【IT专家网独家】强制访问控制是B1级安全产品必须实现的一个基本安全特性，达梦数据库安全版的强制访问控制功能在实现过程中研究并吸取了现有主流数据库产品的部分安全实现机制，包括DB2的LBAC(Label Based Access Control)和ORACLE的LABEL SECRURITY。下面将从标记安全的六个方面对DB2、ORACLE和DM的模型进行描述，这个六个方面分别是：安全元素、策略应用、访问规则、访问特权、系统冲突、系统权限。

　　1 DB2 LBAC

　　1.1安全元素

　　(1)安全标记组件

　　支持三种类型的组件：数组、集合和树型。

　　a)创建数组组件

　　CREATE SECURITY LABEL COMPONENT level ARRAY [ ’Top Secret’, ’Secret’, ’Employee’, ’Public’ ]

　　b)创建集合组件

　　CREATE SECURITY LABEL COMPONENT project Set ={’A’, ’B’, ’C’, ’D’}

　　c)创建树型组件

　　CREATE SECURITY LABEL COMPONENT department Tree={’G1’ ROOT, ’G2’ UNDER ’G1’, ’G2’ UNDER ’G1’}

　　其中每个元素的名称不能超过32个字节，且同一组件内名称不能重复;数组最多可以包含65535个元素，集合和树型最多能包含64个元素。

　　(2)安全策略

　　创建一个安全策略：

　　CREATE SECURITY POLICY DataAccess COMPONENTS level,department WITH DB2LABCRULES

　　定义一个策略要指定标记组件和访问规则。每个策略最多只能包含16个标记组件。系统现在只支持一中访问规则DB2LABCRULES，这个在访问规则小节中详细讲述。

　　(3)安全标记

　　创建一个安全标记：

　　安全标记可以应用到用户、行和列上。在插入数据时，也可以指定直接指定安全标记串，规则为按策略中组件的顺序，依次指定组件值，同一个组件的不同值用逗号隔开，不同组件之间用冒号隔开。

　　1.2策略应用

　　(1)用户安全标记

　　授予安全标记给用户时，同时可以指定访问权限。

　　GRANT SECURITY LABEL DataAccess.ManagerLabel TO USER JOE FOR READ ACCESS;