现在保护每一行的安全
| ||
|
作者:Darl Kuhn、Steve Roughton Oracle Label Security(Oracle标签安全性)按行来控制用户的访问。 绝大多数商业应用程序都必须处理安全性问题。应用程序经常需要限制对专用记录的访问、建立审计跟踪,或者执行一个工作流过程,所有这些都要符合公司的安全策略。构建安全的软件是一个富有挑战性且复杂的工作,在整个机构内管理软件的安全策略可能会更困难。 作为模式(schema)设计人员,你可能会在表中添加安全性列并根据这些表创建用户特定的视图。作为DBA,你可能会创建角色和权限来保护数据库对象。而作为开发人员,你可能会编写PL/SQL包,将安全事务处理封装在应用程序内。所有这些技术都很有效,但这些方法也都具有一定的缺点。例如,某人可能会无意中将专用数据导出至一个个人模式、原有的应用程序可能与安全对象不兼容,或者用户可能会利用SQL*Plus绕过整个应用程序的安全性检查。 Oracle9i数据库有一个可以帮助解决这些问题的组件:Oracle Label Security。Oracle Label Security最早引入Oracle8i第三版(8.1.7),它是一个使你能够建立并实施企业安全性策略的简捷工具。 Oracle Label Security是内置于数据库引擎中的过程与约束条件集,该数据引擎实施对在单个表或整个模式上的"行"级访问控制。要利用Oracle Label Security,需要创建一个或多个安全策略,其中每一个安全策略都包含一组标签。你可以用这些标签来标明哪些用户能够访问什么类型数据。在创建了一个策略之后,将该策略应用于需要保护的表,并将这些标签授予你的用户,这样,你就完成了整个过程。Oracle Label Security对查询的修改是透明的,并且在即时计算访问级别,以执行你的新策略。 当Oracle9i数据库在解析各个SQL语句时,它也检测各个表是否受到某个安全策略的保护。根据该用户的访问权限,Oracle9i数据库向该语句的WHERE子句中添加安全性谓词。因为这些都发生在数据库引擎的内部,所以不管该SQL语句的来源如何,用户都不可能绕过该安全性机制。 它是如何工作的? 这里有一个非常简单的例子,可以说明Oracle Label Security是如何工作的。我们创建了名为documents的表,并向其中填入了4个记录,同时定义了两个安全级别:PUBLLIC(公共)与INTERNAL(内部)。每个级别各有一个数字值:1000或2000。接着可以为表的每一行指定一个级别。下面给出对该表进行的一个简单SELECT:
SQL> SELECT * FROM documents; DOCID DOCNAME LEVEL DOC_LABEL
现在假定在我们的数据库中有两个用户:EMP与MGR。我们为这些用户指定如下访问级别: EMP 被指定为 PUBLIC只读。 MGR 被指定为 PUBLIC与INTERNAL 读/写。 当这两个用户访问此 documents表时,其内部会发生什么呢?假定EMP用户运行下面的查询:
SELECT * FROM documents;
Oracle9i数据库对该查询进行解析,并判定该表是受标签安全性的保护。Oracle Label Security向该查询中添加一个 WHERE 子句,以确保该EMP只能看到标记有 PUBLIC 访问的行:
SELECT * FROM documents
下面是该 EMP 用户在运行此查询后所看到的内容:
DOCID DOCNAME LEVEL DOC_LABEL 你可能想知道:"为什么不根据某一列值,创建一个限制访问的视图呢?"事实上,如果你的应用程序只需要几个级别,并没有特殊的安全要求要考虑,那么向你的表中添加一个安全性列,然后再利用视图就可以了。 但假设你的系统要求发生了变化,你现在需要利用对改变数据集的定制的读/写许可跨多个机构来管理数个级别的用户。此外,这些机构位于不同的国家,各自都有自己的法律和安全性限制。如果仅使用视图,就很难满足这些要求了。 幸运的是,Oracle Label Security就是为了适应扩展而设计的,因此实施此类应用程序安全性可能比你预计的更容易。 一个练习示例 实施Oracle Label Security包括以下10个步骤: 安装Oracle Label Security(每个数据库进行一次) 步骤1;安装Oracle Label Security 启动Universal Installer。
SQL> CONN sys/password AS SYSDBA;
注意:此catols.sql脚本在其最后一步对数据库进行SHUTDOWN IMMEDIATE (立即关闭)。 重新启动实例并运行
SQL> SELECT username FROM dba_users;
你将看到一个新的包括所有Oracle Label Security对象的 LBACSYS用户。其缺省口令是LBACSYS (所以一定要更改该口令)。该用户将管理你的安全策略。 步骤2:创建一个安全性策略 在本例中,你需要定义对公司文档的行级别的访问。在此步骤内,创建一个名为DOC_POLICY的策略。要创建一个策略,先以LBACSYS身份建立连接,然后利用 sa_sysdb.create_policy过程:
SQL> CONN lbacsys/lbacsys
第一个参数DOC_POLICY是该策略的名字,第二个参数DOC_LABEL是一个列的名字,Oracle Label Security将把该列添加到你将在标签控制下替换的表内。 为了核实你的策略已经创建,可按下面方式查询DBA_SA_POLICIES :
SQL> SELECT policy_name, status POLICY_NAME STATUS
要禁用、重新启用或者删除一个策略,可利用以下过程:
SQL> EXEC sa_sysdba.disable_policy
步骤3:定义级别
SQL> EXEC sa_components.create_level
每个级别都有一个策略名、一个数字ID、一个缩写名与一个全名。该数字ID表示敏感度级别--编号越高,表明敏感度越高。在本例中,INTERNAL 比PUBLIC的敏感度要高。为了查看你所创建的级别,执行下面过程:
SQL> SELECT * FROM dba_sa_levels
步骤4:定义区间(可选)
SQL> EXEC sa_components.create_compartment sp; ('DOC_POLICY', 100,
区间有一个策略名、一个数字ID、一个缩写名与一个全名。区间的数字ID并不指定其敏感度的级别。它仅用于在显示访问信息时对区间进行排序。要了解关于区间的信息,可以查询DBA_SA_COMPARTMENTS视图。 步骤5:定义分组(可选) 在创建一个分组时,必须定义一个层次(hierarchy)。在本例中,ALL_REGIONS是父,WEST_REGION和EAST_REGION是ALL_REGIONS的子。
SQL> EXEC sa_components.create_group
与区间类似,分组也具有一个数字ID、一个缩写名和一个全名。此外编号(数字)并不表示任何敏感度,它仅用于在显示分组信息时对其进行排序。要观察关于分组的信息,可查询DBA_SA_GROUPS视图。 步骤6:创建标签 标签是级别、区间与分组的缩写名的一个组合,并遵循以下语法:
级别: 区间, ... 区间_n:分组,.. 分组_n 级别、区间与分组都必须用冒号隔开。如果指定了一个以上的区间或组,它们必须用逗号隔开。 例如,可能有一些财务部门的用户,他们只能访问内部文档。其标签类似于:
INTERNAL:FIN(内部:财务) 在创建一个标签时,必须为其指定一个编号。该编号在数据库的所有策略中是惟一的。要查看标签信息,可查询DBA_SA_LABELS视图。 步骤7:将标签策略应用于表
SQL> EXEC sa_policy_admin.apply_table_policy - 在运行此过程时,Oracle9i数据库向documents表中添加一个名为DOC_LABEL的列。这个列的名字是在步骤2中创建该安全策略时定义的。如果你描述该documents表,你将看到如下所示的新的DOC_LABEL列:
SQL> DESC app.documents
当你应用该策略时,你也可以通过在TABLE_OPTIONS参数中指定HIDE,取消来自用户的该列:
table_options&n bsp; => 'LABEL_DEFAULT,READ_CONTROL,WRITE_CONTROL,HIDE'
这个TABLE_OPTIONS参数使你能够定义将把什么类型的控制应用到该表上。LABEL_DEFAULT指明,如果没有为一个 INSERT语句提供标签,那么将使用缺省的会话行标签。READ_CONTROL参数规定该 SELECT, UPDATE和DELETE访问在整个标签内是有效的。WRITE_CONTROL参数决定哪些INSERT, UPDATE活动是通过一个标签获得授权的。 要确定哪些策略已经被应用到了哪些表和模式,可以查询DBA_SA_TABLE_POLICIES视图。 步骤8:指定用户标签 MGR被赋予了最高级别的读/写权限。 这些过程将一个用户映射到访问级别和被指定了标签的行。为了查看用户及访问级别,可查询DBA_SA_USER_LABELS视图。 步骤9:指定正常授权级别的访问
SQL> CONN app/app
步骤10:指定合适的标签
SQL> CONN mgr/mr_bigg
如果表中已经有了数据,那么你需要用合适的标签值来更新该标签列(DOC_LABEL)。因为该表已经处于Oracle Label Security 控制之下,所以必须用一个具有权限的模式来更新该标签列。当然,也可以暂时禁用该策略,先更新该标签列,然后再重新启用该策略。如果用SQL*Loader向一个受保护的表中插入数据,则先要确保加载的用户(模式)具有合适的标签写入权限。 对一个表启用了标签安全性控制后,如果没有合适的标签权限,即便是表的所有者也不能读取或写入。该规则的一个变体是,表的所有者可以在没有Oracle Label Security DELETE许可的条件下截短其数据。 操作数据 现在当你以不同的用户身份连接时,请注意你只能按照你的安全性策略和CRUD访问所规定的那样操作数据:
SQL> CONN mgr/mr_bigg
如果以HR_EMP身份连接,则相同的查询将返回以下内容:
DOCNAME DOC_LABEL
如果以 EMP身份连接,相同的查询则只返回以下内容:
DOCNAME DOC_LABEL------------- --------- SHARE_WARE 10000
当任一SQL语句访问该APP.DOCUMENTS表时,Oracle9i数据库首先验证CRUD访问,然后施以Oracle Label Security限制。这样,用户只能执行经授权的操作。 DBA应考虑的事项 如果你是一位DBA,那么还有另外一些需要考虑的事项。当你导出受Label Security保护的数据时,只能使用一个具有所赋予的适当读取权限的模式导出该数据。例如,如果你想以SYSTEM身份导出APP.DOCUMENTS 表,将会得到以下消息:
EXP-00079: Data in table "DOCUMENTS" is protected.(表"DOCUMENTS"中的数据受到保护) Conventional path may only be exporting partial table.(常规的路径只能导出部分表) . . exporting table DOCUMENTS 0 rows exported(导出表DOCUMENTS中的0行被导出) 你不能将一个安全性策略应用于该SYSTEM 模式。你将需要利用一个对表中受标签保护的所有行有读取权限的非SYSTEM模式。例如,如果你有一个用来导出你的数据库的EXPUSER 模式,则你需要授予它对受策略保护的所有行的特殊READ权限:
SQL> EXEC sa_user_admin.set_user_privs 要授予一个模式对受策略保护的数据的完全读取和写入权限,则可以利用FULL关键词:
SQL> EXEC sa_user_admin.set_user_privs 注意:任何被授予SYSDBA权限的模式(如SYS)都可以看到所有数据,而不管这些数据是否受Label Security保护。 无论你有什么特殊权限(如FULL,全权),你都不能利用导出实用程序来备份LBACSYS模式。如果你试图导出LBACSYS,你将收到一个出错提示:"LBACSYS is not a valid username.(LBACSYS不是一个有效用户名)"。因此,你需要利用数据库的一个物理备份(热备份、冷备份或RMAN)来备份LBACSYS的对象。 在将受标签保护的数据导入另一个数据库之前,需要先安装Oracle Label Security。还需要预先创建策略和标签,并确保导入的模式(用户)具有完全的写入权限。具体细节,请参见Oracle Label Security管理员指南第12章。 如果有大量受Label Security保护的数据,那么你就需要一个调优策略。根据标签基数(cardinality)的不同,你可能希望考虑向标签列中增加一个B树索引或一个位映射索引。例如,如果标签的基数较高,那么就应当使用一个B树索引。 Oracle建议对LBACSYS模式的对象以及应用程序表和索引进行分析,以改进由基于成本的优化器所生成的执行计划。我们建议在对安全性策略进行任何改变后,对LBACSYS对象进行分析。 结论 Oracle9i数据库中的Oracle Label Security提供了一种对数据进行细粒度访问控制的安全的方法。这一特性被封装在数据库引擎中,所以不可能绕过它,它提供了一种实施和维护复杂"行"级别安全性所需要的安全的方法。 |