Уровень доступа

Создание:

CREATE LEVEL <имя уровня> = <номер уровня>;

Изменение имени уровня:

ALTER LEVEL <имя уровня> SET <новое имя уровня>;

Группы доступа

Создание:

CREATE GROUP <имя группы>[=<числовой идентификатор группы>];

Изменение имени группы:

ALTER GROUP <имя группы> SET <новое имя группы>;

Уровни доверия между группами:

GRANT ACCESS ON <группа-доверитель> TO {<группа-получатель> | ALL};

REVOKE ACCESS ON <группа-доверитель> FROM {<группа-получатель> | ALL};

Модификация пользователя

Создание пользователя с категорией CONNECT по умолчанию:

CREATE USER <имя пользователя> IDENTIFIED BY <пароль>;

Назначение пользователю категории доступа:

GRANT <категория> TO <имя пользователя> [IDENTIFIED BY <пароль>];

Удаление пользователя:

DROP USER <имя пользователя> [CASCADE];

Изменение категории пользователя:

GRANT <категория> TO <имя пользователя> [IDENTIFIED BY <пароль>];

Изменение пароля пользователя:

ALTER USER <имя пользователя> [IDENTIFIED BY <новый пароль>];

Назначение группы доступа пользователю:

CREATE USER <имя пользователя> IDENTIFIED BY <пароль> GROUP <имя группы>;

ALTER USER <имя пользователя> GROUP <имя группы>;

Назначение уровня доступа пользователю:

CREATE USER <имя пользователя> IDENTIFIED BY <пароль>

LEVEL(<RAL>,<WAL>);

ALTER USER <имя пользователя> LEVEL(<RAL>,<WAL>);

Назначение привилегий пользователю:

GRANT <привилегия> ON <имя объекта> TO <имя пользователя>;

REVOKE <привилегия> ON <имя объекта> FROM <имя пользователя>;

Роли

Создание:

CREATE ROLE <имя роли>;

Удаление:

DROP ROLE <имя роли>;

Назначение/отмена привилегии на объект:

GRANT <привилегия> ON <имя объекта> TO <имя роли>;

REVOKE <привилегия> ON <имя объекта> FROM <имя роли>;

Назначение/отмена роли пользователю:

GRANT ROLE <имя роли> TO <имя пользователя>;

REVOKE ROLE <имя роли> FROM <имя пользователя>;

Уровни доступа

Определение уровня доступа для таблиц:

CREATE TABLE [<имя схемы>.]<имя таблицы>

(<имя столбца> <тип столбца>, […]) LEVEL(<RAL>,<WAL>);

ALTER TABLE <имя таблицы> SET LEVEL(<RAL>,<WAL>);

Определение уровня доступа для столбца:

CREATE TABLE [<имя схемы>.] <имя таблицы>

(<имя столбца> <тип столбца> LEVEL(<RAL>,<WAL>) [,…]);

ALTER TABLE [<имя схемы>.] <имя таблицы>

SET COLUMN <имя столбца> LEVEL(<RAL>,<WAL>);

Использование групп и уровней в SQL-выражении:

INSERT INTO [<имя схемы>.] <имя таблицы>[AS <псевдоним>] [#[<группа>]#[<RAL>]#[<WAL>]]

(<имя столбца>[#[<группа>]#[<RAL>]#[<WAL>]]) VALUES (<значение>);

UPDATE [<имя схемы>.] <имя таблицы>[AS <псевдоним>] [#[<группа>]#[<RAL>]#[<WAL>]]

SET <имя столбца>[#[<группа>]#[<RAL>]#[<WAL>]]=<значение> [,…];

Чтение меток доступа:

SELECT SECURITY({*|<имя столбца>},{'R' |'W' |'G'})

FROM <имя таблицы>;

Сетевая станция

Создание:

CREATE STATION <имя станции>

PROTOCOL <сетевой протокол>

{ADDRESS <адрес станции>}

[LEVEL (<RAL>,<WAL>)]

[<рабочее время>];

<имя станции>::=<идентификатор>

<сетевой протокол>::=<символьный литерал>

<адрес станции>::=<символьный литерал>

<RAL>::=<идентификатор>

<WAL>::=<идентификатор>

<рабочее время> ::= {ENABLE |DISABLE} LOGIN

{ALWAYS |<график по времени>|<график по дням>}

<график по времени>::= FROM <время начала работы>

TO <время окончания работы> [FOR <дни работы>]

<график по дням>::= {SINCE <дата начала>}|{UNTIL <дата окончания>}

<время начала работы>::='HH:MM'

<время окончания работы>::='HH:MM'

<дни работы>::=<день недели> {[,<день недели>] …}

<день недели>::='MON'|'TUE'|'WED'|'THU'|'FRI'|'SAT'|'SUN'

<дата начала> ::='DD.MM.YYYY'

<дата окончания> ::='DD.MM.YYYY'

Изменение параметров:

ALTER STATION <имя станции>[SET <новое имя станции>]

[LEVEL(<RAL>,<WAL>)] [<рабочее время>];

Удаление:

DROP STATION <имя станции>;

Регулирование доступа:

GRANT ACCESS ON UNLISTED STATION TO {<имя группы> | ALL};

REVOKE ACCESS ON UNLISTED STATION FROM {<имя группы> | ALL};

GRANT ACCESS ON STATION <имя станции> TO {<имя группы>|ALL};

REVOKE ACCESS ON STATION <имя станции>

FROM {<имя группы>|ALL};

Устройства

Создание:

CREATE DEVICE <имя устройства> DIRECTORY <каталог>

[COMMENT <комментарий>]

[LEVEL (<RAL-устройства>,<WAL-устройства>)];

Изменение параметров:

ALTER DEVICE <имя устройства> [DIRECTORY <каталог>]

[LEVEL (<RAL-устройства>,<WAL-устройства>)];

Удаление:

DROP DEVICE <имя устройства>;

Регулирование доступа:

GRANT ACCESS ON UNLISTED DEVICE TO {<имя группы> | ALL};

REVOKE ACCESS ON UNLISTED DEVICE FROM {<имя группы> | ALL};

GRANT ACCESS ON DEVICE <имя устройства> TO {<имя группы> | ALL};

REVOKE ACCESS ON DEVICE <имя устройства>

FROM {<имя группы> | ALL};

Мониторинг КСЗ

Запуск протоколирования:

AUDIT START;

Останов протоколирования:

AUDIT STOP;

Управление протоколированием:

AUDIT {ENABLE|DISABLE|CLEAR} [<имя события> [ON <объект аудита>]]

[FOR <имя пользователя>] [BY {SESSION|STATEMENT|ACCESS}]

[WHEN [NOT] SUCCESS];

Параметры протоколирования:

AUDIT {SET |CANCEL} <параметры протоколирования>;

<параметры протоколирования>::= RECORDS LIMIT <количество записей> | DAYS LIMIT <срок хранения>;

Протоколирование пользовательского сообщения:

AUDIT MESSAGE <сообщение>;

Начать комментирование протоколируемых событий:

AUDIT SET MESSAGE <комментарий>;

Отменить комментирование протоколируемых событий:

AUDIT CANCEL MESSAGE;