更新日期:2024年09月11日
强制访问控制范围限定在所定义的主体和客体中,
粒度是表级、
记录或字段级;
主体可以读/写其具有相关权限的客体,不可以读/写其不具有相关权限的客体
1. sysdba 登录企业管理器,新建查询,创建数据库 db1,创建表 t1,并授予
sysdsa 对表 t1 的 alter 权限
create database db1 with log;
create table t1(c1 int,c2 int,c3 int,c4 int,c5 int,c6 int,c7 int,c8 int,c9 int);
grant alter on t1 to sysdsa;
2. sysdsa 登录安全管理器,给 sysdba 用户打安全标签 lb212(密级2,范畴
1,2)
,
给表 t1 的每个列打安全标签,
c1 列标签为 lb31
(密级3,
范畴1)
,
c2 列标签为 lb3123(密级3,范畴1,2,3),c3 列标签为 lb312(密级3,
范畴1,2),c4 列标签为 lb11(密级1,范畴1),c5 列标签为 lb1123(密
级1,
范畴1,2,3)
,
c6 列标签为lb112
(密级1,
范畴1,2)
,
c7 列标签为lb21
(密级2,范畴1),c8 列标签为lb2123(密级2,范畴1,2,3),c9 列标签
为lb212(密级2,范畴1,2)
3. sysdba 登录企业管理器,连接数据库db1,新建查询,对表 t1 的每列进行增
删改查(读写)操作
1)主体密级大于客体密级,且主体范畴包含客体范畴时,主体(sysdba)对
客体(表的 c1 列)可读不可写
2)主体密级大于客体密级,且主体范畴不包含客体范畴时,主体(sysdba)
对客体(表的 c2 列)无读写权限
GBase 8s 安全技术指南
南大通用数据技术股份有限公司
- 40 -
3)主体密级大于客体密级时,且主体范畴等于客体范畴时,主体(sysdba)
对客体(表的 c3 列)可读不可写
4)主体密级小于客体密级,且主体范畴包含客体范畴时,主体(sysdba)对
客体(表的 c4 列)无读写权限;
5)主体密级小于标签密级,且主体范畴不包含客体范畴时,主体(sysdba)
对客体(表的 c5 列)无读写权限
6)主体密级小于客体密级,且主体范畴等于客体范畴时,主体(sysdba)对
客体(表的 c6 列)无读写权限
7)主体密级等于客体密级,且主体范畴包含客体范畴时,主体(sysdba)对
客体(表的 c7 列)有读写权限
8)主体密级等于客体密级,且主体范畴不包含客体范畴时,主体(sysdba)
对客体(表的 c8 列)无读写权限
9)主体密级等于客体密级,且主体范畴等于客体范畴时,主体(sysdba)对
客体(表的 c9 列)有读写权限