3、额外授权
在设置Vault情况下,Oracle对于一些管理操作时需要额外授权的。Dbms_macadm包就是用于进行特定管理操作授权的。
当前我们在sys下,执行权限。
SQL> exec dbms_macadm.authorize_datapump_user('SYS');
begin dbms_macadm.authorize_datapump_user('SYS'); end;
ORA-06550: 第 1 行, 第 7 列:
PLS-00904: insufficient privilege to access object DVSYS.DBMS_MACADM
ORA-06550: 第 1 行, 第 7 列:
PL/SQL: Statement ignored
在Oracle Vault中,所有对于敏感区域的授权动作,都是要通过dvowner管理对象。
SQL> conn dbvowner/qwer1234.@ora11g
Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0
Connected as dbvowner
SQL> exec dbms_macadm.authorize_datapump_user('SYS');
PL/SQL procedure successfully completed
再次调用expdp程序。
[oracle@SimpleLinux dumps]$ expdp \"/ as sysdba\" directory=dumps schemas=scott dumpfile=scottvault.dmp
Export: Release 11.2.0.4.0 - Production on Fri Apr 4 16:15:06 2014
Copyright (c) 1982, 2011, Oracle and/or its affiliates. All rights reserved.
Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production
With the Partitioning, Oracle Label Security, OLAP, Data
(篇幅原因,有省略……)
SCHEMA_EXPORT/POST_SCHEMA/PROCACT_SCHEMA
. . exported "SCOTT"."DEPT" 5.929 KB 4 rows
. . exported "SCOTT"."EMP" 8.562 KB 14 rows
. . exported "SCOTT"."SALGRADE" 5.859 KB 5 rows
. . exported "SCOTT"."BONUS" 0 KB 0 rows
Master table "SYS"."SYS_EXPORT_SCHEMA_01" successfully loaded/unloaded
******************************************************************************
Dump file set for SYS.SYS_EXPORT_SCHEMA_01 is:
/dumps/scottvault.dmp
Job "SYS"."SYS_EXPORT_SCHEMA_01" successfully completed at Fri Apr 4 16:15:33 2014 elapsed 0 00:00:25
导出成功。
4、导入敏感数据动作
此时,我们设想一个场景。如果一个位于安全领域的数据对象,被导出为dmp文件(或者备份到其他介质中)。还原到一个环境之后,安全原则是否还存在?
我们进行试验测试,导入刚刚导出的dmp文件到数据库中。
--导入相同数据库,不同schema
[oracle@SimpleLinux dumps]$ impdp \"/ as sysdba\" dumpfile=scottvault.dmp directory=dumps remap_schema=scott:test
Import: Release 11.2.0.4.0 - Production on Fri Apr 4 16:20:49 2014
Copyright (c) 1982, 2011, Oracle and/or its affiliates. All rights reserved.
Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production
With the Partitioning, Oracle Label Security, OLAP, Data Mining,
Oracle Database Vault and Real Application Testing options
Master table "SYS"."SYS_IMPORT_FULL_01" successfully loaded/unloaded
Starting "SYS"."SYS_IMPORT_FULL_01": "/******** AS SYSDBA" dumpfile=scottvault.dmp directory=dumps remap_schema=scott:test
Processing object type SCHEMA_EXPORT/USER
Processing object type SCHEMA_EXPORT/SYSTEM_GRANT
Processing object type SCHEMA_EXPORT/ROLE_GRANT
Processing object type SCHEMA_EXPORT/DEFAULT_ROLE
Processing object type SCHEMA_EXPORT/PRE_SCHEMA/PROCACT_SCHEMA
Processing object type SCHEMA_EXPORT/TABLE/TABLE
Processing object type SCHEMA_EXPORT/TABLE/TABLE_DATA
. . imported "TEST"."DEPT" 5.929 KB 4 rows
. . imported "TEST"."EMP" 8.562 KB 14 rows
. . imported "TEST"."SALGRADE" 5.859 KB 5 rows
. . imported "TEST"."BONUS" 0 KB 0 rows
Processing object type SCHEMA_EXPORT/TABLE/INDEX/INDEX
Processing object type SCHEMA_EXPORT/TABLE/CONSTRAINT/CONSTRAINT
Processing object type SCHEMA_EXPORT/TABLE/CONSTRAINT/REF_CONSTRAINT
Processing object type SCHEMA_EXPORT/POST_SCHEMA/PROCACT_SCHEMA
Job "SYS"."SYS_IMPORT_FULL_01" successfully completed at Fri Apr 4 16:20:59 2014 elapsed 0 00:00:08
导入成功,查看Vault约束是否存在。
SQL> conn sys/oracle@ora11g as sysdba
Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0
Connected as SYS
SQL> select * from scott.emp;
select * from scott.emp
ORA-01031: 权限不足
SQL> select * from test.bonus;
ENAME JOB SAL COMM
---------- --------- ---------- ----------
到一个新的环境之后,数据约束消失。
5、结论与讨论
发现导入敏感vault失效之后,一些朋友是有疑惑的,认为这样是Oracle的一个问题缺陷。在这个问题上,笔者是和Oracle站在相同的立场的。
首先,Vault的本质是一种系统级别的控制技术。而不是一种数据加密技术。如果寻求加密,可以考虑TDE或者应用端加密技术。Vault是在访问层面的一种控制机制。所以,当数据被合法的读取留存之后,被解密是合理的想法。
第二,在进行Export的时候,Oracle Vault是要求额外授权的。Oracle认为:既然已经让安全管理员允许特定用户导出敏感数据,那么安全责任就转移出系统了,担负在特定用户的身上。所以,这样也是合理的。
最后,Vault的本质是“防范自己人”。这也就是限制了Oracle Vault发挥作用的层面。安全是一个多层面考虑的问题。没有单独的一种技术手段可以避免问题出现。在什么都不可信的时候,我们总需要相信一些什么。
注意:在11gR2版本中,已经取消了对于Exp/Imp在Vault环境的使用。Data Pump已经成为唯一选择。