GBase 8s 安全功能2-安全标记与强制访问控制

       GBase 8s 提供和支持的安全功能包括： 身份认证与鉴别、 数据加密存储、自主访问控制、 安全标记、 强制访问控制、 数据完整性保护、 安全审计、 三权分立等， 参见如下示意图 ：

  

GBase 8s 提供和支持的安全功能示意图

安全标记  

       GBase 8s 中的主体（ 数据库用户） 与客体（ 数据对象） 均需标以敏感标记（ 简称标记）， 标记分为安全等级标记与范畴标记， 等级标记是用正整数表示，  而范畴标记则用集合表示。由负责强制访问控制管理的安全管理员创建全局等级与全局范畴， 并利用所创建的等级与范畴标记系统中的主体（ 代理） 和客体。  

强制访问控制（ MAC）  

       强制访问控制（ MAC） 功能提供客体（ 数据对象） 在主体（ 数据库用户）之间共享的控制， 与自主访问控制（ DAC） 不同的是， 强制访问控制由安全管理员管理； 自主访问控制尽管也作为系统安全策略的一部分， 但主要由客体的拥有者管理。 强制访问控制通过无法绕开的访问控制限制来防止各种直接和间接的攻击， 一个用户无权将任何数据资源的访问权授予别的用户。 GBase 8s 在传统的自主访问控制基础上增加了安全标记及强制访问控制功能。
       GBase 8s 的强制访问控制模型以 BLP 模型作为核心基础， 并加以适当的扩充， 模型的主要内容为：  

• 主体与客体

       在 GBase 8s 中主体是指数据库用户， 客体包括数据表、 视图、 存储过程和函数等。

• 安全标记（ 层次等级与非层次范畴）

       敏感标记又称标记， 每个主体、 客体均有标记， 标记分为安全等级标记与范畴标记， 等级标记是用正整数表示， 而范畴标记则用集合表示。 标记是由层次等级标记 I 及非层次范畴标记 S 的二元组组成： （ I,S） ,它们间有偏序关系。
设有 L1= (I1,S1), L2= (I2,S2) 则： L1 ≤ L2 成立的充分必要条件是：（ I1≤I2）∧ (S1 S2)

• 强制访问控制安全策略

       Bell-La Padula 模型的基本安全策略是“ 下读上写”。 在 GBase 8s 中， 基于实用性和灵活性的考虑对安全策略进行了扩充， 除了采用向下读、 向上写原则外，还设置有向上读向下写原则， 以及将写分为插入， 修改/删除两种操作而形成的下面四种安全访问策略：

下读上写其他（ 修改/删除） 同写；

下读上写其他（ 修改/删除） 同读；

上读下写其他（ 修改/删除） 同写；

上读下写其他（ 修改/删除） 同读。

同时还增设一种初始策略： 下读相等写其他（ 修改/删除） 同写， 以及另一种自定义策略。

• 特权机制

       某些特定用户在一段时间内可以信赖他们不会把某些敏感数据向外扩散，因此可以让他们具有对这些数据的相应操作， 即使这时不符合“ 下读上写” 的原则， 是基于灵活性、 实用性考虑的一种补充。
       当主体访问客体时， 强制访问控制需按安全访问策略模型作安全检查， 只有当符合模型要求时访问才能进行， 否则为非法， 访问不能进行。
       目前强制访问控制的主体粒度为用户级， 客体粒度为表级。