随着计算机和计算机网络的飞速发展，信息系统安全成为当前研究的热点课题。构建一个安全的计算机信息系统的根本是拥有具有自主知识产权的、安全的硬件、系统软件和应用。数据库管理系统作为最为重要的系统软件之一，研制开发国产安全数据库管理系统自然成为建设安全的计算机信息系统的核心任务之一，而数据安全模型则是安全数据库管理系统的核心。 用于数据库管理系统的数据安全模型主要是哈里森－罗佐－厄尔曼（HRU）存取矩阵模型和多级安全模型（MultiLevel Security Model），HRU模型主要用于实现自主访问控制，而多级安全模型则主要用于实现强制访问控制。安全数据库管理系统的核心功能是强制访问控制，因此多级安全模型就成为实现一个安全数据库管理系统的关键技术之一。 论文对现有的多级安全模型进行了分析，在此基础上设计了一个多级安全模型CMAC，并将其用于国产安全数据库管理系统可信CBase的实现。本文的主要工作是： （1）多级安全模型CMAC的设计和实现 CMAC模型是对现有多级安全模型的综合和改进，其主要特点是：引入了敏感属性的概念，将关系属性划分为敏感属性和非敏感属性，只需要对敏感属性进行标记，减少了安全标记和多实例元组的数量，有利于系统效率的提高；在一个多级安全模型中，通过将所有属性定义为非敏感属性，也可以实现一个元组级的多级安全模型；引入了置信的概念，每个主体只相信安全级与其相等的关系实例中的数据，而对应着某个安全级的关系实例其数据完整性约束等同于传统关系模型中的数据完整性约束的定义，从而方便用户遵循传统的关系模型访问模式来访问多级关系；根据多级关系及其索引数据的组织特点设计了对应的物理存储模式，可以较好地提高多级关系上的数据存取效率。 （2）安全数据库体系结构的研究 论文对安全数据库中的安全机制及其相互之间的关系进行了分析，在此基础上确定各类安全特性的层次划分。将系统的核心安全层CMAC模型置于系统体系结构的最低层，有利于降低强制访问控制检查对系统效率的影响，也为B2级安全标准中的其它安全特性（如推理控制等）提供了实现基础。论文也对CMAC模型对于其它数据库功能模块的设计与实现的影响进行了分析，并给出了相应的解决方案。 （3）安全数据库的安全管理研究 对安全数据库的安全管理进行了研究。定义了数据库管理员、审计管理员和安全管理员三类系统管理人员，将安全数据库的安全管理职责划分给上述的三类管理员用户，实现三权分立；引入加强的身份鉴别、TCB的访问保护以及TCB的备份与恢复功能，可以进一步提高系统的安全性，有利于实现可信恢复。