oracle里的ols机制,[Oracle] 数据库安全之 - Oracle标签安全(OLS)

最新推荐文章于 2023-08-04 09:09:27 发布
最新推荐文章于 2023-08-04 09:09:27 发布
阅读量282 收藏
点赞数
文章标签: oracle里的ols机制

在上一篇文章中讨论了如何利用VPD对Oracle表中的行进行访问控制(见《

[Oracle] 数据库安全之 - 虚拟私有数据库 (VPD)

》),下面介绍一种比VPD复杂一点的访问控制技术——OLS (Oracle Label Security)。

启用OLS

如果你的数据库版本是10g,则需要额外安装OLS组件,但如果是11g,只要启用OLS即可,因为11g里OLS是默认安装的,下面是11g下启动OLS的语句:

C:\Users\xianzhu>chopt enable lbac

Writing to C:/app/xianzhu/product/11.2.0/dbhome_1/install/enable_lbac.log...

movefile C:\app\xianzhu\product\11.2.0\dbhome_1/bin/oralbac11.dll.dbl C:\app\xianzhu\product\11.2.0\dbhome_1/bin/oralbac11.dll

OLS启动成功,并重启数据库之后,再用sqlplus登陆数据库时,会发现多了"Oracle Label Security"的提示信息:

C:\Users\xianzhu>sqlplus test/test

SQL*Plus: Release 11.2.0.1.0 Production on 星期日 6月 9 09:40:17 2013

Copyright (c) 1982, 2010, Oracle. All rights reserved.

连接到:

Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production

With the Partitioning, Oracle Label Security, OLAP, Data Mining

and Real Application Testing options

启动OLS还是不够的,还需要用dbca配置OLS,其主要步骤如下:

http___img0.tuicool.com_aMbqQn.jpg

http___img1.tuicool.com_QJNz22.jpg

OLS机制

http___img2.tuicool.com_nMVbAf.jpg

OLS和其它访问控制技术的关系如上图所示,从上图可以看出,OLS是在VPD之后起作用,它们都是针对行进行访问控制。当用户发起一个SQL访问数据时,其大致过程如下:

1)Check DAC (Data Access Control):查看用户对该表是否有访问(select)权限

2)VPD SQL Modification:如果在该表上有定义VPD,则启用VPD,加上相应的谓词条件

3)OLS:如果在该表上有定义OLS,则启动OLS,只返回用户可以看到的数据

OLS的机制如下图所示:

http___img0.tuicool.com_77Fnqi.jpg

其原理大致如下:

1)在表上定义伪列(Data Label),在该伪上定义每行数据的级别(如上例中Highly Sensitive, Sensitive, Confidential)

2)对用户也定义相应的级别(User Label),表上该用户能访问的最高级别

3)当用户访问表中数据时,Oracle会比较用户的Label和表中数据的Label,只有当用户的Label >= 数据的Label时,数据才会返回给用户

OLS实战

1)如果你照以上步骤,正确启用OLS之后,Oracle会创建一个用户lbacsys,但是该用户是被锁的,首次使用需要解锁并修改密码:

SQL> alter user lbacsys account unlock;

用户已更改。

SQL> alter user lbacsys identified by lbacsys;

用户已更改。

2)接着用lbacsys用户连接,并新建一个policy如下:

SQL> conn lbacsys/lbacsys

已连接。

SQL> exec sa_sysdba.create_policy(policy_name => 'ACCESS_LOCATIONS', column_name => 'OLS_COLUMNE');

PL/SQL 过程已成功完成。

SQL> select policy_name, status from dba_sa_policies;

POLICY_NAME STATUS

------------------------------ --------

ACCESS_LOCATIONS ENABLED

3)创建3个level,从小到大分别是(‘PUBLIC CITY', 'CONFIDENTIAL CITY', 'SENSITIVE CITY'),注意:Oracle是用level_num来区分各个level的等级。

SQL> exec sa_components.create_level(policy_name=>'ACCESS_LOCATIONS',level_num=>1000,short_name=>'PUB',long_name=>'PUBLIC CITY');

PL/SQL 过程已成功完成。

SQL> exec sa_components.create_level(policy_name=>'ACCESS_LOCATIONS',level_num=>2000,short_name=>'CONF',long_name=>'CONFIDENTIAL CITY');

PL/SQL 过程已成功完成。

SQL> exec sa_components.create_level(policy_name=>'ACCESS_LOCATIONS',level_num=>3000,short_name=>'SENS',long_name=>'SENSITIVE CITY');

PL/SQL 过程已成功完成。

SQL> select * from dba_sa_levels order by level_num;

POLICY_NAME LEVEL_NUM SHORT_NAME LONG_NAME

-------------------- ---------- ---------- --------------------

ACCESS_LOCATIONS 1000 PUB PUBLIC CITY

ACCESS_LOCATIONS 2000 CONF CONFIDENTIAL CITY

ACCESS_LOCATIONS 3000 SENS SENSITIVE CITY

4)创建标签(label)

SQL> exec sa_label_admin.create_label(policy_name=>'ACCESS_LOCATIONS',label_tag=>'1000',label_value=>'PUB',data_label=>TRUE);

PL/SQL 过程已成功完成。

SQL> exec sa_label_admin.create_label(policy_name=>'ACCESS_LOCATIONS',label_tag=>'2000',label_value=>'CONF',data_label=>TRUE);

PL/SQL 过程已成功完成。

SQL> exec sa_label_admin.create_label(policy_name=>'ACCESS_LOCATIONS',label_tag=>'3000',label_value=>'SENS',data_label=>TRUE);

PL/SQL 过程已成功完成。

SQL> exec sa_policy_admin.apply_table_policy(policy_name=>'ACCESS_LOCATIONS',schema_name=>'HR',table_name=>'LOCATIONS',table_options=>'LABEL_DEFAULT,READ_CONTROL');

PL/SQL 过程已成功完成。

5)创建三个测试用户(DBA账户):

SQL> create user tom identified by tom;

用户已创建。

SQL> create user peter identified by peter;

用户已创建。

SQL> create user rose identified by rose;

用户已创建。

SQL> grant connect to tom, peter, rose;

授权成功。

SQL> grant select on hr.locations to tom, peter, rose;

授权成功。

6)为以上三个用户创建user label,他们的label对应关系分别是:Tom -> SENS, Peter -> CONF, Rose -> PUB

SQL> exec sa_user_admin.set_user_labels(policy_name=>'ACCESS_LOCATIONS',user_name=>'TOM',max_read_label=>'SENS');

PL/SQL 过程已成功完成。

SQL> exec sa_user_admin.set_user_labels(policy_name=>'ACCESS_LOCATIONS',user_name=>'PETER',max_read_label=>'CONF');

PL/SQL 过程已成功完成。

SQL> exec sa_user_admin.set_user_labels(policy_name=>'ACCESS_LOCATIONS',user_name=>'ROSE',max_read_label=>'PUB');

PL/SQL 过程已成功完成。

7)给表中数据的某一行标记label

SQL> execute sa_user_admin.set_user_privs(policy_name=>'ACCESS_LOCATIONS',user_name=>'HR',privileges=>'FULL');

PL/SQL 过程已成功完成。

SQL> update hr.locations set ols_columne=CHAR_TO_LABEL('ACCESS_LOCATIONS','SENS') where upper(city) in ('BEIJING','TOKYO','SINGAPORE');

已更新3行。

SQL> update hr.locations set ols_columne=CHAR_TO_LABEL('ACCESS_LOCATIONS','CONF') where upper(city) in ('MUNICH','OXFORD','ROME');

已更新2行。

SQL> update hr.locations set ols_columne=CHAR_TO_LABEL('ACCESS_LOCATIONS','PUB') where ols_columne is null;

已更新18行。

8)至此,OLS已经部署完成,现在Tom可以看到所有的数据,Peter看不到'BEIJING','TOKYO','SINGAPORE'的数据,Rose看不到’BEIJING','TOKYO','SINGAPORE, 'MUNICH', 'OXFORD', 'ROME'数据。

一支援
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[Oracle] 数据库安全- Oracle标签安全OLS
Zhu_Julian's Notes (朱显杰的技术博客)
06-09 4429
在上一篇文章中讨论了如何利用VPD对Oracle表中的行进行访问控制(见《[Oracle] 数据库安全- 虚拟私有数据库 (VPD)》),下面介绍一种比VPD复杂一点的访问控制技术——OLS (Oracle Label Security)。 启用OLS 如果你的数据库版本是10g,则需要额外安装OLS组件,但如果是11g,只要启用OLS即可,因为11gOLS是默认安装的,下面是11g下启
Oracle LiveLabs实验:DB Security - Oracle Label Security (OLS)
In-Memory Computing Technology
04-07 873
概述 此实验申请地址在这,时间为30分钟。 本实验也是DB Security Advanced研讨会的的第7个实验,即Lab 7。 实验帮助在这。 本实验使用的数据库为19.13。 Introduction 本研讨会介绍了 Oracle Label Security (OLS) 的各种特性和功能。 它使用户有机会学习如何配置这些功能以保护其敏感数据,帮助跟踪允诺,并根据《通用数据保护条例》等法规要求强制限制处理。 Task 1: Simple CRM Application 不同的应用有不同的用途:
oracleols机制,oracle的resetlogs机制
weixin_35097989的博客
04-03 209
oracle的resetlogs机制alter database open resetlogs 这个命令我想大家都很熟悉了,那有没有想过这个resetlogs选项为什么要用?什么时候用?它的原理机制是什么?他都起哪些作用?我们都知道数据在启动时候是要做一致性检查的,oracle在open阶段要做两次检查1. 检查数据文件头的检查点计数(checkpoint cnt)是否和控制文件的检查点计数(ch...
Oracle数据库安全配置
04-13
2 ORACLE安全配置要求 2 2.1 账号 2 2.1.1 按用户分配帐号 2 2.1.2 删除或锁定无关帐号 3 2.1.3 限制SYSDBA用户的远程登录 3 2.1.4 用户权限最小化 4 2.1.5 使用ROLE管理对象的权限 5 2.1.6 控制用户属性 5 2.1.7 ...
Oracle数据库安全配置规范
06-25
Oracle数据库安全配置规范 DBA Database Administrator 数据库管理员 VPD Virtual Private Database 虚拟专用数据库 OLS Oracle Label Security Oracle标签安全
构建最高可用Oracle数据库系统 Oracle 11gR2 RAC管理、维护与性能优化
05-11
14.1.1 Oracle安全性解决方案 14.1.2 VPD和OLS策略 14.2 Database Vault部署 14.2.1 Database Vault软件安装 14.2.2 Database Vault组件添加 14.2.3 Database Vault注册 14.2.4 Database Vault禁用和启用 ...
最小二乘RBF径向基神经网络回归分析,RBF-OLS回归分析(代码完整,数据齐全)
最新发布
03-10
基于MATLAB编程,最小二乘RBF径向基神经网络回归分析,RBF-OLS回归分析,代码完整,包含数据,有注释,方便扩展应用 1,如有疑问,不会运行,可以私信, 2,需要创新,或者修改可以扫描二维码联系博主, 3,本科及本科...
Untitled7.rar_OLS RBF_OLS-ERR_RBF_matlab ols_rbf ols
07-15
基于OLS 的RBF 网设计算法,可用!需要的下
Oracle_VPD:在Oracle VPD中下载
02-14
Oracle_VPD OracleVPDOracle
数据库安全 Oracle标签安全OLS
金溪的博客
09-14 767
OLS是在VPD之后起作用,它们都是针对行进行访问控制。当用户发起一个SQL访问数据时,其大致过程如下:   1)Check DAC (Data Access Control):查看用户对该表是否有访问(select)权限 2)VPD SQL Modification:如果在该表上有定义VPD,则启用VPD,加上相应的谓词条件 3)OLS:如果在该表上有定义OLS,则启动OLS,只返回用户...
oracleols机制,Oracle DV和OLS以及VPD的区别(转)
weixin_39950824的博客
04-03 407
Database Vault概述对于现在数据的权限和安全管理有一个基本的原则就是分离权责,即IT系统的超级用户不应该同时又是应用系统的超级用户,但是传统的数据库体系结构却并不支持这样的分离,因为DBA用户一般都能够查看和修改数据库的任何数据,这就使DBA用户也同时成为了企业数据安全的薄弱环节。当然也可以使用某种加密算法来加密数据从而防止超级用户查看修改数据,但是这样做也有相应的缺点,一是所有用户...
oracleols机制,[转载]【OLS】Linux操作系统Oracle 11g环境下安装卸载Oracle Label Security...
weixin_28829325的博客
04-03 169
本文给大家简单演示一下在Linux操作系统下,Oracle11g环境中如何安装和卸载Oracle Label Security。1.操作系统信息ora11g@secdb /home/oracle$uname -aLinux secdb 2.6.18-194.el5#1 SMP Mon Mar 29 20:06:41 EDT 2010 i686 i686 i386GNU/Linux2.数据库版本信息...
ORA-04088 LBACSYS.LBAC_EVENTS
whn1977的博客
11-26 936
导入数据提示 [oracle@apex ~]$ imp file=ash.dmp fromuser=sys touser=a Import: Release 19.0.0.0.0 - Production on Thu Nov 25 14:51:25 2021 Version 19.10.0.0.0 Copyright (c) 1982, 2019, Oracle and/or its affiliates. All rights reserved. Username: / as sysdba C
等保三道防御
Jang2023的博客
08-04 158
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION' 检查口令复杂度不为UNLIMITED。select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_LOCK_TIME' 登录失败锁定。
今天遇到的有关ORA-04020: deadlock detected while trying to lock object LBACSYS.L
cinashu1164的博客
02-24 429
事情的起因是我要将当前一个在线的数据库imp到一个测试库进行测试。exp很顺利,没有问题在测试库上drop user * cascade;然后重新建用户,然后把刚才的备份都导入,都很顺利。然后我要用pl/sql develope...
安全Oracle 安全管理与审计(二)
congnangwu6519的博客
03-27 229
Oracle 安全管理与审计(二)》 新年新群招募:中国Oracle精英联盟 170513055群介绍:本群是大家的一个技术分享社区,在这可以领略大师级的技术讲座,还有机会参加Oracle举办的技术沙龙,与兴...
oracle 错误 04020,今天遇到的有关ORA-04020: deadlock detected while trying to lock object LBACSYS.L...
weixin_35078004的博客
04-03 544
事情的起因是我要将当前一个在线的数据库imp到一个测试库进行测试。exp很顺利,没有问题在测试库上drop user * cascade;然后重新建用户,然后把刚才的备份都导入,都很顺利。然后我要用pl/sql developer连接,察看导入的表的时候,提示ORA-00942:表或试图不存在。我有一点心不在焉的,随便百度了一把,看到有人说应该执行:@$ORACLE_HOME/rdbms/admi...
详细介绍DMSP-OLS数据
05-18
DMSP-OLS(Defense Meteorological Satellite Program Operational Linescan System)是美国国防气象卫星计划的一部分,使用夜间发光的高分辨率成像来监测地球表面的人类活动。DMSP-OLS传感器装载在美国国防部的卫星...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值