关键字:
KStudio、强制控制访问、标记、策略、人大金仓、KingbaseES
一、强制访问控制概述
1.1强制访问控制
强制访问控制是用于将系统中的信息分密级和类进行管理,以保证不同用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。
1.2 强制访问控制在金仓数据库中的使用
在金仓数据库中,安全用户SSO 能够通过创建策略来设置不同的等级、范围和标记,并通过将不同的用户和数据设置不同的标记,来对用户进行强制访问控制。
访问遵循向下读,区间写模型,实现信息流向总是向上的保密信息传递。下读规则指的是用户只能读和自己等级一样或者比自己低等级的数据。区间写是上写模型,上写规则是指用户只能写入和自己等级一样或者等级比自己高的数据,个人理解区间写中的上写模型在于若用户写入比自己等级低的数据,那么比自己等级低的用户也能查看比自己等级高的用户所写的内容,这样是不合理也不合安全的。
二、KStudio工具中强制访问控制的构成
2.1 策略
策略是由等级、范围和标记组成的,可以将策略理解为实施强制访问控制的一个实际方法,通过等级、范围和标记来共同组成一个实际的访问控制的方法。
2.2 标记
标记是由等级和范围构成的,标记中一定有等级,但不一定有范围,标记的等级是可以进行比较的,比较的结果代表了数据的安全级别的高低,如果赋予给用户一些标记,再给数据赋予标记,就可以通过将用户的标记和数据的标记比较来查看用户是否可访问当前的数据,用户等级越高代表可访问数据的范围越大,当标记同时存在等级和范围时,需要同时满足两者的要求才能进行对应的读写操作。
2.3 等级
等级是标记创建中的必填项,一个标记中只能有一个等级,是控制用户是否可以对数据读、写操作的判断条件之一。一个策略可以根据访问安全级别设计多个等级。
2.4 范围
范围是标记创建中的可选项,一个标记中可以有多个范围,也可以没有范围,是控制用户是否可以对数据读、写操作的判断条件之一。
三、需要注意的
要开启强制访问控制,需要首先在服务器中进行配置,在对应的Kingbase.conf文件中的shared_preload_libraries下添加字段sysmac,并设置sysmac.enable_mac=on;sysmac.enable_col_mac=on启用强访,重启数据库后通过sso用户登录,并输入用户名密码:12345678ab后即可。
四、总结
(1)强访包括根据不同的细粒度划分为对象级强访、列级强访和行级强访,对象级强访支持数据库下的模型对象进行标记设置,列级强访支持将表中的列字段进行标记设置,设置行级强访后,需要用户有对应表的权限,就可以在表中读取和写入数据。只有用户持有对应标记的情况下才能访问对应被标记的数据对象。
(2)强制访问控制是用于将系统中的信息分密级和类进行管理的一种访问约束机制。
(3)强制访问控制是由不同的策略来进行实施的,而策略是通过不同级别的等级、范围和标记组成的,通过不同的等级来判断对应策略的权限高低。
