GBase 8s CREATE SECURITY LABEL COMPONENT 语句

最新推荐文章于 2024-07-18 16:32:46 发布
最新推荐文章于 2024-07-18 16:32:46 发布
阅读量118 收藏
点赞数
分类专栏: 南大通用 GBase 8s GBase 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39280087/article/details/124291404
版权
GBase 8s 同时被 3 个专栏收录
170 篇文章 5 订阅
订阅专栏
南大通用
143 篇文章 3 订阅
订阅专栏
GBase
142 篇文章 0 订阅
订阅专栏

使用 CREATE SECURITY LABEL COMPONENT 语句在当前数据库中定义新的安全标签组件和其
元素。
该语句是 SQL ANSI/ISO 标准的扩展。
语法
在这里插入图片描述

用法
只有 DBSECADM 能发出 CREATE SECURITY LABEL COMPONENT 语句,来定义安全标签组件。
这是定义一个或多多个逻辑类别的数据库对象,其值可以在安全策略中使用以确定用户的读取或写
入数据的请求是接受还是拒绝。安全组件可具有的所有有效单个值的集合由该语句为组件指定的安
全标签组件的集合来定义。
安全标签组件实施的逻辑类别由 DBSECADM 在设计安全策略的过程中标识,它是基于标签访问控制
(LBAC)的核心构造。然而,要在数据库中实施此安全功能,DBSECADM 必须以下列顺序创建安全对
象:

  1. 一个或多个安全标签集合,每个集合可由 CREATE SECURITY LABEL COMPONENT 语句
    定义。该语句指定安全做件的名称、其值范围的结构和此组件可被分配给将安全策略应用与
    数据或用户的安全标签的可能值。
  2. 一个或多个安全策略,每个策略可通过 CREATE SECURITY POLICY 语句定义,它可指定
    应用于数据和尝试对数据库中的安全策略包含的数据执行读取或写入操作的用户,一个或多
    个组件列表和角色集合。安全策略总是包含 CREATE SECURITY POLICY 值的组件的所有
    的元素。
  3. 可使用 CREATE SECURITY LABEL 定义安全标签,它为每个标签支持的安全策略的一个
    或多个组件指定一个或多个值。此安全标签可以应用于数据和用户。一个安全标签的所有组
    件必须是同一安全策略的组件,但是多个安全策略和多个安全标签可以共享同一组件。
    CREATE SECURITY LABEL COMPONENT 定义的一个安全标签一般只包含一个安全组件
    元素的子集。
    如果您包含可选的 IF NOT EXISTS 关键字,则当指定名称的安全标签组件已经在当前数据库中注册
    时,数据库服务器不采取操作(而非向应用程序发生异常)。
    请参阅 GRANT Security 和 REVOKE Security 语句以获取安全标签和豁免安全策略的规则是如何
    定义用户或角色的 LABC 凭证的信息。
    请参阅 CREATE TABLE 和 ALTER TABLE 语句获取安全标签如何与数据库表或表中的一个数据
    行关联的信息。
    安全标签组件的类型和元素
    安全标签组件它自己包含一个或多个 CREATE SECURITY LABEL COMPONENT 语句声明为字符
    串变量的元素。这些元素定义对此组件有效的值的集合。
    当 CREATE SECURITY LABEL 语句成功执行,GBase 8s 更新了具有以下新条目的数据库的系统目录:
     它在 sysseclabelcomponents 表中创建新行以注册新的组件。
     对于新组件的每个元素,它在 sysseclabelcomponentelements 表中创建新行。
    安全标签组件必须定义为三种组件类型之一。紧跟在组件名称声明之后的 ARRAY 、SET 或 TREE
    关键字指定组件类型,它必须跟随在此安全组件的元素列表之后。 这些元素定义组件在安全策略内
    可具有的值的集合。对于所有安全标签策略的三种类型,元素集具有以下限制:
     安全组件不能拥有超过 64 个的元素。
     安全组件的每个元素都是不超过 32 字节的带引号的字符串变量。
     在带引号字符串变量中的字符不能包含左括号( ( )或右括号( ))、逗号( , )或冒
    号( : ),但是 DB_LOCALE 设置支持的其它符号是有效的,包括空格符(ASCII 32)。
     每个元素在同一安全策略组件的元素中必须唯一,但是同一引号字符串变量还可以是其它安
    全标签组件的元素。
    组件中每个元素的定义隐含与数据库表或单个数据行相关联的安全标签的数据敏感性的级别,还影
    响了拥有读取或写入由同一标签或指定该组件的一个或多个元素的不同标签保护的数据的安全标签
    的用户的安全凭证。
    就像其它可定义数据库对象的数据库 SQL 数据定义语言 ,CREATE SECURITY LABEL
    COMPONENT 必须为每个组件元素指定一个字符值,而非占位符。要更改现有安全标签组件的定义,
    DBSECADM 可使用 ALTER SECURITY LABEL COMPONENT 向 ARRAY 、SET 或 TREE 组件
    中插入新元素。然而,要删除或重命名一个或多个组件的单个元素, DBSECADM 必须使用 DROP
    SECURITY LABEL COMPONENT 语句销毁现有的组件,然后重新发出 CREATE SECURITY
    LABEL COMPONENT 语句来创建新的组件,定义所需的组件结构内的元素值集。
    ARRAY 组件
    ARRAY 类型的安全标签组件是不超过 64 个元素的有序集合。每个元素定义了一个对安全策略内
    的组件有效的值。声明的元素的顺序是十分重要的,因为它定义数据敏感性的降序顺序,其中每个
    连续的元素在数据敏感性上排名低于前面的元素。ARRAY 的标签元素集和其逗号分隔符必须包含
    在一对方括号([ … ] )之间。
    当在安全标签的定义中指定 ARRAY 组件时,该标签只能指定一个此组件的元素作为组件的值。
    以下示例定义名为 aquilae ARRAY 类型的安全标签组件,其是五个元素的顺序集合,这五个元素分
    别为 imperator 、tribunus 、centurio 、miles 和 asinus :
    CREATE SECURITY LABEL COMPONENT aquilae
    ARRAY [ “imperator”, “tribunus”, “centurio”, “miles”, “asinus” ];
    此处具有最高数据敏感性的组件元素是 imperator ,asinus 具有最低的数据敏感性,具有
    tribunus 数据敏感性的数据排在有 centurio 数据敏感性的数据之前,有 imperator 数据敏感性
    的数据之后。
    在多维度安全策略的一些维度可以被映射到单调递减的单个标度的上下文中,适用 ARRAY 类型的
    组件。
    SET 组件
    SET 类型的安全标签组件是指不超过 64 个元素的无序集合。SET 的每个元素都是不超过 32 字节
    的字符串常量,且在此组件中必须唯一,但是同一值可在其它组件中使用。SET 组件的元素声明的
    顺序对这些元素识别的类别的数据敏感性并不重要。这些元素和其逗号分隔符必须包含在一对大括
    号({ … } )之间。
    当在安全标签的定义中指定 SET 组件时,此标签可以指定该组件一个或多个元素作为其的有效值。
    在以下示例中,DBSECADM 定义了一个称为 departments 的安全标签组件,它是三个元素的无序集
    合,这三个元素分别为 Marketing 、HR 和 finance :
    CREATE SECURITY LABEL COMPONENT departments
    SET { ‘Marketing’, ‘HR’, ‘Finance’ };
    就像所有 SET 类型的组件,这些元素声明的顺序意味着在数据敏感性上没有相对的排名。
    SET 类型的组件适用于多维度安全策略的一些维度可表示为名义类别的上下文中,没有任何逻辑基
    础用于单调的比例对它们排序,也不用将它们排列在层次结构中。
    TREE 组件
    TREE 类型的安全标签组件具有层次结构的逻辑拓扑(即,没有循环的简单图),其具有单个根节
    点和不超过 63 个附加节点。必须首先列出根节点的字符串变量,并且后面必须跟 ROOT 关键字。
    每个后续声明的节点的字符串常量必须后跟关键字 UNDER 和一些先前声明的节点的字符串常量。
    TREE 组件的元素集(包括它们的 ROOT 和 UNDER 关键字及逗号分隔符)必须包含在一对
    (( … ))括号之间。
    在 UNDER 关键字之后指定的标签元素称为同一 UNDER 关键字(称为该父元素的 child)之前的
    标签元素的 parent。如果没有在同一语句中声明 UNDER 关键字之后的节点名称,则 CREATE
    SECURITY LABEL COMPONENT 语句发生错误并失败。
    指定为 TREE 组件的根节点的字符串常量具有最高的数据敏感性。对于用户读取或写入受保护的数
    据,用户安全标签的每个 TREE 组件必须包括数据行安全标签的 TREE 组件中的至少一个元素,
    或者一个这样元素的祖先。例如,如果 “Beta” 声明为 UNDER “Alpha” ,“Gamma” 声明为 UNDER
    “Beta” 则 “Gamma” 的数据敏感度低于 “Alpha” 。只有在同一父子关系链中的元素才能在其数据
    敏感性中进行比较。
    下一示例定义了一个 TREE 结构并具有六个节点的名为 Oakland 的安全标签组件:
    CREATE SECURITY LABEL COMPONENT Oakland
    TREE ( ‘Port’ ROOT,
    ‘Downtown’ UNDER ‘Port’,
    ‘Airport’ UNDER ‘Port’,
    ‘Estuary’ UNDER ‘Airport’,
    ‘Avenues’ UNDER ‘Downtown’,
    ‘Hills’ UNDER ‘Avenues’);
    此处的根节点是 Port,它具有最高数据敏感性。在此层次结构中,Downtown 、Avenues 和 Hills 元
    素代表数据敏感性的降序级别,Airport 元素的数据敏感性比 Estuary 元素高。在此示例中,
    UNDER 关键字指定为父节点的四个组件元素在被包括在 UNDER 规范之前被声明。如果 Avenues
    节点声明在 Airport 节点之前,则此示例的修改版本也是有效的,但是如果 Hills 节点声明先于
    Avenues 节点,则会导致错误。
    TREE 类型组件可以适用于多维安全策略的一些维度映射到单个逻辑层次结构或者共享公共根的层
    次结构的上下文中。
qq_39280087
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GBase8s数据库CREATE SECURITY LABEL 语句
weixin_48486849的博客
12-29 121
使用 CREATE SECURITY LABEL 语句在当前数据库中为指定的安全策略定义新的安全标签,并标识其组件和组件名称。 用法 安全标签 是支持指定安全策略的已命名的数据库对象。安全标签可应用于用户,或当前数据库中表的行或列(或者行和列)。当持有安全标签的用户尝试存取有安全标签的数据时,数据库服务器将列或行的安全标签和用户的安全标签作为决定是否允许用户存取数据的考虑条件。 每个安全标签存储以下种类信息: @它标识标签支持的现有安全策略。 @它标识至少一个,但不超过 16 个标签支持的安全策略的现有的组
GBase 8s LBAC安全标签
qq_33935229的博客
10-27 517
基于标签的访问控制(Label-Based Access Control) 是GBase 8s强制访问控制的一种形式。LBAC可以被用户来防止未经授权的访问。简单举例,现有一个场景管理部门员工信息,需要设计LBAC,员工部门分为 部门A 部门B,员工信息需要划分为 普通、敏感。按照LBAC的定义逻辑,管理部门员工信息,需要创建一个安全策略。其次,一共有两个维度需要权限区分,部门与信息安全等级,则创建两个安全组件,即部门与信息安全等级。
Gbase8s CREATE SECURITY LABEL 语句
kelei2010的博客
08-19 92
CREATE SECURITY LABEL 语句执行成功,它会在sysseclabels 系统目录表中注册指定的 label 名称,与安全 policy 关联的数字标识符,和它的安全标签 components 的基数。⚫它标识一个或多个安全标签的每个组件的现有的元素。使用 CREATE SECURITY LABEL 语句在当前数据库中为指定的安全策略定义新的安全标签,并标识其组件和组件名称。要使该示例有效,则 levels 和 compartments 组件,以及它们的安全标签组件,VP 和。
db2 用户及授权
热门推荐
荣耀之路
04-08 2万+
1.如何创建一个db2用户 首先yaomingbai
Oracle Label Security(Oracle标签安全性)
KEI
12-14 955
如需转载,请注明出处 http://kei.iteye.com   Why we choose OLS   1、绝大多数商业应用程序都必须处理安全性问题。应用程序经常需要限制对专用记录的访问、建立审计跟踪,或者执行一个工作流过程,所有这些都要符合公司的安全策略。构建安全的软件是一个富有挑战性且复杂的工作,在整个机构内管理软件的安全策略可能会更困难。   2、作为模式(schema)设计...
GBase 8s CREATE ROLE 语句
qq_39280087的博客
03-24 126
使用 CREATE ROLE 语句声明并注册新的角色。 该语句是 SQL ANSI/ISO 标准的扩展。 用法 CREATE ROLE 创建一个新角色并在系统目录中注册。角色可以用来将数据库对象上的一组权限标 识符和一组访问特权相关联。系统目录维护被授权给用户或其它角色的角色(以及他们相应的特权) 的信息。 只有数据库管理员(DBA)可以使用 CREATE ROLE 创建一个新角色。DBA 可以将完成某些工作 任务所需的特权(如 engineer )指定给某个角色,然后可以使用 GRANT 语句将该角色指
GBase 8s CREATE DATABASE 语句
qq_39280087的博客
07-26 451
然而,在所有的对NCHAR和NVARCHAR值的操作(例如排序、分组或标识重复行)中,数据库服务器会忽略字母大小写的变化,例如字符串‘Mi’和‘mI’的值是一样的。(在不兼容ANSI的数据库中,DECIMAL§是浮点数据类型,它的规模大到足以存储一个值的指数符号。但是如果没有DROPDATABASE语句删除现有的第一个示例创建的vehicles数据库,则第二个示例发生错误并失败,并且没有数据库被创建,因为vehicles数据库的标识符在数据库服务器实例中不是唯一的。...
gbase8s题目.docx
11-26
gbase8s认证题目知识点总结 通过对gbase8s认证题目的分析,我们可以总结出以下知识点: 1. gbase8s备份恢复工具:gbase8s提供了两个备份与恢复工具,gbackuprestore可以实现备份数据的完全恢复和基于时间点的恢复...
Gbase 8s内置函数之日期函数
12-28
Gbase 8s内置函数之日期函数 Gbase 8s是一款功能强大且高性能的关系数据库管理系统,它提供了一系列的内置函数,方便开发者进行数据处理和分析。其中,日期函数是Gbase 8s内置函数中的一部分,主要用于处理和操作...
GBase 8s 锁简介
04-25
在执行某些 DDL 语句时,GBase8t 会自动对表进行加锁,如 ALTER FRAGMENT、ALTER INDEX、ALTER TABLE、CREATE INDEX(如果没有使用 ONLINE 模式)、DROP INDEX(如果没有使用 ONLINE 模式)、RENAME COLUMN、RENAME ...
GBase 8s Windows版安装手册.pdf
08-17
GBase 8s Windows版安装手册 GBase 是南大通用数据技术有限公司推出的自主品牌的数据库产品,在国内数据库市场具有较高的品牌知名度。GBase系列产品包括:新型分析型数据库GBase 8a、分布式并行数据库集群GBase 8a ...
Gbase 8s查询之连接查询
12-28
Gbase 8s 查询之连接查询 Gbase 8s 查询之连接查询是关系数据库中的一种强大处理能力,能够将不同的数据按一定条件连接在一起。在 Gbase 8s 中,连接查询可以分为内连接、外连接和自连接三种类型。 内连接是将两个...
PostgreSQL的逻辑架构
最新发布
weixin_41992498的博客
07-18 107
一、PostgreSql的逻辑架构:所有者:
【星海随笔】vCenter Server 和主机管理。
weixin_41997073的博客
07-16 195
1.方法:删除页面信息,然后断连这个受管主机,断开受管主机的连接不会将其从 vCenter Server 中移除,而只是临时挂起 vCenter Server 执行的所有监控活动。2.方法:在分布式存储中找到该虚拟设备的存储盘,文件里找到相关的vmdk磁盘文件,点击注册虚拟机。当资料不匹配时候,可以删除展示页面,孤立的设备的 匹配位置的信息。断开后,然后重新连接,既可以重新识别受监管的主机。数据库在Vserver中展示的是一个数据库的资料,应该是client的资料。1.确定为资料不匹配导致的展示问题。
Linux系统的用户组管理和权限以及创建用户
Johaden的博客
07-14 986
因此,我们可以根据每个用户的角色、职位和需求,为他们分配相应的权限,以确保服务器的安全性和有效管理。sudo(superuser do)是在类Unix操作系统中(包括Linux和macOS)常用的一个命令,它允许经过授权的用户以系统管理员(通常是root用户)的权限来运行程序或命令。2.在登陆Ubuntu时,会填写全名、用户名、密码等,所创建的这个用户就是默认用户,其中全名可以类似为一个昵称,用户名为主机名(较正式,不可随意更改)。超级用户可以执行系统上的所有命令,包括系统配置、文件访问和用户管理等。
Spring框架之DI依赖注入
G81948577的博客
07-18 568
我们在下面构建spring的过程中体会依赖注入;从上面的图中我们知道,在ssm框架中服务层(server)无法直接操作数据库,持久层(dao)是直接操作数据库进行数据处理的,但是我们如果在服务层有一个持久层的对象,然后我们在服务层通过对象去调用持久层的方法就可以操作数据库了。@OverrideSystem.out.println("持久层,你好");UserServiceImpl类中的代码如下@Override。
MySQL 其他
w1834938347的博客
07-15 692
SQL执行顺序from确定查询的表,jion连接表、on对from进行过滤,where进行条件过滤,group by和having进行分组后过滤,select进行指定的列,distinct去重,排序,限制行数定表过滤-分组过滤-选列过滤。
深入 Dify 源码,洞察 Dify RAG 核心机制
易迟的专栏
07-17 1108
之前深入源码对 Dify 的完整流程进行了解读,基本上梳理了 Dify 的实现流程与主要组件。但是在实际部署之后,发现 Dify 现有的 RAG 检索效果没有那么理想。因此个人结合前端页面,配置信息与实现流程,深入查看了私有化部署的 Dify 的技术细节。将核心内容整理在这边,方便大家根据实际的业务场景调整 Dify 知识库的配置,或者根据需要进行二次开发调优。
day04:Redis和店铺营业状态设置
m0_69266818的博客
07-15 839
介绍了Redis命令和用java操作redis还有营业额状态接口的书写

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值