本文档风哥主要介绍DM数据库安全管理与访问控制的方法,包括DM数据库安全概念、访问控制概念、安全威胁、安全规划、访问控制规划、安全实施步骤、访问控制实施步骤、实际案例分析等内容,风哥教程参考DM官方文档DM8安全管理手册,适合DBA人员在学习和测试中使用,如果要应用于生产环境则需要自行确认。
Part01-基础概念与理论知识
1.1 DM数据库安全概念
DM数据库安全是指保护数据库免受未授权访问、数据泄露、数据损坏等安全威胁的措施。数据库安全包括身份认证、授权、审计、加密等多个方面。
# DM数据库安全的重要性
– 保护敏感数据:防止敏感数据被未授权访问
– 确保数据完整性:防止数据被篡改
– 保证数据可用性:确保数据库服务的正常运行
– 符合合规要求:满足行业和法规的合规要求
– 维护业务连续性:防止安全事件导致业务中断
# DM数据库安全的层次
– 物理安全:保护数据库服务器的物理安全
– 网络安全:保护数据库的网络访问安全
– 系统安全:保护操作系统和数据库软件的安全
– 数据安全:保护数据的存储和传输安全
– 访问控制:控制用户对数据库的访问权限
– 保护敏感数据:防止敏感数据被未授权访问
– 确保数据完整性:防止数据被篡改
– 保证数据可用性:确保数据库服务的正常运行
– 符合合规要求:满足行业和法规的合规要求
– 维护业务连续性:防止安全事件导致业务中断
# DM数据库安全的层次
– 物理安全:保护数据库服务器的物理安全
– 网络安全:保护数据库的网络访问安全
– 系统安全:保护操作系统和数据库软件的安全
– 数据安全:保护数据的存储和传输安全
– 访问控制:控制用户对数据库的访问权限
1.2 DM数据库访问控制概念
DM数据库访问控制是指控制用户对数据库对象的访问权限,确保用户只能访问其授权的资源。访问控制包括用户管理、角色管理、权限管理等多个方面。
# DM数据库访问控制的原则
– 最小权限原则:用户只获得必要的权限
– 职责分离原则:不同职责的用户拥有不同的权限
– 权限审查原则:定期审查用户权限
– 权限过期原则:权限应设置合理的过期时间
# DM数据库访问控制的层次
– 系统级权限:控制用户对系统级资源的访问
– 对象级权限:控制用户对数据库对象的访问
– 列级权限:控制用户对表列的访问
– 行级权限:控制用户对表行的访问
– 最小权限原则:用户只获得必要的权限
– 职责分离原则:不同职责的用户拥有不同的权限
– 权限审查原则:定期审查用户权限
– 权限过期原则:权限应设置合理的过期时间
# DM数据库访问控制的层次
– 系统级权限:控制用户对系统级资源的访问
– 对象级权限:控制用户对数据库对象的访问
– 列级权限:控制用户对表列的访问
– 行级权限:控制用户对表行的访问
1.3 DM数据库安全威胁
DM数据库安全威胁:
- 未授权访问:未经授权的用户访问数据库
- 数据泄露:敏感数据被泄露
- 数据篡改:数据被未授权修改
- 拒绝服务:数据库服务被中断
- SQL注入:通过SQL注入攻击数据库
- 权限提升:用户获得超出其权限的访问能力
- 恶意代码:数据库中执行恶意代码
- 备份泄露:备份数据被未授权访问
风哥提示:数据库安全是保护数据资产的重要手段,通过实施访问控制、加密、审计等措施,确保数据库的安全性。定期进行安全评估和漏洞扫描,及时发现和处理安全问题。
Part02-生产环境规划与建议
2.1 DM数据库安全规划
DM数据库安全规划:
# 安全目标
– 保护敏感数据:确保敏感数据不被未授权访问
– 确保数据完整性:防止数据被篡改
– 保证数据可用性:确保数据库服务的正常运行
– 符合合规要求:满足行业和法规的合规要求 风哥提示:
# 安全策略
– 身份认证策略:采用强密码策略,定期更换密码
– 授权策略:基于最小权限原则,分配适当的权限
– 审计策略:记录所有重要的数据库操作
– 加密策略:对敏感数据进行加密存储和传输
– 备份策略:定期备份数据,确保数据安全
# 安全架构
– 网络隔离:将数据库服务器放在专用网络中
– 防火墙:配置防火墙,限制网络访问
– 入侵检测:部署入侵检测系统,监控异常活动
– 安全补丁:及时应用安全补丁
– 安全监控:监控数据库的安全状态
# 安全培训
– 对数据库管理员进行安全培训
– 对应用程序开发人员进行安全培训
– 对用户进行安全意识培训
– 保护敏感数据:确保敏感数据不被未授权访问
– 确保数据完整性:防止数据被篡改
– 保证数据可用性:确保数据库服务的正常运行
– 符合合规要求:满足行业和法规的合规要求 风哥提示:
# 安全策略
– 身份认证策略:采用强密码策略,定期更换密码
– 授权策略:基于最小权限原则,分配适当的权限
– 审计策略:记录所有重要的数据库操作
– 加密策略:对敏感数据进行加密存储和传输
– 备份策略:定期备份数据,确保数据安全
# 安全架构
– 网络隔离:将数据库服务器放在专用网络中
– 防火墙:配置防火墙,限制网络访问
– 入侵检测:部署入侵检测系统,监控异常活动
– 安全补丁:及时应用安全补丁
– 安全监控:监控数据库的安全状态
# 安全培训
– 对数据库管理员进行安全培训
– 对应用程序开发人员进行安全培训
– 对用户进行安全意识培训
2.2 DM数据库访问控制规划
DM数据库访问控制规划:
# 用户管理
– 用户分类:根据职责和权限需求分类用户
– 用户命名规范:制定用户命名规范
– 用户生命周期:管理用户的创建、修改、删除
– 密码策略:制定强密码策略
# 角色管理
– 角色分类:根据职责创建不同的角色
– 角色权限:为角色分配适当的权限
– 角色继承:利用角色继承简化权限管理
– 角色审查:定期审查角色权限 学习交流加群风哥微信: itpux-com
# 权限管理
– 权限分配:基于最小权限原则分配权限
– 权限审查:定期审查用户和角色的权限
– 权限回收:及时回收不需要的权限
– 权限审计:记录权限的变更
# 访问控制策略
– 基于角色的访问控制:使用角色管理权限
– 基于属性的访问控制:根据用户属性控制访问
– 基于上下文的访问控制:根据访问上下文控制访问
– 用户分类:根据职责和权限需求分类用户
– 用户命名规范:制定用户命名规范
– 用户生命周期:管理用户的创建、修改、删除
– 密码策略:制定强密码策略
# 角色管理
– 角色分类:根据职责创建不同的角色
– 角色权限:为角色分配适当的权限
– 角色继承:利用角色继承简化权限管理
– 角色审查:定期审查角色权限 学习交流加群风哥微信: itpux-com
# 权限管理
– 权限分配:基于最小权限原则分配权限
– 权限审查:定期审查用户和角色的权限
– 权限回收:及时回收不需要的权限
– 权限审计:记录权限的变更
# 访问控制策略
– 基于角色的访问控制:使用角色管理权限
– 基于属性的访问控制:根据用户属性控制访问
– 基于上下文的访问控制:根据访问上下文控制访问
2.3 DM数据库安全最佳实践
DM数据库安全最佳实践:
- 使用强密码:设置复杂的密码,定期更换
- 最小权限原则:用户只获得必要的权限
- 定期审计:记录和审查数据库操作
- 数据加密:对敏感数据进行加密
- 定期备份:定期备份数据,确保数据安全
- 安全补丁:及时应用安全补丁
- 网络隔离:将数据库服务器放在专用网络中
- 入侵检测:部署入侵检测系统,监控异常活动
生产环境建议:建立完善的安全管理体系,实施访问控制、加密、审计等措施,确保数据库的安全性。定期进行安全评估和漏洞扫描,及时发现和处理安全问题。
Part03-生产环境项目实施方案
3.1 DM数据库安全实施步骤
3.1.1 身份认证实施
# 身份认证实施
# 1. 创建用户
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> create user fgedu identified by “Fgedu123”;
# 2. 设置密码策略
SQL> alter system set PWD_POLICY=1 scope=spfile;
SQL> alter system set PWD_MIN_LEN=8 scope=spfile;
SQL> alter system set PWD_EXPIRY=90 scope=spfile;
# 3. 启用密码复杂度检查
SQL> alter system set PWD_COMPLEXITY=3 scope=spfile; 学习交流加群风哥QQ113257174
# 4. 重启数据库
SQL> shutdown immediate;
SQL> startup;
# 5. 验证密码策略
SQL> create user test identified by “test”;
# 输出:密码长度不足,需要至少8个字符
# 1. 创建用户
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> create user fgedu identified by “Fgedu123”;
# 2. 设置密码策略
SQL> alter system set PWD_POLICY=1 scope=spfile;
SQL> alter system set PWD_MIN_LEN=8 scope=spfile;
SQL> alter system set PWD_EXPIRY=90 scope=spfile;
# 3. 启用密码复杂度检查
SQL> alter system set PWD_COMPLEXITY=3 scope=spfile; 学习交流加群风哥QQ113257174
# 4. 重启数据库
SQL> shutdown immediate;
SQL> startup;
# 5. 验证密码策略
SQL> create user test identified by “test”;
# 输出:密码长度不足,需要至少8个字符
3.1.2 数据加密实施
# 数据加密实施
# 1. 启用透明数据加密
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> alter system set ENCRYPT_NAME=’SYSTEM’ scope=spfile;
SQL> alter system set ENCRYPT_KEY=’YourEncryptionKey’ scope=spfile;
# 2. 重启数据库
SQL> shutdown immediate;
SQL> startup;
# 3. 创建加密表空间
SQL> create tablespace encrypted_tbs datafile ‘/dm/fgdata/fgedudb/encrypted_tbs.dbf’ size 100M encryption using ‘AES_128’;
# 4. 在加密表空间中创建表
SQL> create table fgedu.encrypted_table (id int, name varchar(50)) tablespace encrypted_tbs;
# 5. 插入数据
SQL> insert into fgedu.encrypted_table values(1, ‘Test’);
SQL> commit;
# 6. 验证加密效果
SQL> select * from fgedu.encrypted_table;
# 1. 启用透明数据加密
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> alter system set ENCRYPT_NAME=’SYSTEM’ scope=spfile;
SQL> alter system set ENCRYPT_KEY=’YourEncryptionKey’ scope=spfile;
# 2. 重启数据库
SQL> shutdown immediate;
SQL> startup;
# 3. 创建加密表空间
SQL> create tablespace encrypted_tbs datafile ‘/dm/fgdata/fgedudb/encrypted_tbs.dbf’ size 100M encryption using ‘AES_128’;
# 4. 在加密表空间中创建表
SQL> create table fgedu.encrypted_table (id int, name varchar(50)) tablespace encrypted_tbs;
# 5. 插入数据
SQL> insert into fgedu.encrypted_table values(1, ‘Test’);
SQL> commit;
# 6. 验证加密效果
SQL> select * from fgedu.encrypted_table;
3.1.3 审计实施
# 审计实施
# 1. 启用审计
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> alter system set AUDIT_ENABLE=1 scope=spfile;
SQL> alter system set AUDIT_DIR=’/dm/fgdata/fgedudb/audit’ scope=spfile;
# 2. 重启数据库
SQL> shutdown immediate;
SQL> startup;
# 3. 创建审计策略 更多视频教程www.fgedu.net.cn
SQL> create audit policy audit_user_actions actions all on users;
# 4. 启用审计策略
SQL> audit policy audit_user_actions;
# 5. 执行操作
SQL> create user test identified by “Test123”;
SQL> drop user test;
# 6. 查看审计记录
$ cd /dm/fgdata/fgedudb/audit
$ cat audit_20260409.log
# 1. 启用审计
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> alter system set AUDIT_ENABLE=1 scope=spfile;
SQL> alter system set AUDIT_DIR=’/dm/fgdata/fgedudb/audit’ scope=spfile;
# 2. 重启数据库
SQL> shutdown immediate;
SQL> startup;
# 3. 创建审计策略 更多视频教程www.fgedu.net.cn
SQL> create audit policy audit_user_actions actions all on users;
# 4. 启用审计策略
SQL> audit policy audit_user_actions;
# 5. 执行操作
SQL> create user test identified by “Test123”;
SQL> drop user test;
# 6. 查看审计记录
$ cd /dm/fgdata/fgedudb/audit
$ cat audit_20260409.log
3.2 DM数据库访问控制实施步骤
3.2.1 用户管理实施
# 用户管理实施
# 1. 创建用户
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> create user fgedu01 identified by “Fgedu0123”;
SQL> create user fgedu02 identified by “Fgedu0223”;
SQL> create user fgedu03 identified by “Fgedu0323”;
# 2. 修改用户
SQL> alter user fgedu01 identified by “NewPassword123”;
SQL> alter user fgedu01 account lock;
SQL> alter user fgedu01 account unlock;
# 3. 删除用户
SQL> drop user fgedu03 cascade;
# 4. 查看用户
SQL> select username, account_status from dba_users;
# 1. 创建用户
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> create user fgedu01 identified by “Fgedu0123”;
SQL> create user fgedu02 identified by “Fgedu0223”;
SQL> create user fgedu03 identified by “Fgedu0323”;
# 2. 修改用户
SQL> alter user fgedu01 identified by “NewPassword123”;
SQL> alter user fgedu01 account lock;
SQL> alter user fgedu01 account unlock;
# 3. 删除用户
SQL> drop user fgedu03 cascade;
# 4. 查看用户
SQL> select username, account_status from dba_users;
3.2.2 角色管理实施
# 角色管理实施
# 1. 创建角色
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> create role fgedu_role;
SQL> create role fgedu_admin_role;
# 2. 为角色分配权限
SQL> grant select, insert, update, delete on fgedu.orders to fgedu_role;
SQL> grant create table, create view to fgedu_admin_role; 更多学习教程公众号风哥教程itpux_com
# 3. 将角色授予用户
SQL> grant fgedu_role to fgedu01;
SQL> grant fgedu_admin_role to fgedu02;
# 4. 查看角色权限
SQL> select * from dba_role_privs where grantee=’FGEDU01′;
SQL> select * from dba_tab_privs where grantee=’FGEDU_ROLE’;
# 5. 回收角色
SQL> revoke fgedu_role from fgedu01;
# 1. 创建角色
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> create role fgedu_role;
SQL> create role fgedu_admin_role;
# 2. 为角色分配权限
SQL> grant select, insert, update, delete on fgedu.orders to fgedu_role;
SQL> grant create table, create view to fgedu_admin_role; 更多学习教程公众号风哥教程itpux_com
# 3. 将角色授予用户
SQL> grant fgedu_role to fgedu01;
SQL> grant fgedu_admin_role to fgedu02;
# 4. 查看角色权限
SQL> select * from dba_role_privs where grantee=’FGEDU01′;
SQL> select * from dba_tab_privs where grantee=’FGEDU_ROLE’;
# 5. 回收角色
SQL> revoke fgedu_role from fgedu01;
3.2.3 权限管理实施
# 权限管理实施
# 1. 授予系统权限
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> grant create session to fgedu01;
SQL> grant create table to fgedu02;
# 2. 授予对象权限
SQL> grant select, insert, update, delete on fgedu.orders to fgedu01;
SQL> grant select on fgedu.customers to fgedu01;
# 3. 授予列级权限
SQL> grant update(name) on fgedu.customers to fgedu01;
# 4. 回收权限
SQL> revoke delete on fgedu.orders from fgedu01;
# 5. 查看权限
SQL> select * from dba_sys_privs where grantee=’FGEDU01′;
SQL> select * from dba_tab_privs where grantee=’FGEDU01′;
# 1. 授予系统权限
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> grant create session to fgedu01;
SQL> grant create table to fgedu02;
# 2. 授予对象权限
SQL> grant select, insert, update, delete on fgedu.orders to fgedu01;
SQL> grant select on fgedu.customers to fgedu01;
# 3. 授予列级权限
SQL> grant update(name) on fgedu.customers to fgedu01;
# 4. 回收权限
SQL> revoke delete on fgedu.orders from fgedu01;
# 5. 查看权限
SQL> select * from dba_sys_privs where grantee=’FGEDU01′;
SQL> select * from dba_tab_privs where grantee=’FGEDU01′;
3.3 DM数据库安全监控
from DB视频:www.itpux.com
# 安全监控
# 1. 监控用户登录
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> select * from v$session;
# 2. 监控权限变更
SQL> select * from dba_audit_trail where action_name in (‘GRANT’, ‘REVOKE’);
# 3. 监控数据操作
SQL> select * from v$statement;
# 4. 监控异常登录
SQL> select * from dba_audit_session where returncode != 0;
# 5. 安全监控脚本
#!/bin/bash
# security_monitor.sh
# from:www.itpux.com.qq113257174.wx:itpux-com
# web: `http://www.fgedu.net.cn`
echo “Monitoring database security…”
echo “Active sessions:”
/dm/app/bin/disql SYSDBA/SYSDBA@fgedu.localhost:5236 << EOF select username, sid, status from v$session; EOF echo "Failed login attempts:" /dm/app/bin/disql SYSDBA/SYSDBA@fgedu.localhost:5236 << EOF select * from dba_audit_session where returncode != 0; EOF echo "Security monitoring completed."
# 安全监控
# 1. 监控用户登录
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> select * from v$session;
# 2. 监控权限变更
SQL> select * from dba_audit_trail where action_name in (‘GRANT’, ‘REVOKE’);
# 3. 监控数据操作
SQL> select * from v$statement;
# 4. 监控异常登录
SQL> select * from dba_audit_session where returncode != 0;
# 5. 安全监控脚本
#!/bin/bash
# security_monitor.sh
# from:www.itpux.com.qq113257174.wx:itpux-com
# web: `http://www.fgedu.net.cn`
echo “Monitoring database security…”
echo “Active sessions:”
/dm/app/bin/disql SYSDBA/SYSDBA@fgedu.localhost:5236 << EOF select username, sid, status from v$session; EOF echo "Failed login attempts:" /dm/app/bin/disql SYSDBA/SYSDBA@fgedu.localhost:5236 << EOF select * from dba_audit_session where returncode != 0; EOF echo "Security monitoring completed."
风哥提示:安全监控是数据库安全管理的重要组成部分,通过监控用户登录、权限变更、数据操作等活动,及时发现和处理安全问题。建立完善的安全监控体系,提高数据库的安全性。
Part04-生产案例与实战讲解
4.1 用户权限管理案例
4.1.1 案例描述
为业务系统创建不同权限的用户,确保用户只能访问其授权的资源。
4.1.2 分析步骤
# 1. 创建用户
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> create user fgedu_read identified by “FgeduRead123”;
SQL> create user fgedu_write identified by “FgeduWrite123”;
SQL> create user fgedu_admin identified by “FgeduAdmin123”;
# 2. 授予权限
SQL> grant create session to fgedu_read, fgedu_write, fgedu_admin;
SQL> grant select on fgedu.orders to fgedu_read;
SQL> grant select, insert, update, delete on fgedu.orders to fgedu_write;
SQL> grant all privileges on fgedu.orders to fgedu_admin;
# 3. 验证权限
# 以fgedu_read用户登录
$ ./disql FGEDU_READ/FgeduRead123@fgedu.localhost:5236
SQL> select * from fgedu.orders;
# 执行成功
SQL> insert into fgedu.orders values(1000001, ‘2026-04-09’, ‘PENDING’);
# 执行失败,权限不足
# 以fgedu_write用户登录
$ ./disql FGEDU_WRITE/FgeduWrite123@fgedu.localhost:5236
SQL> insert into fgedu.orders values(1000001, ‘2026-04-09’, ‘PENDING’);
# 执行成功
# 以fgedu_admin用户登录
$ ./disql FGEDU_ADMIN/FgeduAdmin123@fgedu.localhost:5236
SQL> truncate table fgedu.orders;
# 执行成功
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> create user fgedu_read identified by “FgeduRead123”;
SQL> create user fgedu_write identified by “FgeduWrite123”;
SQL> create user fgedu_admin identified by “FgeduAdmin123”;
# 2. 授予权限
SQL> grant create session to fgedu_read, fgedu_write, fgedu_admin;
SQL> grant select on fgedu.orders to fgedu_read;
SQL> grant select, insert, update, delete on fgedu.orders to fgedu_write;
SQL> grant all privileges on fgedu.orders to fgedu_admin;
# 3. 验证权限
# 以fgedu_read用户登录
$ ./disql FGEDU_READ/FgeduRead123@fgedu.localhost:5236
SQL> select * from fgedu.orders;
# 执行成功
SQL> insert into fgedu.orders values(1000001, ‘2026-04-09’, ‘PENDING’);
# 执行失败,权限不足
# 以fgedu_write用户登录
$ ./disql FGEDU_WRITE/FgeduWrite123@fgedu.localhost:5236
SQL> insert into fgedu.orders values(1000001, ‘2026-04-09’, ‘PENDING’);
# 执行成功
# 以fgedu_admin用户登录
$ ./disql FGEDU_ADMIN/FgeduAdmin123@fgedu.localhost:5236
SQL> truncate table fgedu.orders;
# 执行成功
4.2 角色管理案例
4.2.1 案例描述
创建不同的角色,为角色分配权限,然后将角色授予用户,简化权限管理。
4.2.2 分析步骤
# 1. 创建角色
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> create role fgedu_read_role;
SQL> create role fgedu_write_role;
SQL> create role fgedu_admin_role;
# 2. 为角色分配权限
SQL> grant select on fgedu.orders to fgedu_read_role;
SQL> grant select on fgedu.customers to fgedu_read_role;
SQL> grant select, insert, update, delete on fgedu.orders to fgedu_write_role;
SQL> grant select, insert, update, delete on fgedu.customers to fgedu_write_role;
SQL> grant all privileges on fgedu.orders to fgedu_admin_role;
SQL> grant all privileges on fgedu.customers to fgedu_admin_role;
# 3. 将角色授予用户
SQL> grant fgedu_read_role to fgedu01;
SQL> grant fgedu_write_role to fgedu02;
SQL> grant fgedu_admin_role to fgedu03;
# 4. 验证角色权限
# 以fgedu01用户登录
$ ./disql FGEDU01/Fgedu0123@fgedu.localhost:5236
SQL> select * from fgedu.orders;
# 执行成功
SQL> insert into fgedu.orders values(1000001, ‘2026-04-09’, ‘PENDING’);
# 执行失败,权限不足
# 以fgedu02用户登录
$ ./disql FGEDU02/Fgedu0223@fgedu.localhost:5236
SQL> insert into fgedu.orders values(1000001, ‘2026-04-09’, ‘PENDING’);
# 执行成功
# 以fgedu03用户登录
$ ./disql FGEDU03/Fgedu0323@fgedu.localhost:5236
SQL> truncate table fgedu.orders;
# 执行成功
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> create role fgedu_read_role;
SQL> create role fgedu_write_role;
SQL> create role fgedu_admin_role;
# 2. 为角色分配权限
SQL> grant select on fgedu.orders to fgedu_read_role;
SQL> grant select on fgedu.customers to fgedu_read_role;
SQL> grant select, insert, update, delete on fgedu.orders to fgedu_write_role;
SQL> grant select, insert, update, delete on fgedu.customers to fgedu_write_role;
SQL> grant all privileges on fgedu.orders to fgedu_admin_role;
SQL> grant all privileges on fgedu.customers to fgedu_admin_role;
# 3. 将角色授予用户
SQL> grant fgedu_read_role to fgedu01;
SQL> grant fgedu_write_role to fgedu02;
SQL> grant fgedu_admin_role to fgedu03;
# 4. 验证角色权限
# 以fgedu01用户登录
$ ./disql FGEDU01/Fgedu0123@fgedu.localhost:5236
SQL> select * from fgedu.orders;
# 执行成功
SQL> insert into fgedu.orders values(1000001, ‘2026-04-09’, ‘PENDING’);
# 执行失败,权限不足
# 以fgedu02用户登录
$ ./disql FGEDU02/Fgedu0223@fgedu.localhost:5236
SQL> insert into fgedu.orders values(1000001, ‘2026-04-09’, ‘PENDING’);
# 执行成功
# 以fgedu03用户登录
$ ./disql FGEDU03/Fgedu0323@fgedu.localhost:5236
SQL> truncate table fgedu.orders;
# 执行成功
4.3 审计与监控案例
4.3.1 案例描述
配置审计策略,监控用户的数据库操作,及时发现和处理安全问题。
4.3.2 分析步骤
# 1. 启用审计
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> alter system set AUDIT_ENABLE=1 scope=spfile;
SQL> alter system set AUDIT_DIR=’/dm/fgdata/fgedudb/audit’ scope=spfile;
# 2. 重启数据库
SQL> shutdown immediate;
SQL> startup;
# 3. 创建审计策略
SQL> create audit policy audit_data_actions actions all on fgedu.orders;
SQL> create audit policy audit_user_actions actions all on users;
# 4. 启用审计策略
SQL> audit policy audit_data_actions;
SQL> audit policy audit_user_actions;
# 5. 执行操作
SQL> create user test identified by “Test123”;
SQL> insert into fgedu.orders values(1000001, ‘2026-04-09’, ‘PENDING’);
SQL> delete from fgedu.orders where order_id=1000001;
SQL> drop user test;
# 6. 查看审计记录
$ cd /dm/fgdata/fgedudb/audit
$ cat audit_20260409.log
# 7. 分析审计记录
# 检查是否有未授权的操作
# 检查是否有异常的登录尝试
# 检查是否有权限变更
$ cd /dm/app/bin
$ ./disql SYSDBA/SYSDBA@fgedu.localhost:5236
SQL> alter system set AUDIT_ENABLE=1 scope=spfile;
SQL> alter system set AUDIT_DIR=’/dm/fgdata/fgedudb/audit’ scope=spfile;
# 2. 重启数据库
SQL> shutdown immediate;
SQL> startup;
# 3. 创建审计策略
SQL> create audit policy audit_data_actions actions all on fgedu.orders;
SQL> create audit policy audit_user_actions actions all on users;
# 4. 启用审计策略
SQL> audit policy audit_data_actions;
SQL> audit policy audit_user_actions;
# 5. 执行操作
SQL> create user test identified by “Test123”;
SQL> insert into fgedu.orders values(1000001, ‘2026-04-09’, ‘PENDING’);
SQL> delete from fgedu.orders where order_id=1000001;
SQL> drop user test;
# 6. 查看审计记录
$ cd /dm/fgdata/fgedudb/audit
$ cat audit_20260409.log
# 7. 分析审计记录
# 检查是否有未授权的操作
# 检查是否有异常的登录尝试
# 检查是否有权限变更
生产环境建议:建立完善的安全管理体系,实施访问控制、加密、审计等措施,确保数据库的安全性。定期进行安全评估和漏洞扫描,及时发现和处理安全问题。
Part05-风哥经验总结与分享
5.1 DM数据库安全管理最佳实践
DM数据库安全管理最佳实践:
- 身份认证:使用强密码策略,定期更换密码,启用密码复杂度检查
- 授权管理:基于最小权限原则,使用角色管理权限,定期审查权限
- 数据加密:对敏感数据进行加密存储和传输
- 审计监控:启用审计,监控用户操作,及时发现异常
- 备份恢复:定期备份数据,确保数据安全
- 安全补丁:及时应用安全补丁,修复安全漏洞
- 网络安全:配置防火墙,限制网络访问,使用加密通信
- 安全培训:对数据库管理员和用户进行安全培训
5.2 DM数据库安全检查清单
# DM数据库安全检查清单
– [ ] 密码策略是否启用
– [ ] 用户权限是否合理
– [ ] 角色管理是否规范
– [ ] 审计功能是否启用
– [ ] 数据加密是否实施
– [ ] 备份策略是否完善
– [ ] 安全补丁是否及时应用
– [ ] 网络访问是否限制
– [ ] 安全监控是否有效
– [ ] 安全培训是否定期进行
– [ ] 安全评估是否定期进行
– [ ] 漏洞扫描是否定期进行
– [ ] 安全事件是否及时处理
– [ ] 安全文档是否完整
# DM数据库安全管理流程
1. 制定安全策略
2. 实施安全措施
3. 监控安全状态
4. 定期安全评估
5. 及时处理安全问题
6. 更新安全策略
7. 持续安全改进
– [ ] 密码策略是否启用
– [ ] 用户权限是否合理
– [ ] 角色管理是否规范
– [ ] 审计功能是否启用
– [ ] 数据加密是否实施
– [ ] 备份策略是否完善
– [ ] 安全补丁是否及时应用
– [ ] 网络访问是否限制
– [ ] 安全监控是否有效
– [ ] 安全培训是否定期进行
– [ ] 安全评估是否定期进行
– [ ] 漏洞扫描是否定期进行
– [ ] 安全事件是否及时处理
– [ ] 安全文档是否完整
# DM数据库安全管理流程
1. 制定安全策略
2. 实施安全措施
3. 监控安全状态
4. 定期安全评估
5. 及时处理安全问题
6. 更新安全策略
7. 持续安全改进
5.3 DM数据库安全工具推荐
DM数据库安全常用工具:
- disql:DM数据库命令行工具,用于管理用户和权限
- DM管理工具:图形化管理工具,用于管理用户和权限
- DM审计工具:用于查看和分析审计记录
- DM安全评估工具:用于评估数据库的安全状态
- 防火墙:限制网络访问
- 入侵检测系统:监控异常活动
- 漏洞扫描工具:扫描数据库漏洞
- 加密工具:对敏感数据进行加密
持续改进:定期review安全管理策略,总结安全事件处理经验,不断优化安全管理流程,提高数据库的安全性和可靠性。
本文由风哥教程整理发布,仅用于学习测试使用,转载注明出处:http://www.fgedu.net.cn/10327.html
联系我们
在线咨询:
微信号:itpux-com
工作日:9:30-18:30,节假日休息
