在数据库产品中如何设计基于列和行的访问控制功能

最新推荐文章于 2025-02-24 21:33:09 发布
最新推荐文章于 2025-02-24 21:33:09 发布
阅读量1k 收藏 13
点赞数 24
文章标签: python linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lunan/article/details/143025988
版权

在数据库产品中设计基于列和行的访问控制功能(Column-Level and Row-Level Access Control, CLAC 和 RLAC)是一种细粒度的权限管理方式,能够进一步提升数据安全性和灵活性。通过这种控制,数据库可以限制特定用户或角色只能访问某些列或某些行,从而实现数据最小化暴露的原则。

1. 基于列的访问控制(Column-Level Access Control, CLAC)

概念:基于列的访问控制允许对数据库表中的特定列进行限制,用户或角色只能查看或操作有权限的列。例如,用户可能被允许查看客户表中的姓名和电子邮件列,但不能查看社会保障号码(SSN)等敏感信息。

实现方法:
  • SQL 权限机制:现代数据库(如 PostgreSQL、MySQL、Oracle 等)通过列级权限控制来实现。例如,在 PostgreSQL 中,可以通过 GRANTREVOKE 指定特定用户可以访问的列。
  • 视图(View):通过创建视图,将特定的列暴露给用户。用户只能查询视图中的列,隐藏敏感数据。
实例:

假设有一个 employees 表,包含以下列:

  • id(员工ID)
  • name(姓名)
  • salary(薪资)
  • ssn(社会保障号码)

方法1:基于权限控制

-- 给用户分配列级权限,仅允许其读取 `name` 和 `salary` 列
GRANT SELECT (name, salary) ON employees TO user1;

-- 禁止访问 `ssn` 列
REVOKE SELECT (ssn) ON employees FROM user1;

方法2:使用视图

-- 创建一个只包含 `name` 和 `salary` 列的视图
CREATE VIEW employees_public AS
SELECT name, salary FROM employees;

-- 给予用户访问视图的权限
GRANT SELECT ON employees_public TO user1;

2. 基于行的访问控制(Row-Level Access Control, RLAC)

最低0.47元/天 解锁文章
鲁鲁517
关注
系统架构设计师【第6章】: 数据库设计基础知识 (核心总结)
数据知道的博客
05-30 1万+
介绍数据库技术 的发展历程以及数据模型、主流的关系数据库数据库设计的步骤与方法、新型数据库 NoSQL。
图片 按访问访问_访问控制的性能基础
cusi77914的博客
06-26 254
来自developerWorks档案库 桑迪·瑞安(Sandy Ryan) 存档日期:2019年5月14日 | 上次更新时间:2014年11月27日 | 首次发布:2014年11月27日 IBM DB2 for i 7.2版具有新的数据库安全性功能访问控制(RCAC)。 RCAC提供了控制对记录级别的数据访问的功能。 通过SQL语句指定,尽管它控制对已启用表的所有访问,...
(软考中级--信息安全工程师)七、访问控制技术原理与应用
L2329794714的博客
03-17 1045
7.2、访问控制模型 7.2.1、访问控制参考模型 组成: 主体:资源访问者 客体:待访问的资源 参考监视器:访问控制的决策单元单元的集合,控制监视主体。 访问控制数据库:记录主体访问客体的权限及访问方式的信息库 审计库:储存主体访问客体的操作记录。
【软考信安】访问控制技术原理
leo788的博客
10-23 496
指对资源对象的访问者授权、控制的方式及运机制。访问者(用户、进程、应用程序等)又称主体,资源对象(文件、应用服务、数据等)又称客体,授权(读写删除),控制就是对访问者使用方式的检测限制所做的决策(拒绝访问、授权许可)一、防止非法用户进入系统二、阻止合法用户对系统资源的非法使用(越权)
信安软考——第七章 访问控制技术原理与应用
梦想不是挂在嘴边炫耀的空气,而是需要认真实践,等到对的风,就展翅翱翔!
09-05 3390
在网络信息化环境中,资源不是无限开放的,而是在一定约束条件下,用户才能使用 (例如,普通网民只能浏览新闻网站,不能修改其内容)。由于网络及信息所具有的价值,其难以避免地会受到意外的或蓄意的未经授权的使用破坏。   而访问控制是指**对资源对象的访问者**授权、控制的方法及运机制的管理。
2021信息安全工程师学习笔记(七)
OOOOOK的博客
08-26 1140
访问控制技术原理与应用 1、访问控制概述 访问控制概念:是指对资源对象的访问者授权、控制的方法及运机制。访问者又称为主体,资源对象又称为客体。 授权是访问者可以对资源对象进访问的方式; 控制就是对访问者使用方式的监测限制以及对是否许可用户访问资源对象做出决定。 访问控制目标:防止非法用户进入系统;阻止合法用户对系统资源的非法使用。怎么实现: 首先要对网络用户进有效的身份认证; 根据不同的用户授予不同的访问权限; 同时还可以进系统的安全审计监控。 2、访问控制模型 访问控制参考模型:访问控
基于Delphi语言的SQL数据库设计与访问.pdf
09-19
虽然在文档中没有特别强调,但在进数据库设计访问时,安全是一个重要考虑因素。需要考虑对数据库访问控制、数据加密、SQL注入防护等安全措施,以确保数据的安全性完整性。 综上所述,本文详细介绍了如何...
基于Java的数据库垂直分区与中间件集成设计源码
10-05
水平分区是将表中记录按照某种规则分散存储到不同的表或数据库中,而垂直分区则是根据表中数据的分区。垂直分区可以根据数据访问模式更精细地控制数据的存储,从而提高数据库性能。 Java作为一种流的编程...
业分类-设备装置-一种基于数据库引擎的存方法.zip
08-28
7. **并发控制**:在保持数据库的事务特性时,需要处理存数据的并发访问问题,确保数据的一致性完整性。 8. **扩展性与并处理**:随着数据量的增长,系统可能需要支持分布式存储处理,以进一步提高...
操作系统安全 访问控制机制
博客地址 www.sec0nd.top
09-11 4077
本节开始学习操作系统基本的安全机制,本节主要以访问控制机制为主
第七章 访问控制技术原理(笔记)
weixin_44060766的博客
04-10 330
访问控制是网络信息系统的基本安全机制。
自主访问控制简介
weixin_34194317的博客
02-21 1865
为什么80%的码农都做不了架构师?>>> ...
信息安全-访问控制技术原理与应用
我的个人博客
08-25 7121
访问控制技术原理与应用、访问控制概述、访问控制模型、访问控制类型、访问控制策略设计与实现、访问控制过程与安全管理、访问控制主要产品与技术指标、访问控制技术应用
访问控制模型--自主访问控制模型(基础篇)
weixin_44535758的博客
11-30 4569
一、访问控制三要素:主体、客体、访问控制策略主体(Subject) 指主动对其它实体施加动作的实体客体 (Object) 是被动接受其他实体访问的实体控制策略 (Policy) 为主体对客体的操作约束条件。
系统安全(补充)
m0_62207482的博客
06-18 824
基于自主访问控制的方法有能力表、前缀表、口令 基于自主访问控制的方法有访问控制表、保护位 口令是当前大多数网络实施访问控制身份鉴别的重要依据,因此,口令管理尤为重要,一般遵守一般遵守以下原则:1口令选择应至少在8个字符以上,应选用大小写字母、数字、特殊字符组合;2禁止使用与账号相同的口令;3更换系统默认口令,避免使用默认口令;4限制账号登录次数,建议为3次;5禁止共享账号口令;6口令文件应加密存放,并只有超级用户才能读取;7禁止以明文形式在网络上传递口令;8口令应有时效机制,保证经常更改,
软考-访问控制技术原理与应用
苍木念川的博客
10-19 2206
访问控制是计算机安全的一个重要组成部分,用于控制用户或程序如何使用系统资源。访问控制的目标是确保只有经过授权的用户或程序可以访问特定的资源,例如文件、文件夹、系统设置、网络服务数据库等。访问控制由以下三个概念构成:主体:主体是指被授权或未经授权试图访问系统的用户、程序或进程。资源:资源是指需要被保护的系统资源,例如文件、数据、设备或服务等。访问控制规则:访问控制规则是指由系统管理员定义的规则,用于限制主体对资源的访问权限。
数据资产常用的权限控制方式
最新发布
qq_42438830的博客
02-24 285
解决方案1:引入用户组的概念,每个用户组关联多个用户,通用权限,只需批量将用户添加到用户组中。问题1:当用户很多的时候,需要给每个用户逐一进赋权,在系统运维时会是一件很繁琐的事情。解决方案2:增加角色批量赋权用户的方式,建设运维成本。参考资料:《数据资产管理核心技术与应用》
实现数据的权限控制(Policy的应用)
Firefoxboy的空军基地
10-02 956
  1 前言   数据访问权限控制,是个古老而又实际的问题。   在大部份系统中,权限控制主要定义为模块进入权限的控制数据访问权限的控制(如:某某人能够进入某个控制,仓库不充许查看有关金额的字段等等)。   但在某些系统中,权限控制又必须定义到数据访问权限的控制,此需求一般出现在同一系统,不同的相对单独机构使用的情况。(如:集团下属多个子公司,任何子公司使用同一套数据表,但不同子公司
openGauss 访问控制
2301_79720856的博客
04-30 309
数据库用户对数据表访问时,若SQL满足数据表特定的Row Level Security策略,在查询优化阶段将满足条件的表达式,按照属性(PERMISSIVE | RESTRICTIVE)类型,通过AND或OR方式拼接,应用到执计划上。访问控制的目的是控制表中级数据可见性,通过在数据表上预定义Filter,在查询优化阶段将满足条件的表达式应用到执计划上,影响最终的执结果。示例:某表中汇总了不同用户的数据,但是不同用户只能查看自身相关的数据信息,不能查看其他用户的数据信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值