在ORACLE数据库上创建VPD安全策略的实战记录

最新推荐文章于 2020-03-09 21:07:36 发布
最新推荐文章于 2020-03-09 21:07:36 发布
阅读量631 收藏 1
点赞数 1
分类专栏: Dba
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/josonchen/article/details/45698917
版权

在ORACLE数据库上创建VPD(Virtual Private Databases)安全策略的实战记录

 

作者: 陈海青(josonchen,"船长")

(http://www.chq.name)

(http://www.hhrz.org) (航海日志)

(http://junit.vicp.net)
      

日期:2007.05.24

 

版权声明:转载或引用本网版权所有之内容须注明“转自(或引自)chq.name (Junit fans)”字样,并标明本网站网址http://www.chq.name

一、关于VPD
VPD,即:Virtual Private Database,提供了对数据库的精密访问控制(graind access control (FGAC)).使用VPD,可以在数据记录集定义用户的访问权限.

二、使用VPD的示例:

1)未进行权限控制时,执行的查询语句,可以看到所有商品在2002年的销售额:
SELECT year, prod_category, sum(sales)
FROM sales_mv
WHERE year = '2002';

2)如果加上了VPD策略,限制访问指定范围内的产品(例如仅能访问'VIDEOS','RADIOS'),
再执行上述的查询语句,会自动加上限制条件--AND prod_category in ('VIDEOS','RADIOS'),最后实际执行的语句为:

SELECT year, prod_category, sum(sales)
FROM sales_fact
WHERE year = '2002'
AND prod_category in ('VIDEOS','RADIOS'); --自动加上的限制条件

三、操作的过程

以下为作者总结在ORACLE数据库上创建vpd(Virtual Private Databases),完成安全策略管理,并应用于www.chq.name上的实战记录,于070524更新完毕。
数据库运行环境:oracle 9i

1:确定数据库对象及互相之间的关系
1)相关表和视图
     数据库中有两类表,代码表和数据表,数据表均有一个“机构代码”字段(DM_JG),
     其“前七位”等于用户代码表的“机构代码”
     建立脚本:
     CREATE TABLE dm_users
     ( user_dm            VARCHAR2(11) NOT NULL,
       jg_dm              VARCHAR2(11) NOT NULL
     );
   
    CREATE TABLE DIM_JBXX
    (pk       VARCHAR2(50) NOT NULL,
     data     VARCHAR2(11)
     jg_dm    VARCHAR2(11) NOT NULL); --www.chq.name
   
    CREATE VIEW VIEW_JBXX as select * from DIM_JBXX
    ;

2)相关用户,并为其授权
     相关用户有三个:
         VPD:数据表和VPD对象的属主,允许访问全部数据;
         1234502 :数据访问用户,其用户名为其单位代码的前7位,访问受限用户
     建立脚本:   
     CONNECT sys/password@www.chq.name AS SYSDBA;
     CREATE USER VPD IDENTIFIED BY VPD
     DEFAULT TABLESPACE VPD TEMPORARY TABLESPACE temp;
     GRANT connect, resource TO VPD;
   
     CREATE USER 1234502 IDENTIFIED BY 1234502
     DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp;
     GRANT connect, resource TO 1234502;


     GRANT EXECUTE ON DBMS_RLS TO PUBLIC;

     CONN VPD/VPD@www.chq.name

     GRANT SELECT, INSERT ON V_JBXX TO 1234502, 1234512;

2:定义安全策略(Security Policies)的目标
   
在数据库里,每个用户分配一个机构代码,在这里直接使用该代码的前7位作为用户名,相关的数据表均有一个“机构代码”字段
安全策略目标:每个用户仅能浏览和操作“机构代码”与自己的机构代码相同的数据记录。
例外情况:vpd用户可以不受限制访问数据

3:创建应用环境(Application Context)
     应用环境是一个包含系列环境变量名称和值的值对的集合,是存储用户的环境变量的空间;
系统提供了默认的环境USERENV,含有当前会话相关的默认的变量,如用户名、主机和应用程序名等

1)为创建VPD的context和context package的用户授权,
    CONNECT sys/password@www.chq.name AS SYSDBA;
    GRANT create any context, create public synonym TO VPD;
    CONNECT VPD/VPD@www.chq.name;

2)创建应用环境 CTX_VPD_SEC
    CREATE CONTEXT CTX_VPD_SEC USING VPD.PKG_VPD_SEC;

4:创建VPD应用程序包,在包里增加设置环境变量的函数、存储过程
     这个包的作用是提供设置环境变量的工具(函数或存储过程),供on login触发器或应用程序等调用。

1) 创建VPD应用程序包PKG_VPD_SEC的包头
     CONNECT VPD/VPD@www.chq.name;
     CREATE OR REPLACE PACKAGE VPD.PKG_VPD_SEC    AS
      PROCEDURE Set_Context;
     END PKG_VPD_SEC;

2)创建VPD应用程序包的包体   
CREATE OR REPLACE PACKAGE BODY VPD.PKG_VPD_SEC IS
    PROCEDURE Set_Context IS
      lv_user    VARCHAR2(11);
      lv_jg_dm    VARCHAR2(11);
    BEGIN
      DBMS_Session.Set_Context('CTX_VPD_SEC','SETUP','TRUE');
      v_ouser := SYS_CONTEXT('USERENV','SESSION_USER');
      DBMS_Session.Set_Context('CTX_VPD_SEC','DM_USER', lv_user);
      BEGIN
        SELECT substr(JG_DM,1,7)
        INTO     lv_jg_dm
        FROM     dm_users
        WHERE    user_dm = lv_user;
        DBMS_Session.Set_Context('CTX_VPD_SEC','JG_DM', lv_jg_dm);
      EXCEPTION
        WHEN NO_DATA_FOUND THEN
          DBMS_Session.Set_Context('CTX_VPD_SEC','JG_DM', substr(lv_user,1,7));
      END;
      DBMS_Session.Set_Context('CTX_VPD_SEC','SETUP','FALSE');
    END Set_Context;
END PKG_VPD_SEC;
/
SHOW ERRORS

3)授权其他用户可以访问并运行 PKG_VPD_SEC 包:
GRANT EXECUTE ON VPD.PKG_VPD_SEC TO PUBLIC;
CREATE PUBLIC SYNONYM PKG_VPD_SEC FOR VPD.PKG_VPD_SEC;

4)建立用户登陆触发器,每次登录后首先设置自己的应用环境变量
CONNECT sys/password@www.chq.name AS SYSDBA;
CREATE OR REPLACE TRIGGER VPD.Set_Security_Context
AFTER LOGON ON DATABASE
BEGIN
    VPD.PKG_VPD_SEC.Set_Context;
END;
/
SHOW ERRORS

5:创建VPD应用程序-安全策略包,创建策略函数,为简便起见仍使用PKG_VPD_SEC
     这是实现策略的函数,该函数从应用环境取得变量值,形成查询语句的一部分

1)建立安全策略( Security Policies)包的包头,简便起见修改PKG_VPD_SEC
--In order for the context package to have any effect on the users interaction with the database,
--we need to define a Security_Package for use with the security policy.
--This package will tell the database how to treat any interactions with the specified table:

CONNECT vpd/vpd@www.chq.name;

CREATE OR REPLACE PACKAGE VPD.PKG_VPD_SEC AS
    PROCEDURE Set_Context;

    FUNCTION User_Data_Insert_Security(Owner VARCHAR2, Objname VARCHAR2)
      RETURN VARCHAR2;
  
    FUNCTION User_Data_Select_Security(Owner VARCHAR2, Objname VARCHAR2)
      RETURN VARCHAR2;
END Security_Package;
/
2)修改包体,增加安全策略函数:

CREATE OR REPLACE PACKAGE BODY Security_Package IS

    PROCEDURE Set_Context IS
    ......
    END Set_Context;

    FUNCTION User_Data_Select_Security(Owner VARCHAR2, Objname VARCHAR2)RETURN VARCHAR2 IS
      Predicate VARCHAR2(2000);
    BEGIN
      Predicate := '1=2';
      IF (SYS_CONTEXT('USERENV','SESSION_USER') = 'VPD') THEN
        Predicate := NULL;
      ELSE
        Predicate := 'JG_DM = SYS_CONTEXT(''CTX_VPD_SEC'',''JG_DM'')';
      END IF;
      RETURN Predicate;
    END User_Data_Select_Security;

    FUNCTION User_Data_Insert_Security(Owner VARCHAR2, Objname VARCHAR2) RETURN VARCHAR2 IS
      Predicate VARCHAR2(2000);
    BEGIN
      Predicate := '1=2';
      IF (SYS_CONTEXT('USERENV','SESSION_USER') = 'VPD') THEN
        Predicate := NULL;
      ELSE
        Predicate := 'JG_DM = SYS_CONTEXT(''CTX_VPD_SEC'',''JG_DM'')';
      END IF;
      RETURN Predicate;
    END User_Data_Insert_Security;
END Security_Package;
/
SHOW ERRORS
3)授权所有用户可以访问并运行安全策略包 PKG_VPD_SEC:

    GRANT EXECUTE ON VPD.PKG_VPD_SEC TO PUBLIC;
    --CREATE PUBLIC SYNONYM PKG_VPD_SEC FOR VPD.PKG_VPD_SEC;

6:将策略函数应用到一个表或视图上
     使用oracle 提供的DBMS_RLS包来实现安全策略的应用管理。
例如:
    CONNECT VPD/VPD@www.chq.name;

BEGIN
    DBMS_Rls.Add_Policy('VPD', 'VIEW_JBXX', 'USER_DATA_INSERT_POLICY',
                        'VPD', 'PKG_VPD_SEC.USER_DATA_INSERT_SECURITY',
                        'INSERT', TRUE);
    DBMS_Rls.Add_Policy('VPD', 'VIEW_JBXX', 'USER_DATA_INSERT_POLICY',
                        'VPD', 'PKG_VPD_SEC.USER_DATA_INSERT_SECURITY',
                        'SELECT');                      
END;
或者:
     execute DBMS_RLS.ADD_POLICY(object_schema=>'VPD',object_name=>'V_FACT_data',policy_name=>'USER_DATA_INSERT_POLICY',
                                 function_schema=>'VPD',policy_function=>'PKG_VPD_SEC.USER_DATA_INSERT_SECURITY',
                                 statement_type=>'select',update_check=>FALSE,enable=>true)
     )
   
注意事项:
1)DBMS_RLS包最初的运行权限须由sys用户授予VPD用户。
2)插入失败的报错信息:
ORA-28115: policy with check option violation


参考资料:
1:<<Oracle9i DBA Handbook>>,Kevin Loney and Marlene Theriault ,etc, The McGraw-Hill co.Inc.
      中文版:蒋蕊等译 机械工业出版社
2: http://www.oracle-base.com/articles/8i/VirtualPrivateDatabases.php
3:http://www.adp-gmbh.ch/ora/security/VPD/index.html
4:http://www.chq.name
5: http://xsb.itpub.net/post/419/59520
6: http://junit.vicp.net
7:http://zhouwf0726.itpub.net/post/9689/158056


Labels: oracle,Virtual Private Databases,VPD,安全策略,实战记录,数据库,陈海青,chq.name,junit fans


josonchen
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ORACLE数据库创建VPD(Virtual Private Databases)安全策略实战记录
航海日志
10-26 1079
ORACLE数据库创建VPD(Virtual Private Databases)安全策略实战记录作者:陈海青(joson chen)网站:www.chq.name  www.hhrz.org日期:2007.05.24版权声明:转载或引用本网版权所有之内容须注明“转自(或引自)chq.name (Junit fans)”字样,并标明本网站网址http://www.chq.name w
EBS VPD介绍和使用实例
Jane Chiu
11-30 2433
主要介绍VPDVPD的使用方法,后面结合了一下MOAC,全方位地解释了在MOAC中如何使用VPD
EBS技术开发之VPD策略
weixin_30312557的博客
12-04 129
VPD (虚拟专用数据库的简称),主要作用是根据运行环境的上下文,隐式的添加条 件。 好处是在数据库层解决细粒度的角色权限访问,避免在中间层写大量代码;坏处 是数据屏蔽的逻辑太隐蔽了,对于分析查找问题带来一定的困扰 一个简单的例子带你体验VPD策略 --1、在APPS 中创建表,赋权给PO, ONT用户 create table hand_vpd_test_tb1 (column1...
使用VPD解决EBS中信息屏蔽问题
专注Oracle EBS---低调的奢华
11-08 2565
<br />本文是采用Oracle VPD技术解决同一个OU下按照不同办事处屏蔽销售订单的解决方案。<br /> <br />VPD技术提供了数据库对象(表,同义词,视图)行级别访问的控制。关于VPD更多的信息不在此进行描述,可以查看Oracle Database Security Guide中的Using Virtual Private Database to Implement Application Security Policies章节。<br /> <br /> <br /> <br />一,业务
Oracle - SQL学习笔记 2
Jane Chiu
07-26 332
VPD 、物化视图、闪回机制、over分析函数、递归查询、WITH语句、INSERT增强、GROUP BY增强、First/Last排名查询、分析函数 Ntile、窗口函数
Oracle数据库安全策略分析(一)第1/2页
12-15
正在看的ORACLE教程是:Oracle数据库安全策略分析(一)。 数据库安全性问题一直是围绕着数据库管理员的恶梦,数据库数据的丢失以及数据库被非法用户的侵入使得数据库管理员身心疲惫不堪。围绕数据库的安全性问题...
Oracle数据库VPD来确保信息的隐私
03-03
Oracle8i中引入的Oracle行级安全性(row-level security,RLS)特性提供了细粒度的访问控制--细粒度意味着是在行一级上进行控制。行级安全性不是向对表有任何访问权限的用户打开整张表,而 是将访问限定到表中特定的...
Oracle数据库安全解决方案探讨.pdf
10-10
总之,Oracle数据库的安全解决方案是一个综合的过程,涉及到用户管理、权限控制、数据加密、审计跟踪以及高级安全特性如VPD和标签安全的集成应用。通过有效的安全管理,可以确保Oracle数据库在面临日益复杂的网络...
Oracle数据库安全配置
04-13
2 ORACLE安全配置要求 2 2.1 账号 2 2.1.1 按用户分配帐号 2 2.1.2 删除或锁定无关帐号 3 2.1.3 限制SYSDBA用户的远程登录 3 2.1.4 用户权限最小化 4 2.1.5 使用ROLE管理对象的权限 5 2.1.6 控制用户属性 5 2.1.7 ...
Oracle 9i数据库安全技术探讨.pdf
10-10
在实际应用中,数据库管理员需要根据组织的安全需求,结合Oracle 9i提供的工具和策略,制定和执行严格的安全政策,以实现可靠的数据安全管理。这包括限制对敏感数据的访问,监控异常活动,定期更新和加固数据库配置...
EBS R12多组织的实现原理
changyanmanman的专栏
08-04 2276
MOAC的实现原理-VPD技术MOAC的实现是通过Oracle数据库VPD(Virtual Private Database)技术来实现的。VPD技术提供了数据库对象(表,同义词,视图)行级别访问的控制。使用VPD技术可以有效地限制用户获取数据的范围。Secooler 的一篇文章 使用Oracle VPD(Virtual Private Database)限制用户获取数据的范围  讲VPD,里边
ORACLE数据库创建VPD的完整pl/sql脚本
航海日志
05-13 510
本文是一个经过严格调试过的在ORACLE数据库创建VPD完整pl/sql脚本。其他请参照作者的另一篇文章《在ORACLE数据库创建VPD(Virtual Private Databases)安全策略管理的实战记录》:http://www.chq.name/content/view/284/49/This is the complete pl/sql script for   Oracle VP
【转帖】在ORACLE数据库创建VPD(Virtual Private Databases)安全策略实战记录
cjz37323的博客
12-30 124
一、关于VPD VPD,即:VirtualPrivateDatabase,提供了对数据库的精密访问控制(graindaccesscontrol(FGAC)).使用VPD,可以在数据记录集定义用户的访问权限. ...
达梦虚拟专用数据库VPD)技术
键盘上的艺术
02-27 1149
一、VPD概述 在某些系统中,权限控制必须定义到数据行访问权限的控制,此需求一般出现在同一系统中,不同的相对独立机构使用的情况。 比如,集团下属多个子公司,所有子公司使用同一套数据表,但不同子公司的数据相对隔离,也就是每个子公司的人员只能查看、操作本公司的数据。面对这种情况,绝大多数人会选择在表或视图加上WHERE子句来进行数据隔离。但此方法的缺点是编码工作量大、系统适应用户管理体系的弹性空间较小...
[精]Oracle VPD详解(虚拟专用数据库)
热门推荐
苏南生的CSDN博客
09-19 1万+
所谓虚拟专用数据库VPD)指的是,通过在数据库里进行配置,从而让不同的用户只能查看某 个表里的部分数据。VPD分为以下两个级别。 行级别:在该级别下,可以控制某些用户只能查看到某些数据行。比如,对于销售数据表sales 来说,每个销售人员只能检索出他自己的销售数据,不能查询其他销售人员的销售数据。 列级别:在该级别下,可以控制某些用户不能检索某个表的某个列的值。比如用户HR 下的 employe
安全保护项目: 一种分阶段的数据库基础架构保护方法 (第四阶段)
' 忍一时风平浪静 退一步海阔天空 '
12-03 1296
第 4 阶段时间: 一个季度您终于走到最后阶段了,这一阶段在四个阶段中也是最长的。 在这一阶段您我们要完成某些更加复杂的设置,并做长期规划以消除潜在威胁。 这一部分内容包括:· 4.1 实现细粒度审计· 4.2 激活虚拟专用数据库· 4.3 屏蔽敏感的列· 4.4 对敏感数据进行加密· 4.5 安全备份· 4.6 从归档日志中挖掘历史· 4.7 结论 4.1 实现细粒度审计背景
vpd安全策略的使用
Scarlett
07-30 787
1.首先我们创建用户vpd,并给与一定的权限 create user vpd identified by 123456 grant resource, connect to vpd; grant execute on dbms_rls to vpd; grant select any dictionary to vpd; ALTER USER vpd QUOTA UNLIMITED ON US...
关于达梦数据库VPD的学习总结
zcn126的博客
03-09 435
一、VPD概念 虚拟专用数据库 (VPD) 提供了角色和视图无法提供的行级访问控制。在企业中,为了确保客户只能访问到自己的数据,而不能访问其他客户的数据,比如银行行业,客户只能看到自己的账户里的数据,但是不能访问到其他客户的数据,提高数据的安全性,也能降低成本,因此使用VPD技术 二、工作原理 将一个或多个安全策略与表或视图关联后,就可以实现虚拟专用数据库。 三、简单示例 达梦数据库管理...
ORACLE VPD方案
congnen9588的博客
05-26 356
ORACLE VPD方案DROP USER VPD CASCADE;DROP ROLE R_VPD;CREATE USER VPD IDENTIFIED BY VPD;CREATE ROLE R_VPD;GRANT RESOUR...
Oracle数据库安全配置规范华为.pdf
最新发布
10-07
- **术语和定义**:定义了如DBA(数据库管理员)、VPD(虚拟专用数据库)和OLS(Oracle Label Security)等关键术语,这些术语在后续内容中会频繁出现。 - **符号和缩略语**:列出了一些常用的缩写,例如DBA代表...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值