参加过达梦DCP培训课程后，在模拟练习时发现对达梦数据库的自主访问控制和强制访问控制概念不是很清晰。梳理一下思考实践过程：

自主访问控制：灵活的数据权限管理

自主访问控制是一种基于用户自主决定的访问控制机制，它允许数据所有者自由地授予或撤销对数据库对象的权限。在达梦数据库中通常涉及到用户和角色的管理。

用户和角色的创建与管理

1. 创建用户：需CREATE_USER 权限。

   CREATE USER user_name IDENTIFIED BY password;
   

2. 创建角色：需，CREATE_ROLE 权限。

   CREATE ROLE role_name;
   

3. 授予权限：需 GRANT_ANY_PRIVILEGE 权限。

   GRANT SELECT, INSERT ON table_name TO user_name;
   

4. 撤销权限：需 REVOKE_ANY_PRIVILEGE 权限。

   REVOKE SELECT, INSERT ON table_name FROM user_name;
   

IP和时间段访问限制：增强安全性

达梦数据库还提供了对用户进行IP地址和时间段限制的功能，这为数据库的安全性增加了额外的保护层。

1. 设置IP白名单：需 ALTER_USER 权限。

   ALTER USER "AAA" ALLOW_IP "192.168.10.72" ,"192.168.10.73";
   

2. 设置IP黑名单：设置IP黑名单，禁止某些IP地址的访问。

   ALTER USER "AAA" NOT_ALLOW_IP "127.0.0.1";
   

3. 设置时间段访问限制：通过时间段限制控制用户在特定时间内的访问权限。

   ALTER USER "AAA" ALLOW_DATETIME "09:00:00" TO "18:00:00";
   

4. 取消限制：

   ALTER USER "AAA" NOT_ALLOW_IP NULL;
   ALTER USER "AAA" ALLOW_IP NULL;
   ALTER USER "AAA" ALLOW_DATETIME NULL;
   ALTER USER "AAA" NOT_ALLOW_DATETIME NULL;
   

强制访问控制：基于策略的数据保护

强制访问控制是基于预定义的安全策略来限制对数据的访问。在达梦数据库中通过策略和标记来实现这一目标。

策略和标记的管理

1. 创建策略：需 MAC_ADMIN 权限。

   MAC_CREATE_POLICY policy_name;
   

2. 添加等级：在策略中添加等级，对不同级别的数据进行分类管理。

   MAC_CREATE_LEVEL policy_name, level_number, level_name;
   

3. 添加范围：为策略添加范围，进一步细化数据的分类。

   MAC_CREATE_COMPARTMET policy_name, compartment_number, compartment_name;
   

4. 添加组：在策略中添加组，管理具有相似权限的用户。

   MAC_CREATE_GROUP policy_name, group_number, group_name, parent_group_name;
   

5. 创建标记：为数据库对象创建标记，以便应用安全策略。

   MAC_CREATE_LABEL policy_name, label_value, label_string;
   

6. 修改标记：

   MAC_ALTER_LABEL policy_name, label_value/label_string, new_label_string;
   

7. 删除标记：

   MAC_DROP_LABEL policy_name, label_value/label_string;
   

应用策略：控制数据访问

应用策略到具体的数据库对象上，如表，设置读写控制规则，确保只有符合策略的用户才能访问数据。

ALTER TABLE table_name ADD LABEL policy_name:label_string;

达梦数据库可以设置详尽的访问控制规则，确保数据的安全性和合规性。自主访问控制提供了日常数据处理和共享所需的灵活性，强制访问控制则适用于对数据安全有着严格要求的场景提供了强有力的保障。掌握这些技能是保护公司数据资产、确保业务连续性和数据完整性的关键。