Oracle标签安全性.docx

Oracle标签安全性.docx

《Oracle标签安全性.docx》由会员分享，可在线阅读，更多相关《Oracle标签安全性.docx（12页珍藏版）》请在冰豆网上搜索。

Oracle标签安全性

Oracle标签安全性

Oracle标签安全性1

1、概述1

2、工作流程2

3、测试步骤2

3.1、安装OracleLabelSecurity3

3.2、创建安全策略5

3.3、定义Level6

3.4、定义Compartment6

3.5、定义Group6

3.6、创建Label7

3.7、将策略赋予表7

3.8、将Label赋予用户8

3.9、新增LEVEL11

结论11

1、概述

在Oracle9i中有一个组件称为OracleLabelSecurity，这个组件实现了基于自定义策略而对数据库中的表甚或是整个Schema提供行级安全性功能。

实际上OracleLabelSecurity是在Oracle8.1.7中提出的，在9i版本中功能得到了大幅度增强。

OracleLabelSecurity是内置于数据库引擎中的过程与约束条件集，该数据引擎实施对在单个表或整个模式上的"行"级访问控制。

要利用OracleLabelSecurity，需要创建一个或多个安全策略，其中每一个安全策略都包含一组标签。

你可以用这些标签来标明哪些用户能够访问什么类型数据。

在创建了一个策略之后，将该策略应用于需要保护的表，并将这些标签授予你的用户，这样，你就完成了整个过程。

OracleLabelSecurity对查询的修改是透明的，并且在即时计算访问级别，以执行你的新策略。

　　当Oracle9i数据库在解析各个SQL语句时，它也检测各个表是否受到某个安全策略的保护。

根据该用户的访问权限，Oracle9i数据库向该语句的WHERE子句中添加安全性谓词。

因为这些都发生在数据库引擎的内部，所以不管该SQL语句的来源如何，用户都不可能绕过该安全性机制。

2、工作流程

首先我们了解一下实现OracleLabelSecurity的大体流程。

通过Oracle提供的一系列存储过程，先创建一个policy，然后在policy中创建level，compartment，group，之后通过这些定义好的level，compartment，group再定义label，然后将policy绑定到某张表或者某个schema，最后再给相应的用户设置label。

其中牵涉到几个名词，解释一下：

Policy：

就是安全策略，一个安全策略是level，compartment，group，label的集合。

Level：

等级，这是最基础的安全控制等级，必须设置。

Compartment：

分隔（这不是官方翻译），提供第二级的安全控制，是可选的。

Group：

组（这不是官方翻译），提供第三级的安全控制，是可选的。

Label：

标签，最终体现到每一行上的安全标签，必须设置。

只有用户被赋予的标签和此行上的标签相同或者等级更高的时候，该行才能够被用户存取。

3、测试步骤

我们需要用到3个用户，一个是拥有zftang_test_01表的test用户，一个是用于设置OLS策略的LBACSYS用户，另外一个是不受OLS策略制约的SYS用户（用来方便的插入和更新测试数据）。

◆安装OracleLabelSecurity（每个数据库进行一次）

◆创建安全性策略

◆定义级别

◆定义区间（compartment）（可选）

◆定义分组（可选）

◆创建标签

◆将标签策略应用于表

◆指定用户标签

◆指定正常授权级别的访问

◆为表中的行指定合适的标签

3.1、安装OracleLabelSecurity

在安装数据库软件的时候必须保证选择了OracleLabelSecurity组件，否则所有功能都无法使用。

如果当时没有选择，可以按照如下方法安装OLC

1、重新运行UniversalInstaller进行安装，选择定制，下一步；

2、勾选ORACLELABELSECRITY组建进行安装；

3、继续下一步，完成安装；

LBACSYS用户可以利用$ORACLE_HOME/rdbms/admin/catols.sql创建。

以SYS用户登陆PLSQL,打开命令行窗口，执行：

@D:

\OraHome_1\RDBMS\ADMIN\catols.sql;

在这个脚本的最后会自动关闭数据库，打开可以看到，最后面是（shutdownimmediate）所以请不要在生产库上直接测试。

再次打开数据库，就可以使用LBACSYS用户登录了，默认密码就是lbacsys，如果在生产环境中，请立刻修改默认密码。

3.2、创建安全策略

使用lbacsys用户登陆PLSQL,执行如下命令

SQL>EXECsa_sysdba.create_policy（'TEST_POLICY','TEST_LABEL'）;

第一个参数TEST_POLICY是安全策略的名称，

第二个参数TEST_LABEL是即将添加到zftang_test_01表中的用于存储标签的字段名，这个字段将在后面applytablepolicy的时候自动添加，所以不必预先添加。

可以从DBA_SA_POLICIES视图中查询安全策略的情况。

select*fromDBA_SA_POLICIES

要禁用、重新启用或者删除一个策略，可利用以下过程：

SQL>EXECsa_sysdba.disable_policy

（'TEST_POLICY'）;

SQL>EXECsa_sysdba.enable_policy

（'TEST_POLICY'）;

SQL>EXECsa_sysdba.drop_policy

（'TEST_POLICY'）;

3.3、定义Level

EXECsa_components.create_level（'TEST_POLICY',111,'READ111','PublicLevel'）;

EXECsa_components.create_level（'TEST_POLICY',222,'READ222','InternalLevel'）;

第一个参数是上一步创建的安全策略的名字。

第二个参数是Level的等级，数字越大表示权限越高，比如此处具有'READ222'等级的就可以同时查看有'READ111'等级的数据。

第三个参数是Level的短名，随便定义。

第四个参数是Level的长名，只是起到一个说明的作用，随便定义。

可以从DBA_SA_LEVELS视图中查询安全等级的情况。

select*fromDBA_SA_LEVELS

3.4、定义Compartment

本步操作是可选项，看的有点晕，测试了几次没搞透

3.5、定义Group

本步操作是可选项，看的有点晕，测试了几次没搞透

3.6、创建Label

EXECsa_label_admin.create_label（'TEST_POLICY','111','READ111',TRUE）;

EXECsa_label_admin.create_label（'TEST_POLICY','222','READ222',TRUE）;

参数依次是安全策略名，LabelTag，Label值，是否为datalabel。

其中LabelTag必须是不同于系统中任何策略number的数字。

Label值是最关键的地方，通过组合前面几步中定义的level

是否为datalabel是一个布尔值，只有为TRUE的时候，这个标签才可以用于控制表数据的安全性。

可以从DBA_SA_LABELS视图中查询安全标签的情况。

select*fromDBA_SA_LABELS

3.7、将策略赋予表

execsa_policy_admin.apply_table_policy（policy_name=>'TEST_POLICY',schema_name=>'TEST',table_name=>'ZFTANG_TEST_01',table_options=>'LABEL_DEFAULT,READ_CONTROL,WRITE_CONTROL'）;

前三个参数表示我们将TEST_POLICY策略附加到TEST用户的ZFTANG_TEST_01表上，执行这步操作的时候，Oracle会自动将第二步中定义的列添加到表中，如果这步执行成功，我们立刻用TEST用户检索ZFTANG_TEST_01表，会发现一条记录都没有了，这说明LabelSecurity已经起作用了。

第四个参数用于设定策略如何控制表的安全性。

LABEL_DEFAULT表示如果以后一个用户新增数据的时候没有指定Label那么将会使用该用户的defaultsessionlabel（这个default值在下面一步的用户Label设定中定义）；READ_CONTROL,WRITE_CONTROL表示对于表的读写操作都受到安全策略的制约；

HIDE表示不在desc表结构的时候显示TEST_LABEL列名，如果想要显示就省略HIDE字样，

注意，一旦apply策略完成，那么要修改table_options的值，比如想把HIDE去掉，那么就必须先用sa_policy_admin.remove_table_policy函数删除policy定义，然后重新apply。

3.8、将Label赋予用户

使用sa_user_admin.set_user_labels存储过程来将label赋予用户，这个存储过程有不少参数，但是必须输入的只有policy_name，user_name，max_read_label三项，其它参数如果省略的话，都有默认值。

比如def_label参数（用户新增数据的时候没有指定Label时的默认Label）如果没有设定，那么默认为跟max_read_label相同。

我们通过给TEST用户赋予不同的Label，来完成测试的目的。

每次用LBACSYS用户设置完TEST用户的label，TEST用户都必须重新登录一次，设置才会生效。

--------这里很重要，前期测试，没有重新登陆，总感觉没效果；

把LABEL=READ111的授于TEST用户

EXECsa_user_admin.set_user_labels（policy_name=>'TEST_POLICY',user_name=>'TEST',max_read_label=>'READ111'）;

这个时候看查询结果，TEST_LABEL=111的，这个用户才能查询到；

其实表里真实的数据是：

把LABEL=READ222的授于TEST用户

EXECsa_user_admin.set_user_labels（policy_name=>'TEST_POLICY',user_name=>'TEST',max_read_label=>'READ222'）;

执行查询：

发现还是这三条数据，因为其它数据TEST_LABEL列未定义值；

通过SYS用户，对数据进行赋值；

这个时候，就可以看到所有的数据了；因为前面提到：

EXECsa_components.create_level（'TEST_POLICY',111,'READ111','PublicLevel'）;

EXECsa_components.create_level（'TEST_POLICY',222,'READ222','InternalLevel'）;

第一个参数是上一步创建的安全策略的名字。

第二个参数是Level的等级，数字越大表示权限越高，比如此处具有'READ222'等级的就可以同时查看有'READ111'等级的数据。

第三个参数是Level的短名，随便定义。

第四个参数是Level的长名，只是起到一个说明的作用，随便定义。

3.9、新增LEVEL

这里考虑到一点，因为LEVEL的数据越大，级别越高，加入我需要新增一个LEVEL，用来控制用户的访问，就可以按照如下操作：

1、定义LEVEL

EXECsa_components.create_level（'zftang_POLICY',333,'PUBLIC','PublicLevel1'）;

-------创建一个LEVEL

2、定义LABEL

EXECsa_label_admin.create_label（'TEST_POLICY','333','READ333',TRUE）;

3、将LABEL赋予用户

在这里，如果赋予TEST用户READ111的LEVEL，那么这个用户只能看到值=111的数据；

如果赋予TEST用户READ222的LEVEL,可以看到值=111，或者=222的数据

如果赋予TEST用户READ333的LEVEL,就可以看到=111，222，333的数据；

EXECsa_user_admin.set_user_labels（policy_name=>'TEST_POLICY',user_name=>'TEST',max_read_label=>'READ111'）;

至此，这个OracleLabelSecurity的实验基本上是完成了，达到了我们预先计划的目标。

而关于性能方面，如果表中数据量很大，那么出于性能考虑，可能需要在Label列上（本例中的DOC_LABEL）添加合适的索引，根据cardinality的多少，选择B-Tree或者bitmap索引。

结论