数据库管理系统安全技术要求国家标准（三）安全功能要求之自主访问控制

（一）概述
（二）安全功能要求之身份鉴别

（三）安全功能要求之自主访问控制

GB 17859-1999（计算机信息系统 安全保护等级划分准则）定义：客体是信息的载体。主体是引起信息在客体之间流动的人、进程或设备等。

GB/T 20271-2006（信息安全技术 信息系统通用安全技术要求）定义：自主访问控制是由客体的所有者主体自主地规定其所拥有客体的访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问，并能根据授权，对访问权限进行转移。

现行国标要求：应由数据库子语言定义访问操作，并与数据一起存放在数据字典中。对任何 SQL 对象进行访问操作应有明确的权限许可，并且权限随着操作和对象的变化而变化，应有能力判断这种权限许可。操作与对象紧密相联，即把“操作+对象”作为一个授权。

现行国标要求：应以访问控制表或访问矩阵的形式表示访问规则，并通过执行相应的访问控制程序实现。每当执行 SQL 语句、有访问要求出现时，通过调用相应的访问控制程序，实现对访问要求的控制。

现行国标要求：应限制具有某一权限的用户将该权限传给其他用户。当一个用户被授予某权限，同时拥有将该权限授予其他用户的权力时，该用户才拥有对该授权的传播权。为了增强数据库系统的安全性，需要对授权传播进行某些限制。

关于 GBase 8t 的自主访问控制机制，请参阅“GBase 8t 捍卫数据安全（十）自主访问控制”。