精细访问控制

要实现行或列级别的表中运行的授权控制，需要精细的访问控制 (FGAC)。使用 FGAC，安全管理员或数据库管理员可以设置安全性，以控制组织中不同人员在为表运行精选 SQL 语句时看到的结果集，而不管他们在数据库表上拥有什么权限。

FGAC 有两种形式：

• 基于标签的访问控制 (LBAC) — LBAC 是强制访问控制 (MAC) 的实现，其中每个用户和数据本身都被明确分配一个安全标签值。用户安全标签和数据安全标签之间的交集决定了用户可以看到哪些行和列。在实施安全标签之前，应明确其定义。建立安全标签后，很难对其进行更改。

• 行和列访问控制 (RCAC) — RCAC 基于使用已定义访问规则的基本、灵活的 SQL 表达式。RCAC 由行权限和列掩码组成。行权限是通过使用 SQL 搜索表达式实现的，该表达式描述了可以访问的行集。列掩码是通过使用 SQL CASE 表达式实现的，这些表达式描述了根据每列的指定条件允许查看哪些列值。