达梦三权
系统管理员（SYSDBA）
负责生成用户身份标识符和系统运行维护。可以创建、删除用户， 可以查看用户属性，没有修改用户安全属性的权限。可以创建、删除 角色。可管理表空间。可以备份恢复数据库。没有审计权限。没有自 主访问控制权限。
安全保密管理员（SYSSO）
不能创建用户，但是在 SYSDBA 创建完用户后，需要安全员给普通 用户创建第一次的密码，负责用户权限设定以及系统日志、普通用户 和安全审计员日志的审查分析，同时安全员来设置所有用户包括他自 己的审计策略。能配置自主访问控制。能够对数据库管理系统中所有 主体和客体进行标记。
安全审计员(SYSAUDITOR)
不能创建用户，负责对系统管理员和安全保密管理员的日志进行 审查分析，不能进行审计策略的设置。
1.系统管理员 SYSDBA
A. 负责生成用户身份标识符和系统运行维护。 SYSDBA 不可以设置并修改普通用户密码，但是可以查看用户的 属性。使用 DM 管理工具，系统管理员 SYSDBA 登陆，右键选中左侧导 航栏中管理用户，选定要查看的用户选择“属性”，查看该用户的属 性信息。 B. 可以创建、删除用户。但是对普通用户的表没有操作权限。只 有普通用户对 SYSDBA 进行授权后，才能够对表进行操作。 C. 可以创建（CREATE ROLE）、删除角色（DROP ROLE）。在创建用 户时可以给用户指定角色。 比如为 TEST1 用户指定为 DBA 角色：GRANT “DBA” TO “TEST1”; D. 可以管理表空间（TABLESPACE），创建、修改以及增加数据文 件，修改数据文件的大小。 举例如下： --创建名为“TS1.dbf”,大小为 128M 的表空间： CREATE TABLESPACE TS1 DATAFILE ‘TS1.dbf’ SIZE 128; --修改表空间 TS1 的名字为 TS2： ALTER TABLESPACE TS1 RENAME TO TS2; --在表空间中增加一个数据文件大小为 128M 的数据文件： ALTER TABLESPACE TS2 ADD DATAFILE ‘TS1_1.DBF’ SIZE 128; --修改数据文件 TS1.dbf 的大小为 200M： ALTER TABLESPACE TS2 RESIZE DATAFILE ‘TS1.DBF’ TO 200; --删除表空间： DROP TABLESPACE TS2; E. 可以备份恢复数据库。 F. 没有审计权限。没有自主访问控制权限。
2.安全保密管理员 SYSSSO
A. 不能够创建用户，但在创建用户时，需要由安全员来分发用户 密码。用户创建完成后，密码的修改由用户自己负责，SYSSSO 不再 具有修改密码的权限。 B. 设置用户的默认表空间 alter user username default tablespace tbs; C. 负责用户权限设定,可以将系统权限授予指定用户。一些常见 的系统权限 CREATE TABLE、SELECT TABLE、INSERT VIEW、BACKUP DATABASE 等等。 比如：将表的 CREATE 权限授予 TEST1 用户 GRANT CREATE TABLE TO TEST1。 D. 可以修改用户属性，例如会话超时时间、用户的最大会话数等 资源限制。 比如： 修 改 会 话 超 时 时 间 ： ALTER USER “TEST1” LIMIT CONNECT_IDLE_TIME 3; 修改最大会话数：ALTER USER “TEST1” LIMIT SESSION_PER_USER 5; E. 对普通用户和安全审计员日志的进行审查分析，可以根据需求 设置所有用户的审计策略。 比如审计安全审计员的连接登录状况，包括成功和失败，执行： SP_AUDIT_STMT(‘CONNECT’, ‘SYSAUDITOR’, ‘ALL’); select * from SYSAUDITOR.“V$AUDITRECORDS”; F. 能够对数据库管理系统中所有主体和客体进行标记。 举例如下： --使用安全保密管理员可以设定策略 P1： MAC_CREATE_POLICY(‘P1’); MAC_CREATE_LEVEL(‘P1’, 10, ‘L1’); MAC_CREATE_LEVEL(‘P1’, 20, ‘L2’); MAC_CREATE_LEVEL(‘P1’, 30, ‘L3’); MAC_CREATE_COMPARTMENT(‘P1’, 10, ‘C1’); MAC_CREATE_COMPARTMENT(‘P1’, 20, ‘C2’); MAC_CREATE_GROUP(‘P1’, 10, ‘G1’, NULL); MAC_CREATE_GROUP(‘P1’, 20, ‘G2’, ‘G1’); --设置用户 USER01 的标记（主体标记）： MAC_USER_SET_LEVELS(‘P1’, ‘USER01’, ‘L3’, ‘L1’, ‘L2’, ‘L2’); MAC_USER_SET_COMPARTMENTS(‘P1’, ‘USER01’, ‘C2’, NULL, ‘C2’, NULL); MAC_USER_SET_GROUPS(‘P1’, ‘USER01’, ‘G2’, NULL, ‘G2’, NULL); --设置 SYSDBA 的 T1 表的标记（客体标记）： MAC_APPLY_TABLE_POLICY(‘P1’,‘SYSDBA’,‘T1’,‘LABEL_P1’,‘L2: C2:G2’,0);
3.安全审计员
A. 审 计 开 关 的 控 制 SYSAUDITOR 登 录 执 行 ： SP_SET_ENABLE_AUDIT(0/1/2);取值 0，1，2 跟通用机一样 B. 负责对系统管理员和安全保密管理员的日志进行审查分析 select * from SYSAUDITOR.“V$AUDITRECORDS”;