解决数据分权访问----SQL 2016 行级安全解决方案

最新推荐文章于 2023-06-06 16:33:27 发布
最新推荐文章于 2023-06-06 16:33:27 发布
阅读量771 收藏
点赞数
分类专栏: Market

沈云,资深工程师,微软解决方案专

这个数据爆炸的年代,数据安全性不可忽视,很多客户都曾经无数次的问到这个问题如何解决数据读取时候的安全性,如何实现用户分角色、分职位、分group来区分数据。简单来讲不同用户在读取数据时候,得到的数据不同。如下:这是一张病人统计表。执行的查询是:

SELECT * FROM patients  一共7条数据

而往往我们需要的是

根据不同医生或者护士查到的病人不同,如:

这是 护士: “小昭”负责的病人

一般方法是关联表,然后进行筛选查询

select * from patients a, staffDuties s,employees e

where

a.wing=s.wing and s.empid=e.empid

order by s.empid

是这样的结果

这样再去按照需要进行where过滤。如

但是这样做,代码复杂,并且难于控制。安全性不高。因此在SQL2016 里面出现了行级安全性来解决。

如何来解决呢。我们来看看实现的效果。

-- Impersonate various users in the system (for demo purposes)

EXECUTE ('SELECT * FROM patients;') AS USER = 'nurse_BartonC';       --3

EXECUTE ('SELECT * FROM patients;') AS USER = 'nurse_AllenM';        --4

EXECUTE ('SELECT * FROM patients;') AS USER = 'nurse_NightingaleF';  --2

EXECUTE ('SELECT * FROM patients;') AS USER = 'doctor_ApgarV';       --7

EXECUTE ('SELECT * FROM patients;') AS USER = 'doctor_CharcotJ';     --7

执行的相同的查询语句: SELECT * FROM patients; 只是按照不同的身份去执行

而数据库给出的结果完全是不同的,依赖于身份的权限。

在应用上通过用户登录的信息获得数据库的权限。记得反馈不同结果。那么如何实现的呢。这个测试库的代码如下:

CREATE DATABASE RLS_Hospital_Demo

USE RLS_Hospital_Demo -- note, if you're on Azure SQL Database, you must change the connection manually

go

 

CREATE TABLE [patients] (

patientId INT PRIMARY KEY,

name nvarchar(256),

room int,

wing int,

startTime datetime,

endTime datetime

)

CREATE TABLE [employees] (

empId int PRIMARY KEY,

name nvarchar(256),

databasePrincipalId int

)

CREATE TABLE [staffDuties] (

empId int,

wing int,

startTime datetime,

endTime datetime

)

CREATE TABLE [wings] (

wingId int PRIMARY KEY,

name nvarchar(128)

)

go

CREATE ROLE [nurse]

CREATE ROLE [doctor]

go

GRANT SELECT, UPDATE ON [patients] to [nurse]

GRANT SELECT, UPDATE ON [patients] to [doctor]

go

-- Create a user for each nurse & doctor (without logins to simplify demo)

-- Add to corresponding role (in practice, these could also be Windows Groups)

-- Add to employees table

CREATE USER [nurse_BartonC] WITHOUT LOGIN

ALTER ROLE [nurse] ADD MEMBER [nurse_BartonC]

INSERT INTO [employees] VALUES ( 1001, N'张三丰', DATABASE_PRINCIPAL_ID('nurse_BartonC'));

go

CREATE USER [nurse_AllenM] WITHOUT LOGIN

ALTER ROLE [nurse] ADD MEMBER [nurse_AllenM]

INSERT INTO [employees] VALUES ( 1002, N'小静', DATABASE_PRINCIPAL_ID('nurse_AllenM') );

go

CREATE USER [nurse_NightingaleF] WITHOUT LOGIN

ALTER ROLE [nurse] ADD MEMBER [nurse_NightingaleF]

INSERT INTO [employees] VALUES ( 1003, N'小昭', DATABASE_PRINCIPAL_ID('nurse_NightingaleF'));

go

CREATE USER [doctor_ApgarV] WITHOUT LOGIN

ALTER ROLE [doctor] ADD MEMBER [doctor_ApgarV]

INSERT INTO [employees] VALUES ( 2001, N'张无忌', DATABASE_PRINCIPAL_ID('doctor_ApgarV'));

go

CREATE USER [doctor_CharcotJ] WITHOUT LOGIN

ALTER ROLE [doctor] ADD MEMBER [doctor_CharcotJ]

INSERT INTO [employees] VALUES ( 2002, N'令狐冲', DATABASE_PRINCIPAL_ID('doctor_CharcotJ'));

go

INSERT INTO wings VALUES( 1, N'North');

INSERT INTO wings VALUES( 2, N'South');

INSERT INTO wings VALUES( 3, N'Emergency');

go

INSERT INTO [patients] VALUES ( 01, N'田伯光', 101, 1, '12-17-2017',  '03-26-2017')

INSERT INTO [patients] VALUES ( 02, N'岳不群', 102, 1, '10-27-2016',  '05-27-2017')

INSERT INTO [patients] VALUES ( 05, N'邓八公', 107, 1, '5-7-2016',  '11-6-2016')

INSERT INTO [patients] VALUES ( 03, N'丹青生', 203, 2, '3-8-2016',  '12-14-2016')

INSERT INTO [patients] VALUES ( 04, N'仇松年', 205, 2, '1-27-2016',  '12-5-2016')

INSERT INTO [patients] VALUES ( 06, N'于人豪', 301, 3, '1-31-2016',  null)

INSERT INTO [patients] VALUES ( 07, N'不戒', 308, 3, '6-15-2016',  '9-4-2016')

 

INSERT INTO [staffDuties] VALUES ( 1001, 1, '01-01-2016', '12-31-2016' )

INSERT INTO [staffDuties] VALUES ( 1001, 2, '01-01-2017', '12-31-2017' )

INSERT INTO [staffDuties] VALUES ( 1002, 1, '01-01-2016', '06-30-2016' )

INSERT INTO [staffDuties] VALUES ( 1002, 2, '07-01-2016', '12-31-2016' )

INSERT INTO [staffDuties] VALUES ( 1002, 3, '01-01-2017', '12-31-2017' )

INSERT INTO [staffDuties] VALUES ( 1003, 3, '01-01-2016', '12-31-2017' )

INSERT INTO [staffDuties] VALUES ( 2001, 1, '01-01-2016', '12-31-2016' )

INSERT INTO [staffDuties] VALUES ( 2001, 3, '01-01-2017', '12-31-2017' )

INSERT INTO [staffDuties] VALUES ( 2002, 1, '01-01-2016', '12-31-2017' )

go

-- END SETUP

创建好数据库后。 创建行级安全性代码

CREATE SCHEMA rls  ---创建行级安全性构架

go

---创建一个内联表值函数

---根据用户信息。房间号,开始时间,结束时间进行过滤.

---如果是医生就能查看所有的信息 返回1

CREATE FUNCTION rls.accessPredicate(@wing int, @startTime datetime, @endTime datetime)

RETURNS TABLE

WITH SCHEMABINDING

AS

RETURN SELECT 1 AS accessResult FROM

dbo.StaffDuties d INNER JOIN dbo.Employees e ON (d.EmpId = e.EmpId)

WHERE

(

-- nurses can only access patients who overlap with their wing assignments

IS_MEMBER('nurse') = 1

AND e.databasePrincipalId = DATABASE_PRINCIPAL_ID()

AND @wing = d.Wing

AND

(

d.endTime >= @startTime AND d.startTime <= ISNULL(@endTime, GETDATE())

)

)

OR

(

-- doctors can see all patients

IS_MEMBER('doctor') = 1

)

go

----创建过滤策略

---并且设置了更新策略,也就是说只有读权限没有 update权限

CREATE SECURITY POLICY rls.PatientsSecurityPolicy

ADD FILTER PREDICATE rls.accessPredicate(wing, startTime, endTime) ON dbo.patients,

ADD BLOCK PREDICATE rls.accessPredicate(wing, startTime, endTime) ON dbo.patients AFTER UPDATE

Go

结果就可以如上图了:

另外执行update结果

可以看到无法修改数据。直接从根本解决了数据访问问题

那么问题又来了!

普通的用户不使用windows验证,也不使用SQL用户验证,也就是说所有用户都是使用一个SQL连接用户到数据库,这样就玩不了,因为权限是一样的。当然微软肯定会想到这点。给出了更好玩的方案:

我们来修改下策略:

alter  FUNCTION rls.accessPredicate(@wing int, @startTime datetime, @endTime datetime)

RETURNS TABLE

WITH SCHEMABINDING

AS

RETURN SELECT 1 AS accessResult FROM

dbo.StaffDuties d INNER JOIN dbo.Employees e ON (d.EmpId = e.EmpId)

WHERE

(

d.EmpId=CAST(SESSION_CONTEXT(N'empid') AS int)

AND @wing = d.Wing

)

Go

通过CAST(SESSION_CONTEXT(N'empid') 来取得权限

---删除老策略

drop SECURITY POLICY rls.PatientsSecurityPolicy

-----创建新策略

create SECURITY POLICY rls.PatientsSecurityPolicy

ADD FILTER PREDICATE rls.accessPredicate(wing, startTime, endTime) ON dbo.patients,

ADD BLOCK PREDICATE rls.accessPredicate(wing, startTime, endTime) ON dbo.patients AFTER UPDATE

go

执行结果:

这样的话只需要在用户登录系统时候 在 SESSION_CONTEXT 中设置不同的用户 ID 后,可以通过从 Sales 表进行选择,来模拟连接筛选。 在实践中,应用程序负责在打开连接后在 SESSION_CONTEXT 中设置当前用户 ID

语法:

EXEC sp_set_session_context @key=N'empid', @value=1003;

另外:

下面视图可以看到策略权限

SELECT * FROM sys.security_policies

SELECT * FROM sys.security_predicates

go

这样就可以用这个功能实现用户很爽的安全性的管理。

立即访问http://market.azure.cn

zangdalei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL Server 安全篇——数据层面安全性(1)——架构
MVP黄钊吉(發糞塗牆)
01-24 2996
本文属于SQL Server安全专题系列  在安全性主体层级之下,SQL Server 为保护数据提供了一组丰富的功能。本章将介绍架构、所有权链接和继承。本文集中介绍架构(Schema)。 正文:  如果学过编程语言特别是JAVA、C#等的话,应该听过命名空间(namespace)这个术语。是一个逻辑的容器,schema把数据库对象包在里面。并且在对象和它们的拥有
解决数据分权访问----SQL2016 行级安全解决方案
人月神话
02-26 1855
这个数据爆炸的年代,数据安全性更加不可忽视,很多客户都曾经无数次的问到这个问题如何解决数据读取时候的安全性,如何实现用户分角色、分职位、分group来区分数据。简单来讲不同用户在读取数据时候,得到的数据不同。如下:
数据分权
qq_20967969的博客
04-28 272
Mysql 创建用户并分权
qq_34810558的博客
12-08 310
1、创建用户; sql 语句为:CREATE USER ‘your_user_name’@’%’ IDENTIFIED BY ‘your_passwd’; (其中:your_user_name 指的是你创建的用户名称,your_passwd 指的是你创建的用户密码 ) 2、用户授权;sql 语句为: GRANT ALL PRIVILEGES ON . TO ‘your_user_name@’%’...
通用数据权限设计方案
weixin_43914798的博客
08-10 4629
一、数据权限设计初衷 近期在做数据中台的项目,主要包括元数据管理,质量规则,数据服务,数据导出等多个业务模块,目前该中台只是供内部使用,但随着业务的正式上线,必然会在公网进行访问。因此,如何控制每个用户只能访问自己能够看到的数据内容至关重要,这就存在用户数据权限的设计问题。 二、数据权限的设计方案条件 (1)满足不同的业务授权方式统一化,通用且方便扩展; (2)与业务模块完全解耦,减少代码的侵入,提高权限系统的复用性; (3)业务方不需要关心授权流程及授权资源回显问题。要保证不同的资源类型,在授权时,能够自
T-SQL示例大全.rar_sql_t-sql_windows sql
09-21
《T-SQL示例大全》是一个综合性的资源集合,涵盖了SQL语言中的Transact-SQL(T-SQL)的大量实例,适用于在Windows环境下使用SQL Server数据库管理系统进行开发和管理的人员。T-SQL是Microsoft SQL Server所扩展的...
弱电安防-模块化数据中心机房.docx
12-14
模块化数据中心机房是现代信息技术基础设施的重要组成部分,它以微模块化设计为核心,旨在解决传统数据中心机房的工程复杂性、专业协同难度、环境要求多样、技术管理复杂以及进度管理困难等问题。本文主要探讨了微...
Apache Hadoop---Accumulo.docx
06-11
数据管理方面,Accumulo将数据存储在Tablets中,每个Tablet由行边界划分,确保同一行的所有数据位于同一个Tablet,便于行级事务处理。主服务器动态地分配Tablets到TabletServer,以适应集群中服务器的增减,保证数据...
一些 T-SQL 技巧
09-11
T-SQL(Transact-SQL)是SQL Server中的扩展SQL语言,用于管理和操作数据库。以下是一些实用的T-SQL技巧: 1. **只复制一个表结构,不复制数据** 这个技巧用于在数据库中快速创建一个新的表,其结构与已存在的表...
newimproved-SQL-2016.pdf
01-13
- **安全性强化**:引入了新的安全特性,如行级权限控制,确保数据访问安全性。 - **多版本并发控制**:在事务处理中,改进的多版本并发控制(MVCC)机制提供了更高的并发性能和更低的锁定冲突。 - **XML和XML ...
SQL数据安全解决方案
04-18
数据库防火墙套装是GreenSQL公司提供的SQL数据库全面安全解决方案。作为数据库前端安装,为数据库提供伪装和防护。 作为SQL数据库的代理,GreenSQL提供多种数据库保护和加速功能,包括自学习、数据库规则防火墙、安全审计、入侵检测和防护、数据库缓存以及数据库的虚拟补丁等。 GreenSQL is a Unified Database Security solution that is installed as a frontend to databases, fully camouflaging and securing them. GreenSQL works as a SQL reverse proxy and provides several database security and acceleration features including automated learning mode, a database rule-based firewall, database audit, database intrusion detection and prevention, database caching and database virtual patching.
关于采用Oralce行级安全策略解决应用系统数据权限的论述
02-26
我们在开发应用系统时,经常遇到这样的问题:用户只被允许访问某张表的一部分数据,而且无论使用哪个界面,都只能访问这一部分数据。比如,用户A只能访问装货港是上海的委托。通常我们会在SQL语句中加入条件来过滤数据。但是,这种做法最大的缺点是可修改性差。由于过滤条件固化在代码中,如果用户的访问规则变了,就必须修改源代码;又因为系统中会存在多处代码访问同一张表,程序员必须逐一修改,既费时费力,又容易出错。 解决上述问题的办法可能有很多。比如,在SQL中嵌入宏变量,再为每一个宏变量配置相应的过滤条件等。这些方法虽然一定程度上消除了上述问题,但是往往也增加了系统的复杂性。本文旨在利用Oracle已有的行级安全策略,为有类似问题的项目组提供一种全新的解决方案
oracle行列级权限控制(VPD)
最新发布
m0_51192710的博客
06-06 1447
限制访问PDM用户下的表TEST_VPD,政策名称为LIMITED_QUERY_LINE,政策函数为PDM用户下的F_LIMITED_QUERY_LINE,政策类型为SELECT类型,启用该FGAC规则END;SEC_RELEVANT_COLS 要屏蔽的列(用逗号隔开)SEC_RELEVANT_COLS_OPT =>DBMS_RLS.ALL_ROWS说明对所有记录屏蔽该列END;
基于mybatis拦截器的行级数据权限管理方案
u014763000的博客
04-20 851
​ 最近在做一个资源管理项目,其中有一个需求,需要对数据进行地域纬度管理。不同登录用户查询对应部分数据,但涉及业务表数据较多,单个sql重写,极其浪费效率,故考虑把关联权限的sql抽取出来,进行sql拦截重写实现权限自动关联。 第一步:数据准备,每个业务数据新增行政区域纬度字段:area_gov_code [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JBi6ms0J-1650437006348)(c3acd10ebb594ed71819b775c0d6d900.png)]
通过DataEase行列权限设置实现数据权限管控
FIT2CLOUD飞致云的博客
11-15 1546
使用行列权限实现数据脱敏,DataEase充分保障您的数据安全
java 分权分域什么意思_什么是分权分域管理?为什么要应用分权分域技术?
weixin_31936393的博客
02-25 724
简单的说,电信运维中的分权分域管理是指在网络运行维护过程中,维护人员只能对网络中与本辖区相关的设备和数据进行操作和管理。在软交换网络中又可分为用户数据分权分域、中继数据分权分域、计费数据分权分域等几种情况。软交换由于采用了业务/控制、承载/接入的相互分离的架构,其网络具备集中控制、分散接入的特点,能实现核心设备集中设置,接入设备分散放置的组网方式,单个软交换设备能同时覆盖多个本地网提供业务。...
数据权限设计研究-行数据权限
热门推荐
qq_38846242的博客
01-17 1万+
数据权限设计研究-行数据权限关于权限设计功能权限数据权限前提数据分类几种场景设计方案与思路映射表提供过滤sql的方法测试实际应用查询新增修改删除修改数据的私有,公开,部门属性私有改为部门私有改为公开部门改为公开其他变更总结 关于权限设计 一般来说,权限模块对于每一个系统而言都是最基础的模块,根据项目需求和功能的不同,设计方案也有许多。但从大的方面来说,可以将权限分为两大类型:功能权限和数据权限 功...
sql 高频数据_【论文写作解决方案数据访问安全防护系统
weixin_39955732的博客
12-16 196
安全背景除物理存储安全外(【论文写作-解决方案数据库TDE加密),数据库日常访问安全防护也同样重要。很多安全事件的发生是以合法的用户身份,非法的访问方式造成的。防护种类数据访问安全防护整体可以分为事前、事中和事后三大类。事前防护主要是指在SQL语句发送到数据库正式执行前,防护系统对SQL语句进行解析、分析、规则匹配等前置操作,对判定为非法或高危访问行为进行阻断。事中防护主要是指S...
模块化数据中心机房解决方案(28页).pdf
05-14
模块化数据中心机房解决方案(28页).pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值