一、达梦数据库用户管理介绍

在通过DCA的学习后了解到达梦数据库的用户管理内容，结合实际工作情况，在实际的项目过程中，业务系统的上线都会面临安全漏扫等实现，结合实际项目对数据库的身份鉴别和访问控制的要求管控要求，总集如下学习心得，供参考。

1.系统默认内置用户

DM 默认的预定义用户：
SYS：系统内置用户，不允许登录。
SYSDBA：系统管理员，拥有几乎所有权限（除审计和强制访问控制）
SYSAUDITOR：系统审计管理员，具有审计相关权限。
SYSSSO：系统安全管理员，具有强制访问控制等权限；
SYSDBO：安全版本才有的用户，安全操作员。

2.系统用户口令策略

系统支持的口令策略有：
⚫ 0 无策略
⚫ 1 禁止与用户名相同
⚫ 2 口令长度需大于等于 INI 参数 PWD_MIN_LEN 设置的值
⚫ 4 至少包含一个大写字母（ A-Z）
⚫ 8 至少包含一个数字（ 0-9）
⚫ 16 至少包含一个标点符号（英文输入法状态下，除“和空格外的所有符号）
口令策略可单独应用，也可组合应用。组合应用时，如需要应用策略 2 和 4，则设置口令策略为 2+4=6 即可。

2.1.查询当前密码策略

select * from v$dm_ini where para_name =‘PWD_POLICY’;

2.2.修改用户的密码有效期限

修改用户TEST的会话空闲时间为10分钟，尝试登陆次数为5次，密码有效期为90天，连续登陆失败后锁定10分钟，会话持续时间10分钟。
alter user “TEST” limit connect_idle_time 10, failed_login_attemps 5, password_life_time 90, password_lock_time 10, connect_time 10;

二、达梦数据库访问控制介绍

2.1.权限分离

DM 数据库采用“三权分立”或“四权分立”的安全机制，将系统中所有的权限按照类型进行划分，为每个管理员分配相应的权限，管理员之间的权限相互制约又相互协助，从而使整个系统具有较高的安全性和较强的灵活性。
可在创建 DM 数据库时通过建库参数 PRIV_FLAG 设置使用“三权分立”或“四权分立” 安全机制，此参数仅在 DM 安全版本下提供，即仅 DM 安全版本提供“四权分立”安全机制。缺省采用“三权分立”安全机制。
使用“三权分立”安全机制时，将系统管理员分为数据库管理员、数据库安全员和数据库审计员三种类型。在安装过程中，DM 数据库会预设数据库管理员账号 SYSDBA、数据库安全员账号 SYSSSO 和数据库审计员账号 SYSAUDITOR，其缺省口令都与用户名一致。
使用“四权分立”的安全机制时，将系统管理员分数据库管理员、数据库对象操作员、数据库安全员和数据库审计员四种类型，在“三权分立”的基础上，新增数据库对象操作员账户 SYSDBO，其缺省口令为 SYSDBO。

2.2.最小权限

新建用户，默认只拥有public角色，不可以创建数据库对象，需要通过其它用户对其授权才能对有权限的数据库对象进行数据操纵。

2.3.数据访问控制策略

数据库权限一般由 SYSDBA、SYSAUDITOR 和 SYSSSO 指定，也可以由具有特权的其他用户授予。对象权限一般由数据库对象的所有者授予用户，也可由 SYSDBA 用户指定，或者由具有该对象权限的其他用户授权。

2.4.访问控制的粒度

数据库访问控制的粒度主体为用户（模式）级，客体为数据库表级。

2.5.强制访问控制

可以实现强制访问控制。

2.6.限制客户端登录

可以通过sql设置用户登陆的ip地址，非设定的ip登陆时会报错提示无效的ip。
alter user “DMHR” allow_ip “127.0.0.1”,“223.254.7.206”,“223.254.7.*”;
指定时间段内允许登陆。
alter user “DMHR” allow_datetime “2023-03-02” “00:00:00” to “2023-03-02” “23:59:59”,“MON” “09:00:00” to “FRI” “17:00:00”;
还可以通过防火墙开通数据库端口访问权限，限制客户端登陆数据库。

以上总结内容是基于在用的一个项目，进行等保测评过程中提出的安全整改涉及到的内容，供后续项目上有需要的同学参考，权威指导请咨询达梦官方技术团队。专业！靠谱！