金仓安全数据库中的用户权限管理技术
1. 概述
安全是信息安全的基础环节和重要支撑。为应对纷繁复杂的多样化数据安全保护需求,金仓重力打造完全遵照安全数据库国家标准GB/T 20273-2006的结构化保护级(第四级)技术的企业级安全数据库产品“金仓安全数据库”,为用户提供核心级数据保护能力。
金仓安全数据库具备完整系统的安全功能,通过全新结构化系统设计和强化的多样化强制访问控制模型框架,在身份鉴别、用户权限,以及数据访问、存储和传输等方面的安全增强提高了数据库系统的整体安全性,提供了包括强化身份鉴别、自主访问控制、安全标记、强制访问控制、特权分立、安全审计、资源限制、客体重用,以及程序运行和数据存储完整性、数据存储透明加密、数据传输加密等在内的主要安全功能和控制手段,可以从容应对复杂多样的安全业务场景,保障敏感数据的安全。
下面详细介绍一下特权分立和受限DBA的安全性能:
1.1.特权分立
金仓安全数据库采用了三权分立的安全管理体制,数据库三权分立是为了解决数据库超级用户权力过度集中的问题,参照行政、立法、司法三权分立的原则来设计的安全管理机制。金仓安全数据库把数据库管理员分为数据库管理员、安全管理员、审计管理员三类。
?数据库管理员,主要负责执行数据库日常管理各种操作和自主存取控制。
?安全管理员,主要负责强制存取控制规则的制定和管理。
?审计管理员,主要负责数据库的审计,监督前两类用户的操作。
特权分立的优点:
这三类用户是相互制约又相互协作共同完成数据库的管理工作。安全管理员可以授
权用户查看某些敏感数据(强制存取控制授权),但是并不意味着这个用户就可以
看到这些敏感数据,它还需要得到数据库管理员的授权(自主存取控制授权)。同理,如果只有数据库管理员的自主存取控制授权而没有安全管理员的强制存取控制授权,用户还是无法看到它不应当看到的敏感数据。审计管理员拥有一套机制,可以保护审计记录数据不会被数据库管理员或者安全管理员删除或者篡改。
这三类用户彼此隔离,互不包容,各自维护自己权限许可范围内的对象,不能跨范
围操作,也不能相互授权。数据库管理员不能对安全、审计相关的用户及数据库对象进行操作,不能将任何用户修改为安全员或审计员,不能授予、回收安全员、审计员的权限,不能切换到安全员、审计员的许可认证;安全员只能管理安全员和安全相关的系统对象,同理,审计员只能管理审计员和审计相关的系统对象。
三权分立堵住了以前滥用数据库超级用户特权的安全漏洞,进一步提高了数据库的
整体安全性。
1.2.受限DBA
受限DBA指对数据库管理权限进行相应限制的DBA。金仓安全数据库提供了受限DBA 功能,可有效限制DBA对其他用户的默认数据访问权限。金仓安全数据库通过提供系统配置参数 restricted_DBA 来配置受限DBA功能。只有系统安全员(SSO)对受限DBA功能有打开或关闭权限。所有用户可以查询受限DBA功能的当前工作状态。
金仓安全数据库中的权限可以分为以下三类,系统权限、对象权限、列级权限。针对系统中权限结构,可以理解为权限所有者主要有三种:DBA、属主(owner)、被属主直接授权或间接授权的用户(通过grant进行的ACL授权,下文简称ACL授权用户)。
?系统权限,是执行特定操作的权限。这些权限包括:CREATE DATABASE、CREATE USER、CREATE ROLE 的权限,具体分为 SUPERUSER、SSO、SAO、CREATEDB 和
CREATEROLE 五个系统权限。
?对象权限,是对给定的用户授予在给定对象(例如表)上执行的操作集。这些操作可以指明为 INSERT 、SELECT 等,具体各类对象具有的权限类型可参见 GRANT 和REVOKE 语句的说明。
?列级权限,是对给定的用户授予在给定表或视图上某些列执行操作集。此动作只能为INSERT、UPDATE和REFERENCES。
当前系统DBA拥有全部以上三种权限,对象的属主(owner)在对象上拥有所有对象权限和列级权限,ACL授权用户拥有相应授权的对象权限或列级权限,拥有CREATEROLE 权限的用户可以转授权系统权限(alter user),DBA、属主和赋予GRANT功能的ACL授权用户可以转授权对象权限或列级权限。受限DBA功能开启后,要求屏蔽DBA的对象权限和列级权限,即只有属主或ACL授权用户拥有对象权限和列级权限。DBA的系统权限不受影响。
2. 小结
金仓安全数据库提供了包括特权分立、受限DBA等主要安全功能和控制手段,可以从容应对复杂多样的安全业务场景,保障敏感数据的安全,通过全新结构化系统设计和强化的多样化强制访问控制模型框架,金仓安全数据库在身份鉴别、用户权限,以及数据访问、存储和传输等方面的安全增强提高了数据库系统的整体安全性。
个人工作业务总结
本人于2009年7月进入新疆中正鑫磊地矿技术服务有限公司(前身为“西安中正矿业信息咨询有限公司”),主要从事测量技术工作,至今已有三年。
在这宝贵的三年时间里,我边工作、边学习测绘相专业书籍,遇到不懂得问题积极的请教工程师们,在他们耐心的教授和指导下,我的专业知识水平得到了很到的提高,并在实地测量工作中加以运用、总结,不断的提高自己的专业技术水平。同时积极的参与技术培训学习,加速自身知识的不断更新和自身素质的提高。努力使自己成为一名合格的测绘技术人员。
在这三年中,在公司各领导及同事的帮助带领下,按照岗位职责要求和行为规范,努力做好本职工作,认真完成了领导所交给的各项工作,在思想觉悟及工作能力方面有了很大的提高。
在思想上积极向上,能够认真贯彻党的基本方针政策,积极学习政治理论,坚持四项基本原则,遵纪守法,爱岗敬业,具有强烈的责任感和事业心。积极主动学习专业知识,工作态度端正,认真负责,具有良好的思想政治素质、思想品质和职业道德。
在工作态度方面,勤奋敬业,热爱本职工作,能够正确认真的对待每一项工作,能够主动寻找自己的不足并及时学习补充,始终保持严谨认真的工作态度和一丝不苟的工作作风。
在公司领导的关怀以及同事们的支持和帮助下,我迅速的完成了职业角色的转变。
一、回顾这四年来的职业生涯,我主要做了以下工作:
1、参与了新疆库车县新疆库车县胡同布拉克石灰岩矿的野外测绘和放线工作、点之记的编写工作、1:2000地形地质图修测、1:1000勘探剖面测量、测绘内业资料的编写工作,提交成果《新疆库车县胡同布拉克石灰岩矿普查报告》已通过评审。
2、参与了库车县城北水厂建设项目用地压覆矿产资源评估项目的室内地质资料编写工作,提交成果为《库车县城北水厂建设项目用地压覆矿产资源评估报告》,现已通过评审。
3、参与了《新疆库车县巴西克其克盐矿普查》项目的野外地质勘查工作,参与项目包括:1:2000地质测图、1:1000勘查线剖面测量、测绘内业资料的编写工作;最终提交的《新疆库车县康村盐矿普查报告》已通过评审。
4、参与了新疆哈密市南坡子泉金矿2009年度矿山储量监测工作,项目包括:野外地质测量与室内地质资料的编写,提交成果为《新疆哈密市南坡子泉金矿2009年度矿山储量年报》,现已通过评审。
5、参与了《新疆博乐市浑德伦切亥尔石灰岩矿勘探》项目的野外地质勘查工作,项目包括:1:5000地质填图、1:2000勘探剖面测量、测绘内业资料的编写工作,最终提交《新疆库车县胡同布拉克石灰岩矿普查报告》评审已通过。
6、参与了《新疆博乐市五台石灰岩矿9号矿区勘探》项目的野外地质勘查工作,项目包括:1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作,并绘制相应图件。
7、参与了《新疆博乐市托特克斜花岗岩矿详查报告》项目的野外地质勘查工作,项目包括:1:2000地质测图、1:1000勘探剖面测量、测绘内业资料的编写工作,并绘制相应图件。
通过以上的这些工作,我学习并具备了以下工作能力:
1、通过实习,对测绘这门学科的研究内容及实际意义有了系统的认识。加深对测量学基本理论的理解,能够用有关理论指导作业实践,做到理论与实践相统一,提高分析问题、解决问题的能力,从而对测量学的基本内容得到一次实际应用,使所学知识进一步巩固、深化。
2、熟悉了三、四等控制测量的作业程序及施测方法,并掌握了全站仪、静态GPS、RTK等测量仪器的工作原理和操作方法。
3、掌握了GPS控制测量内业解算软件(南方测绘Gps数据处理)以及内业成图软件(南方cass)的操作应用。能够将外业测量的数据导入软件进行地形图成图和处理。
4、在项目技术负责的指导下熟悉了测量技术总结的编写要求和方法,并参与了部分项目测量技术总结章节的编写工作。
5、在项目负责的领导下参与整个测量项目的组织运作,对项目的实施过程有了深刻理解。通过在项目组的实习锻炼了自己的组织协调能力,为以后的工作打下了坚实基础。
二、工作中尚存在的问题
从事测绘工作以来,深深感受到工作的繁忙、责任的重大,也因此没能全方位地进行系统地学习实践,主要表现为没有足够的经验,对于地形复杂的地段理解不够深刻;理论知识掌握不够系统,实践能力尚为有限。以上问题,在今后工作中自己将努力做到更好。
三、今后的工作打算
通过总结四年来的工作,我无论从工作技术上,还是从世界观、人生观、价值观等各个方面,都有了很大的提高。今后,我会在此基础上,刻苦钻研,再接再厉,使自己在业务知识水平更上一层楼,为测绘事业的发展,贡献自己的力量。
1 设计思路 为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,具体实现如下。 1.1 用户 用户仅仅是纯粹的用户,用来记录用户相关信息,如用户名、密码等,权限是被分离出去了的。用户(User)要拥有对某种资源的权限,必须通过角色(Role)去关联。 用户通常具有以下属性: 编号,在系统中唯一。 ü名称,在系统中唯一。 ü用户口令。 ü注释,描述用户或角色的信息。 1.2 角色 角色是使用权限的基本单位,拥有一定数量的权限,通过角色赋予用户权限,通常具有以下属性: ü编号,在系统中唯一。 ü名称,在系统中唯一。 ü注释,描述角色信息 1.3 权限 权限指用户根据角色获得对程序某些功能的操作,例如对文件的读、写、 修改和删除功能,通常具有以下属性: ü编号,在系统中唯一。 ü名称,在系统中唯一。 ü注释,描述权限信息 1.4 用户与角色的关系 一个用户(User)可以隶属于多个角色(Role),一个角色组也可拥有多个用户,用户角色就是用来描述他们之间隶属关系的对象。用户(User)通过角色(Role)关联所拥有对某种资源的权限,例如 l 用户(User): UserID UserName UserPwd 1 张三 xxxxxx 2 李四 xxxxxx …… l 角色(Role): RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员 03 调度人员调度工作人员 04 一般工作人员工作人员…… 从该关系表可以看出,用户所拥有的特定资源可以通过用户角色来关联。 1.5 权限与角色的关系 一个角色(Role)可以拥有多个权限(Permission),同样一个权限可分配给多个角色。例如: l 角色(Role): RoleID RoleName RoleNote 01 系统管理员监控系统维护管理员 02 监控人员在线监控人员
大型数据库管理系统开发 ¥ 项目可行性报告 >
目录 1项目概述 (5) 2国内外相关技术发展与市场情况说明 (5) 国外数据库产品企业开发情况 (5) 、 甲骨文力推重量级产品10G (5) IBM以新版DB2开拓市场 (5) 国内数据库产品企业开发情况 (6) 金仓数据库管理系统KingbaseES (6) 东软通用数据库系统 (6) 3投标单位概况和已有工作基础 (6) 投标单位名称: (6) 投标单位的性质: (7) ` 基本结构: (7) 财务状况: (9) 运营情况: (9) 技术优势: (9) 产业化优势 (9) 在本投标项目相关领域已有工作基础和取得成果 (9) 项目负责人和项目主要参加人员的情况 (9) 4技术总体方案 (9) $ 项目所依据的技术原理 (9) 主要技术与性能指标 (11) 主要技术 (11) 主要指标参数 (12) 项目拟执行的质量标准类型、质量标准名称 (12)
5项目实施方案 (13) 项目主要内容 (13) 项目的研究对象 (13) { 主要技术与性能指标 (13) 项目技术路线描述 (14) 项目技术实现依据 (15) 设计思想依据 (15) 关键技术实现的依据 (16) 项目技术成熟性 (17) 采用的成熟技术 (17) 已攻克的关键技术 (19) % 待研究的关键技术 (22) 项目产品化 (23) 产品用途 (23) 产品性能 (23) 比较优势 (24) 产品化实施计划 (24) 项目产品化实施计划的具体进度安排 (24) 产品化拟执行的质量标准类型 (25) \ 项目产品应取得的相关许可认证证书 (25) 项目产品市场与竞争 (25) 行业及市场概述 (25) 目标市场 (25) 目标市场容量 (26) 竞争优势分析 (26) 技术优势 (26)
中国人民大学2012年全日制 工程硕士专业学位研究生招生简章 为更好地适应国家经济社会发展对高层次、多类型人才的需要,增强研究生教育服务经济社会发展能力,加快研究生教育结构调整优化的步伐,努力提高研究生选拔培养质量,积极为国家经济社会发展培养应用型人才,我校2012年继续招收工程硕士专业学位研究生,其中软件工程领域(专业代码为:085212)拟招收20人(校本部,含少数民族骨干计划、援藏计划),拟接收推荐免试生10人;项目管理领域(专业代码为:085239)拟招收10人(校本部,含少数民族骨干计划、援藏计划),不接收推荐免试生。 一、专业介绍 中国人民大学信息学院创建于1978年,前身是我国最早用信息来命名学科的经济信息管理系。三十多年来,信息学院始终立足学科前沿,跟踪国际先进技术,是国最早开展数据库和信息系统研究的团队之一,在关系型数据库技术、面向对象的数据库技术、并行数据库技术、数据仓库与商务智能技术、XML数据库,以及信息系统的理论与实践等领域有深入的研究,承担了许多国家攻关项目、863高科技计划项目、国家自然科学基金重点项目以及大量的企事业单位委托项目。学院教授先后荣获原电子部科技进步特等奖、国家科技进步二等奖、市科技进步一等奖、二等奖,教育部科技进步二等奖等多项奖励。目前拥有教育部数据库与商务智能工程研究中心、数据工程与知识工程教育部重点实验室以及市数据库产业化基地等多个省部级的研究机构,成为我校文理交叉的一个典。计算机应用技术专业是博士学位授予点,是我国1981年第一批设立的硕士学位授予点,市重点学科,获高等学校特色专业称号。数据库和信息系统领域学术研究位居全国领先地位,为中国计算机学会数据库专业委员会和中国信息经济学会的挂靠单位。学院师资强大,多名教授获国家教学名师、中国信息化十大杰出人物、推动中国软件产业发展的25位功勋人物、中国计算机协会“王选奖”、霍英东青年教师研究基金资助人才、新世纪优秀人才支持计划等殊荣。
学习资料:数据库用户管理 SQL Server的安全包括服务器安全和数据安全两部分。服务器安全是指可以SQL Server数据库服务器的登录管理、数据库数据的访问安全等,数据安全则包括数据的完整性、数据库文件的安全性。因此,如果你准备访问SQL Server数据库的数据,你应该具有SQL Server登录帐户和访问数据库的权限。 下面逐一讲解如何创建登录帐户、如何创建数据库用户和如何给用户授权。 一、SQL Server身份验证 在登录SQL Server时,需要选择身份验证的方式,SQL Server支持以下两种身份验证。 Windows身份验证。 SQL Server身份验证。 简单地说,Windows身份验证是使用当前登录到操作系统的用户去登录,而SQL Server身份验证是使用SQL Server中建立的用户去登录。 登录验证通过以后,就可以像管理本机SQL Server一样来管理远程机上的SQL Server 服务。 二、建立登录帐户并赋予权限 与创建数据库一样,建立SQL Server数据库的登录名、用户名,为其赋予权限也有两种方式。 1)使用SQL Server Management Studio建立登录账户并赋予权限 2)使用T-SQL建立登录账户并赋予权限 1.在SQL Server Management Studio中建立登录账户并赋予权限在SQL Server Management Studio中,通常需要进行三步操作。 1)建立SQL Server登录名 在SQL Server Management Studio中,建立登录的步骤如下。 (1)在“安全性”节点下,右击“登录名”,在右键菜单中选择“新建登录名”选项。
摘要 姓名:颜超丽学号:200915553013027 此文运用了数据字典、数据流图等方法对工厂管理系统进行了需求分析,运用E-R图进行了概念结构设计,在逻辑结构设计中将E-R图转化为关系模型,在物理结构设计中确定该数据库的存储结构,最后通过SQL语言实现数据库的设计。在这过程中,还详细地分析了各个子系统的属性、实体间的联系以及子系统间的关系。在这基础上,通过金仓数据库软件,运用SQL语言将所建工厂管理系统数据库顺利实现。 关键字:数据字典,E-R图,SQL语言 目录 一、系统概述 (1) 二、需求分析 (1) 1信息分析 (1) 2数据流图 (2) 3数据字典 (2) 三、概念结构设计 (4) 1实体列表 (4) 2分E-R图 (4) 3全局E-R图 (5) 四、物理结构设计 (5) 1关系模式存取方式选择 (5) 2确定数据库的存储结构 (5)
3评价物理结构 (5) 五、逻辑结构设计 (6) 六、数据库的实施 (7) 七、设计总结........ (8) 八、文献 (9)
工厂管理系统库 一、系统概述 工厂管理信息化是工厂管理系统应用信息技术及其产品的过程,是信息技术应用于工厂管理的过程。工厂信息化的实施,自下而上而言,必须以管理人员使用信息技术水平的逐步提高为基础;自上而下而言,必须与工厂的制度创新、组织创新和管理创新结合。 工厂管理系统算是比较简单一种信息系统。它主要应用于工厂仓库管理、职工管理、车间管理和零件管理。其中车间对职工和零件来说是很重要的。 工厂管理信息化建设工作具有长期性和内容的多变性;正因为这样,车间管理信息系统也不是一个简单的、静止的、封闭的系统,而是一个开放的,随着时间的推移会逐步变化和发展的系统。 二、需求分析 1、信息分析 根据工厂方面取得的信息资料,得出系统的信息需求和处理要求,得到设计所需的需求信息。这些信息是是选择了对数据库设计直接有用的信息。 A.工厂系统: a.车间:一个工厂有很多个车间,每个车间有车间号、车间主任名、地址、 电话。 b.工人:一个车间有多个工人,每个工人有职工号、姓名、年龄、性别和 工种。 c.产品:一个车间生产多钟产品,产品有产品号,价格。 d.零件:一个车间有多个零件,一个零件也可以由多个车间制造。零件有 零件号、重量和价格。 e.仓库:产品与零件存入仓库中,厂内有多个仓库,仓库有仓库号、仓库 保管员、姓名、电话。 B.系统联系: a.生产:一个车间有多个零件,一个零件也可以由多个车间制造。 b.组成:一个产品由多个零件组成,一种零件也可装配多中产品内。 c.保管:产品与零件存入仓库中,厂内有多个仓库。
人大金仓BI产品方案 Business Intelligence(BI)商务智能 商业智能:将数据转换成信息的过程,再通过发现将信息转化为知识。 从业务角度看 用来辅助商业决策的制定;商业智能提供迅速分析数据的技术和方法,包括收集、管理和分析数据,将这些数据转化为有用的信息,然后分发到企业各处。 从技术角度看 将数据仓库(DW )、联机分析处理(OLAP)、数据挖掘(DM ) 等技术与业务结合起来应用于商业决策的过程,实现技术服务于决策的目的。 商业智能也称作BI,是英文单词Business Intelligence的缩写。商业智能的概念最早在1996年提出。当时将商业智能定义为一类由数据仓库(或数据集市)、查询报表、数据分析、数据挖掘、数据备份和恢复等部分组成的、以帮助企业决策为目的技术及其应用。目前,商业智能通常被理解为将企业中现有的数据转化为知识,帮助企业做出明智的业务经营决策的工具。这里所谈的数据包括来自企业业务系统的订单、库存、交易账目、客户和供应商等来自企业所处行业和竞争对手的数据以及来自企业所处的其他外部环境中的各种数据。而商业智能能够辅助的业务经营决策既可以是操作层的,也可以是战术层和战略层的决策。为了将数据转化为知识,需要利用数据仓库、联机分析处理(OLAP)工具和数据挖掘等技术。因此,从技术层面上讲,商业智能不是什么新技术,它只是数据仓库、OLAP和数据挖掘等技术的综合运用。 因此,把商业智能看成是一种解决方案应该比较恰当。商业智能的关键是从许多来自不同的企业运作系统的数据中提取出有用的数据并进行清理,以保证数据的正确性,然后经过抽取(Extraction)、转换(Transformation)和装载(Load),即ETL过程,合并到一个企业级的数据仓库里,从而得到企业数据的一个全局视图,在此基础上利用合适的查询和分析工具、数据挖掘工具、OLAP工具等对其进行分析和处理(这时信息变为辅助决策的知识),最后将知识呈现给管理者,为管理者的决策过程提供支持。
一种通用权限管理方案的设计方案 分析了权限管理的概念和一些与权限管理容易混淆的概念。提出了一种目前可以应用到绝大多数与权限有关的系统设计中的通用权限管理方案。该方案以角色对用户进行分组,通过用户数据库、角色数据库、权限数据库、用户-权限数据库以及角色-权限数据库来实现权限的分层管理。该设计方案能够由管理员方便的对权限进行设置。通过对角色的权限设置可以达到快速设置权限。通过对用户的权限设置可以达到权限的精确控制。文章最后以某项目为基础对该权限设计方案进行了实现。通过测试,该方案能够很好的对用户权限进行控制,从而提高整个系统的安全性。 标签:权限系统角色数据库 1 权限管理的概念 权限管理是软件系统中最常见的功能之一。所谓权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。尤其是在B/S机构的系统中,由于没有专门的客户端软件系统,所以权限管理就显的尤为重要。如果一个B/S系统的权限管理设计的不好,那么一个“非法用户”就可以轻而易举的获取整个系统的所有本能,包括超级管理员的功能。那么这样的系统还有谁敢使用。 很多人,常将“用户身份认证”、“密码加密”、“系统管理”等概念与权限管理概念混淆。用户身份认证,根本就不属于权限管理范畴。用户身份认证,是要解决这样的问题:用户告诉系统“我是谁”,系统就问用户凭什么证明你就是“谁”呢?对于采用用户名、密码验证的系统,那么就是出示密码。当用户名和密码匹配,则证明当前用户是谁;对于采用指纹等系统,则出示指纹;对于硬件Key 等刷卡系统,则需要刷卡。密码加密,是隶属用户身份认证领域,不属于权限管理范畴。 2 权限管理的设计 2.1 权限管理的对象在一般的系统设计中,权限管理的参于对象包括用户对象、角色(或分组)对象、功能模块对象。角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色。功能模块则对不同的系统来说各不相同,一般在系统设计中最终将其以图形界元素的形式表现出来(比如软件界面上的各个功能按钮)。 2.2 权限管理举例下面我们举例说明2.1中提到的用户、角色、功能三个对象在权限管理中具体应用。表1中列出了某文档管理项目中权限管理的一部分设计表。从中我们可以清晰的区别出这三个对象以及它们的各自作用。
1设计思路 为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,具体实现如下。 1.1用户 用户仅仅是纯粹的用户,用来记录用户相关信息,如用户名、密码等,权限是被分离出去了的。用户(User)要拥有对某种资源的权限,必须通过角色(Role)去关联。 用户通常具有以下属性: 编号,在系统中唯一。 ü名称,在系统中唯一。 ü用户口令。 ü注释,描述用户或角色的信息。 1.2角色 角色是使用权限的基本单位,拥有一定数量的权限,通过角色赋予用户权限,通常具有以下属性: ü编号,在系统中唯一。 ü名称,在系统中唯一。 ü注释,描述角色信息 1.3权限 权限指用户根据角色获得对程序某些功能的操作,例如对文件的读、写、 修改和删除功能,通常具有以下属性: ü编号,在系统中唯一。 ü名称,在系统中唯一。 ü注释,描述权限信息 1.4用户与角色的关系 一个用户(User)可以隶属于多个角色(Role),一个角色组也可拥有多个用户,用户角色就是用来描述他们之间隶属关系的对象。用户(User)通过角色(Role)关联所拥有对某种资源的权限,例如l用户(User): UserID UserName UserPwd 1张三xxxxxx 2李四xxxxxx …… l角色(Role): RoleID RoleName RoleNote 01系统管理员监控系统维护管理员 02监控人员在线监控人员 03调度人员调度工作人员 04一般工作人员工作人员…… 从该关系表可以看出,用户所拥有的特定资源可以通过用户角色来关联。 1.5权限与角色的关系 一个角色(Role)可以拥有多个权限(Permission),同样一个权限可分配给多个角色。例如:l角色(Role): RoleID RoleName RoleNote 01系统管理员监控系统维护管理员 02监控人员在线监控人员
目录 1数据库操作规范: 1.1数据库关键参数配置: ·新项目或系统、数据库填写系统上线更新记录表; ·mysql数据库应用服务端口设定,默认实例服务端口是3306,其它实例需注意服务端口值; ·数据库内存使用是实际物理内存三分之二,如果是双机系统建议不要超过二分 之一; ·严禁按照Internet上查找的资料中只言片语,对数据库进行调整; 1.2数据库数据提取流程: 1业务部门相关人员填写“数据申请单”; 2部门负责人签字; 3DBA依情况操作; 4需求申请部门验收。 1.3数据库操作管理制度: ①业务部门要求的数据库操作需要有书面审批流程,DBA应保留原始文件一份; ②业务部门所填写的数据申请表单,一定需要相关负责人签字后方可执行。 ③在做数据库更改操作前,必须和业务人员核对业务逻辑,在完全清楚业务逻辑后进 行数据库操作; ④所有数据库更改操作,必须先进行测试,并将操作放在事物中,分步执行; ⑤保留重要操作的脚本、操作前数据、操作过程结果,以便日后查对; ⑥在完成操作后,要给操作需求方最终结果报告,使需求方可以及时核对; ⑦对于一些核心机密数据,需要遵守公司相关的保密协议,不能向外泄露;
⑧注意维护数据库服务器的硬盘空间,及盘阵上磁盘状态; ⑨按流水记录数据操作日志,作为以后查对凭证; ⑩以后有关数据库手工操作之前,一定通知所有应用程序开发人员,以便评估、保存操作结果; ⑾DBA个人使用的计算机应严格管理,尽可能不要在办公区外上网,更不要浏览和工作无关的网站,一定要安装防毒套装软件,避免感染病毒和木马, 严禁安装与工作无关的应用软件; ⑿当数据库需要调整时,严禁按照网上查找的资料操作数据库,一定是先查看官方完整文档或权威文档,通过严格测试,书写完整报告,经评估后,填写 数据库维护申请表,获审批方可操作; ⒀严禁在其它地方使用工具连接生产数据库,进行操作; ⒁操作流程:填写数据申请单 ·业务部门业务人员提出申请; ·业务部门负责人审核; ·运营DBA执行,操作完成后,需在“DBA操作结果”中写明操作语 句和影响记录条数; ·运营核查; ·业务部门任务申请人员检验操作结果,并签字确认; ·单据由运营部门保留。 1.4操作系统帐号管理制度: ①在数据库服务器、关键应用服务器上,只能有数据库DBA人员的帐号,开发人 员需要介入时,填写开发人员使用数据库申请单; ②在操作系统中需要启动本地安全策略中有关帐户管理的安全策略,策略如下: ·启动密码必须符合复杂性要求; ·密码长度最小值6个字符; ·帐户锁定时间10分钟; ·帐户锁定阀值5次; ③每两个星期检查一次操作系统日志; 1.5数据库帐号管理制度: ①应用程序帐号权限需要做严格限制,对不同应用需求使用不同权限和操作范围帐号, 要有部门负责人确认; ②在不同应用服务器上相同应用程序应使用不同数据库访问帐号; ③帐号密码需要有复杂性要求(字母、数字14位以上); ⑤所有帐号名称、访问权限、应用程序名称必须记录在案(如:表格形式); ⑥在防火墙上严格限制数据库端口访问的IP地址,只有正常对外服务的应用服务器 IP可以访问相关数据库; ⑦数据库超级用户权限使用严格限制;
OA系统权限管理设计方案 l 不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的功能。 l 可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便的事情。所以,系统中就提出了对“组”进行操作的概念,将权限一致的人员编入同一组,然后对该组进行权限分配。 l 权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。就像是组件一样的可以被不断的重用,而不是每开发一套管理系统,就要针对权限管理部分进行重新开发。 l 满足业务系统中的功能权限。传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统之间,功能权限是可以重用的,而资源权限则不能。 针对OA系统的特点,权限说明: 权限 在系统中,权限通过模块+动作来产生,模块就是整个系统中的一个子模块,可能对应一个菜单,动作也就是整个模块中(在B/S系统中也就是一个页面的所有操作,比如“浏览、添加、修改、删除”等)。将模块与之组合可以产生此模块下的所有权限。 权限组 为了更方便的权限的管理,另将一个模块下的所有权限组合一起,组成一个“权限组”,也就是一个模块管理权限,包括所有基本权限操作。比如一个权限组(用户管理),包括用户的浏览、添加、删除、修改、审核等操作权限,一个权限组也是一个权限。
角色 权限的集合,角色与角色之间属于平级关系,可以将基本权限或权限组添加到一个角色中,用于方便权限的分配。 用户组 将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予权限(角色),快速使一类人具有相同的权限,来简化对用户授予权限的繁琐性、耗时性。用户组的划分,可以按职位、项目或其它来实现。用户可以属于某一个组或多个组。 通过给某个人赋予权限,有4种方式(参考飞思办公系统) A. 通过职位 a) 在职位中,职位成员的权限继承当前所在职位的权限,对于下级职位拥有的权限不可继承。 b) 实例中:如前台这个职位,对于考勤查询有权限,则可以通过对前台这个职位设置考勤查询的浏览权,使他们有使用这个对象的权限,然后再设置个,考勤查询权(当然也可以不设置,默认能进此模块的就能查询),则所有前台人员都拥有考勤查询的权利。 B. 通过项目 a) 在项目中,项目成员的权限来自于所在项目的权限,他们同样不能继承下级项目的权限,而对于项目组长,他对项目有全权,对下级项目也一样。 b) 实例中:在项目中,项目成员可以对项目中上传文档,查看本项目的文档,可以通过对项目设置一个对于本项目的浏览权来实现进口,这样每个成员能访问这个项目了,再加上项目文档的上传权和查看文档权即可。
MYSQL数据库管理之权限管理 小编做客服有一阵子了,总是有人在QQ群或者论坛上问关于mysql权限的问题,今天就总结一下关于MYSQL数据库的权限管理的经验。希望大家看完有所收获啦~ 一、MYSQL权限简介 关于mysql的权限简单的理解就是mysql允许你做你权利以内的事情,不可以越界。比如只允许你执行select操作,那么你就不能执行update操作。只允许你从某台机器上连接mysql,那么你就不能从除那台机器以外的其他机器连接mysql。 那么MYSQL的权限是如何实现的呢?这就要说到mysql的两阶段的验证,下面详细来介绍: 第一阶段:服务器首先会检查你是否允许连接。因为创建用户的时候会加上主机限制,可以限制成本地、某个IP、某个IP段、以及任何地方等,只允许你从配置的指定地方登录。后面在实战的时候会详细说关于主机的限制。 第二阶段:如果你能连接,MYSQL会检查你发出的每个请求,看你是否有足够的权限实施它。比如你要更新某个表、或者查询某个表,MYSQL会检查你对哪个表或者某个列是否有权限。再比如,你要运行某个存储过程,MYSQL会检查你对存储过程是否有执行权限等。 MYSQL到底都有哪些权限呢?从官网复制一个表来看看: 权限权限级别权限说明 CREATE数据库、表或索引创建数据库、表或索引权限DROP数据库或表删除数据库或表权限 GRANT OPTION数据库、表或保存的程序赋予权限选项 REFERENCES数据库或表 ALTER表更改表,比如添加字段、索引等DELETE表删除数据权限 INDEX表索引权限 INSERT表插入权限 SELECT表查询权限 UPDATE表更新权限 CREATE VIEW视图创建视图权限 SHOW VIEW视图查看视图权限 ALTER ROUTINE存储过程更改存储过程权限 CREATE ROUTINE存储过程创建存储过程权限 EXECUTE存储过程执行存储过程权限
浅述Kingbase Smartbi复杂报表的几种模型 一般来说,报表有下面几种类型:列表、分组、主从、嵌套、交叉、图形、参数、告警、填报。本文将主要介绍这几类报表的概念,并简要说明了Kingbase Smartbi如何支持这几种报表模型。 1、列表 列表也叫清单,是报表最通用的模型,将一组(多条)数据结构完全相同的数据以表格形式顺序展现出来,如下图所示: 列表模型能满足所有报表工具的需求,它具有表头、数据及表尾。 2、分组 分组报表是在列表报表的基础上,对数据做进一步处理。将同类数据显示在一个组中,并对这个组进行统计运算。如下图所示: 分组模型是对表格中的某一列数据进行分组,并对分组的数据进行加工计算。
如上图所示的分组报表是按销售区域进行分组,并将同一销售区域的数据放在一个组内进行小计汇总统计,最后对所有销售额进行汇总统计。它具有表头、分组的详细数据、分组表尾。 3、主从 主从模型是两组一对多对应关系的数据,在报表中通过主数据能够将从数据的详细数据呈现出来。在Kingbase Smartbi复杂报表中是通过链接来处理主从模型的数据关系。如下图所示: 主数据 从数据(只截取部分数据) 主从模型是将两个报表进行配合形成的。如上图所示的主数据报表是用户开始看到的数据列表,当点击【特制品】【华东】的销售额会跳转到从数据相关的明细数据,即从数据报表。 4、嵌套 嵌套也就是分块模式,是将多个不同的数据块组合在一个报表中展示。如下图所示:
嵌套模型的数据块之间没有必然的联系,各个部分都是独立的。如上图所示,可以从不同的角度来分析销售额数据,其中从时间角度是一个数据块,从地区角度是一个数据块,从产品类别也是一个数据块。 5、交叉 交叉模型是报表的横向数据(列数和列标题)与纵向数据(行数和行标题)都不固定的模型,是根据数据源中返回的数据来动态创建。然后根据创建的列标题和行标题,进行交叉的统计汇总,汇总方式包括求和、求平均、求记录数、取最大/最小值等。Kingbase Smartbi报表的交叉模式如下图所示: 如上图所示,横向数据是产品的大类分类与小类分类,纵向数据是区域的地区分类及城市分类,并各自横行纵向进行小计。 6、图形 图形模型能够直观地表现出数据的规律,让用户及时根据数据的变化趋势来采
实现业务系统中的用户权限管理 B/S系统中的权限比C/S中的更显的重要,C/S系统因为具有特殊的客户端,所以访问用户的权限检测可以通过客户端实现或通过客户端+服务器检测实现,而B/S中,浏览器是每一台计算机都已具备的,如果不建立一个完整的权限检测,那么一个“非法用户”很可能就能通过浏览器轻易访问到B/S系统中的所有功能。因此B/S业务系统都需要有一个或多个权限系统来实现访问权限检测,让经过授权的用户可以正常合法的使用已授权功能,而对那些未经授权的“非法用户”将会将他们彻底的“拒之门外”。下面就让我们一起了解一下如何设计可以满足大部分B/S系统中对用户功能权限控制的权限系统。 需求陈述 ?不同职责的人员,对于系统操作的权限应该是不同的。优秀的业务系统,这是最基本的功能。 ?可以对“组”进行权限分配。对于一个大企业的业务系统来说,如果要求管理员为其下员工逐一分配系统操作权限的话,是件耗时且不够方便的事情。所以,系统中就提出了对“组”进行操作的概念,将权限一致的人员编入同一组,然后对该组进行权限分配。 ?权限管理系统应该是可扩展的。它应该可以加入到任何带有权限管理功能的系统中。 就像是组件一样的可以被不断的重用,而不是每开发一套管理系统,就要针对权限管理部分进行重新开发。 ?满足业务系统中的功能权限。传统业务系统中,存在着两种权限管理,其一是功能权限的管理,而另外一种则是资源权限的管理,在不同系统之间,功能权限是可以重用的,而资源权限则不能。 关于设计 借助NoahWeb的动作编程理念,在设计阶段,系统设计人员无须考虑程序结构的设计,而是从程序流程以及数据库结构开始入手。为了实现需求,数据库的设计可谓及其重要,无论是“组”操作的概念,还是整套权限管理系统的重用性,都在于数据库的设计。 我们先来分析一下数据库结构: 首先,action表(以下简称为“权限表”),gorupmanager表(以下简称为“管理组表”),以及master表(以下简称为“人员表”),是三张实体表,它们依次记录着“权限”的信息,“管理组”的信息和“人员”的信息。如下图:
KingbaseES中的用户与模式概念及关联 一、用户 在实际应用中,作为数据库管理员,必须确保需要访问的数据库的个人具有适当级别的权限,为了使用户能够创建和管理对象,DBA需要为用户授予适当的权限。一旦某个用户创建了一些对象,该用户随之可以被授予操纵这些对象的权限,而DBA不需要涉及对单个用户所创建对象的管理权限。 要想访问数据库,任何人需要成为能够通过数据库身份认证的有效数据库用户,则可以配置应用程序要求每个需要进行访问的个体都具有不同的数据库账户,同时也可以配置应用程序自身作为公共用户连接数据库并在内部处理应用程序级别权限,无论哪一种方式,在数据库中内都需相应地创建一个或多个允许操纵数据的用户。 需要提到的是,在KingbaseES中,用户是实例级的,所以我们平时在KingbaseES中,虽在不同数据库下,查询系统表SYS_USER、SYS_DATABASE中看到关于用户的信息结果都是一致的,记录的是所有的用户、所有的数据库。用户与数据库是一对多的关系。无论当前连接在哪个数据库下,创建的用户都是实例级。 在KingbaseES中创建用户时,该用户默认有当前数据库的connect权限,当需要连接登录到其它用户创建数据库时,需要DBA将其它数据库的CONNECT权限赋予该用户才能正常登录,但该用户需要访问操作数据库下的其他用户所创建的对象时,同样需要被赋予相应的权限才可行。另外,在KingbaseES中,用户拥有connect权限登录数据库后,默认情况下用户拥有PUBLIC模式CREATE 的权限(下文中会详细说明),即默认该用户可以在PUBLIC模式下创建属于自己的数据对象。 数据库管理系统为了方便各用户对数据对象的管理,如同在KingbaseES Help里提到的,在实际应用场景下,为了: ?多个用户使用同一个数据库而不会相互影响。 ?对数据库中的对象进行逻辑分组,更便于管理。 ?各个应用分别使用各自的模式,以避免命名冲突。 而引入模式的概念。 二、模式
实验一 实验目的:理解和掌握关系数据库标准sql语言,能够熟使用sql语言完成各种数据库操作和管理任务。 实验工具:安装有金仓数据库的windows7系统。 实验过程: 1,创建模式: 代码:create schema TT AUTHORIZATION system; setsearch_path to "TT"; 2,创建表: 1)表Student 代码:create table Student (Snochar(9) primary key, Sname char(20), Ssex char(2), Sage smallint, Sdept char(20) ); 2)表Course 代码: create table Course (Cno char(4) primary key, Cname char(40) not null, Cpno char(4), Ccreditsmallint, foreign key(Cpno) REFERENCES Course(Cno) ); 3)表SC 代码: create table SC (Sno char(9), Cno char(4), Grade smallint, primary key(Sno,Cno), foreign key(Sno) REFERENCES Student(Sno), foreign key(Cno) references Course(Cno) );
结果截图: 3.插入数据: 如插入表Student的一条信息代码: insert into Student values('1','李思','m',123,'123333'); 4.修改基本表 1)显示当前搜索路径。 show search_path; 截图: 2)向Student表加入“入学时间”列,类型为日期型 alter table Student ADD S_entrance DATE; 效果截图 3)将年龄的数据类型由字符型改为整型(原来假设为字符型)alter table Student alter column Sage int; 4)增加课程名称必须取惟一值的约束条件。 alter table Course add unique(Cname);
人大金仓:数据中心解决方案需紧抓性价比与本土化 在全球商业竞争环境越来越激烈的背景下,以及随着社交网络、云计算的发展,企业累积的数据资产急剧增多。尽管国际IT厂商已提出了各种解决方案,但其服务价格高、不贴合本土用户使用习惯,让本地用户苦不堪言。近期,本土专注于数据管理与服务的厂商人大金仓对外宣布推出“金仓数据中心解决方案”,该方案采取了“软件平台+服务”的创新模式,不仅可以大幅帮助用户降低数据中心解决方案的建设成本,并且还能充分符合中国用户的使用习惯,为国内用户构建数据中心解决方案创造出一种新的可能。 数据库结合商业智能创出性价比 国内某企业CTO表示,在考虑采购国际厂商的数据中心解决方案时,其昂贵的价格让人“尴尬”。如果采购一台oracle的能高效并发处理海量数据的高配置软件,光产品可能就得几十万以上还不包括服务的部分,这不是一般企业能承受得住的。很多用户都迫切需要一个“高性价比”的方案,既能帮助企业数据“增值”,同时还能“经济实惠”。 人大金仓负责人介绍,金仓的数据中心解决方案正可以满足用户的需求。据介绍,人大金仓数据中心解决方案“创新性”的把软件平台和服务结合起来,将数据库与商业智能进行融合,即可有效整合集团内部数据还能融合到商业智能平台中,实现传统的事务处理和联机分析处理,帮助客户实现数据管理、分析、挖掘一体化的业务需求,节省用户成本。 此外,金仓数据中心解决方案采用了目前主流的SOA架构体系,当用户需要进行二次开发时,可在原有的基础平台上拓展组建,而不用重新建立一个新的环境,以此大幅降低了IT系统开发的成本,增加企业部署的灵活性。 业内人士指出,人大金仓推出的解决方案不仅可以媲美国际厂商的解决方案,还将承袭国内厂商一贯以来的价格优势,具有极高的性价比,将成为用户的首选方案。 为国内用户“量体裁衣” 众所周知,国外厂商推出的解决方案多以大而全的模块化方案为主,有很多用不到功能模块被闲置。此外,国外产品对企业特别是企业高层的使用习惯了解不够,往往导致产品与决策层的需求存在一定差距。 据了解,人大金仓通过十几年的市场沉淀,将“本土化”的数据中心解决方案真正落地,完全可以提供“定制化服务”,为国内用户“量体裁衣”。
仓库管理系统数据库设计 1概述(设计题目与可行性分析) 1.1设计题目 设计一个仓库数据库管理系统,要求实现入库、出库、库存和采购等功能。 随着经济的飞速发展,,仓库管理变成了各大公司日益重要的内容。仓库管理过程的准确性和高效性至关重要。影响着公司的经济发展和管理。利用人工管理强大而数据烦琐的数据库显的效率过于低。利用计算机高效、准确的特点能够很好的满足公司的管理需要。提高公司各个员工的工作效率和公司的运做效率。利用计算机对仓库数据信息进行管理具有着手工管理所无法比拟的优点。目前一个现代化的仓库管理系统已经成为仓库管理不可缺少的管理手段。 1.2 可行性研究 可行性研究的目的就是用最小的代价在尽可能短的时间内确定问题是否能够解决。可行性研究的目的不是解决问题而是分析问题能不能解决;至少从下面三个方面分析可行性研究。 1.2.1技术可行性 该仓库数据库管理系统不不是很复杂,设计实现该数据库技术难度不是很大,利用目前现有的技术和工具能在规定的时间内做出该系统。该系统利用SQL2000和 visual studio 工具就能很好的实现该系统。 1.2.2经济可行性 当今世界是经济时代,一个公司的员工工作效率的高低直接影响着这个公司的发展。因此利用计算机进行信息管理有着无可比拟的好处,该系统相对较小,代码行较少,数据库设计不是很麻烦,开发周期较短。而且便于维护。但其带来的经济效益远远高于其开发成本。在经济上是可行的。 1.2.3操作可行性 在当今社会,随着义务教育的普及。和计算机的普及,公司的员工基本上都会进行电脑的基本操作,由于本软件系统采用相对友好的界面,用户 在使用过程中不需要懂太多的电脑专业知识,只需要基本的电脑操作就可
数据库用户管理 SQL Server的安全包括服务器安全和数据安全两部分。服务器安全是指可以SQL Server数据库服务器的登录管理、数据库数据的访问安全等,数据安全则包括数据的完整性、数据库文件的安全性。因此,如果你准备访问SQL Server数据库的数据,你应该具有SQL Server登录帐户和访问数据库的权限。 下面逐一讲解如何创建登录帐户、如何创建数据库用户和如何给用户授权。 一、SQL Server身份验证 在登录SQL Server时,需要选择身份验证的方式,SQL Server支持以下两种身份验证。 Windows身份验证。 SQL Server身份验证。 简单地说,Windows身份验证是使用当前登录到操作系统的用户去登录,而SQL Server 身份验证是使用SQL Server中建立的用户去登录。 登录验证通过以后,就可以像管理本机SQL Server一样来管理远程机上的SQL Server 服务。 二、建立登录帐户并赋予权限 与创建数据库一样,建立SQL Server数据库的登录名、用户名,为其赋予权限也有两种方式。 1)使用SQL Server Management Studio建立登录账户并赋予权限 2)使用T-SQL建立登录账户并赋予权限 1.在SQL Server Management Studio中建立登录账户并赋予权限 在SQL Server Management Studio中,通常需要进行三步操作。 1)建立SQL Server登录名 在SQL Server Management Studio中,建立登录的步骤如下。
首先要用widows模式登陆,在windows模式下在数据库中进行建立。 点击 (1)在“安全性”节点下,右击“登录名”,在右键菜单中选择“新建登录名”选项。
金仓安全数据库中的用户权限管理技术 1. 概述 安全是信息安全的基础环节和重要支撑。为应对纷繁复杂的多样化数据安全保护需求,金仓重力打造完全遵照安全数据库国家标准GB/T 20273-2006的结构化保护级(第四级)技术的企业级安全数据库产品“金仓安全数据库”,为用户提供核心级数据保护能力。 金仓安全数据库具备完整系统的安全功能,通过全新结构化系统设计和强化的多样化强制访问控制模型框架,在身份鉴别、用户权限,以及数据访问、存储和传输等方面的安全增强提高了数据库系统的整体安全性,提供了包括强化身份鉴别、自主访问控制、安全标记、强制访问控制、特权分立、安全审计、资源限制、客体重用,以及程序运行和数据存储完整性、数据存储透明加密、数据传输加密等在内的主要安全功能和控制手段,可以从容应对复杂多样的安全业务场景,保障敏感数据的安全。 下面详细介绍一下特权分立和受限DBA的安全性能: 1.1.特权分立 金仓安全数据库采用了三权分立的安全管理体制,数据库三权分立是为了解决数据库超级用户权力过度集中的问题,参照行政、立法、司法三权分立的原则来设计的安全管理机制。金仓安全数据库把数据库管理员分为数据库管理员、安全管理员、审计管理员三类。 ?数据库管理员,主要负责执行数据库日常管理各种操作和自主存取控制。 ?安全管理员,主要负责强制存取控制规则的制定和管理。 ?审计管理员,主要负责数据库的审计,监督前两类用户的操作。 特权分立的优点: 这三类用户是相互制约又相互协作共同完成数据库的管理工作。安全管理员可以授 权用户查看某些敏感数据(强制存取控制授权),但是并不意味着这个用户就可以
看到这些敏感数据,它还需要得到数据库管理员的授权(自主存取控制授权)。同理,如果只有数据库管理员的自主存取控制授权而没有安全管理员的强制存取控制授权,用户还是无法看到它不应当看到的敏感数据。审计管理员拥有一套机制,可以保护审计记录数据不会被数据库管理员或者安全管理员删除或者篡改。 这三类用户彼此隔离,互不包容,各自维护自己权限许可范围内的对象,不能跨范 围操作,也不能相互授权。数据库管理员不能对安全、审计相关的用户及数据库对象进行操作,不能将任何用户修改为安全员或审计员,不能授予、回收安全员、审计员的权限,不能切换到安全员、审计员的许可认证;安全员只能管理安全员和安全相关的系统对象,同理,审计员只能管理审计员和审计相关的系统对象。 三权分立堵住了以前滥用数据库超级用户特权的安全漏洞,进一步提高了数据库的 整体安全性。 1.2.受限DBA 受限DBA指对数据库管理权限进行相应限制的DBA。金仓安全数据库提供了受限DBA 功能,可有效限制DBA对其他用户的默认数据访问权限。金仓安全数据库通过提供系统配置参数 restricted_DBA 来配置受限DBA功能。只有系统安全员(SSO)对受限DBA功能有打开或关闭权限。所有用户可以查询受限DBA功能的当前工作状态。 金仓安全数据库中的权限可以分为以下三类,系统权限、对象权限、列级权限。针对系统中权限结构,可以理解为权限所有者主要有三种:DBA、属主(owner)、被属主直接授权或间接授权的用户(通过grant进行的ACL授权,下文简称ACL授权用户)。 ?系统权限,是执行特定操作的权限。这些权限包括:CREATE DATABASE、CREATE USER、CREATE ROLE 的权限,具体分为 SUPERUSER、SSO、SAO、CREATEDB 和 CREATEROLE 五个系统权限。 ?对象权限,是对给定的用户授予在给定对象(例如表)上执行的操作集。这些操作可以指明为 INSERT 、SELECT 等,具体各类对象具有的权限类型可参见 GRANT 和REVOKE 语句的说明。 ?列级权限,是对给定的用户授予在给定表或视图上某些列执行操作集。此动作只能为INSERT、UPDATE和REFERENCES。