分享
 
 
 

Oracle中,现在保护每一行的安全介绍

王朝oracle·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

Oracle Label Security(Oracle标签安全性)按行来控制用户的访问。

绝大多数商业应用程序都必须处理安全性问题。应用程序经常需要限制对专用记录的访问、建立审计跟踪,或者执行一个工作流过程,所有这些都要符合公司的安全策略。构建安全的软件是一个富有挑战性且复杂的工作,在整个机构内管理软件的安全策略可能会更困难。

作为模式(schema)设计人员,你可能会在表中添加安全性列并根据这些表创建用户特定的视图。作为DBA,你可能会创建角色和权限来保护数据库对象。而作为开发人员,你可能会编写PL/SQL包,将安全事务处理封装在应用程序内。所有这些技术都很有效,但这些方法也都具有一定的缺点。例如,某人可能会无意中将专用数据导出至一个个人模式、原有的应用程序可能与安全对象不兼容,或者用户可能会利用SQL*Plus绕过整个应用程序的安全性检查。

Oracle9i数据库有一个可以帮助解决这些问题的组件:Oracle Label Security。Oracle Label Security最早引入Oracle8i第三版(8.1.7),它是一个使你能够建立并实施企业安全性策略的简捷工具。

Oracle Label Security是内置于数据库引擎中的过程与约束条件集,该数据引擎实施对在单个表或整个模式上的"行"级访问控制。要利用Oracle Label Security,需要创建一个或多个安全策略,其中每一个安全策略都包含一组标签。你可以用这些标签来标明哪些用户能够访问什么类型数据。在创建了一个策略之后,将该策略应用于需要保护的表,并将这些标签授予你的用户,这样,你就完成了整个过程。Oracle Label Security对查询的修改是透明的,并且在即时计算访问级别,以执行你的新策略。

当Oracle9i数据库在解析各个SQL语句时,它也检测各个表是否受到某个安全策略的保护。根据该用户的访问权限,Oracle9i数据库向该语句的WHERE子句中添加安全性谓词。因为这些都发生在数据库引擎的内部,所以不管该SQL语句的来源如何,用户都不可能绕过该安全性机制。

它是如何工作的?

这里有一个非常简单的例子,可以说明Oracle Label Security是如何工作的。我们创建了名为documents的表,并向其中填入了4个记录,同时定义了两个安全级别:PUBLLIC(公共)与INTERNAL(内部)。每个级别各有一个数字值:1000或2000。接着可以为表的每一行指定一个级别。下面给出对该表进行的一个简单SELECT:

SQL SELECT * FROM documents;

DOCID

DOCNAME

LEVEL

DOC_LABEL

-----

-----------

--------

---------

1

SHARE_WARE

PUBLIC

1000

2

WEST_PAYROLL

INTERNAL

2000

3

EAST_SALES

INTERNAL

2000

4

COMP_PAYROLL

INTERNAL

2000

现在假定在我们的数据库中有两个用户:EMP与MGR。我们为这些用户指定如下访问级别:

EMP 被指定为 PUBLIC只读。

MGR 被指定为 PUBLIC与INTERNAL 读/写。

当这两个用户访问该表时,EMP只能读取第1行,而MGR可以对所有4行进行读/写操作。

当这两个用户访问此 documents表时,其内部会发生什么呢?假定EMP用户运行下面的查询:

SELECT * FROM documents;

Oracle9i数据库对该查询进行解析,并判定该表是受标签安全性的保护。Oracle Label Security向该查询中添加一个 WHERE 子句,以确保该EMP只能看到标记有 PUBLIC 访问的行:

SELECT * FROM documents

WHERE doc_label = 1000;

下面是该 EMP 用户在运行此查询后所看到的内容:

DOCID

DOCNAME

LEVEL

DOC_LABEL

-----

----------

------

---------

1

SHARE_WARE

PUBLIC

1000

你可能想知道:"为什么不根据某一列值,创建一个限制访问的视图呢?"事实上,如果你的应用程序只需要几个级别,并没有特殊的安全要求要考虑,那么向你的表中添加一个安全性列,然后再利用视图就可以了。

但假设你的系统要求发生了变化,你现在需要利用对改变数据集的定制的读/写许可跨多个机构来管理数个级别的用

户。此外,这些机构位于不同的国家,各自都有自己的法律和安全性限制。如果仅使用视图,就很难满足这些要求了。

幸运的是,Oracle Label Security就是为了适应扩展而设计的,因此实施此类应用程序安全性可能比你预计的更容易。

一个练习示例

实施Oracle Label Security包括以下10个步骤:

安装Oracle Label Security(每个数据库进行一次)

创建安全性策略

定义级别

定义区间(compartment)(可选)

定义分组(可选)

创建标签

将标签策略应用于表

指定用户标签

指定正常授权级别的访问

为表中的行指定合适的标签

在使用Oracle Label Security时,可以利用Oracle Enterprise Manager的Policy Manager图形用户界面(GUI)或者Oracle Label Security PL/SQL包。在我们的示例实施中,我们将利用PL/SQL包。相同的概念可以应用于上述两种技术中的任一种。

步骤1;安装Oracle Label Security

对于每一个数据库只需要安装一次Oracle Label Security。安装过程包括4个步骤:

启动Universal Installer。

选择并安装该Oracle Label Security选项。

以SYS身份按下面的方式运行$ORACLE_HOME/rdbms/ admin/catols.sql:

SQL CONN sys/password AS SYSDBA;

SQL @?/rdbms/admin/catols

注意:此catols.sql脚本在其最后一步对数据库进行SHUTDOWN IMMEDIATE (立即关闭)。

重新启动实例并运行

SQL SELECT username FROM dba_users;

你将看到一个新的包括所有Oracle Label Security对象的 LBACSYS用户。其缺省口令是LBACSYS (所以一定要更改该口令)。该用户将管理你的安全策略。

步骤2:创建一个安全性策略

下一个任务是创建一个安全性策略。一个策略就是一个包括所有安全规则和访问要求的存储桶(bucket)。行级别的数据标签和对这些行的模式访问总是与一个策略相关联。

在本例中,你需要定义对公司文档的行级别的访问。在此步骤内,创建一个名为DOC_POLICY的策略。要创建一个策略,先以LBACSYS身份建立连接,然后利用 sa_sysdb.create_policy过程:

SQL CONN lbacsys/lbacsys

SQL EXEC sa_sysdba.create_policy

('DOC_POLICY','DOC_LABEL');

第一个参数DOC_POLICY是该策略的名字,第二个参数DOC_LABEL是一个列的名字,Oracle Label Security将把该列添加到你将在标签控制下替换的表内。

为了核实你的策略已经创建,可按下面方式查询DBA_SA_POLICIES :

SQL SELECT policy_name, status

from DBA_SA_POLICIES;

POLICY_NAME STATUS

----------- -------

DOC_POLICY ENABLED

要禁用、重新启用或者删除一个策略,可利用以下过程:

SQL EXEC sa_sysdba.disable_policy

('DOC_POLICY');

SQL EXEC sa_sysdba.enable_policy

('DOC_POLICY');

SQL EXEC sa_sysdba.drop_policy

('DOC_POLICY');

步骤3:定义级别

每个安全性策略都必须包含指定访问表的不同等级的级别。在本例中,创建了两个敏感度级别: PUBLIC与 INTERNAL。

SQL EXEC sa_components.create_level

('DOC_POLICY', 1000,

'PUBLIC', 'Public Level');

SQL EXEC sa_components.create_level

('DOC_POLICY', 2000,

'INTERNAL', 'Internal Level');

每个级别都有一个策略名、一个数字ID、一个缩写名与一个全名。该数字ID表示敏感度级别--编号越高,表明敏感度越高。在本例中,INTERNAL 比PUBLIC的敏感度要高。为了查看你所创建的级别,执行下面过程:

SQL SELECT * FROM dba_sa_levels

ORDER BY level_num;

步骤4:定义区间(可选)

区间使你能够将对一行数据的访问精确限定在一个级别之内。在本例中,你具有阅读敏感度级别相同的文档,但是某一区间只能看到该级别的子集。下面你要创建FINANCE 与 HUMAN_RESOURCE区间:

SQL EXEC sa_components.create_compartment

('DOC_POLICY', 200,

'FIN', 'FINANCE');

SQL EXEC sa_components.create_compartment

&nb

sp;

('DOC_POLICY', 100,

'HR', 'HUMAN_RESOURCE');

区间有一个策略名、一个数字ID、一个缩写名与一个全名。区间的数字ID并不指定其敏感度的级别。它仅用于在显示访问信息时对区间进行排序。要了解关于区间的信息,可以查询DBA_SA_COMPARTMENTS视图。

步骤5:定义分组(可选)

和使用区间类似,使用分组是将访问限制在一个级别内的另一个可选用的方法。当有多个层次的用户时(如在一个公司的机构设置图中),组是非常有用的。

在创建一个分组时,必须定义一个层次(hierarchy)。在本例中,ALL_REGIONS是父,WEST_REGION和EAST_REGION是ALL_REGIONS的子。

SQL EXEC sa_components.create_group

('DOC_POLICY', 10,

'ALL', 'ALL_REGIONS');

SQL EXEC sa_compon

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有