达梦数据库——强制访问控制使用

功能介绍

强制访问控制(Mandatory Access Control, MAC)是根据客体的敏感标记和主体的访问标记对客体访问实行限制的一种方法。

DM利用策略和标记来实现数据库的强制访问控制。

策略：是一组预定义的标记组件，包括等级、范围和组这三种组件，其中必须包含等级，范围和组可以缺省。

标记：将策略应用在用户或表上时，那么用户或表就获得了一个安全标记。

策略、组件、标记

1. 策略管理

1）创建策略
mac_create_policy(策略名);
2）修改策略
mac_alter_policy(旧名字，新名字);
3）删除策略
mac_drop_policy(策略名，标记列处理方式);（标记列处理方式–可取0表示不删除应用此策略的表的标记列,1表示删除应用此策略的表的标记列，默认取0）

2. 为策略添加组件

1）添加等级
mac_create_level(策略名，等级编号，等级名称);
2）添加范围
mac_create_compartment(策略名，范围编号，范围名称);
3）添加组
mac_create_group(策略名，组编号，组名称，父组名称);

3. 标记管理

1）创建标记
mac_create_label(策略名，标记值，标记串)；
2）修改标记
mac_alter_label(策略名，标记值/标记串，新的标记串)
3）删除标记
mac_drop_label(策略名，标记值/标记串);
4）隐式创建标记
sp_mac_label_from_char(策略名，标记串);
5) 通过标记值查看标记串
sf_mac_label_to_char(标记值);

应用策略

1. 对表应用策略：

mac_apply_table_policy(策略名，模式名，表名，标记列名，初始化标记，是否隐藏标记列0/1-默认为0);
规定：
 1）不能应用在系统表、临时表、HUGE 表、水平分区表、物化视图、含有聚集主键的表、含有位图连接索引的表、含有位图索引的表上；
 2）若设置标记列隐藏，则insert数据时，未指定标记列名，则无法插入数据，若设置为不隐藏，则可以视为普通列。
取消表策略：mac_remove_table_policy(策略名，模式名，表名，是否删除标记列0/1-默认为0);

2. 对用户应用策略：

1）设置等级：mac_user_set_levles(策略名，用户名，最大等级，最小等级，默认等级，行等级);
2）设置范围：mac_user_set_compartments(策略名，用户名，可读范围，可写范围，默认范围，行范围);
3）设置组：mac_user_set_groups(策略名，用户名，可读组，可写组，默认组，行组);

取消用户策略：mac_user_remove_policy(策略名，用户名);

3. 对会话应用策略：

1）设置会话默认标记：mac_set_session_label(策略名，会话默认标记)；
2）设置会话默认行标记：mac_set_session_row_label(策略名，会话默认行标记);
3）清楚会话标记：mac_restore_default_labels(策略名);
4）保存会话标记：mac_save_default_labels(策略名);----保存会话标记后，用户的标记会被会话标记覆盖。

读写控制规则

读访问：

1. 用户的等级必须大于等于数据的等级；
2. 用户的标记必须包含至少一个数据的组（或者是其某一个的父亲组）；
3. 用户的标记必须包含数据的所有的范围。
   

写访问：

1. 数据标记的等级必须大于等于用户标记的最小等级，小于或等于用户的默认等级；
2. 用户的标记必须包含至少一个数据的组（或者是其某一个的父亲组）的写权限；
3. 用户的标记必须包含数据的所有的范围上的写权限。

特权：

1. 访问特权

   1）read：读数据不受策略影响。
   2）full：读写数据均不受策略影响。

2. 行标记特权

   1）writeup：用户可提升一个行的等级。
   2）writedown：用户可降低一个行的等级。
   3）writeacross：用户可修改一个行的范围和组。