人大金仓数据库KingbaseES强制访问控制介绍

最新推荐文章于 2024-10-11 17:04:33 发布
最新推荐文章于 2024-10-11 17:04:33 发布
阅读量317 收藏
点赞数
文章标签: 金仓数据库 kingbase 数据库 人大金仓 DBA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arthemis_14/article/details/132725922
版权

关键字:

KingbaseES、强制访问控制、安全功能

1.什么是强制访问控制?

强制访问控制(Mandatory Access Control, MAC),用于将系统中的信息分密级和类进行管理,以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。通俗的来说,在强制访问控制下,用户(或其他主体)与文件(或其他客体)都被标记了固定的安全属性(如安全级、访问权限等),在每次访问发生时,系统检测安全属性以便确定一个用户是否有权访问该文件。

MAC与自主访问控制(Discretionary Access Control, DAC)相比,MAC提供更严格和灵活的控制方式。DAC的数据存取权限由用户控制,系统无法控制;MAC安全等级由系统控制,用户无法直接控制。首先为所控制的主体和客体指派安全标记,然后依据标记进行访问仲裁。

2.强制访问控制要素

  • 数据标记

安全管理员为数据定义标记:等级(数据的敏感程度)+范围(用于数据分类)

标记是可以比较的,其比较结果的含义是代表了数据的敏感程度。如果赋予用户某些标记,然后再给数据赋予标记。这样将用户的标记和数据的标记进行比较,按照一定规则来决定用户是否可以对数据进行访问。

  • 授予权限

安全员授予权限,以决定用户可以以何种形式访问那些数据。当表中的元组被标记标识后,只有用户被授予了访问该标记的权限后,可以读写该元组的数据。当元组有多个数据标记时,用户必须具有所有标记的权限才能访问该元组。

  • 策略特权

策略下的特权允许用户饶开部分标记仲裁规则访问数据。安全员可以给用户授予策略下的特权,使用户可以不依靠会话标记对数据执行读写操作。

3.数据库强制访问控制的操作方式

(1)加载插件

修改kingbase.conf文件中 shared_preload_libraries 参数,增加sysmac参数,并在最后增加ysmac.enable_mac=on,重启数据库。

(2)SSO开启强制访问控制

使用SSO用户登录数据库,开启强制访问控制

alter system set sysmac.enable_mac=on;
select sys_reload_conf();

(3)system创建用户和表

CREATE USER U1 WITH SUPERUSER PASSWORD '12345678ab'; 
CREATE USER U2 WITH SUPERUSER PASSWORD '12345678ab';
CREATE TABLE TU_INFO(ID INT, NAME CHAR(10));

(3)sso创建策略、等级和范围

创建P1安全策略,策略列为P1_COLUMN,并隐藏该策略列。

创建P1安全策略下,范围名称为MANAGER,ID范围值为40的范围

创建P1安全策略下,等级名称为GENERAL,等级值为10的等级

file

(4)设置标记

创建标记ID为123的标记。等级为pricavl,范围为RD

file

创建标记ID为1234的标记,等级为general。

file

(5)为用户添加标记

只为U1添加标记,U2未添加标记

file

(6)使用U1对表进行插入

切换U1用户,对表进行数据插入,标签栏有123标记。

file

(7)使用U2对表进行查看

由于U2没有123标签,故无法查到数据

file

(8)给U2赋予标签

①标签等级低于U1数据标签等级,U2用户下仍未查到数据

file

②标签等级大于等于U1数据标签等级,可以查看到数据

file

更多信息,参见https://help.kingbase.com.cn/v8/index.html

沉舟侧畔千帆过_
关注
人大金仓数据库Kingbase8在CentOS7上的安装与使用
Heartsuit的博客
05-08 3359
背景 最近接触了个项目,数据库用的是国产数据库人大金仓V8。简单总结下 Kingbase8 在 CentOS7 上的安装与使用。 下载 手机号、验证码,下载镜像以及开发版授权证书:https://www.kingbase.com.cn/rjcxxz/index.htm 安装文档: https://help.kingbase.com.cn/stage-api/profile/document/kes/v8r6/html/install-updata/linux/install-linux/install-l
KingbaseES-用户访问控制
qq_44635470的博客
01-02 603
当GUC参数connections_limit_per_user设置为true时,普通用户默认连接数限制为5,超级用户默认连接数限制为8。connections_limit_per_user设置为false时,所有用户默认的最大连接限制均为-1,并且超级用户不受连接数限制。限制的是每天的时间段,例如 ‘09:00:00 TO 12:00:00’ 代表限制用户在每天的9点到12点之间,才被允许登录数据库。在KingbaseES 中,可以配置用户连接数限制,以及限制账号的使用期限。
达梦数据库——强制访问控制使用
qq_44821411的博客
09-29 1942
达梦数据库强制访问控制功能的使用
解决JDBC访问金仓数据库KingbaseES数据库异常的问题
arthemis_14的博客
05-17 6762
应用使用jdbc访问KingbaseES数据库发生异常:SocketTimeoutException Read timed out。
人大金仓分析型数据库角色与权限管理(一)
qq_27889005的博客
09-24 826
数据库授权机制存储访问数据库数据库对象的角色和权限, 并使用SQL语句或命令行实用程序进行管理。角色的概念包含用户和组的概念。一个角色可以是一个数据库用户、一个数据库组或者两者间距。角色可以拥有数据库对象(例如表),并可以将这些对象上的 权限赋予其他角色,依此来控制对对象的访问。角色可以是其他角色的成员,因此成员角色可以继承其父角色的对象权限。每个数据库系统都包含一组数据库角色(用户和组)。这些角色与运行服务器的操作系统管理的用户和组相互独立。
人大金仓数据库
yeeouo的博客
12-17 545
该产品面向事务处理类应用,兼顾各类数据分析类应用,可用做信息管理系统、业务及生产系统、决策支持系统、全文检索、地理信息系统等的承载数据库KingbaseES软件能够提供一主一备以及一主多备的高可用集群架构,实现数据及实例级 (异地) 故障容灾,也能够提供多节点并行服务,内存融合及存储共享,实现高并发性能利用最大化,结合读写分离或备份使用同步实现数据保护最大化。读写分离集群,只读性能线性增长,承载“万”级用户并发数。兼容97%以上的Oracle语法,迁移平滑、成本更低。
人大金仓数据库KingbaseES 强制访问控制-3:策略的配置
arthemis_14的博客
01-10 938
KingbaseES强制访问控制、标记与策略、人大金仓KingbaseES
人大金仓数据库KingbaseES逻辑备份还原介绍
arthemis_14的博客
04-25 2237
计算机系统不可避免地会发生内部故障、系统故障、硬件故障等问题,这些问题会造成数据库中的事务非正常停止,或部分数据丢失,因此数据库管理系统必须具有把数据库从错误状态恢复到某一已知的正确状态(亦称为一致状态或完整状态)的功能,这就是数据库的备份与恢复。KingbaseES 提供的备份恢复方式可以分为两种:一种是基于日志的物理备份恢复,另一种基于SQL语句的逻辑备份还原。物理备份恢复和逻辑备份还原都是各自采用了不同的技术手段来达到保护数据的目的。
人大金仓数据库KingbaseES集群安装部署
arthemis_14的博客
06-07 2170
KingbaseES、集群、安装部署、人大金仓
金仓数据库KingbaseES的锁机制
Kingbase_的博客
03-22 1799
前言 在并发控制的过程中,事务隔离起着重要作用。事务隔离是控制如何和何时进行更改以及何时必须对彼此、用户和系统可见的属性。 金仓数据库KingbaseES通过多版本并发控制架构实现隔离。多版本并发控制是一种允许多个会话同时访问同一记录的技术,即,当会话 A 正在更新一条记录时,会话 B 仍然可以访问该记录。 但是以下情况,应该怎么办: 如果会话 A 和会话 B 都想同时更新相同的记录。 如果在会话 A 访问表时,在会话 B 中试图 truncate 表。 如果会话 A 正在更新表,而会话 B 试图 vac
金仓数据库KingbaseES ODBC使用指南四--扩展参数
Kingbase_的博客
01-18 2037
KingbaseES ODBC 的扩展属性 1.1. KingbaseES ODBC 数据源的高级选项 这里提供了在Windows下配置KingbaseES的相关说明。 这里设定的选项值将对使用该 DSN 的 ODBC 连接有效,但部分选项的值可通过设置扩展的连接属性或语句属性来改变,从而使这里设定的选项值失效而改用 ODBC 应用程序中设置的选项值。 1.1.1. 高级选项1/3对话框 o 默认值:按此按钮恢复以下设置的正常默认值。 o 识别唯一索引: 默认选中此选项。 o Use Declare/Fe.
金仓数据库KingbaseES SYS_BULKLOAD工具的使用
Kingbase_的博客
02-22 1246
介绍 sys_bulkload是KingbaseES提供的快速加载数据的命令行工具。用户使用sys_bulkload工具能够把一定格式的文本数据简单、快速的加载到KingbaseES数据库中,或将KingbaseES数据库中的数据快速导出到CSV文件中。 使用前需要用户手动创建sys_bulkload插件,需要说明的是sys_bulkload工具是随数据库版本一同发布的,使用时请使用对应发布的数据库版本,其他数据版本则不保证能正常工作。 架构图 sys_bulkload主要包括两个模块:reader和wri
人大金仓数据库ksql命令基础
bigwood99的博客
08-15 1847
测试环境信息: 系统为银河麒麟V10 数据库Kingbase ES V8 数据库安装目录为/opt/Kingbase/ES/V8 ksql命令位于/opt/Kingbase/ES/V8/Server/bin下 使用--help获取帮助
人大金仓的用户权限设置
左直拳的马桶_日用桶
08-20 7838
人大金仓的逻辑对象体系很清晰:库-模式-表/视图/叉叉叉,分别对应不同的权限。 今天我想访问一下同库中其他模式的表,结果提示对该模式缺乏权限。我执行了好几遍这个 grant all on all tables in schema "模式2" to "用户1"; 但问题一直存在。 后来在人大金仓提供的对象工具中,设置了用户对该模式的权限,才搞定: 上面是界面操作。其实也可以通过语句设置。总的来说,如果某一个用户,想访问一个模式下的表,要先拥有访问该模式的权限,然后再设置模式下的表的访问权限。缺一不可。 收
在 MySQL 中通过自定义哈希分片实现大规模数据的多线程并行处理20241008
Narutolxy的博客
10-08 685
mysql
MySQL数据库的详细学习步骤
最新发布
2401_87352036的博客
10-11 1073
MySQL数据库的详细学习步骤可以归纳为以下几个阶段,每个阶段都包含了特定的学习内容和目标。
Ubuntu有关redis的命令
weixin_53717695的博客
10-06 337
Ubuntu有关redis的命令
基于Java(Jsp+Sevlet)+MySql 实现的(Web)成绩管理系统
神仙别闹的自留地
10-08 1646
如果能把负责学生成绩管理的模块独立出来形成一个独立的系统,便可以有效降低教务系统的数据量,不仅可以方便管理员对于所有学生的信息进行系统的管理,而且便于教师对学生成绩进行查询和修改,学生也可以查询自己的成绩。因此,开发一套合适的、兼容性好的系统是很有必要的。:DAO层主要是做数据持久层的工作,负责与数据库进行联络的一些任务都封装在此,DAO层的设计首先是设计DAO的接口,然后定义此接口的实现类,然后就可在模块中调用此接口来进行数据业务的处理,而不用关心此接口的具体实现类是哪个类,显得结构非常清晰。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值