策略简介

数据库通过安全策略实现强制访问控制。安全策略是一组预定义的标记，根据标记的值来确定主体（用户）对客体（表）是否拥有某种权限，用于实现细粒度的访问控制。

安全策略中，包括等级和范畴两种组件。

安全策略由数据库的安全管理员（SYSSSO）或拥有安全管理员权限的用户管理：

• 创建、更改和删除安全策略。更改安全策略，包括更改安全策略名、给安全策略添加或删除组件（等级和范畴）、更改安全策略中组件的名称或值。
• 给指定的主体或客体添加、更改或删除安全策略。

说明：

数据库最多支持47个策略。

安全等级

等级由名称和值两部分组成，其中值为从0到30000的整数。

等级用于读访问控制时，主体（用户）的等级必须大于客体（表）的等级；用于写访问控制时，主体（用户）的等级必须小于等于客体（表）的等级。如果不满足相应条件，则读或写会被拒绝。

安全范畴

范畴是集合类型，集合中每个元素都是一个名称。不同的范畴之间没有等级高低之分，但可以进行比较（采用集合间的包含关系）。

范畴用于读写访问控制时，主体（用户）的标记必须包含客体（表）的所有范畴。如果不满足相应条件，则读或写会被拒绝。