DM8达梦数据库安全性设置

密码策略检查

密码策略决定了新建用户的密码复杂度，由 ini 参数 PWD_POLICY 决定，默认为 2，即密码长度不小于9。

不同的生产环境，可能有不同的管理要求，但强烈建议设置较高指数的密码策略，密码做定期修改，杜绝泄漏。该参数为系统级动态参数，具体的修改方式请参考数据库参数章节。

检查密码复杂度的方式如下所示：

Select * from v$dm_ini where para_name='PWD_POLICY';

默认用户密码检查

DM 数据库初始化默认生成多个可登录用户，包括：SYSDBA（数据库管理用户）、SYSAUDITOR（数据库审计用户）、SYSSSO（数据库库安全用户），默认密码和用户名相同。默认用户不能删除，建议修改默认密码后妥善保存。默认用户的密码丢失，无法找回。

默认端口使用检查

DM 数据库默认端口为 5236，在初始化实例时可以指定，或者直接修改 ini 文件中参数 PORT_NUM 后重启即可生效。生产环境建议不要使用默认端口。

用户资源限制检查

用户资源限制中，可对用户登录失败次数，口令锁定期，口令宽限期进行设置。处于安全考虑，我们建议生产环境中要有常用的资源限制措施，需要修改时可打开 DM 管理工具->右键相应用户->修改->资源限制，在【资源限制】页面中进行修改，如下图所示：

通讯加密检查

应用和数据库之间的通信加密可通过配置 dm.ini 参数 COMM_ENCRYPT_NAME 来实现，消息加密算法名。如果为空则不进行通信加密；如果给的加密算法名错误，则用使用加密算法 DES_CFB。DM 支持的加密算法名可以通过查询动态视图 V$CIPHERS 获取。无特殊要求，请勿开启该参数，以免造成不必要的性能消耗。