(一)概述
(二)安全标签组件
(三)安全策略
(四)安全标签
(五)对比安全标签
(六)授予和撤销安全标签
(七)保护表
(八)豁免
在访问受保护的行和列时,基于标签的访问控制(LBAC)遵循某些内在的规则。将这些规则正式定义为IDSLBACRULES。对于每一安全标签组件类型,以及是 READ 访问还是 WRITE 访问,规则都不一样。这些规则包括:
当使用 SELECT、UPDATE 或 DELETE 操作来从受保护的表读取行和列时,使用 IDSLBACREADARRAY、IDSLBACREADSET 和 IDSLBACREADTREE 这样的 READ 访问规则。当使用 INSERT、UPDATE 或 DELETE 操作来将数据写到受保护的表时,使用 IDSLBACWRITEARRAY、IDSLBACWRITESET 和 IDSLBACWRITETREE 这样的 WRITE 访问规则。
由定义为 IDSLBACRULES 的规则来控制用户对保密表的访问。不过,可以授予用户豁免,以绕过这些规则中的一个或多个。例如,如果将对 IDSLBACREADARRAY 规则的豁免授予用户,则在对比用户标签与数据标签时,不应用此规则。如果授予对 ALL 规则的豁免,则该用户完全绕过所有基于标签的访问控制(LBAC)检查。 过一段时间,可以再撤销已授予的豁免。
请注意,一旦用户完成操作,就要撤销已授予的豁免。由于豁免是绕过基于标签的访问控制(LBAC)访问规则的一种强力机制,因此,必须谨慎使用。
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞2
添加新评论1 条评论
2018-03-06 14:10