初始用戶數(shù)據(jù)庫(kù)管理員的職責(zé)主要包括：評(píng)估數(shù)據(jù)庫(kù)服務(wù)器所需的軟、硬件運(yùn)行環(huán)境；安裝和升級(jí)達(dá)夢(mèng)服務(wù)器；數(shù)據(jù)庫(kù)結(jié)構(gòu)設(shè)計(jì)；監(jiān)控和優(yōu)化數(shù)據(jù)庫(kù)的性能；計(jì)劃和實(shí)施備份與故障恢復(fù)。02數(shù)據(jù)庫(kù)安全員（SSO）數(shù)據(jù)庫(kù)安全員對(duì)于限制和監(jiān)控?cái)?shù)據(jù)庫(kù)管理員的所有行為起著至關(guān)重要的作用。達(dá)夢(mèng)數(shù)據(jù)庫(kù)初始用戶主要職責(zé)：制定并應(yīng)用安全策略，強(qiáng)化系統(tǒng)安全機(jī)制。數(shù)據(jù)庫(kù)安全員SYSSSO是達(dá)夢(mèng)數(shù)據(jù)庫(kù)初始化的時(shí)候就已經(jīng)創(chuàng)建好的，可以使用該用戶登錄到達(dá)夢(mèng)數(shù)據(jù)庫(kù)來(lái)創(chuàng)建新的數(shù)據(jù)庫(kù)安全員。數(shù)據(jù)庫(kù)安全員也可以創(chuàng)建和刪除新的安全用戶，向這些用戶授予和回收安全相關(guān)的權(quán)限。數(shù)據(jù)庫(kù)安全員不能對(duì)用戶數(shù)據(jù)進(jìn)行增、刪、改、查，也不能執(zhí)行普通的DDL操作，如創(chuàng)建表、視圖等。他們只負(fù)責(zé)制定安全機(jī)制，將合適的安全標(biāo)記應(yīng)用到主體和客體，通過(guò)這種方式可以有效的對(duì)DBA的權(quán)限進(jìn)行限制，DBA此后就不能直接訪問(wèn)添加有安全標(biāo)記的數(shù)據(jù)，除非安全員給DBA也設(shè)定了與之匹配的安全標(biāo)記，DBA的權(quán)限受到了有效的約束。數(shù)據(jù)庫(kù)安全員用戶或者新的數(shù)據(jù)庫(kù)安全員都可以制定自己的安全策略，在安全策略中定義安全級(jí)別、范圍和組，然后基于定義的安全級(jí)別、范圍和組來(lái)創(chuàng)建安全標(biāo)記，并將安全標(biāo)記分別應(yīng)用到主體和客體，以便啟用強(qiáng)制訪問(wèn)控制功能。03數(shù)據(jù)庫(kù)審計(jì)員（AUDITOR）數(shù)據(jù)庫(kù)審計(jì)員對(duì)于限制和監(jiān)控?cái)?shù)據(jù)庫(kù)管理員的所有行為起著至關(guān)重要的作用。達(dá)夢(mèng)數(shù)據(jù)庫(kù)初始用戶主要職責(zé)：創(chuàng)建和刪除數(shù)據(jù)庫(kù)審計(jì)員，設(shè)置/取消對(duì)數(shù)據(jù)庫(kù)對(duì)象和操作的審計(jì)設(shè)置，查看和分析審計(jì)記錄等。為了能夠及時(shí)找到DBA或者其他用戶的非法操作，在達(dá)夢(mèng)數(shù)據(jù)庫(kù)系統(tǒng)建設(shè)初期，就由數(shù)據(jù)庫(kù)審計(jì)員（SYSAUDITOR或者其他由SYSAUDITOR創(chuàng)建的審計(jì)員）來(lái)設(shè)置審計(jì)策略（包括審計(jì)對(duì)象和操作），在需要時(shí)，數(shù)據(jù)庫(kù)審計(jì)員可以查看審計(jì)記錄，及時(shí)分析并查找出幕后真兇。達(dá)夢(mèng)數(shù)據(jù)庫(kù)初始化時(shí)創(chuàng)建的數(shù)據(jù)庫(kù)審計(jì)員為SYSAUDITOR，缺省口令為SYSAUDITOR。04數(shù)據(jù)庫(kù)對(duì)象操作員（DBO）達(dá)夢(mèng)數(shù)據(jù)庫(kù)初始用戶數(shù)據(jù)庫(kù)對(duì)象操作員是達(dá)夢(mèng)安全版本提供的一類用戶，使用安全版本時(shí)，可在創(chuàng)建達(dá)夢(mèng)數(shù)據(jù)庫(kù)時(shí)通過(guò)建庫(kù)參數(shù)PRIV_FLAG設(shè)置使用“三權(quán)分立”或“四權(quán)分立”安全機(jī)制，0表示“三權(quán)分立”，1表示“四權(quán)分立”（該參數(shù)僅安全版本提供）。采用“四權(quán)分立”安全機(jī)制新增的數(shù)據(jù)庫(kù)對(duì)象操作員賬戶SYSDBO，其缺省口令為SYSDBO。數(shù)據(jù)庫(kù)對(duì)象操作員可以創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象，并對(duì)自己擁有的數(shù)據(jù)庫(kù)對(duì)象（表、視圖、存儲(chǔ)過(guò)程、序列、包、外部鏈接等）具有所有的對(duì)象權(quán)限并可以授予與回收，但其無(wú)法管理與維護(hù)數(shù)據(jù)庫(kù)對(duì)象。

習(xí)標(biāo)學(xué)目達(dá)夢(mèng)數(shù)據(jù)庫(kù)初始用戶01創(chuàng)建用戶02修改用戶03刪除用戶04創(chuàng)建用戶0201SQL命令創(chuàng)建用戶--命令格式創(chuàng)建用戶語(yǔ)法格式如下：CREATEUSER<用戶名>IDENTIFIED<身份驗(yàn)證模式>[PASSWORD_POLICY<密碼策略>][<鎖定子句>][<存儲(chǔ)加密秘鑰>][<空間限制子句>][<只讀標(biāo)志>][<資源限制子句>][<允許IP子句>][<禁止IP子句>][<允許時(shí)間子句>][<禁止時(shí)間子句>][<TABLESPACE子句>][<INDEX_TABLESPACE子句>];創(chuàng)建用戶的操作一般只能由系統(tǒng)預(yù)設(shè)用戶SYSDBA、SYSSSO和SYSAUDITOR完成，如果普通用戶需要?jiǎng)?chuàng)建用戶，必須具有CREATEUSER權(quán)限。創(chuàng)建用戶包括為用戶指定用戶名、認(rèn)證模式、口令、口令策略、空間限制、只讀屬性以及資源限制。01SQL命令創(chuàng)建用戶命令中各子句說(shuō)明創(chuàng)建用戶<用戶名>::=長(zhǎng)度為1~128個(gè)字符。用戶名可以用雙引號(hào)括起來(lái)，也可以不用，但如果用戶名以數(shù)字開(kāi)頭，必須用雙引號(hào)括起來(lái)。<身份驗(yàn)證模式>::=<數(shù)據(jù)庫(kù)身份驗(yàn)證模式>|<外部身份驗(yàn)證模式><數(shù)據(jù)庫(kù)身份驗(yàn)證模式>::=BY<密碼>[<散列選項(xiàng)>]<密碼>::=用戶密碼最長(zhǎng)為48字節(jié)<散列選項(xiàng)>::=HASHWITH[<密碼引擎名>.]<散列算法>[<加鹽選項(xiàng)>]<散列算法>::=MD5|SHA1|SHA224|SHA256|SHA384|SHA512<加鹽選項(xiàng)>::=[NO]SALT<外部身份驗(yàn)證模式>::=EXTERNALLY|EXTERNALLYAS<用戶DN>外部身份驗(yàn)證僅在達(dá)夢(mèng)安全版本中才提供支持。外部身份驗(yàn)證模式支持基于操作系統(tǒng)(OS)的身份驗(yàn)證、LDAP身份驗(yàn)證和KERBEROS身份驗(yàn)證。01SQL命令創(chuàng)建用戶命令中各子句說(shuō)明創(chuàng)建用戶<密碼策略>::=密碼策略項(xiàng)的任意組合，系統(tǒng)支持的口令策略有：0無(wú)限制，但總長(zhǎng)度不得超過(guò)48個(gè)字節(jié)；1禁止與用戶名相同；2口令長(zhǎng)度不小于9字節(jié)；4至少包含一個(gè)大寫(xiě)字母（A-Z）；8至少包含一個(gè)數(shù)字（0-9）；16至少包含一個(gè)標(biāo)點(diǎn)符號(hào)（英文輸入法狀態(tài)下，除‘’和空格外的所有符號(hào)）密碼策略可以單獨(dú)應(yīng)用，也可組合應(yīng)用。組合應(yīng)用時(shí)，如需要應(yīng)用策略2和4，則設(shè)置密碼策略為2+4=6即可。若在創(chuàng)建用戶時(shí)沒(méi)有使用PASSWORD_POLICY<口令策略>子句指定用戶的密碼策略，則使用系統(tǒng)的默認(rèn)口令策略2。<鎖定子句>::=ACCOUNTLOCK|ACCOUNTUNLOCK<存儲(chǔ)加密秘鑰>::=ENCRYPTBY<口令><空間限制子句>::=DISKSPACELIMIT<空間大小>|DISKSPACEUNLIMITED<只讀標(biāo)志>::=READONLY|NOTREADONLY01SQL命令創(chuàng)建用戶命令中各子句說(shuō)明創(chuàng)建用戶<資源限制子句>::=LIMIT<資源設(shè)置項(xiàng)>{<資源設(shè)置項(xiàng)>……}<資源設(shè)置項(xiàng)>::=SESSION_PER_USER<參數(shù)設(shè)置>#最大會(huì)話數(shù)：1~32768，默認(rèn)值0CONNECT_TIME<參數(shù)設(shè)置>#會(huì)話空閑期，單位分鐘，1~1440，默認(rèn)值0CONNECT_IDLE_TIME<參數(shù)設(shè)置>#會(huì)話持續(xù)期，單位分鐘，1~1440，默認(rèn)值0FAILED_LOGIN_ATTEMPS<參數(shù)設(shè)置>#登陸失敗次數(shù)，單位次，1~100，默認(rèn)值3PASSWORD_LIFE_TIME<參數(shù)設(shè)置>#口令有效期，單位天，1~365，默認(rèn)值0PASSWORD_REUSE_TIME<參數(shù)設(shè)置>#口令等待期，單位天，1~365，默認(rèn)值0PASSWORD_REUSE_MAX<參數(shù)設(shè)置>#口令變更次數(shù)，單位次，1~32768，默認(rèn)值0PASSWORD_LOCK_TIME<參數(shù)設(shè)置>#口令鎖定期，單位分鐘，1~1440，默認(rèn)值1PASSWORD_GRACE_TIME<參數(shù)設(shè)置>#口令寬限期，單位天，1~30，默認(rèn)值0CPU_PER_SESSION<參數(shù)設(shè)置>#會(huì)話使用CPU時(shí)間，單位秒，1~31536000，默認(rèn)值0CPU_PER_CALL<參數(shù)設(shè)置>#請(qǐng)求使用CPU時(shí)間，，單位秒，1~86400，默認(rèn)值0READ_PER_SESSION<參數(shù)設(shè)置>#會(huì)話讀取頁(yè)數(shù)1~2147483646，默認(rèn)值0READ_PER_CALL<參數(shù)設(shè)置>#請(qǐng)求讀取頁(yè)數(shù)，1~2147483646，默認(rèn)值0MEM_SPACE<參數(shù)設(shè)置>#會(huì)話私有內(nèi)存，1~2147483646，默認(rèn)值0<參數(shù)設(shè)置>::=<參數(shù)值>|UNLIMITED#參數(shù)值最小值都是1，0表示無(wú)限制。01SQL命令創(chuàng)建用戶命令中各子句說(shuō)明創(chuàng)建用戶<允許IP子句>::=ALLOW_IP<IP項(xiàng)>{,<IP項(xiàng)>}<禁止IP子句>::=NOT_ALLOW_IP<IP項(xiàng)>{,<IP項(xiàng)>}<IP項(xiàng)>::=<具體IP>|<網(wǎng)段><允許時(shí)間子句>::=ALLOW_DATETIME<時(shí)間項(xiàng)>{,<時(shí)間項(xiàng)>}<禁止時(shí)間子句>::=NOT_ALLOW_DATETIME<時(shí)間項(xiàng)>{,<時(shí)間項(xiàng)>}<時(shí)間項(xiàng)>::=<具體時(shí)間段>|<規(guī)則時(shí)間段><具體時(shí)間段>::=<具體日期><具體時(shí)間>TO<具體日期><具體時(shí)間><規(guī)則時(shí)間段>::=<規(guī)則時(shí)間標(biāo)志><具體時(shí)間>TO<規(guī)則時(shí)間標(biāo)志><具體時(shí)間><規(guī)則時(shí)間標(biāo)志>::=MON|TUE|WED|THURS|FRI|SAT|SUN<TABLESPACE子句>::=DEFAULTTABLESPACE<表空間名><INDEX_TABLESPACE子句>::=DEFAULTINDEXTABLESPACE<表空間名>02DM管理工具創(chuàng)建用戶創(chuàng)建用戶使用SYSDBA用戶登錄DM管理工具，展開(kāi)用戶模塊，右鍵單擊【管理用戶】，選擇【新建用戶】，在打開(kāi)的“新建用戶”窗口，在【常規(guī)】選項(xiàng)卡輸入用戶名、密碼信息，選擇驗(yàn)證方式，設(shè)置密碼策略，并關(guān)聯(lián)相應(yīng)表空間。02DM管理工具創(chuàng)建用戶創(chuàng)建用戶在【資源設(shè)置項(xiàng)】選項(xiàng)卡輸入相應(yīng)資源設(shè)置項(xiàng)的參數(shù)值。如下圖所示。02DM管理工具創(chuàng)建用戶創(chuàng)建用戶在管理工具中，默認(rèn)設(shè)置情況如下：用戶名、口令、表空間名可以帶雙引號(hào)，也可以不帶；表空間名不帶雙引號(hào)的時(shí)候，會(huì)被管理工具轉(zhuǎn)換為大寫(xiě)；表空間名帶上雙引號(hào)的時(shí)候，會(huì)保持原來(lái)的大小寫(xiě)；用戶名不管是否加雙引號(hào)，都會(huì)轉(zhuǎn)換成大寫(xiě)；口令不管是否加雙引號(hào)，都會(huì)保持原來(lái)的大小寫(xiě)。修改用戶0301SQL命令修改用戶修改用戶語(yǔ)法格式如下：ALTERUSER<用戶名>[IDENTIFIED<身份驗(yàn)證模式>][PASSWORD_POLICY<口令策略>][<鎖定子句>][<存儲(chǔ)加密密鑰>][<空間限制子句>][<只讀標(biāo)志>][<資源限制子句>][<允許IP子句>][<禁止IP子句>][<允許時(shí)間子句>][<禁止時(shí)間子句>][<TABLESPACE子句>][<SCHEMA子句>];每個(gè)子句的具體語(yǔ)法與創(chuàng)建用戶的語(yǔ)法一致。用戶信息可以修改，SYSDBA、SYSSSO、SYSAUDITOR可以無(wú)條件修改同類型的用戶的信息；普通用戶修改信息，必須具有ALTERUSER數(shù)據(jù)庫(kù)權(quán)限。使用ALTERUSER語(yǔ)句可修改用戶口令、用戶的口令策略、空間限制、只讀屬性以及資源限制等。修改用戶口令時(shí)，口令策略應(yīng)符合創(chuàng)建該用戶時(shí)指定的口令策略02DM管理工具修改用戶修改用戶方法如下：使用SYSDBA用戶登錄DM管理工具，展開(kāi)【用戶】-【管理用戶】節(jié)點(diǎn)，在需要修改的用戶上右鍵單擊【修改】選項(xiàng)，在打開(kāi)的“修改用戶”窗口修改用戶信息。見(jiàn)圖所示。刪除用戶0401SQL命令刪除用戶刪除用戶語(yǔ)法格式如下：DROPUSER[IFEXISTS]<用戶名>[RESTRICT|CASCADE];說(shuō)用說(shuō)明：[IFEXISTS]選項(xiàng)，指定該關(guān)鍵字刪除不存在的用戶時(shí)不會(huì)報(bào)錯(cuò)，否則會(huì)報(bào)錯(cuò)。[RESTRICT|CASCADE]選項(xiàng)，缺省使用RESTRICT選項(xiàng)。如果在刪除用戶時(shí)未使用CASCADE選項(xiàng)，若該用戶建立了數(shù)據(jù)庫(kù)對(duì)象，達(dá)夢(mèng)數(shù)據(jù)庫(kù)將返回錯(cuò)誤信息，而不刪除此用戶。如果在刪除用戶時(shí)使用了CASCADE選項(xiàng)，除數(shù)據(jù)庫(kù)中該用戶及其創(chuàng)建的所有對(duì)象被刪除外，若其他用戶創(chuàng)建的對(duì)象引用了該用戶的對(duì)象，達(dá)夢(mèng)數(shù)據(jù)庫(kù)還將自動(dòng)刪除相應(yīng)的引用完整性約束及依賴關(guān)系。刪除用戶的操作一般由SYSDBA、SYSSSO、SYSAUDITOR用戶完成，他們可以刪除同類型的其他用戶；普通用戶要?jiǎng)h除其他用戶，需要具有DROPUSER權(quán)限。02DM管理工具刪除用戶刪除用戶使用SYSDBA用戶登錄DM管理工具，展開(kāi)【用戶】-【管理用戶】節(jié)點(diǎn)，在需要?jiǎng)h除的用戶上右鍵單擊【刪除】選項(xiàng)，在打開(kāi)的“刪除對(duì)象”窗口中選中要?jiǎng)h除的用戶，單擊【確定】按鈕，刪除用戶。若選中“?級(jí)聯(lián)刪除”選項(xiàng)，相當(dāng)于使用DROPUSER語(yǔ)句刪除用戶時(shí)應(yīng)用了CASCADE選項(xiàng)。達(dá)夢(mèng)數(shù)據(jù)庫(kù)初始化時(shí)會(huì)生成的初始用戶有：數(shù)據(jù)庫(kù)管理員SYSDBA、數(shù)據(jù)庫(kù)安全員SYSSSO，、數(shù)據(jù)庫(kù)審計(jì)員為SYSAUDITOR，如果安裝的是達(dá)夢(mèng)數(shù)據(jù)庫(kù)安全版本，還會(huì)創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象操作員SYSDBO。01創(chuàng)建用戶由系統(tǒng)預(yù)設(shè)用戶SYSDBA、SYSSSO和SYSAUDITOR完成，如果普通用戶需要?jiǎng)?chuàng)建用戶，必須具有CREATEUSER的數(shù)據(jù)庫(kù)權(quán)限。創(chuàng)建用戶時(shí)可以為用戶指定用戶名、認(rèn)證模式、口令、口令策略、空間限制、只讀屬性以及資源限制。用戶信息可以修改，SYSDBA、SYSSSO、SYSAUDITOR可以無(wú)條件修改同類型的用戶的口令；普通用戶只能修改自己的口令，如果需要修改其他用戶的口令，必須具有ALTERUSER數(shù)據(jù)庫(kù)權(quán)限。03總結(jié)02達(dá)夢(mèng)數(shù)據(jù)庫(kù)初始化時(shí)會(huì)生成的初始用戶有：數(shù)據(jù)庫(kù)管理員SYSDBA、數(shù)據(jù)庫(kù)安全員SYSSSO，、數(shù)據(jù)庫(kù)審計(jì)員為SYSAUDITOR，如果安裝的是達(dá)夢(mèng)數(shù)據(jù)庫(kù)安全版本，還會(huì)創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象操作員SYSDBO。04謝謝觀看數(shù)據(jù)庫(kù)系統(tǒng)管理與應(yīng)用達(dá)夢(mèng)數(shù)據(jù)庫(kù)權(quán)限管理數(shù)據(jù)庫(kù)系統(tǒng)管理與應(yīng)用

習(xí)標(biāo)學(xué)目用戶權(quán)限類型01數(shù)據(jù)庫(kù)權(quán)限管理02對(duì)象權(quán)限管理03用戶權(quán)限類型01數(shù)據(jù)庫(kù)權(quán)限對(duì)象權(quán)限用戶權(quán)限類型數(shù)據(jù)庫(kù)權(quán)限主要是指針對(duì)數(shù)據(jù)庫(kù)對(duì)象的創(chuàng)建、刪除、修改的權(quán)限，對(duì)數(shù)據(jù)庫(kù)備份等權(quán)限，數(shù)據(jù)庫(kù)權(quán)限一般由SYSDBA、SYSAUDITOR和SYSSSO指定，也可以由具有特權(quán)的其他用戶授予。對(duì)象權(quán)限主要是指對(duì)數(shù)據(jù)庫(kù)對(duì)象中的數(shù)據(jù)的訪問(wèn)權(quán)限，對(duì)象權(quán)限一般由數(shù)據(jù)庫(kù)對(duì)象的所有者授予用戶，也可由SYSDBA用戶指定，或者由具有該對(duì)象權(quán)限的其他用戶授予。數(shù)據(jù)庫(kù)權(quán)限管理0201數(shù)據(jù)庫(kù)權(quán)限數(shù)據(jù)庫(kù)權(quán)限管理數(shù)據(jù)庫(kù)權(quán)限是與數(shù)據(jù)庫(kù)安全相關(guān)的權(quán)限，其權(quán)限范圍比對(duì)象權(quán)限更加廣泛，因而一般被授予數(shù)據(jù)庫(kù)管理員或者一些具有管理功能的角色。數(shù)據(jù)庫(kù)權(quán)限與達(dá)夢(mèng)預(yù)定義角色有著重要的聯(lián)系，一些數(shù)據(jù)庫(kù)權(quán)限由于權(quán)力較大，只集中在幾個(gè)達(dá)夢(mèng)系統(tǒng)預(yù)定義角色中，且不能轉(zhuǎn)授。達(dá)夢(mèng)數(shù)據(jù)庫(kù)提供了100余種數(shù)據(jù)庫(kù)權(quán)限，下面介紹最常用的幾種數(shù)據(jù)庫(kù)權(quán)限。數(shù)據(jù)庫(kù)權(quán)限管理數(shù)據(jù)庫(kù)權(quán)限說(shuō)明CREATETABLE在自己的模式中創(chuàng)建表的權(quán)限CREATEVIEW在自己的模式中創(chuàng)建視圖的權(quán)限CREATEUSER創(chuàng)建用戶的權(quán)限CREATETRIGGER在自己的模式中創(chuàng)建觸發(fā)器的權(quán)限ALTERUSER修改用戶的權(quán)限ALTERDATABASE修改數(shù)據(jù)庫(kù)的權(quán)限CREATEPROCEDURE在自己模式中創(chuàng)建存儲(chǔ)程序的權(quán)限常用數(shù)據(jù)庫(kù)權(quán)限數(shù)據(jù)庫(kù)權(quán)限管理數(shù)據(jù)庫(kù)權(quán)限說(shuō)明數(shù)據(jù)庫(kù)權(quán)限說(shuō)明CREATETABLE創(chuàng)建表的權(quán)限D(zhuǎn)ELETEANYTABLE刪除任意表記錄的權(quán)限CREATEANYTABLE在任意模式下創(chuàng)建表的權(quán)限SELECTTABLE查詢表記錄的權(quán)限ALTERANYTABLE修改任意表的權(quán)限SELECTANYTABLE查詢?nèi)我獗碛涗浀臋?quán)限D(zhuǎn)ROPANYTABLE刪除任意表的權(quán)限REFERENCESTABLE引用表的權(quán)限INSERTTABLE插入表記錄的權(quán)限REFERENCESANYTABLE引用任意表的權(quán)限INSERTANYTABLE向任意表插入記錄的權(quán)限D(zhuǎn)UMPTABLE導(dǎo)出表的權(quán)限UPDATETABLE更新表記錄的權(quán)限D(zhuǎn)UMPANYTABLE導(dǎo)出任意表的權(quán)限UPDATEANYTABLE更新任意表記錄的權(quán)限GRANTTABLE向其他用戶進(jìn)行表上權(quán)限授予的權(quán)限D(zhuǎn)ELETETABLE刪除表記錄的權(quán)限GRANTANYTABLE向其他用戶進(jìn)行任意表上權(quán)限授予的權(quán)限與表對(duì)象相關(guān)的數(shù)據(jù)庫(kù)權(quán)限數(shù)據(jù)庫(kù)權(quán)限管理與存儲(chǔ)程序?qū)ο笙嚓P(guān)的數(shù)據(jù)庫(kù)權(quán)限數(shù)據(jù)庫(kù)權(quán)限說(shuō)明CREATEPROCEDURE創(chuàng)建存儲(chǔ)程序的權(quán)限CREATEANYPROCEDURE在任意模式下創(chuàng)建存儲(chǔ)程序的權(quán)限D(zhuǎn)ROPPROCEDURE刪除存儲(chǔ)程序的權(quán)限D(zhuǎn)ROPANYPROCEDURE刪除任意存儲(chǔ)程序的權(quán)限EXECUTEPROCEDURE執(zhí)行存儲(chǔ)程序的權(quán)限EXECUTEANYPROCEDURE執(zhí)行任意存儲(chǔ)程序的權(quán)限GRANTPROCEDURE向其他用戶進(jìn)行存儲(chǔ)程序上權(quán)限授予的權(quán)限GRANTANYPROCEDURE向其他用戶進(jìn)行任意存儲(chǔ)程序上權(quán)限授予的權(quán)限02使用SQL語(yǔ)句進(jìn)行數(shù)據(jù)庫(kù)權(quán)限管理--數(shù)據(jù)庫(kù)權(quán)限的授予數(shù)據(jù)庫(kù)權(quán)限管理語(yǔ)法格式：GRANT<特權(quán)>TO<用戶或角色>{,<用戶或角色>}[WITHADMINOPTION];各子句使用說(shuō)明如下：<特權(quán)>::=<數(shù)據(jù)庫(kù)權(quán)限>{,<數(shù)據(jù)庫(kù)權(quán)限>};<用戶或角色>::=<用戶名>|<角色名>語(yǔ)句使用說(shuō)明：授權(quán)者必須具有對(duì)應(yīng)的數(shù)據(jù)庫(kù)權(quán)限以及其轉(zhuǎn)授權(quán)；接受者必須與授權(quán)者用戶類型一致；如果有WITHADMINOPTION選項(xiàng)，接受者可以再把這些權(quán)限轉(zhuǎn)授給其他用戶/角色。03使用SQL語(yǔ)句進(jìn)行數(shù)據(jù)庫(kù)權(quán)限管理--數(shù)據(jù)庫(kù)權(quán)限的回收數(shù)據(jù)庫(kù)權(quán)限管理語(yǔ)法格式：REVOKE[ADMINOPTIONFOR]<特權(quán)>FROM<用戶或角色>{,<用戶或角色>};各子句使用說(shuō)明如下：<特權(quán)>::=<數(shù)據(jù)庫(kù)權(quán)限>{,<數(shù)據(jù)庫(kù)權(quán)限>}<用戶或角色>::=<用戶名>|<角色名>語(yǔ)句使用說(shuō)明：權(quán)限回收者必須是具有回收相應(yīng)數(shù)據(jù)庫(kù)權(quán)限以及轉(zhuǎn)授權(quán)的用戶；ADMINOPTIONFOR選項(xiàng)的含義是取消用戶或角色的轉(zhuǎn)授權(quán)限，但是權(quán)限不回收。04使用DM管理工具進(jìn)行數(shù)據(jù)庫(kù)權(quán)限管理數(shù)據(jù)庫(kù)權(quán)限管理登錄DM管理工具，展開(kāi)【用戶】-【管理用戶】節(jié)點(diǎn)，在需要設(shè)置權(quán)限的用戶上右鍵單擊【修改】選項(xiàng)，在打開(kāi)的“修改用戶”窗口左側(cè)選擇“系統(tǒng)權(quán)限”選項(xiàng)，在右側(cè)的“系統(tǒng)權(quán)限”列表，在對(duì)應(yīng)的“權(quán)限”名稱上，勾選或取消“授予”和“轉(zhuǎn)授”的權(quán)限操作。如圖所示。對(duì)象權(quán)限管理0301對(duì)象權(quán)限對(duì)象權(quán)限管理數(shù)據(jù)庫(kù)對(duì)象類型對(duì)象權(quán)限表視圖存儲(chǔ)程序包類類型序列目錄域SELECT√√

√

INSERT√√

DELETE√√

UPDATE√√

REFERENCES√

DUMP√

EXECUTE

√√√√

√

READ

√

WRITE

√

USAGE

√對(duì)象權(quán)限主要是指對(duì)數(shù)據(jù)庫(kù)對(duì)象中的數(shù)據(jù)的訪問(wèn)權(quán)限，主要授予需要對(duì)某個(gè)數(shù)據(jù)庫(kù)對(duì)象的數(shù)據(jù)進(jìn)行操作的普通用戶。達(dá)夢(mèng)數(shù)據(jù)庫(kù)常用的數(shù)據(jù)庫(kù)對(duì)象權(quán)限02使用SQL語(yǔ)句進(jìn)行對(duì)象權(quán)限管理--對(duì)象權(quán)限的授予對(duì)象權(quán)限管理語(yǔ)法格式：GRANT<特權(quán)>ON[<對(duì)象類型>]<對(duì)象>TO<用戶或角色>{,<用戶或角色>}[WITHGRANTOPTION];各子句使用說(shuō)明：<特權(quán)>::=ALL[PRIVILEGES]|<動(dòng)作>{,<動(dòng)作>}<動(dòng)作>::=SELECT[(<列清單>)]|INSERT[(<列清單>)]|UPDATE[(<列清單>)]|DELETE|REFERENCES[(<列清單>)]|EXECUTE|READ|WRITE|USAGE|INDEX|ALTER<列清單>::=<列名>{,<列名>}<對(duì)象類型>::=TABLE|VIEW|PROCEDURE|PACKAGE|CLASS|TYPE|SEQUENCE|DIRECTORY|DOMAIN<對(duì)象>::=[<模式名>.]<對(duì)象名><對(duì)象名>::=<表名>|<視圖名>|<存儲(chǔ)過(guò)程/函數(shù)名>|<包名>|<類名>|<類型名>|<序列名>|<目錄名>|<域名><用戶或角色>::=<用戶名>|<角色名>語(yǔ)句使用說(shuō)明：授權(quán)者必須是具有對(duì)應(yīng)對(duì)象權(quán)限以及其轉(zhuǎn)授權(quán)的用戶；如未指定對(duì)象的<模式名>，模式為授權(quán)者所在的模式。DIRECTORY為非模式對(duì)象，沒(méi)有模式；如設(shè)定了對(duì)象類型，則該類型必須與對(duì)象的實(shí)際類型一致，否則會(huì)報(bào)錯(cuò)；帶WITHGRANTOPTION授予權(quán)限給用戶時(shí)，則接受權(quán)限的用戶可轉(zhuǎn)授此權(quán)限；不帶列清單授權(quán)時(shí)，如果對(duì)象上存在同類型的列權(quán)限，會(huì)全部自動(dòng)合并；對(duì)于用戶所在的模式的表，用戶具有所有權(quán)限而不需特別指定；INDEX動(dòng)作向其他用戶授予指定表的創(chuàng)建和刪除索引（包含全文索引）的權(quán)限；ALTER動(dòng)作僅支持向其他用戶授予指定表的修改權(quán)限；當(dāng)授權(quán)語(yǔ)句中使用了ALLPRIVILEGES時(shí)，會(huì)將指定的數(shù)據(jù)庫(kù)對(duì)象上所有的對(duì)象權(quán)限都授予被授權(quán)者。03使用SQL語(yǔ)句進(jìn)行對(duì)象權(quán)限管理--對(duì)象權(quán)限的回收對(duì)象權(quán)限管理語(yǔ)法格式：REVOKE[GRANTOPTIONFOR]<特權(quán)>ON[<對(duì)象類型>]<對(duì)象>FROM<用戶或角色>{,<用戶或角色>}[<回收選項(xiàng)>];各子句使用說(shuō)明：<特權(quán)>::=ALL[PRIVILEGES]|<動(dòng)作>{,<動(dòng)作>}<動(dòng)作>::=SELECT|INSERT|UPDATE|DELETE|REFERENCES|EXECUTE|READ|WRITE|USAGE|INDEX|ALTER<對(duì)象類型>::=TABLE|VIEW|PROCEDURE|PACKAGE|CLASS|TYPE|SEQUENCE|DIRECTORY|DOMAIN<對(duì)象>::=[<模式名>.]<對(duì)象名><對(duì)象名>::=<表名>|<視圖名>|<存儲(chǔ)過(guò)程/函數(shù)名>|<包名>|<類名>|<類型名>|<序列名>|<目錄名>|<域名><用戶或角色>::=<用戶名>|<角色名><回收選項(xiàng)>::=RESTRICT|CASCADE語(yǔ)句使用說(shuō)明：權(quán)限回收者必須是具有回收相應(yīng)對(duì)象權(quán)限以及轉(zhuǎn)授權(quán)的用戶；回收時(shí)不能帶列清單，若對(duì)象上存在同類型的列權(quán)限，則一并被回收；使用GRANTOPTIONFOR選項(xiàng)的目的是回收用戶或角色權(quán)限轉(zhuǎn)授的權(quán)利，而不回收用戶或角色的權(quán)限；并且GRANTOPTIONFOR選項(xiàng)不能和RESTRICT一起使用，否則會(huì)報(bào)錯(cuò)；在回收權(quán)限時(shí)，設(shè)定不同的回收選項(xiàng)，其意義不同。具體如下：若不設(shè)定回收選項(xiàng)，無(wú)法回收授予時(shí)帶WITHGRANTOPTION的權(quán)限，但也不會(huì)檢查要回收的權(quán)限是否存在限制；若設(shè)定為RESTRICT，無(wú)法回收授予時(shí)帶WITHGRANTOPTION的權(quán)限，也無(wú)法回收存在限制的權(quán)限，如角色上的某權(quán)限被別的用戶用于創(chuàng)建視圖等；若設(shè)定為CASCADE，可回收授予時(shí)帶或不帶WITHGRANTOPTION的權(quán)限，若帶WITHGRANTOPTION還會(huì)引起級(jí)聯(lián)回收。利用此選項(xiàng)時(shí)也不會(huì)檢查權(quán)限是否存在限制。另外，利用此選項(xiàng)進(jìn)行級(jí)聯(lián)回收時(shí)，若被回收對(duì)象上存在另一條路徑授予同樣權(quán)限給該對(duì)象時(shí)，則僅需回收當(dāng)前權(quán)限。04使用DM管理工具進(jìn)行對(duì)象權(quán)限管理對(duì)象權(quán)限管理登錄DM管理工具，展開(kāi)【用戶】-【管理用戶】節(jié)點(diǎn)，在需要設(shè)置對(duì)象權(quán)限的用戶上右鍵單擊【修改】選項(xiàng)，在打開(kāi)的“修改用戶”窗口左側(cè)選擇“對(duì)象權(quán)限”選項(xiàng)，在中間的“對(duì)象權(quán)限”列表部分選擇要進(jìn)行權(quán)限設(shè)置的對(duì)象，在窗口右側(cè)對(duì)應(yīng)的“權(quán)限”名稱上勾選或取消“授予”和“轉(zhuǎn)授”的權(quán)限操作，“權(quán)限回收方式”可以選擇“級(jí)聯(lián)”或者“受限”。如圖所示。達(dá)夢(mèng)數(shù)據(jù)庫(kù)權(quán)限管理包括數(shù)據(jù)庫(kù)權(quán)限管理和對(duì)象權(quán)限管理兩類。01數(shù)據(jù)庫(kù)權(quán)限是與數(shù)據(jù)庫(kù)安全相關(guān)的權(quán)限，其管理內(nèi)容包括為用戶授予數(shù)據(jù)庫(kù)系統(tǒng)權(quán)限以及系統(tǒng)權(quán)限的回收。對(duì)象權(quán)限是指對(duì)數(shù)據(jù)庫(kù)對(duì)象中的數(shù)據(jù)的訪問(wèn)權(quán)限，主要授予需要對(duì)某個(gè)數(shù)據(jù)庫(kù)對(duì)象的數(shù)據(jù)進(jìn)行操作的普通用戶，其管理內(nèi)容包括為用戶授予對(duì)象權(quán)限以及對(duì)象權(quán)限的回收。03總結(jié)02授予權(quán)限操作與回收權(quán)限操作可以使用SQL語(yǔ)句實(shí)現(xiàn)，也可以使用DM管理工具實(shí)現(xiàn)。01謝謝觀看數(shù)據(jù)庫(kù)系統(tǒng)管理與應(yīng)用達(dá)夢(mèng)數(shù)據(jù)庫(kù)角色管理數(shù)據(jù)庫(kù)系統(tǒng)管理與應(yīng)用

習(xí)標(biāo)學(xué)目達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)定義角色01創(chuàng)建角色02刪除角色03角色的啟用與禁用04角色權(quán)限的分配與回收05達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)定義角色0101預(yù)定義角色達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)定義角色達(dá)夢(mèng)數(shù)據(jù)庫(kù)中，角色是一組權(quán)限的組合，能夠簡(jiǎn)化數(shù)據(jù)庫(kù)的權(quán)限管理，使用角色的目的是使權(quán)限管理更加方便?；跈?quán)限的角色管理在用戶和權(quán)限之間增加了一道橋梁——角色。權(quán)限被賦予角色，數(shù)據(jù)庫(kù)管理員通過(guò)指定特定的角色為用戶授權(quán)。在達(dá)夢(mèng)數(shù)據(jù)庫(kù)中有兩類角色，一類是達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)設(shè)定的角色，一類是用戶自定義的角色。達(dá)夢(mèng)數(shù)據(jù)庫(kù)提供了一系列的預(yù)定義角色以幫助用戶進(jìn)行數(shù)據(jù)庫(kù)權(quán)限的管理。預(yù)定義角色在數(shù)據(jù)庫(kù)被創(chuàng)建之后即存在，并且已經(jīng)包含了一些權(quán)限，數(shù)據(jù)庫(kù)管理員可以將這些角色直接授予用戶。達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)定義角色達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)定義的角色角色名稱角色簡(jiǎn)單說(shuō)明角色名稱角色簡(jiǎn)單說(shuō)明DBADM數(shù)據(jù)庫(kù)系統(tǒng)中最高權(quán)限集合，擁有構(gòu)建數(shù)據(jù)庫(kù)的全部特權(quán)，只有DBA才可以創(chuàng)建數(shù)據(jù)庫(kù)結(jié)構(gòu)DB_AUDIT_VTI具有系統(tǒng)動(dòng)態(tài)視圖的查詢權(quán)限，DB_AUDIT_VTI默認(rèn)授權(quán)給DB_AUDIT_ADMIN且可轉(zhuǎn)授RESOURCE可以創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象，對(duì)有權(quán)限的數(shù)據(jù)庫(kù)對(duì)象進(jìn)行數(shù)據(jù)操縱，不可以創(chuàng)建數(shù)據(jù)庫(kù)結(jié)構(gòu)DB_AUDIT_SOI具有系統(tǒng)表的查詢權(quán)限PUBLIC不可以創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象，只能對(duì)有權(quán)限的數(shù)據(jù)庫(kù)對(duì)象進(jìn)行數(shù)據(jù)操縱DB_AUDIT_SVI具有基礎(chǔ)V視圖和審計(jì)V視圖的查詢權(quán)限VTI具有系統(tǒng)動(dòng)態(tài)視圖的查詢權(quán)限，VTI默認(rèn)授權(quán)給DBA且可轉(zhuǎn)授DB_POLICY_ADMIN數(shù)據(jù)庫(kù)強(qiáng)制訪問(wèn)控制的最高權(quán)限集合，可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行強(qiáng)制訪問(wèn)控制管理，并創(chuàng)建新的安全管理用戶SOI具有系統(tǒng)表的查詢權(quán)限D(zhuǎn)B_POLICY_OPER可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行強(qiáng)制訪問(wèn)控制管理，但不能創(chuàng)建新的安全管理用戶SVI具有基礎(chǔ)V視圖的查詢權(quán)限D(zhuǎn)B_POLICY_PUBLIC不能進(jìn)行強(qiáng)制訪問(wèn)控制管理，但可以查詢強(qiáng)制訪問(wèn)控制相關(guān)字典表DB_AUDIT_ADMIN數(shù)據(jù)庫(kù)審計(jì)的最高權(quán)限集合，可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行各種審計(jì)操作，并創(chuàng)建新的審計(jì)用戶DB_POLICY_VTI具有系統(tǒng)動(dòng)態(tài)視圖的查詢權(quán)限，DB_POLICY_VTI默認(rèn)授權(quán)給DB_POLICY_ADMIN且可轉(zhuǎn)授DB_AUDIT_OPER可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)操作，但不能創(chuàng)建新的審計(jì)用戶DB_POLICY_SOI具有系統(tǒng)表的查詢權(quán)限D(zhuǎn)B_AUDIT_PUBLIC不能進(jìn)行審計(jì)設(shè)置，但可以查詢審計(jì)相關(guān)字典表DB_POLICY_SVI具有基礎(chǔ)V視圖和安全V視圖的查詢權(quán)限達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)定義角色數(shù)據(jù)類型與預(yù)定義角色對(duì)應(yīng)表用戶類型預(yù)定義角色DBADBA、RESOURCE、PUBLIC、VTI、SOI、SVISSODB_POLICY_ADMIN、DB_POLICY_OPER、DB_POLICY_PUBLIC、DB_POLICY_VTI、DB_POLICY_SOI、DB_POLICY_SVIAUDITORDB_ADUTI_ADMIN、DB_AUDIT_OPER、DB_AUDIT_PUBLIC、DB_AUDIT_VTI、DB_AUDIT_SOI、DB_AUDIT_SVIDBO（安全版本提供）DB_OBJECT_ADMIN、DB_OBJECT_OPER、DB_OBJECT_PUBLIC、DB_OBJECT_VTI、DB_OBJECT_SOI、DB_OBJECT_SVI（安全版本提供）初始時(shí)僅有管理員具有創(chuàng)建用戶的權(quán)限，每種類型的管理員創(chuàng)建的用戶缺省就擁有這種類型的PUBLIC和SOI預(yù)定義角色，如SYSAUDITOR新創(chuàng)建的用戶缺省就具有DB_AUDIT_PUBLIC和DB_AUDIT_SOI角色。之后管理員可根據(jù)需要進(jìn)一步授予新建用戶其他預(yù)定義角色。管理員也可以將“CREATEUSER”權(quán)限轉(zhuǎn)授給其他用戶，這些用戶之后就可以創(chuàng)建新的用戶了，他們創(chuàng)建的新用戶缺省也具有與其創(chuàng)建者相同類型的PUBLIC和SOI預(yù)定義角色。創(chuàng)建角色0201使用SQL語(yǔ)句創(chuàng)建角色創(chuàng)建角色語(yǔ)法格式：CREATEROLE<角色名>;使用說(shuō)明：創(chuàng)建者必須具有CREATEROLE數(shù)據(jù)庫(kù)權(quán)限；角色名的長(zhǎng)度不能超過(guò)128個(gè)字符；角色名不允許和系統(tǒng)已存在的用戶名重名；角色名不允許是達(dá)夢(mèng)數(shù)據(jù)庫(kù)保留字。02DM管理工具創(chuàng)建角色創(chuàng)建角色打開(kāi)DM管理工具，在窗口左側(cè)“對(duì)象導(dǎo)航欄”【角色】選項(xiàng)上點(diǎn)擊右鍵，在打開(kāi)的快捷菜單中選擇“新建角色（N）…”選項(xiàng)，在打開(kāi)的“新建角色”窗口，輸入角色名，選擇所屬角色的“授予”或“轉(zhuǎn)授”權(quán)，單擊“確定”按鈕。如圖所示。刪除角色0301使用SQL語(yǔ)句刪除角色刪除角色語(yǔ)法格式如下：DROPROLE[IFEXISTS]<角色名>;使用說(shuō)明：即使已將角色授予了其他用戶，刪除這個(gè)角色的操作也將成功。此時(shí)，那些之前被授予該角色的用戶將不再具有這個(gè)角色所擁有的權(quán)限，除非用戶通過(guò)其他途徑也獲得了這個(gè)角色所具有的權(quán)限。指定IFEXISTS關(guān)鍵字后，刪除不存在的角色時(shí)不會(huì)報(bào)錯(cuò)，否則會(huì)報(bào)錯(cuò)。02DM管理工具刪除角色刪除角色打開(kāi)DM管理工具，將窗口左側(cè)“對(duì)象導(dǎo)航欄”-【角色】節(jié)點(diǎn)展開(kāi)，在需要?jiǎng)h除的角色上點(diǎn)擊右鍵，在打開(kāi)的快捷菜單中單擊“刪除Delete”選項(xiàng)，打開(kāi)“刪除對(duì)象”窗口，選中對(duì)象名，單擊“確定”按鈕，將角色刪除。如圖所示。角色的啟用與禁用0401調(diào)用系統(tǒng)過(guò)程啟用/禁用角色角色啟用與禁用某些時(shí)候，用戶不愿意刪除一個(gè)角色，但是卻希望這個(gè)角色失效，此時(shí)可以使用達(dá)夢(mèng)數(shù)據(jù)庫(kù)系統(tǒng)過(guò)程SP_SET_ROLE來(lái)設(shè)置這個(gè)角色為可用或不可用。如：SP_SET_ROLE('EMHR_ROLE1',0);#表示將角色EMHR_ROLE1禁用SP_SET_ROLE('EMHR_ROLE1',1);#表示將角色EMHR_ROLE1啟用使用說(shuō)明：只有擁有ADMIN_ANY_ROLE權(quán)限的用戶才能啟用和禁用角色，并且設(shè)置后立即生效；凡是包含禁用角色A的角色M，M中禁用的角色A將無(wú)效，但是M仍有效；系統(tǒng)預(yù)設(shè)的角色是不能設(shè)置禁用的，如：DBA、PUBLIC、RESOURCE。02DM管理工具啟用/禁用角色角色啟用與禁用打開(kāi)DM管理工具，將窗口左側(cè)“對(duì)象導(dǎo)航欄”-【角色】節(jié)點(diǎn)展開(kāi)，在需要啟用或禁用的角色上點(diǎn)擊右鍵，在打開(kāi)的快捷菜單中單擊“啟用（E）”或“禁用（S）”選項(xiàng)，將啟用或禁用。如圖所示。角色權(quán)限的分配與回收0501SQL語(yǔ)句進(jìn)行角色權(quán)限操作角色權(quán)限的分配與回收將角色授予用戶或其他角色:GRANT<角色名>{,<角色名>}TO<用戶或角色>{,<用戶或角色>}[WITHADMINOPTION];使用說(shuō)明：角色的授予者必須是擁有相應(yīng)的角色以及其轉(zhuǎn)授權(quán)的用戶；權(quán)限接受者必須與授權(quán)者類型一致（如不能把審計(jì)角色授予標(biāo)記角色）；支持角色的轉(zhuǎn)授；不支持角色的循環(huán)轉(zhuǎn)授，如將EMHR_ROLE1授予EMHR_ROLE2，EMHR_ROLE2不能再授予EMHR_ROLE1。角色權(quán)限的回收:REVOKE[ADMINOPTIONFOR]<角色名>{,<角色名>}FROM<角色名或用戶名>;使用說(shuō)明：權(quán)限回收者必須是具有回收相應(yīng)角色以及轉(zhuǎn)授權(quán)的用戶；使用ADMINOPTIONFOR選項(xiàng)的目的是收回用戶或角色權(quán)限轉(zhuǎn)授的權(quán)利，而不回收用戶或角色的權(quán)限。02DM管理工具角色權(quán)限操作--系統(tǒng)權(quán)限操作角色權(quán)限的分配與回收在“修改角色”窗口，選擇左側(cè)“系統(tǒng)權(quán)限”選項(xiàng)，在右側(cè)的“系統(tǒng)權(quán)限”列表，在對(duì)應(yīng)的“權(quán)限”名稱上，勾選或取消“授予”和“轉(zhuǎn)授”的權(quán)限操作。03DM管理工具角色權(quán)限操作--對(duì)象權(quán)限操作角色權(quán)限的分配與回收在“修改角色”窗口，選擇左側(cè)“對(duì)象權(quán)限”選項(xiàng)，在中間“對(duì)象權(quán)限”列表部分將對(duì)象節(jié)點(diǎn)展開(kāi)，選擇需要授權(quán)或回收的對(duì)象，在右側(cè)的權(quán)限列表部分“權(quán)限”名稱上，勾選或取消“授予”和“轉(zhuǎn)授”的權(quán)限操作，權(quán)限回收方式可以選擇“級(jí)聯(lián)”或“受限”。。達(dá)夢(mèng)數(shù)據(jù)庫(kù)存在兩類角色：達(dá)夢(mèng)數(shù)據(jù)庫(kù)預(yù)設(shè)定的角色、用戶自定義的角色。01可以使用SQL語(yǔ)句或者DM管理工具創(chuàng)建角色可以為角色授權(quán)，并將角色權(quán)限授予用戶或其他角色；也可以授予的角色權(quán)限進(jìn)行回收。03總結(jié)02可以對(duì)角色進(jìn)行啟用、禁用、修改、刪除等操作。01謝謝觀看數(shù)據(jù)庫(kù)系統(tǒng)管理與應(yīng)用數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)系統(tǒng)管理與應(yīng)用

習(xí)標(biāo)學(xué)目設(shè)置審計(jì)開(kāi)關(guān)01審計(jì)設(shè)置與取消02審計(jì)文件管理03審計(jì)信息查閱04審計(jì)分析工具05設(shè)置審計(jì)開(kāi)關(guān)0101設(shè)置審計(jì)開(kāi)關(guān)設(shè)置審計(jì)開(kāi)關(guān)達(dá)夢(mèng)數(shù)據(jù)庫(kù)安裝后默認(rèn)狀態(tài)是關(guān)閉審計(jì)狀態(tài)。需要啟動(dòng)審計(jì)功能，首先要設(shè)置審計(jì)開(kāi)關(guān)。審計(jì)開(kāi)關(guān)由過(guò)程VOIDSP_SET_ENABLE_AUDIT（paramint）;控制，過(guò)程執(zhí)行完后會(huì)立即生效，param有三種取值：0：關(guān)閉審計(jì)1：打開(kāi)普通審計(jì)2：打開(kāi)普通審計(jì)和實(shí)時(shí)審計(jì)系統(tǒng)缺省值為0。執(zhí)行數(shù)據(jù)庫(kù)審計(jì)相關(guān)操作，需要具有數(shù)據(jù)庫(kù)審計(jì)員的相關(guān)權(quán)限。審計(jì)開(kāi)關(guān)必須由具有數(shù)據(jù)庫(kù)審計(jì)員權(quán)限的管理員進(jìn)行設(shè)置。例如，以SYSAUDITOR用戶登錄，然后進(jìn)行審計(jì)開(kāi)關(guān)設(shè)置。SQL>SP_SET_ENABLE_AUDIT(1);數(shù)據(jù)庫(kù)審計(jì)員可通過(guò)查詢V$DM_INI動(dòng)態(tài)視圖查詢ENABLE_AUDIT的當(dāng)前值，了解數(shù)據(jù)庫(kù)當(dāng)前審計(jì)系統(tǒng)狀態(tài)。SQL>SELECT*FROMV$DM_INIWHEREPARA_NAME='ENABLE_AUDIT';審計(jì)設(shè)置與取消0201審計(jì)設(shè)置與取消審計(jì)設(shè)置與取消數(shù)據(jù)庫(kù)審計(jì)員指定被審計(jì)對(duì)象的活動(dòng)稱為審計(jì)設(shè)置，只有具有AUDITDATABASE權(quán)限的審計(jì)員才能進(jìn)行審計(jì)設(shè)置。達(dá)夢(mèng)數(shù)據(jù)庫(kù)SYSAUDITOR創(chuàng)建、修改審計(jì)用戶，并賦予相應(yīng)的權(quán)限，數(shù)據(jù)庫(kù)管理員SYSDBA不能創(chuàng)建、修改審計(jì)用戶。達(dá)夢(mèng)數(shù)據(jù)庫(kù)提供審計(jì)設(shè)置系統(tǒng)過(guò)程來(lái)實(shí)現(xiàn)這種設(shè)置，被審計(jì)的對(duì)象可以是某類操作，也可以是某些用戶在數(shù)據(jù)庫(kù)中的全部行蹤。只有預(yù)先設(shè)置的操作和用戶才能被DM系統(tǒng)自動(dòng)進(jìn)行審計(jì)。審計(jì)設(shè)置存放于達(dá)夢(mèng)數(shù)據(jù)庫(kù)字典表SYSAUDIT中，進(jìn)行一次審計(jì)設(shè)置就在SYSAUDIT中增加一條對(duì)應(yīng)的記錄，取消審計(jì)則刪除SYSAUDIT中相應(yīng)的記錄。02審計(jì)級(jí)別審計(jì)設(shè)置與取消審計(jì)級(jí)別說(shuō)明系統(tǒng)級(jí)系統(tǒng)的啟動(dòng)與關(guān)閉，此級(jí)別的審計(jì)無(wú)法也無(wú)需由用戶進(jìn)行設(shè)置，只要審計(jì)開(kāi)關(guān)打開(kāi)就會(huì)自動(dòng)生成對(duì)應(yīng)審計(jì)記錄語(yǔ)句級(jí)導(dǎo)致影響特定類型數(shù)據(jù)庫(kù)對(duì)象的特殊SQL或語(yǔ)句組的審計(jì)。如AUDITTABLE將審計(jì)CREATETABLE、ALTERTABLE和DROPTABLE等語(yǔ)句對(duì)象級(jí)審計(jì)作用在特殊對(duì)象上的語(yǔ)句，如STUDENTINFO表上的INSERT語(yǔ)句表6-5-1審計(jì)級(jí)別03語(yǔ)句級(jí)審計(jì)設(shè)置與取消審計(jì)設(shè)置與取消語(yǔ)句級(jí)審計(jì)監(jiān)視一個(gè)、多個(gè)或者所有用戶提交的SQL語(yǔ)句。語(yǔ)句級(jí)審計(jì)的動(dòng)作是全局性的，不對(duì)應(yīng)具體的數(shù)據(jù)庫(kù)對(duì)象。設(shè)置語(yǔ)句級(jí)審計(jì)的系統(tǒng)過(guò)程：VOIDSP_AUDIT_STMT(TYPEVARCHAR(30),USERNAMEVARCHAR(128),WHENEVERVARCHAR(20))參數(shù)說(shuō)明：TYPE語(yǔ)句級(jí)審計(jì)選項(xiàng)，見(jiàn)表6-5-2。USERNAME用戶名，NULL表示不限制WHENEVER審計(jì)時(shí)機(jī)，可選的取值為：ALL：所有的SUCCESSFUL：操作成功時(shí)FAIL：操作失敗時(shí)取消語(yǔ)句級(jí)審計(jì)的系統(tǒng)過(guò)程：VOIDSP_NOAUDIT_STMT(TYPEVARCHAR(30),USERNAMEVARCHAR(128),WHENEVERVARCHAR(20))參數(shù)說(shuō)明：TYPE語(yǔ)句級(jí)審計(jì)選項(xiàng)，見(jiàn)表6-5-2。USERNAME用戶名，NULL表示不限制WHENEVER審計(jì)時(shí)機(jī)，可選的取值為：ALL：所有的SUCCESSFUL：操作成功時(shí)FAIL：操作失敗時(shí)注意：取消審計(jì)語(yǔ)句必須和設(shè)置審計(jì)語(yǔ)句進(jìn)行匹配，只有完全匹配的才可以取消審計(jì)，否則無(wú)法取消審計(jì)。審計(jì)設(shè)置與取消表6-5-2語(yǔ)句級(jí)審計(jì)選項(xiàng)審計(jì)選項(xiàng)審計(jì)的數(shù)據(jù)庫(kù)操作說(shuō)明審計(jì)選項(xiàng)審計(jì)的數(shù)據(jù)庫(kù)操作說(shuō)明ALL所有的語(yǔ)句級(jí)審計(jì)選項(xiàng)所有可審計(jì)操作ROLECREATEROLEDROPROLE創(chuàng)建／刪除角色操作USERCREATEUSERALTERUSERDROPUSER創(chuàng)建／修改／刪除用戶操作TABLESPACECREATETABLESPACEALTERTABLESPACEDROPTABLESPACE創(chuàng)建／修改／刪除表空間操作SCHEMACREATESCHEMADROPSCHEMASETSCHEMA創(chuàng)建／刪除／設(shè)置當(dāng)前模式操作VIEWCREATEVIEWALTERVIEWDROPVIEW創(chuàng)建／修改／刪除視圖操作TABLECREATETABLEALTERTABLEDROPTABLETRUNCATETABLE創(chuàng)建／修改／刪除／清空基表操作PROCEDURECREATEPROCEDUREALTERPROCEDUREDROPPROCEDURE創(chuàng)建／修改／刪除存儲(chǔ)模塊操作INDEXCREATEINDEXDROPINDEX創(chuàng)建／刪除索引操作TRIGGERCREATETRIGGERALTERTRIGGERDROPTRIGGER創(chuàng)建／修改／刪除觸發(fā)器操作審計(jì)設(shè)置與取消續(xù)表：語(yǔ)句級(jí)審計(jì)選項(xiàng)審計(jì)選項(xiàng)審計(jì)的數(shù)據(jù)庫(kù)操作說(shuō)明審計(jì)選項(xiàng)審計(jì)的數(shù)據(jù)庫(kù)操作說(shuō)明SEQUENCECREATESEQUENCEALTERSEQUENCEDROPSEQUENCE創(chuàng)建／修改/刪除序列操作CONTEXTCREATECONTEXTINDEXALTERCONTEXTINDEXDROPCONTEXTINDEX創(chuàng)建／修改／刪除全文索引操作SYNONYMCREATESYNONYMDROPSYNONYM創(chuàng)建／刪除同義詞GRANTGRANT授予權(quán)限操作REVOKEREVOKE回收權(quán)限操作AUDITAUDIT設(shè)置審計(jì)操作NOAUDITNOAUDIT取消審計(jì)操作INSERTTABLEINSERTINTOTABLE表上的插入操作UPDATETABLEUPDATETABLE表上的修改操作DELETETABLEDELETEFROMTABLE表上的刪除操作SELECTTABLESELECTFROMTABLE表上的查詢操作EXECUTEPROCEDURECALLPROCEDURE調(diào)用存儲(chǔ)過(guò)程或函數(shù)操作PACKAGECREATEPACKAGEDROPPACKAGE創(chuàng)建／刪除包規(guī)范PACKAGEBODYCREATEPACKAGEBODYDROPPACKAGEBODY創(chuàng)建／刪除包體MACPOLICYCREATEPOLICYALTERPOLICYDROPPOLICY創(chuàng)建／修改／刪除策略MACLEVELCREATELEVELALTERLEVELDROPLEVEL創(chuàng)建／修改／刪除等級(jí)審計(jì)設(shè)置與取消續(xù)表：語(yǔ)句級(jí)審計(jì)選項(xiàng)審計(jì)選項(xiàng)審計(jì)的數(shù)據(jù)庫(kù)操作說(shuō)明審計(jì)選項(xiàng)審計(jì)的數(shù)據(jù)庫(kù)操作說(shuō)明MACCOMPARTMENTCREATECOMPARTMENTALTERCOMPARTMENTDROPCOMPARTMENT創(chuàng)建／修改／刪除范圍MACGROUPCREATEGROUPALTERGROUPDROPGROUPALTERGROUPPARENT創(chuàng)建／修改／刪除組，更新父組MACLABELCREATELABELALTERLABELDROPLABEL創(chuàng)建／修改／刪除標(biāo)記MACTABLEINSERTABLEPOLICYREMOVETABLEPOLICYAPPLYTABLEPOLICY插入／取消／應(yīng)用表標(biāo)記MACSESSIONSESSIONLABELSESSIONROWLABELRESTOREDEFAULTLABELSSAVEDEFAULTLABELS保存／取消會(huì)話標(biāo)記設(shè)置會(huì)話默認(rèn)標(biāo)記設(shè)置會(huì)話行標(biāo)記MACUSERUSERSETLEVELSUSERSETCOMPARTMENTSUSERSETGROUPSUSERSETPRIVS設(shè)置用戶等級(jí)／范圍／組／特權(quán)CHECKPOINTCHECKPOINT檢查點(diǎn)（checkpoint）SAVEPOINTSAVEPOINT保存點(diǎn)EXPLAINEXPLAIN顯示執(zhí)行計(jì)劃NOTEXIST

分析對(duì)象不存在導(dǎo)致的錯(cuò)誤DATABASEALTERDATABASE修改當(dāng)前數(shù)據(jù)庫(kù)操作CONNECTLOGINLOGOUT登錄／退出操作COMMITCOMMIT提交操作ROLLBACKROLLBACK回滾操作審計(jì)設(shè)置與取消續(xù)表：語(yǔ)句級(jí)審計(jì)選項(xiàng)審計(jì)選項(xiàng)審計(jì)的數(shù)據(jù)庫(kù)操作說(shuō)明審計(jì)選項(xiàng)審計(jì)的數(shù)據(jù)庫(kù)操作說(shuō)明SETTRANSACTIONSETTRXISOLATIONSETTRXREADWRITE設(shè)置事務(wù)的讀寫(xiě)屬性和隔離級(jí)別RESTORERESTORETABLESPACERESTORETABLE表空間/表還原操作BACKUPBACKUPDATABASEBACKUPTABLESPACEBACKUPTABLEBACKUPARCHIVE庫(kù)/表空間/表/歸檔備份操作DIMPDIMPFULLDIMPOWNERDIMPSCHEMADIMPTABLE邏輯導(dǎo)入：庫(kù)級(jí)/用戶級(jí)/模式級(jí)/表級(jí)DEXPDEXPFULLDEXPOWNERDEXPSCHEMADEXPTABLE邏輯導(dǎo)出：庫(kù)級(jí)/用戶級(jí)/模式級(jí)/表級(jí)FLDRFLDRINFLDROUTFLDR工具導(dǎo)入/導(dǎo)出WARNINGAUDSPACEWARNING審計(jì)剩余可用空間不足CRYPTENCRYPTDECRYPT數(shù)據(jù)加密/解密KEYCREATEKEYDESTROYKEY生成/銷毀密鑰DTSDTSINDTSOUTDTS工具遷入/遷出04對(duì)象級(jí)審計(jì)設(shè)置與取消審計(jì)設(shè)置與取消對(duì)象級(jí)審計(jì)發(fā)生在具體的對(duì)象上，需要指定模式名以及對(duì)象名。設(shè)置對(duì)象級(jí)審計(jì)的系統(tǒng)過(guò)程VOIDSP_AUDIT_OBJECT(TYPEVARCHAR(30),USERNAMEVARCHAR(128),SCHNAMEVARCHAR(128),TVNAMEVARCHAR(128),{COLNAMEVARCHAR(128),}WHENEVERVARCHAR(20))參數(shù)說(shuō)明：TYPE對(duì)象級(jí)審計(jì)選項(xiàng)，見(jiàn)表6-5-3。USERNAME用戶名SCHNAME模式名，為空時(shí)置‘null’TVNAME表、視圖、存儲(chǔ)過(guò)程名，不能為空COLNAME列名，為空時(shí)可以省略WHENEVER審計(jì)時(shí)機(jī)，可選的取值為：ALL：所有的SUCCESSFUL：操作成功時(shí)FAIL：操作失敗時(shí)取消對(duì)象級(jí)審計(jì)的系統(tǒng)過(guò)程：VOIDSP_NOAUDIT_OBJECT(TYPEVARCHAR(30),USERNAMEVARCHAR(128),SCHNAMEVARCHAR(128),TVNAMEVARCHAR(128),{COLNAMEVARCHAR(128),}WHENEVERVARCHAR(20))參數(shù)說(shuō)明：TYPE對(duì)象級(jí)審計(jì)選項(xiàng)，見(jiàn)表6-5-3。USERNAME用戶名SCHNAME模式名，為空時(shí)置‘null’TVNAME表、視圖、存儲(chǔ)過(guò)程名，不能為空COLNAME列名，為空時(shí)可以省略WHENEVER審計(jì)時(shí)機(jī)，可選的取值為：ALL：所有的SUCCESSFUL：操作成功時(shí)FAIL：操作失敗時(shí)審計(jì)設(shè)置與取消表6-5-3對(duì)象級(jí)審計(jì)選項(xiàng)審計(jì)選項(xiàng)(SYSAUDITRECORDS表中operation字段對(duì)應(yīng)內(nèi)容)TABLEVIEWCOLPROCEDUREFUNCTIONTRIGGERINSERT√√√

UPDATE√√√

DELETE√√√

SELECT√√√

EXECUTE

√

MERGEINTO√√

EXECUTETRIGGER

√LOCKTABLE√

BACKUPTABLE√

RESTORETABLE√

ALL(所有對(duì)象級(jí)審計(jì)選項(xiàng))√√√√

05語(yǔ)句序列級(jí)審計(jì)設(shè)置與取消審計(jì)設(shè)置與取消建立語(yǔ)句序列審計(jì)規(guī)則的過(guò)程包括下面三個(gè)系統(tǒng)過(guò)程。參數(shù)說(shuō)明：NAME語(yǔ)句序列審計(jì)規(guī)則名稱SQL

需要審計(jì)的語(yǔ)句序列中的SQL語(yǔ)句使用說(shuō)明：建立語(yǔ)句序列審計(jì)規(guī)則需要先調(diào)用SP_AUDIT_SQLSEQ_START，之后調(diào)用若干次SP_AUDIT_SQLSEQ_ADD，每次加入一條SQL語(yǔ)句，審計(jì)規(guī)則中的SQL語(yǔ)句順序根據(jù)加入SQL語(yǔ)句的順序確定，最后調(diào)用SP_AUDIT_SQLSEQ_END完成規(guī)則的建立。取消語(yǔ)句序列審計(jì)規(guī)則VOIDSP_AUDIT_SQLSEQ_DEL(NAMEVARCHAR(128)）參數(shù)說(shuō)明：NAME語(yǔ)句序列審計(jì)規(guī)則名VOIDSP_AUDIT_SQLSEQ_START(NAMEVARCHAR(128))VOIDSP_AUDIT_SQLSEQ_ADD(NAMEVARCHAR(128),SQLVARCHAR(8188))

VOIDSP_AUDIT_SQLSEQ_END(