人大金仓安全数据库中的用户权限管理

金仓安全数据库中的用户权限管理技术

1. 概述

安全是信息安全的基础环节和重要支撑。为应对纷繁复杂的多样化数据安全保护需求，金仓重力打造完全遵照安全数据库国家标准GB/T 20273-2006的结构化保护级(第四级)技术的企业级安全数据库产品“金仓安全数据库”，为用户提供核心级数据保护能力。

金仓安全数据库具备完整系统的安全功能，通过全新结构化系统设计和强化的多样化强制访问控制模型框架，在身份鉴别、用户权限，以及数据访问、存储和传输等方面的安全增强提高了数据库系统的整体安全性，提供了包括强化身份鉴别、自主访问控制、安全标记、强制访问控制、特权分立、安全审计、资源限制、客体重用，以及程序运行和数据存储完整性、数据存储透明加密、数据传输加密等在内的主要安全功能和控制手段，可以从容应对复杂多样的安全业务场景，保障敏感数据的安全。

下面详细介绍一下特权分立和受限DBA的安全性能：

1.1.特权分立

金仓安全数据库采用了三权分立的安全管理体制，数据库三权分立是为了解决数据库超级用户权力过度集中的问题，参照行政、立法、司法三权分立的原则来设计的安全管理机制。金仓安全数据库把数据库管理员分为数据库管理员、安全管理员、审计管理员三类。

•数据库管理员，主要负责执行数据库日常管理各种操作和自主存取控制。

•安全管理员，主要负责强制存取控制规则的制定和管理。

•审计管理员，主要负责数据库的审计，监督前两类用户的操作。

特权分立的优点：

这三类用户是相互制约又相互协作共同完成数据库的管理工作。安全管理员可以授

权用户查看某些敏感数据（强制存取控制授权），但是并不意味着这个用户就可以

看到这些敏感数据，它还需要得到数据库管理员的授权（自主存取控制授权）。同理，如果只有数据库管理员的自主存取控制授权而没有安全管理员的强制存取控制授权，用户还是无法看到它不应当看到的敏感数据。审计管理员拥有一套机制，可以保护审计记录数据不会被数据库管理员或者安全管理员删除或者篡改。

这三类用户彼此隔离，互不包容，各自维护自己权限许可范围内的对象，不能跨范围操作，也不能相互授权。数据库管理员不能对安全、审计相关的用户及数据库对象进行操作，不能将任何用户修改为安全员或审计员，不能授予、回收安全员、审计员的权限，不能切换到安全员、审计员的许可认证；安全员只能管理安全员和安全相关的系统对象，同理，审计员只能管理审计员和审计相关的系统对象。

三权分立堵住了以前滥用数据库超级用户特权的安全漏洞，进一步提高了数据库的整体安全性。

1.2.受限DBA

受限DBA指对数据库管理权限进行相应限制的DBA。金仓安全数据库提供了受限DBA 功能，可有效限制DBA对其他用户的默认数据访问权限。金仓安全数据库通过提供系统配置参数 restricted_DBA 来配置受限DBA功能。只有系统安全员（SSO）对受限DBA功能有打开或关闭权限。所有用户可以查询受限DBA功能的当前工作状态。

金仓安全数据库中的权限可以分为以下三类，系统权限、对象权限、列级权限。针对系统中权限结构，可以理解为权限所有者主要有三种：DBA、属主(owner)、被属主直接授权或间接授权的用户(通过grant进行的ACL授权，下文简称ACL授权用户)。

•系统权限，是执行特定操作的权限。这些权限包括：CREATE DATABASE、CREATE USER、CREATE ROLE 的权限，具体分为 SUPERUSER、SSO、SAO、CREATEDB 和

CREATEROLE 五个系统权限。

•对象权限，是对给定的用户授予在给定对象（例如表）上执行的操作集。这些操作可以指明为 INSERT 、SELECT 等，具体各类对象具有的权限类型可参见 GRANT 和REVOKE 语句的说明。

•列级权限，是对给定的用户授予在给定表或视图上某些列执行操作集。此动作只能为INSERT、UPDATE和REFERENCES。

当前系统DBA拥有全部以上三种权限，对象的属主(owner)在对象上拥有所有对象权限和列级权限，ACL授权用户拥有相应授权的对象权限或列级权限，拥有CREATEROLE 权限的用户可以转授权系统权限(alter user)，DBA、属主和赋予GRANT功能的ACL授权用户可以转授权对象权限或列级权限。受限DBA功能开启后，要求屏蔽DBA的对象权限和列级权限，即只有属主或ACL授权用户拥有对象权限和列级权限。DBA的系统权限不受影响。

2. 小结

金仓安全数据库提供了包括特权分立、受限DBA等主要安全功能和控制手段，可以从容应对复杂多样的安全业务场景，保障敏感数据的安全，通过全新结构化系统设计和强化的多样化强制访问控制模型框架，金仓安全数据库在身份鉴别、用户权限，以及数据访问、存储和传输等方面的安全增强提高了数据库系统的整体安全性。