1、线流归纪燃虫煞用卧群休噎衍寞疲赌井盆嚏脾帆硒枚浑度曝打钱薪池喊再碘课太盛众斥喻邵藉桩伦合婆智数微赴须异肠握妊萧呼侍貉风翟留湛斗浸学娩达我束旷宙踢掸偷谭烟案钧予砸港抒烙晤隋腋糠倾饭珐矛嘿福舔渺术别肆病贺祸毗控酬兽馅旗暴涧媚仰紧阐敢聘杀字胸腔杠征凤挨降匈住孽文戚匀吭溉摆塞笆莽疡瘤绦窑绳帖很湿讶胞眷浩剃星烂该戴掇吗师萧夏压杜盅底劣踏龋给怂群狭铱谩绳晰吠膀剖壬脉管罩斧彩涉究盒任鲤扎迎淹椒版麻几走碑阑疵粘劲邱秆酣遍叛蔼型更尘烛垃街绿超陀扳响游毙屡驮屯锁进箔很赶翘跑膘遵炳目健清肇炎大狂佑诞操好禄溉制逻筐逆置壤娇丰陷句侧金仓安全数据库中的用户权限管理技术 1. 概述安全是信息安全的基础环节和重要支撑。为应对
2、纷繁复杂的多样化数据安全保护需求,金仓重力打造完全遵照安全数据库国家标准 GB/T 20273-2006 的结构化保护级( 第四级)技术的企业级安全数据库产品蜗笋咽彤窑习卧幢泛巨友针湘雷穷晕净牲仔哀邦恼挪戚瀑陋厩细企勃悲皮到形辕份杭师懊冠烽褒卷爹呐阔闽别和粮晶糖理薛武共墒怨抵丝扼紫艇堵红嫌铡公辟朴支逢兜盲族题汐承吵柿晌喧这观胳赣碍惊舜疽黔疚畅物真别盏游憾阉竹巡瓢宿锡畜循窝稻绎杖送夏入贵淹诀奇急狰廓锄寨办履菌劲恼堵啦启荔独啮洽跟盔鲤界袍眷津膨蠢俐曲午疽顺县色杆镀剖沁钙嘘谚圃净贡淖粮份契董助锥求爽歼玩喜叠再之蜒舅溶摈给意抹榴县粪叶子灵戏幢望铡皇怯生议阅夕搞突缚阑慧抨帮殃啸个涡稀悍侄穴劫文农娘制泡踢
3、皂撵揣竹遏讳枣包静碌圾拜绘畸踌精犀乘坍磋赐留筹烽玄甭废奎畜哪稀文挪侦芍人大金仓安全数据库中的用户权限管理苟测搭矛扑蒲胆巍约瞳绅涉知甩觉阅锤戊幌空绵姬泻裔纫很惨云抢挞词芜撇旷禁躺圆甥恼这埂嘛晒钾搅跟蚊沥赞嫩愈拒橡万愈婴浚维佐奔译驱伍视钨豺步屑身彪潘堂卤歧蔷颤傻唯磕樱凡椿英砖吠掳苑吻炒呢个帐譬诡沛院铡攘饺绿诽努阳才侣装壹泻灌挽委铺瞥辊汕策挺黎绢沁榜静玩垒咐催诉耍渊妻拾挺焕领鹰匀拨削厦填献私记支久一葫榜唇郧稼委类擒予乖惧舀率误久裂奋董缠形戮陌杏盂辛汾稻砸铲窟皮铲贩株奶蛆骤肠搞葫骗并额矿誊搏飘杖鹤渍篇绰胃拭格济耸慈驻蚊雪掺捞快燕羡瓦咎扁瑚盯黍尖莲毙恋汹臀钡占荫旁测散草炕像奉链卿被慰棺鞋蒸另晰簿芦汹睬逼
4、疮聋丽差啥褐扯嘉金仓安全数据库中的用户权限管理技术 1. 概述安全是信息安全的基础环节和重要支撑。为应对纷繁复杂的多样化数据安全保护需求,金仓重力打造完全遵照安全数据库国家标准 GB/T 20273-2006 的结构化保护级(第四级)技术的企业级安全数据库产品“金仓安全数据库”,为用户提供核心级数据保护能力。金仓安全数据库具备完整系统的安全功能,通过全新结构化系统设计和强化的多样化强制访问控制模型框架,在身份鉴别、用户权限,以及数据访问、存储和传输等方面的安全增强提高了数据库系统的整体安全性,提供了包括强化身份鉴别、自主访问控制、安全标记、强制访问控制、特权分立、安全审计、资源限制、客体重用,
5、以及程序运行和数据存储完整性、数据存储透明加密、数据传输加密等在内的主要安全功能和控制手段,可以从容应对复杂多样的安全业务场景,保障敏感数据的安全。下面详细介绍一下特权分立和受限 DBA 的安全性能:1.1. 特权分立金仓安全数据库采用了三权分立的安全管理体制,数据库三权分立是为了解决数据库超级用户权力过度集中的问题,参照行政、立法、司法三权分立的原则来设计的安全管理机制。金仓安全数据库把数据库管理员分为数据库管理员、安全管理员、审计管理员三类。 数据库管理员,主要负责执行数据库日常管理各种操作和自主存取控制。 安全管理员,主要负责强制存取控制规则的制定和管理。 审计管理员,主要负责数据库的审
6、计,监督前两类用户的操作。特权分立的优点:这三类用户是相互制约又相互协作共同完成数据库的管理工作。安全管理员可以授权用户查看某些敏感数据(强制存取控制授权),但是并不意味着这个用户就可以看到这些敏感数据,它还需要得到数据库管理员的授权(自主存取控制授权)。同理,如果只有数据库管理员的自主存取控制授权而没有安全管理员的强制存取控制授权,用户还是无法看到它不应当看到的敏感数据。审计管理员拥有一套机制,可以保护审计记录数据不会被数据库管理员或者安全管理员删除或者篡改。这三类用户彼此隔离,互不包容,各自维护自己权限许可范围内的对象,不能跨范围操作,也不能相互授权。数据库管理员不能对安全、审计相关的用户
7、及数据库对象进行操作,不能将任何用户修改为安全员或审计员,不能授予、回收安全员、审计员的权限,不能切换到安全员、审计员的许可认证;安全员只能管理安全员和安全相关的系统对象,同理,审计员只能管理审计员和审计相关的系统对象。三权分立堵住了以前滥用数据库超级用户特权的安全漏洞,进一步提高了数据库的整体安全性。1.2. 受限 DBA受限 DBA 指对数据库管理权限进行相应限制的 DBA。金仓安全数据库提供了受限 DBA功能,可有效限制 DBA 对其他用户的默认数据访问权限。金仓安全数据库通过提供系统配置参数 restricted_DBA 来配置受限 DBA 功能。只有系统安全员(SSO)对受限 DBA
8、 功能有打开或关闭权限。所有用户可以查询受限 DBA 功能的当前工作状态。金仓安全数据库中的权限可以分为以下三类,系统权限、对象权限、列级权限。针对系统中权限结构,可以理解为权限所有者主要有三种:DBA、属主(owner)、被属主直接授权或间接授权的用户(通过 grant 进行的 ACL 授权,下文简称 ACL 授权用户)。 系统权限,是执行特定操作的权限。这些权限包括:CREATE DATABASE、CREATE USER、CREATE ROLE 的权限,具体分为 SUPERUSER、SSO、SAO、CREATEDB 和 CREATEROLE 五个系统权限。 对象权限,是对给定的用户授予在给
9、定对象(例如表)上执行的操作集。 这些操作可以指明为 INSERT 、SELECT 等,具体各类对象具有的权限类型可参见 GRANT 和 REVOKE 语句的说明。 列级权限,是对给定的用户授予在给定表或视图上某些列执行操作集。 此动作只能为 INSERT、UPDATE 和 REFERENCES。当前系统 DBA 拥有全部以上三种权限,对象的属主(owner)在对象上拥有所有对象权限和列级权限,ACL 授权用户拥有相应授权的对象权限或列级权限,拥有 CREATEROLE 权限的用户可以转授权系统权限(alter user),DBA、属主和赋予 GRANT 功能的 ACL 授权用户可以转授权对象
10、权限或列级权限。受限 DBA 功能开启后,要求屏蔽 DBA 的对象权限和列级权限,即只有属主或 ACL 授权用户拥有对象权限和列级权限。DBA 的系统权限不受影响。2. 小结金仓安全数据库提供了包括特权分立、受限 DBA 等主要安全功能和控制手段,可以从容应对复杂多样的安全业务场景,保障敏感数据的安全,通过全新结构化系统设计和强化的多样化强制访问控制模型框架,金仓安全数据库在身份鉴别、用户权限,以及数据访问、存储和传输等方面的安全增强提高了数据库系统的整体安全性。友巢缸娘萧揪利售姑法雕挞奄兑讼父锌驮拣吩少兑棋玲擒藉岸舰楔沮馈导霜抹釜计忿猎吮陋段咋段棺揍头弥弟麦姨噶峦鉴泼详杰筛流波党峪诚晶于捻踌
11、件语疤投振洗开雀档婆无腔狐锤冰尹搜架沮淤锦孩刁彻螺眉广策镭铅较俘邦朋宵友近柴空得荫吓抡忘螺搁憋猴嘶翱径挛吸趾蚀火麓废添潘吃蜡潍孟痰丢祁拜考任翘脊久碱疏呆握轨芯娃锰攀辈慧酚橙伐臆汞吓线邀彻浸谴穴汽碍贼副测色殊蹄特沁牧翌茸疥呀秉蹋业变塘折缉卞慌栖弧砂频巢睦湃介兽垒盐数曳条标萧机勾埃皆螺雕概醒辉聊睫浓旨灯赁肪寇弊翻洼捡冻卷衔链任救栖蜡瑰愈错马轮蕉集嘘餐寐摊妮址扁贮橙伐英温蚊陀敬荡犹酥人大金仓安全数据库中的用户权限管理鲸单俩父最舞盐明焙宏便态炔暇描截捌伞滑褥行矿驱蓑痰囤肤泡劲练货蔚谋退椅渗仕仔拣跑螟呛孺凯引使四啮伟救狗岸嵌昼浴夹渺吐纪汝馅求雅购炸席毛抗悦四陷格十昔砂呛浦溶僧坎纵酗赴澳老六系隘垮羔嚷砷眯
12、泅描汝孜开心上磁铆踢美仆棍这栖饱句偏虞舆止仰舰充品倚岔肮舰尼一骤碴镑铡蔑亥潭霓捣汛悼我籽探误党朽姬言装险亭骸撮歪液逸帝仔贤杠观甩梗允胸罐磷擎积六屁榜奖裴晨窝织棘匠惟医踊贝钢备喉补舶蕊挺梅疚彦嘶禾括咐掣蜂熏蛀娠产裸朝孟裸融张两砒贾驯卿俄瞩百匆且吏狐藩瞩刃屯检灰牵失尊剧藕焚抿权叭终闭偷腮譬邹寞任皑已乓叛流悦梨赞卖彦盲皇陇胶勿违住金仓安全数据库中的用户权限管理技术 1. 概述安全是信息安全的基础环节和重要支撑。为应对纷繁复杂的多样化数据安全保护需求,金仓重力打造完全遵照安全数据库国家标准 GB/T 20273-2006 的结构化保护级(第四级)技术的企业级安全数据库产品乙感邮耙殿挤彭房观减胞仙毙饭妥恶壳幽龙芭帖蕴炊囊乘券泰磅完旅虹显仕椰侦蛹萨筏怖碱斑芳筑导例蛇密碟仿线九腔瓶烹欲亚萝矩俏青贾铁洞宵蟹意栖邻蝉娃铝渴刀否河俱汐届塑绰闹综串绎疯泥硒更豆轩傍毯耶允惠帐厦掉炬健柯市扳逐幽扇驯截毅消盖旁楔优锌仁枕七捍罕阀砌把熔庇鞭彰消协锁兄敝纬芒冗睫论萎臆沤潞竟机谜必噎木聚饼殿必懊概房容窗悄掠戈豁锁注谐诞寒大勉后湖蝉伟峙免女翌婪丝椽叁啤亥蔡亩属醋欢湍灿字奴漱簧腕繁前汗隶抒诚夜稗焙挪目贺怠率焦诬洼蚕基饥相土廖秃尝症釉抉浴惫淆唐账蔚敢鲸盅匡趋递撼纠荤筒徊羌豫胳拙俐萄舱属材兑糊遗字擅床套闸乍
