GBase 8t 安全特性之 LBAC（一）概述

（一）概述

GBase 8t 提供在不同颗粒度级别进行数据保护的方法。从保护数据库级对象，到使用安全标签保护单独行和单独列，颗粒度各不相同。自主访问控制（DAC）在诸如数据库、表、列、视图这样的数据库对象级别发挥作用；基于标签的访问控制（LBAC）在数据行和列一级发挥作用。

使用基于标签的访问控制，通过安全策略保护表，通过安全标签保护单独行和单独列。数据库安全管理员（DBSECADM）创建安全策略和安全标签，并将安全标签授予单独的用户。当拥有安全标签的单独用户将数据行写到受对等安全策略保护的表时，在该表的单独行中生成数据标签。基于标签的访问控制采用的基本原则是，如果用户的安全标签优于受保护行的数据标签，则该用户能够读取数据。

如何进行这种“优于”计算呢？任何标签都是由单独的组件以及每一组件内的元素组成。对于给定的安全策略，如果用户标签中的单独组件优于行数据标签的单独组件，则用户标签优于行数据标签。

受基于标签的访问控制（LBAC）保护的表的主要特征是，通过更精细的数据访问控制实现安全性和私密性。能强制实现 LBAC 的 SQL 对象是安全标签组件、安全策略和安全标签。这些对象用于保护表中单独行和单独列。LBAC 的执行级别低于自主访问控制（DAC）。也就是说，在数据库级和表级检查权限之后，再在行级和列级执行 LBAC，以访存单独行。

只有数据库安全管理员（DBSECADM）可以创建基于标签的访问控制（LBAC）SQL 对象，或将这些对象应用于表，或将这些对象授予用户。DBSECADM 是 GBase 8t 提供的一个内建角色，由数据库系统管理员将此角色授予单独用户。所有 LBAC SQL 对象也存在于数据库的情境之中。