GBase 8s 安全性(4)- 标记与强制访问控制

最新推荐文章于 2024-04-29 00:35:06 发布
最新推荐文章于 2024-04-29 00:35:06 发布
阅读量460 收藏
点赞数
分类专栏: GBASE 文章标签: 数据库 GBase 南大通用 database gbase 8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34421618/article/details/126629138
版权

DBMS 中的主体与客体均需标以敏感标记(简称标记),标记分为安全等级标记与范畴标记,等级标记是用正整数表示,而范畴标记则用集合表示。

       由负责 MAC 管理的安全管理员设定主体和客体的密级和范畴。

       在标记的基础上可以进行强制访问控制,强制访问控制采用 Bell Lapadula 访问策略模型,即当主体访问客体时,对主体与客体的标记作比较,一般而言,只有当主体安全等级标记大于等于客体安全等级标记并且其主体范畴标记包含客体范畴标记时,才能进行读访问(称向下读原则)。只有当主体安全等级标记小于等于客体安全等级标记并且其主体范畴标记被客体范畴标记包含时,才能进行写(包括修改、删除)访问(称向上写原则)。Bell-La Padula 模型的基本安全策略是“下读上写”,在 GBase8s 中,基于实用性的考虑对安全策略进行了优化。默认的安全访问策略为:下读等写。

       当主体访问客体时,强制访问控制需按安全访问策略模型作安全检查,只有当符合模型要求时访问才能进行,否则为非法,访问不能进行。

       强制访问控制粒度支持记录、字段级。 

       该功能可通过设置 ONCONFIG 文件 LBAC_SWITCH 配置项控制是否启用。当LBAC_SWITCH 设置为1时,启用此功能。LBAC_SWITCH 设置为 0 时,关闭此功能。更

改LBAC_SWITCH后,需要重启数据库,方可生效。另外,启用该功能后,用户才可以在安全管理器中使用该功能,详见《GBase 8s安全管理器使用手册》。

Linux有意思吗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
走进GBase 8s安全功能(二)安全标记强制访问控制
gbase_a_s_c_d的博客
03-11 2574
安全标记 GBase 8s中的主体(数据库用户)与客体(数据对象)均需标以敏感标记(简称标记),标记分为安全等级标记与范畴标记,等级标记是用正整数表示,而范畴标记则用集合表示。 由负责强制访问控制管理的安全管理员创建全局等级与全局范畴,并利用所创建的等级与范畴标记系统中的主体(代理)和客体。 ​​​​​​​强制访问控制(MAC) 强制访问控制(MAC)功能提供客体(数据对象)在主体(数据库用户)之间共享的控制,与自主访问控制(DAC)不同的是,强制访问控制安全管理员管理;自主访问控制尽管也作为系.
论文研究-基于信息客体统一化描述的安全标记绑定研究.pdf
09-08
安全标记与信息客体绑定,一直是制约多级安全走向网络实用化的关键问题。针对这一问题,提出了一种基于信息客体统一化描述的安全标记绑定方法。通过分析客体类型,给出了基于数据树的多类型客体的统一表示模型,据此基于数据树遍历给出了客体与安全标记绑定算法,并讨论了客体的相关操作及其访问控制机制的实施。该方法不仅可提高安全标记绑定的灵活性,实现多类型信息客体与安全标记绑定的统一,而且可实施更为细粒度的访问控制,解决系统间异构数据交换控制难的问题。
主客体标记技术在主机安全防护中的应用
2301_82056337的博客
04-29 543
强制访问控制机制以主客体标记技术为基础,能够实现严格的计算机资源访问控制。但多年以来,由于主客体标记代价高昂,策略开发配置复杂,强制访问控制始终未能大规模推广应用,相关问题在等级保护测评等中成为难以整改的“硬骨头”。因此,在此篇文章中积极探索利用开源工具secPaver提升SELinux强制访问控制策略的开发部署效率,研究提高信创操作系统openEuler的安全加固,验证了该工具在主机安全管理的可行性,为进一步探索提升主机安全防护水平,高质量推动信息技术创新应用积累了宝贵经验。
oracle中标记设置,Oracle的安全标记算不算bug
weixin_29699579的博客
04-08 250
Oracle提供了安全标记的功能,即OLS,也就是常说的强制访问控制。其模型是建立在BLP安全模型之上,并进行了扩展。BLP模型的元素是安全级别和范围,即可以对主客体进行安全级别和范围的设定,从而达到控制数据流动的目的,即向下读、向上写的规则。即用户可以读低于用户安全级别的数据,写高于用户安全级别的数据(当然还有范围的约定,这里不介绍了)。ORACLE扩展了BLP模型,用户可以设置多个安全级别,通...
访问控制-安全标记】自主访问控制强制访问控制
qq_29864185的博客
10-20 3351
在Linux操作系统: 一提到自主访问控制,人们想到的是基于属主、属组的读写执行的访问控制体系。 一提到强制访问控制,人们想到的是Selinux,基于Se的策略控制主体对客体的访问。 自主访问控制强制访问控制,是一种安全策略,不能将其与具体的安全实现划等号。即使我们使用基于属主、属组的安全机制,也同样能够实现强制访问控制。 什么是自主访问控制强制访问控制? (一)自主访问控制: 由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主
linux安全
微生活Pro
08-07 163
linux安全种类 1、系统安全 2、数据安全 3、通信安全 4、应用程序安全 linux常用安全技术包过 1、PAM用户认证机制 2、入侵检测系统 3、加密文件系统 4、安全审计 5、ACL自主访问控制 6、防火墙 网络安全 1、强制访问控制:通过标记系统中的主客体强制性的限制信息共享,强制限制每类用户对系统资源的访问 2、SELinux模块:由安全服务器,A...
南大通用GBase 8s SSL 安全配置与故障诊断-1
03-22
南大通用 GBase 8s SSL 安全配置与故障诊断-1 GBase 8s SSL 安全配置是指在 GBase 8s 数据库中使用 Secure Sockets Layer (SSL) 协议来提供隐私和安全保障。SSL 使用加密协议来确保网络上的数据通信安全。它使用...
南大通用GBase 8s SSL 安全配置与故障诊断-2
03-22
南大通用 GBase 8s SSL 安全配置与故障诊断 本文档旨在介绍南大通用 GBase 8s 数据库中 SSL 安全配置和故障诊断的相关知识点。 一、SSL_KEYSTORE_LABEL 配置参数 GBase 8s 数据库中,SSL_KEYSTORE_LABEL 配置参数...
gbase-connector-java-8.3.81.53-build55.3.1-bin.jar
08-31
GBase数据库 链接jar包 JDBC版 gbase-connector-java-8.3.81.53-build55.3.1-bin.jar 操作文档: https://download.csdn.net/download/weixin_42350212/21762118
gbase-connector-java-8.3.81.53-build52.8-bin.rar
07-28
《GBase连接驱动详解——基于Java的gbase-connector-8.3.81.53-build52.8-bin》 在IT行业中,数据库管理是至关重要的环节,尤其是在大数据处理领域。GBase是一款高性能、高可用性的分布式数据库系统,尤其在处理大...
全套-Gbase 8s培训资料
最新发布
04-29
《10_1.GBase 8s 备份与恢复01.pdf》和《10_2.GBase 8s 备份与恢复实验02.pdf》结合理论与实践,讲解了如何制定备份策略,执行备份操作,并在数据丢失或异常时进行有效的恢复,保障数据安全。 元数据管理在数据库...
等保测评项(四级系统)权重赋值表
01-24
信息安全等级保护(四级系统)测评权重赋值表,请于系统等级匹配使用!
主客体标记技术在主机安全防护中的应用,小码农也有大梦想
m0_60721823的博客
04-06 527
强制访问控制机制以主客体标记技术为基础,能够实现严格的计算机资源访问控制。但多年以来,由于主客体标记代价高昂,策略开发配置复杂,强制访问控制始终未能大规模推广应用,相关问题在等级保护测评等中成为难以整改的“硬骨头”。因此,在此篇文章中积极探索利用开源工具secPaver提升SELinux强制访问控制策略的开发部署效率,研究提高信创操作系统openEuler的安全加固,验证了该工具在主机安全管理的可行性,为进一步探索提升主机安全防护水平,高质量推动信息技术创新应用积累了宝贵经验。
linux等保三级检查命令
UMSA
12-02 4485
一、身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复 杂度要求并定期更换; 1、应核查用户在登陆时是否采用了身份鉴别措施; 用户登录服务器需要使用账户+账户口令。 2、应核查用户列表确认用户身份标识是否具有唯一性; (more /etc/passwd) //查看命令结果,第三字段不存在相同数字、用户名不存在相同名称。 3、应核查用户配置信息或测试验证是否不存在空口令用户; (more /etc/shadow) //查看命令结果,红框内的乱码表示加密以
linux等保三级详细指导
qq_42430287的博客
04-13 6444
一、身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1、应核查用户在登陆时是否采用了身份鉴别措施; 用户登录服务器需要使用账户+账户口令。 2、应核查用户列表确认用户身份标识是否具有唯一性; (more /etc/passwd) //查看命令结果,第三字段不存在相同数字、用户名不存在相同名称。 3、应核查用户配置信息或测试验证是否不...
等保测评 安全计算环境之安全设备
weixin_45380284的博客
02-20 3143
安全计算环境之安全设备 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 1)应核查用户在登录时是否采用了身份鉴别措施 2)应核查用户列表,测试用户身份标识是否具有唯一性 3)应核查用户配置信息或访谈系统管理员,核查是否不存在空口令用户 4)应核查用户鉴别信息是否具有复杂度要求并定期更换 b)具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施 1)应核查是否配置并启用了登录失败处理功能:设置默认登录失败
等保基本要求三级通用要求
weixin_46162146的博客
02-03 1万+
1 安全物理环境 1.1 物理位置选择 本项要求包括: a)机房场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 1.2 物理访问控制 机房出入口应配置电子门禁系统,控制、鉴别和记录进人的人员。 1.3 防盗窃和防破坏 a)应将设备或主要部件进行固定,并设置明显的不易除去的标识: b)应将通信线缆铺设在隐蔽安全处; c)应设置...
等保2.0 安全计算环境 ——Windows服务器(三级系统)
热门推荐
weixin_54438700的博客
10-08 1万+
1.身份鉴别 A.应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度并要求定期更换。 1)核查用户是否需要输入用户名和密码才能登录 2)核查Windows默认用户名是否具有唯一性 3)选择 控制面板 ==> 管理工具 ==> 计算机管理 ==> 本地用户和组 ,核查有哪些用户,并尝试使用空口令登录。 4) 选择 控制面板 ==> 管理工具 ==> 本地安全策略 ==> 账户策略 ==> 密码策略;核查密码策略是否合理。 B.应具
【肥海豹】-网络安全等级保护(等保)-WINDOWS类服务器配置
FAT_SEAL的博客
07-27 4397
本文为个人总结,欢迎交流指正,集思广益,发现错误或其他配置方案会进行更新。 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1. 要求登录服务器的用户具有独立的身份标识(用户名),并需要采用身份鉴别措施(例如使用用户名+密码进行登录); 2. 要求服务器中不存在同名用户(服务器自身无法创建同名用户); 3. 要求从服务器策略上对密码复杂度进行限制,策略配置方法: 本地组策略编辑器(运行 → gpedit.msc) → 计算...
gbase8s题目.docx
11-26
"gbase8s题目.docx包含134道有关Gbase8s数据库认证的试题,涉及Gbase8s的备份恢复工具、特性、安全认证、与其他数据库的区别、卸载命令、实例管理、查询数据库状态的命令、停止数据库实例的方法以及支持的字符集和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值