Oracle标签安全性Word文档下载推荐.docx
《Oracle标签安全性Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《Oracle标签安全性Word文档下载推荐.docx(12页珍藏版)》请在冰点文库上搜索。
在Oracle9i中有一个组件称为OracleLabelSecurity,这个组件实现了基于自定义策略而对数据库中的表甚或是整个Schema提供行级安全性功能。
实际上OracleLabelSecurity是在Oracle8.1.7中提出的,在9i版本中功能得到了大幅度增强。
OracleLabelSecurity是内置于数据库引擎中的过程与约束条件集,该数据引擎实施对在单个表或整个模式上的"
行"
级访问控制。
要利用OracleLabelSecurity,需要创建一个或多个安全策略,其中每一个安全策略都包含一组标签。
你可以用这些标签来标明哪些用户能够访问什么类型数据。
在创建了一个策略之后,将该策略应用于需要保护的表,并将这些标签授予你的用户,这样,你就完成了整个过程。
OracleLabelSecurity对查询的修改是透明的,并且在即时计算访问级别,以执行你的新策略。
当Oracle9i数据库在解析各个SQL语句时,它也检测各个表是否受到某个安全策略的保护。
根据该用户的访问权限,Oracle9i数据库向该语句的WHERE子句中添加安全性谓词。
因为这些都发生在数据库引擎的内部,所以不管该SQL语句的来源如何,用户都不可能绕过该安全性机制。
2、工作流程
首先我们了解一下实现OracleLabelSecurity的大体流程。
通过Oracle提供的一系列存储过程,先创建一个policy,然后在policy中创建level,compartment,group,之后通过这些定义好的level,compartment,group再定义label,然后将policy绑定到某张表或者某个schema,最后再给相应的用户设置label。
其中牵涉到几个名词,解释一下:
Policy:
就是安全策略,一个安全策略是level,compartment,group,label的集合。
Level:
等级,这是最基础的安全控制等级,必须设置。
Compartment:
分隔(这不是官方翻译),提供第二级的安全控制,是可选的。
Group:
组(这不是官方翻译),提供第三级的安全控制,是可选的。
Label:
标签,最终体现到每一行上的安全标签,必须设置。
只有用户被赋予的标签和此行上的标签相同或者等级更高的时候,该行才能够被用户存取。
3、测试步骤
我们需要用到3个用户,一个是拥有zftang_test_01表的test用户,一个是用于设置OLS策略的LBACSYS用户,另外一个是不受OLS策略制约的SYS用户(用来方便的插入和更新测试数据)。
◆安装OracleLabelSecurity(每个数据库进行一次)
◆创建安全性策略
◆定义级别
◆定义区间(compartment)(可选)
◆定义分组(可选)
◆创建标签
◆将标签策略应用于表
◆指定用户标签
◆指定正常授权级别的访问
◆为表中的行指定合适的标签
3.1、安装OracleLabelSecurity
在安装数据库软件的时候必须保证选择了OracleLabelSecurity组件,否则所有功能都无法使用。
如果当时没有选择,可以按照如下方法安装OLC
1、重新运行UniversalInstaller进行安装,选择定制,下一步;
2、勾选ORACLELABELSECRITY组建进行安装;
3、继续下一步,完成安装;
LBACSYS用户可以利用$ORACLE_HOME/rdbms/admin/catols.sql创建。
以SYS用户登陆PLSQL,打开命令行窗口,执行:
@D:
\OraHome_1\RDBMS\ADMIN\catols.sql;
在这个脚本的最后会自动关闭数据库,打开可以看到,最后面是(shutdownimmediate)所以请不要在生产库上直接测试。
再次打开数据库,就可以使用LBACSYS用户登录了,默认密码就是lbacsys,如果在生产环境中,请立刻修改默认密码。
3.2、创建安全策略
使用lbacsys用户登陆PLSQL,执行如下命令
SQL>
EXECsa_sysdba.create_policy('
TEST_POLICY'
'
TEST_LABEL'
);
第一个参数TEST_POLICY是安全策略的名称,
第二个参数TEST_LABEL是即将添加到zftang_test_01表中的用于存储标签的字段名,这个字段将在后面applytablepolicy的时候自动添加,所以不必预先添加。
可以从DBA_SA_POLICIES视图中查询安全策略的情况。
select*fromDBA_SA_POLICIES
要禁用、重新启用或者删除一个策略,可利用以下过程:
EXECsa_sysdba.disable_policy
('
EXECsa_sysdba.enable_policy
EXECsa_sysdba.drop_policy
3.3、定义Level
EXECsa_components.create_level('
111,'
READ111'
PublicLevel'
EXECsa_components.create_level('
222,'
READ222'
InternalLevel'
第一个参数是上一步创建的安全策略的名字。
第二个参数是Level的等级,数字越大表示权限越高,比如此处具有'
等级的就可以同时查看有'
等级的数据。
第三个参数是Level的短名,随便定义。
第四个参数是Level的长名,只是起到一个说明的作用,随便定义。
可以从DBA_SA_LEVELS视图中查询安全等级的情况。
select*fromDBA_SA_LEVELS
3.4、定义Compartment
本步操作是可选项,看的有点晕,测试了几次没搞透
3.5、定义Group
3.6、创建Label
EXECsa_label_admin.create_label('
111'
'
TRUE);
222'
参数依次是安全策略名,LabelTag,Label值,是否为datalabel。
其中LabelTag必须是不同于系统中任何策略number的数字。
Label值是最关键的地方,通过组合前面几步中定义的level
是否为datalabel是一个布尔值,只有为TRUE的时候,这个标签才可以用于控制表数据的安全性。
可以从DBA_SA_LABELS视图中查询安全标签的情况。
select*fromDBA_SA_LABELS
3.7、将策略赋予表
execsa_policy_admin.apply_table_policy(policy_name=>
'
schema_name=>
TEST'
table_name=>
ZFTANG_TEST_01'
table_options=>
LABEL_DEFAULT,READ_CONTROL,WRITE_CONTROL'
前三个参数表示我们将TEST_POLICY策略附加到TEST用户的ZFTANG_TEST_01表上,执行这步操作的时候,Oracle会自动将第二步中定义的列添加到表中,如果这步执行成功,我们立刻用TEST用户检索ZFTANG_TEST_01表,会发现一条记录都没有了,这说明LabelSecurity已经起作用了。
第四个参数用于设定策略如何控制表的安全性。
LABEL_DEFAULT表示如果以后一个用户新增数据的时候没有指定Label那么将会使用该用户的defaultsessionlabel(这个default值在下面一步的用户Label设定中定义);
READ_CONTROL,WRITE_CONTROL表示对于表的读写操作都受到安全策略的制约;
HIDE表示不在desc表结构的时候显示TEST_LABEL列名,如果想要显示就省略HIDE字样,
注意,一旦apply策略完成,那么要修改table_options的值,比如想把HIDE去掉,那么就必须先用sa_policy_admin.remove_table_policy函数删除policy定义,然后重新apply。
3.8、将Label赋予用户
使用sa_user_admin.set_user_labels存储过程来将label赋予用户,这个存储过程有不少参数,但是必须输入的只有policy_name,user_name,max_read_label三项,其它参数如果省略的话,都有默认值。
比如def_label参数(用户新增数据的时候没有指定Label时的默认Label)如果没有设定,那么默认为跟max_read_label相同。
我们通过给TEST用户赋予不同的Label,来完成测试的目的。
每次用LBACSYS用户设置完TEST用户的label,TEST用户都必须重新登录一次,设置才会生效。
--------这里很重要,前期测试,没有重新登陆,总感觉没效果;
把LABEL=READ111的授于TEST用户
EXECsa_user_admin.set_user_labels(policy_name=>
user_name=>
'
max_read_label=>
这个时候看查询结果,TEST_LABEL=111的,这个用户才能查询到;
其实表里真实的数据是:
把LABEL=READ222的授于TEST用户
执行查询:
发现还是这三条数据,因为其它数据TEST_LABEL列未定义值;
通过SYS用户,对数据进行赋值;
这个时候,就可以看到所有的数据了;
因为前面提到:
3.9、新增LEVEL
这里考虑到一点,因为LEVEL的数据越大,级别越高,加入我需要新增一个LEVEL,用来控制用户的访问,就可以按照如下操作:
1、定义LEVEL
zftang_POLICY'
333,'
PUBLIC'
PublicLevel1'
-------创建一个LEVEL
2、定义LABEL
333'
READ333'
3、将LABEL赋予用户
在这里,如果赋予TEST用户READ111的LEVEL,那么这个用户只能看到值=111的数据;
如果赋予TEST用户READ222的LEVEL,可以看到值=111,或者=222的数据
如果赋予TEST用户READ333的LEVEL,就可以看到=111,222,333的数据;
EXECsa_user_admin.set_user_labels(policy_name=>
至此,这个OracleLabelSecurity的实验基本上是完成了,达到了我们预先计划的目标。
而关于性能方面,如果表中数据量很大,那么出于性能考虑,可能需要在Label列上(本例中的DOC_LABEL)添加合适的索引,根据cardinality的多少,选择B-Tree或者bitmap索引。
结论