术语说明

DAC——自由访问控制，Discretionary Access Control；

MAC——强制访问控制，Mandatory Access Control；

Object——指受强制访问控制策略保护的客体对象，一般指表的一行数据；

Subject——指可能访问Object的主体对象，一般指用户；

Level——安全级别。神通数据库中每个Object都具有一个安全级别，当Subject的安全级别不低于客体的安全级别时，Subject才可能有权限访问Object。如可以这样定义安全级别：Top Secret，Secret，Confidential，Unclassified；

Compartment——隔间。每个Object可以属于不同的Compartment，每个Subject对其拥有的Compartment也会拥有不同的读写权限。隔间的一个具体的例子是公司的不同部门，如Financial、Marketing、Personnel等；

Label——指强制访问控制策略中Object的安全标记，或者Subject具有的安全属性。它包括Level和Compartment集合两部分，其中Level是必须的，隔间集合可选；

Policy——指强制访问控制策略。最终通过应用Policy到schema或者table上来实现强制访问控制。一个策略包括名字、合法的Level、合法的Compartment、合法的Label、策略选项等；

Dominate——表示安全标记之间的支配关系。如果Label1.Level ≥ Label2.Level && (Label1.Compartments ∪ Label2.Compartments == Label1.Compartments)，则Label1可以支配Label2；

SA——安全管理员Security Administrator；

Authorization——授权。指SA设定Subject的安全属性的过程，它包括指定安全级别，指定对Catalog的读写权限等；