jxq
作者jxq2018-03-06 10:49
其它, gbase

GBase 8t 安全特性之 LBAC(八)豁免

字数 1058阅读 1072评论 1赞 2

(一)概述
(二)安全标签组件
(三)安全策略
(四)安全标签
(五)对比安全标签
(六)授予和撤销安全标签
(七)保护表

(八)豁免

在访问受保护的行和列时,基于标签的访问控制(LBAC)遵循某些内在的规则。将这些规则正式定义为IDSLBACRULES。对于每一安全标签组件类型,以及是 READ 访问还是 WRITE 访问,规则都不一样。这些规则包括:

  • IDSLBACREADARRAY:用户安全标签的每一 ARRAY 组件都必须大于或等于数据行安全标签的 ARRAY 组件。也就是说,仅可读取等于或低于用户级别的数据。
  • IDSLBACWRITEARRAY:用户安全标签的每一 ARRAY 组件都必须等于数据行安全标签的 ARRAY 组件。也就是说,仅可写与用户同级别的数据。
  • IDSLBACREADSET:用户安全标签的每一 SET 组件都必须包括数据行安全标签的 SET 组件。
  • IDSLBACWRITESET:用户安全标签的每一 SET 组件都必须包括数据行安全标签的 SET 组件。
  • IDSLBACREADTREE:用户安全标签的每一 TREE 组件都必须包括数据行安全标签的 TREE 组件中的至少一个元素(或一个这样元素的祖先)。
  • IDSLBACWRITETREE:用户安全标签的每一 TREE 组件都必须包括数据行安全标签的 TREE 组件中的至少一个元素(或一个这样元素的祖先)。

当使用 SELECT、UPDATE 或 DELETE 操作来从受保护的表读取行和列时,使用 IDSLBACREADARRAY、IDSLBACREADSET 和 IDSLBACREADTREE 这样的 READ 访问规则。当使用 INSERT、UPDATE 或 DELETE 操作来将数据写到受保护的表时,使用 IDSLBACWRITEARRAY、IDSLBACWRITESET 和 IDSLBACWRITETREE 这样的 WRITE 访问规则。

由定义为 IDSLBACRULES 的规则来控制用户对保密表的访问。不过,可以授予用户豁免,以绕过这些规则中的一个或多个。例如,如果将对 IDSLBACREADARRAY 规则的豁免授予用户,则在对比用户标签与数据标签时,不应用此规则。如果授予对 ALL 规则的豁免,则该用户完全绕过所有基于标签的访问控制(LBAC)检查。 过一段时间,可以再撤销已授予的豁免。

请注意,一旦用户完成操作,就要撤销已授予的豁免。由于豁免是绕过基于标签的访问控制(LBAC)访问规则的一种强力机制,因此,必须谨慎使用。

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

2

添加新评论1 条评论

wuwenpinwuwenpin软件开发工程师, 南京
2018-03-06 14:10
学习了
Ctrl+Enter 发表

作者其他文章

相关文章

相关问题

相关资料

X社区推广