今天安装12c数据库有Oracle Data Vault 和 Oracle Label Security两个选项,之前没研究过是干啥用的
Oracle Vault简述
Oracle Vault是官方推荐的security策略之一,它主要用于运维机构中对数据的保护。传统意义的Oracle安全是一种“sys上帝”的主宰模型。我们虽然有各种系统、角色和对象权限,虽然各种安全手册要我们使用非sys用户进行维护工作,但是很多数据库管理员还是在使用sys进行所有工作。一些数据防护技术,比如VPD虽然可以实现数据层面的控制,但是对sys也是无效的。
更重要的是一些any类的系统权限,如select any table,一旦赋予,用户其实就控制了所有数据表的数据访问。这个是非常武断的做法,潜藏着很大问题。
在“sys上帝”的前提控制下,这样的局面是控制不住的。因为一些运维操作,如数据备份、导入导出是避免不了高级访问权限的。“要么不做、要么别管”就是我们目前很多运维机构的现状。
Oracle Vault提供了sys用户削权的一种选择。作为Oracle数据库的一个可选组件,Vault是需要额外的文件链接、注册和安装的。安装vault之后,Oracle会去创建一个全新的用户dbvowner,原有的sys对一些数据的操作和访问权限,也都有进行控制的可能。
Vault中的三个核心要素:Realm(领域)、Factor(因素)和规则(Rule)。从数据对象、操作命令等多个方面来限制或者保护特定的对象。
说白了,就是oracle将运维人员经常使用的sys变为了普通用户,而重新添加了一个dvowner
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Oracle Label Security(Oracle标签安全性)按行来控制用户的访问。
绝大多数商业应用程序都必须处理安全性问题。应用程序经常需要限制对专用记录的访问、建立审计跟踪,或者执行一个工作流过程,所有这些都要符合公司的安全策略。构建安全的软件是一个富有挑战性且复杂的工作,在整个机构内管理软件的安全策略可能会更困难。
作为模式(schema)设计人员,你可能会在表中添加安全性列并根据这些表创建用户特定的视图。作为DBA,你可能会创建角色和权限来保护数据库对象。而作为开发人员,你可能会编写PL/SQL包,将安全事务处理封装在应用程序内。所有这些技术都很有效,但这些方法也都具有一定的缺点。例如,某人可能会无意中将专用数据导出至一个个人模式、原有的应用程序可能与安全对象不兼容,或者用户可能会利用SQL*Plus绕过整个应用程序的安全性检查。
Oracle9i数据库有一个可以帮助解决这些问题的组件:Oracle Label Security。Oracle Label Security最早引入Oracle8i第三版(8.1.7),它是一个使你能够建立并实施企业安全性策略的简捷工具。
Oracle Label Security是内置于数据库引擎中的过程与约束条件集,该数据引擎实施对在单个表或整个模式上的"行"级访问控制。要利用Oracle Label Security,需要创建一个或多个安全策略,其中每一个安全策略都包含一组标签。你可以用这些标签来标明哪些用户能够访问什么类型数据。在创建了一个策略之后,将该策略应用于需要保护的表,并将这些标签授予你的用户,这样,你就完成了整个过程。Oracle Label Security对查询的修改是透明的,并且在即时计算访问级别,以执行你的新策略。
当Oracle9i数据库在解析各个SQL语句时,它也检测各个表是否受到某个安全策略的保护。根据该用户的访问权限,Oracle9i数据库向该语句的WHERE子句中添加安全性谓词。因为这些都发生在数据库引擎的内部,所以不管该SQL语句的来源如何,用户都不可能绕过该安全性机制。
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
个人感觉它是一个可以定义在表级通过修改字段来实现访问控制的策略
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
