Đang tải... (xem toàn văn)
Tài liệu nghiên cứu về oracle virtual private database. Trong tài liệu bao gồm script sql liên quan đến việc check vấn đề bảo mật database trong oracle, hướng tiếp cận giải quyết vấn đề bảo mật,....
TRƯỜNG ĐẠI HỌC NƠNG LÂM TP HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN Đề tài Sử dụng Oracle Virtual Private Database để kiểm soát quyền truy cập liệu Môn: Chuyên Đề Oracle Giảng viên:ThS Nguyễn Thị Minh Hương Nhóm thực hiện: Nhóm 02 Hồng Minh Nam_15130104 Huỳnh Cơng Phát_15130134 Nguyễn Thị Thúy An_15130005 Nguyễn Thị Mộng Thùy_15130189 Nguyễn Linh Yến_15130239 Nguyễn Thị Thủy_15130192 Trần Minh Linh_15130091 Trần Mạnh Tường_15130224 Thành phố Hồ Chí Minh, ngày…., tháng…., năm… Mục Lục Chương 1: Giới thiệu Oracle Database Security 1.1 Tại lại cần Oracle Database Security? Cơ sở liệu Oracle giữ phần lớn liệu quan hệ giới liệu đem lại giá trị cao cho kẻ công trộm cắp liệu Với Oracle bạn triển khai giải pháp an toàn bảo mật liệu đáng tin cậy mà khơng cần phải thay đổi ứng dụng có, tiết kiệm thời gian chi phí 1.2 Các sản phẩm Oracle Database Security 1.2.1 Oracle Advanced Security Tuân thủ quy định quyền riêng tư quy định u cầu cơng ty mã hóa chỉnh sửa liệu ứng dụng thẻ tín dụng, số an sinh xã hội thông tin nhân diện cá nhân (PII) Bằng cách mã hóa che dấu liệu rời khỏi sở liệu, Oracle Advanced Security cung cấp giải pháp tiết kiệm chi phí để bảo vệ liệu cách toàn diện 1.2.2 Oracle Audit Vault and Database Firewall Theo dõi lưu lượng sở liệu Oracle Oracle để phát chặn mối đe dọa cách hợp liệu kiểm toán từ sở liệu, hệ điều hành, thư mục nguồn khác… 1.2.3 Oracle Data Masking and Subsetting Tuân thủ quyền riêng tư bảo vệ liệu, hạn chế sử dụng liệu thực tế từ khách hàng Với Oracle Data Masking and Subsetting, thông tin nhạy cảm thẻ tín dụng, số an sinh xã hội thay giá trị thực tế, cho phép liệu sản xuất sử dụng để phát triển cách an toàn, thử nghiệm chia sẻ với đối tác bên 1.2.4 Oracle Database Security Assessment Tool Đánh giá môi trường sở liệu Oracle cho việc cấu hình quản lí việc tăng cường bảo mật bạn The Database Security Assessment Tool giúp xác định khu vực nơi mà sở liệu cấu hình, hoạt động triển khai có rủi ro, từ đề xuất thay đổi kiểm soát rủi ro 1.2.5 Oracle Database Vault Tuân thủ quyền riêng tư bảo vệ liệu, hạn chế quyền truy cập vào liệu nhạy cảm, riêng tư Oracle Database Vault cho phép hạn chế quyền truy cập vào liệu nhạy cảm, riêng tư, kể Quản trị viên… 1.2.6 Oracle Key Vault Oracle Key Vault cho phép bạn di chuyển khóa mã hõa liệu minh bạch máy chủ sở liệu, tuân thủ tiêu chuẩn bảo mật, đề xuất khóa mã hóa khơng lưu trữ máy chủ với hệ thống mã hóa Qracle Key Vault quản lý phân phối Oracle Wallets, Java KeyStores, SSH keys, tệp thông tin xác thực nhiều nữa… 1.2.7 Oracle Label Security Thực thi yêu cầu truy cập liệu ghi lại cấp phân loại liệu cấp sở liệu hàng Oracle Label Security cung cấp framework linh hoạt cho phép tổ chức chia sẻ ứng dụng mà không cần truy cập liệu xuyên tổ chức Chương 2: Giới thiệu Oracle Virtual Private Database 2.1 Định nghĩa Oracle Virtual Private Database(Oracle VPD) Oracle virtual private database viết tắt Oracle VPD công cụ kết hợp việc sử dụng công cụ điều khiển truy cập (FGAC- Fine – Grain Access control) Application context (ngữ cảnh áp dụng) từ cho phép người dùng quản trị định nghĩa áp dụng sách quản lý quyền truy cập tới mức dòng cột theo phiên làm việc Oracle VPD cho phép định nghĩa sách an tồn đến mức đối tượng (Table, view, synonym) tương ứng với thao tác (SELECT, INSERT, UPDATE, DELETE) Khi người dùng trực tiếp gián tiếp truy cập vào đối tượng thiết lập sách an tồn, hệ quản trị sở liệu tự động thay đổi câu lệnh SQL người dùng cách thêm vào câu lệnh SQL người dùng mệnh đề Where hay gọi vị ngữ (predicate) trả hàm thực thi sách an tồn cho đối tượng Việc thay đổi câu lệnh SQL diễn suốt với người sử dụng cuối (người thực câu lệnh SQL) Hàm thực thi sách an tồn gọi hàm khác gọi đến đoạn mã C Java nhúng để sinh mệnh đề vị ngữ từ file hệ điều hành nơi tập trung lưu trữ sách an tồn Hàm thực thi trả vị ngữ khác tùy thuộc vào người dùng, nhóm người dùng ứng dụng cách sử dụng ngữ cảnh (Application Context) Ví dụ : - Giả sử người dùng thực câu truy vấn : SELECT * FROM OE.ORDERS; - Oracle VPD nối thêm câu lệnh với mệnh đề Where SELECT * FROM OE.ORDERS WHERE SALES_REP_ID = 159; - Ở ví dụ người dùng xem đơn hàng Đại diện bán hàng 159 - Nếu bạn muốn lọc người dùng dựa thông tin phiên người dùng đó, chẳng hạn ID người dùng, bạn tạo mệnh đề WHERE để sử dụng ngữ cảnh ứng dụng SELECT * FROM OE.ORDERS WHERE SALES_REP_ID = SYS_CONTEXT('USERENV','SESSION_USER'); Lưu ý : Oracle VPD không hỗ trợ lọc cho DDL, chẳng hạn câu lệnh TRUNCATE ALTER TABLE 2.2 Các thành phần Oracle VPD Xét mặt vật lý, áp dụng Oracle VPD người dùng cần có thành phần sau : - Application Context (Ngữ cảnh ứng dụng ): nơi lưu trữ thông tin ngữ cảnh ứng dụng - PL/SQL Functions (Các hàm PL/SQL) : hàm thực thi sách an tồn - Security Policy ( Các sách an tồn) : sách an tồn để áp dụng cho đối tượng 2.3 Lợi ích việc sử dụng Oracle VPD Chính sách Oracle VPD cung cấp lợi ích sau : - Căn sách bảo mật đối tượng sở liệu thay ứng dụng - Cách kiểm sốt sở liệu Oracle đánh giá chức sách 2.3.1 Căn sách bảo mật đối tượng sở liệu hay ứng dụng Gắn sách bảo mật sở liệu riêng ảo Oracle vào bảng sở liệu, khung nhìn từ đồng nghĩa, thay thực điều khiển truy cập tất ứng dụng bạn, cung cấp lợi ích sau: - Security (Bảo vệ) : Liên kết sách với bảng sở liệu, chế độ xem từ đồng nghĩa giải vấn đề bảo mật ứng dụng nghiêm trọng tiềm ẩn Giả sử người dùng phép sử dụng ứng dụng, sau vẽ đặc quyền liên kết với ứng dụng đó, sửa đổi sai sở liệu cách sử dụng công cụ truy vấn đặc biệt, chẳng hạn SQL * Plus Bằng cách đính kèm sách bảo mật trực tiếp vào bảng, lượt xem từ đồng nghĩa, kiểm soát truy cập chi tiết đảm bảo bảo mật có hiệu lực, người dùng truy cập liệu - Simplicity (Đơn giản) : Bạn thêm sách bảo mật vào bảng, dạng xem từ đồng nghĩa lần, thay lặp lại nhiều lần cho ứng dụng dựa bảng, dựa chế độ xem dựa từ đồng nghĩa bạn - Flexibility (mềm dẻo) : Bạn có sách bảo mật cho câu lệnh SELECT, sách khác cho câu lệnh INSERT câu lệnh khác cho câu lệnh UPDATE DELETE Ví dụ, bạn kích hoạt nhân viên nhân để có đặc quyền SELECT cho tất ghi nhân viên phận họ, cập nhật lương cho nhân viên phận họ có họ A đến F Hơn nữa, bạn tạo nhiều sách cho bảng, dạng xem từ đồng nghĩa Ví dụ : Bạn kích hoạt nhân viên nhân để có đặc quyền SELECT cho tất ghi nhân viên phận họ, cập nhật lương cho nhân viên phận họ có họ A đến F Hơn nữa, bạn tạo nhiều sách cho bảng, dạng xem từ đồng nghĩa 2.3.2 Kiểm soát chức Oracle Database Evaluates Policy Chạy hàm sách nhiều lần ảnh hưởng đến hiệu suất Bạn kiểm sốt hiệu suất hàm sách cách cấu hình cách Oracle Database lưu trữ vị từ sở liệu riêng ảo Oracle Các lựa chọn khả thi: 10 Bạn sử dụng policy group application context (ngữ cảnh ứng dụng) để phân vùng thực thi kiểm soát truy cập chi tiết để áp dụng policy khác nhau, tùy thuộc vào ứng dụng truy cập liệu Điều loại bỏ yêu cầu cho nhóm phát triển để cộng tác sách đơn giản hóa việc phát triển ứng dụng Bạn có nhóm sách mặc định ln áp dụng (ví dụ: để thực thi liệu phân tách người đăng ký môi trường lưu trữ) 5.5 Xác thực ứng dụng sử dụng để kết nối với sở liệu Một developer sử dụng tính xác thực proxy xác định ứng dụng (tầng giữa) kết nối với sở liệu HRAPPSERVER Do đó, gói thực driving context xác minh xem proxy_user phiên người dùng có phải HRAPPSERVER hay khơng Nếu vậy, sau thiết lập driving contex để sử dụng nhóm policy nhân Nếu proxy_user khơng phải HRAPPSERVER, từ chối truy cập SELECT * FROM apps.benefit; Cơ sở liệu Oracle chọn policy từ policy group mặc định (SYS_DEFAULT) HR namespace Truy vấn viết sau: SELECT * FROM apps.benefit WHERE company = SYS_CONTEXT('ID','MY_COMPANY') and SYS_CONTEXT('ID','TITLE') = 'MANAGER'; Chương 6: Tối ưu hóa hiệu cách sử dụng loại Oracle Virtual Private Database Policy 6.1 Giới thiệu loại Oracle Virtual Private Database Policy Bạn tối ưu hóa hiệu suất policy chạy cách định loại policy phù hợp Xem xét việc thiết lập loại policy cho policy bạn, việc thực hàm policy sử dụng lượng 36 lớn tài nguyên hệ thống Giảm thiểu số lần policy function chạy tối ưu hóa hiệu suất cho sở liệu Bạn chọn số năm loại policy: DYNAMIC, STATIC, SHARED_STATIC, CONTEXT_SENSITIVE SHARED_CONTEXT_SENSITIVE Điều cho phép bạn định xác tần suất policy thay đổi Để định loại policy, đặt tham số policy_type procedure DBMS_RLS.ADD POLICY 6.2 Sử dụng kiểu Policy Dynamic để tự động chạy lại hàm Policy Loại sách DYNAMIC chạy chức policy người dùng truy cập đối tượng sở liệu bảo vệ Virtual Private Database Nếu bạn không định loại policy thủ tục DBMS_RLS.ADD_POLICY, theo mặc định, policy bạn động Bạn định cấu hình policy cụ thể thành động cách đặt tham số policy_type procedure DBMS_RLS.ADD_POLICY thành DYNAMIC Kiểm tra chức sách sách DYNAMIC cho phép bạn quan sát cách chức sách ảnh hưởng đến truy vấn, khơng có lưu trữ Điều đảm bảo hàm hoạt động cách trước bạn kích hoạt chúng làm loại sách tĩnh theo ngữ cảnh để tối ưu hóa hiệu suất Bạn sử dụng thủ tục DBMS_UTILITY.GET_TIME để đo thời gian bắt đầu kết thúc cho câu lệnh để thực thi Ví dụ: Get the start time: SELECT DBMS_UTILITY.GET_TIME FROM DUAL; GET_TIME -2312721 Run the statement: SELECT COUNT(*) FROM HR.EMPLOYEES; COUNT(*) 37 -107 Get the end time: SELECT DBMS_UTILITY.GET_TIME FROM DUAL; GET_TIME -2314319 Tạo Chính sách DYNAMIC DBMS_RLS.ADD_POLICY: BEGIN DBMS_RLS.ADD_POLICY( object_schema => 'hr', object_name => 'employees', policy_name => 'secure_update', policy_function => 'hide_fin', policy_type => dbms_rls.DYNAMIC); END; / 6.3 Sử dụng kiểu Policy Static để ngăn chặn Policy chức từ việc chạy lại câu truy vấn Kiểu Policy Static thực thi biến vị ngữ cho tất người dùng trường hợp Oracle Database lưu trữ vị từ sách tĩnh 38 SGA, hàm policy không chạy lại cho truy vấn Điều dẫn đến hiệu suất nhanh Bạn cho phép sách tĩnh cách đặt tham số policy_type thủ tục DBMS_RLS.ADD_POLICY cho STATIC SHARED_STATIC, tùy thuộc vào việc bạn có muốn sách chia sẻ nhiều đối tượng hay không Tạo sách STATIC với DBMS_RLS.ADD_POLICY BEGIN DBMS_RLS.ADD_POLICY( object_schema => 'hr', object_name => 'employees', policy_name => 'secure_update', policy_function => 'hide_fin', policy_type => dbms_rls.STATIC); END; / Mỗi thao tác trỏ tạo tập hợp hàng khác cho vị từ, vị từ lọc liệu khác dựa thuộc tính SYS_CONTEXT SYSDATE Ví dụ: giả sử bạn kích hoạt sách kiểu sách STATIC SHARED_STATIC, thêm biến vị ngữ sau vào tất truy vấn thực đối tượng sở liệu bảo vệ sách: WHERE dept = SYS_CONTEXT ('hr_app','deptno') Mặc dù biến vị ngữ không thay đổi cho truy vấn, áp dụng cho truy vấn dựa thuộc tính phiên SYS_CONTEXT 39 Trong trường hợp ví dụ trước, vị từ trả hàng có số phận khớp với thuộc tính deptno SYS_CONTEXT, số phận người dùng truy vấn đối tượng sở liệu bảo vệ sách Khi sử dụng sách tĩnh chia sẻ, đảm bảo vị từ sách khơng chứa thuộc tính cụ thể cho đối tượng sở liệu cụ thể, chẳng hạn tên cột 6.4 Sử dụng Policy Shared Static để chia sẻ Policy với nhiều đối tượng Ví dụ: bạn muốn áp dụng sách ví dụ cho bảng thứ hai lược đồ HR chứa liệu tài mà bạn muốn , bạn sử dụng cài đặt SHARED_STATIC cho hai bảng Create a policy for the first table, employees: BEGIN DBMS_RLS.ADD_POLICY( object_schema => 'hr', object_name => 'employees', policy_name => 'secure_update', policy_function => 'hide_fin', policy_type => dbms_rls.SHARED_STATIC); END; / Create a policy for the second table, fin_data: BEGIN DBMS_RLS.ADD_POLICY( object_schema => 'hr', object_name => 'fin_data', policy_name => 'secure_update', policy_function => 'hide_fin', 40 policy_type => dbms_rls.SHARED_STATIC); END; / 6.5 Khi nên sử dụng Static Shared Static Policies Các sách Static lý tưởng cho môi trường mà truy vấn yêu cầu vị từ hiệu nhanh cần thiết, chẳng hạn môi trường lưu trữ Đối với tình hàm policy kết nối biến vị ngữ cho truy vấn, chạy lại hàm policy lần thêm phí khơng cần thiết vào hệ thống Ví dụ: xem xét kho liệu chứa liệu nghiên cứu thị trường cho tổ chức khách hàng đối thủ cạnh tranh Nhà kho phải thực thi sách tổ chức xem nghiên cứu thị trường riêng họ, thể sau: WHERE subscriber_id = SYS_CONTEXT('customer', 'cust_num') 6.6 Sử dụng Context-Sensitive Policy cho dự đoán khơng thay đổi sau phân tích cú pháp Ngược lại với sách tĩnh, sách theo ngữ cảnh lúc lưu nhớ cache vị từ Với sách Context-Sensitive, sở liệu giả định biến vị ngữ thay đổi sau thời gian phân tích câu lệnh Nhưng khơng có thay đổi bối cảnh ứng dụng cục bộ, Oracle Database khơng chạy lại hàm sách phiên người dùng Nếu có thay đổi ngữ cảnh, sở liệu chạy lại hàm sách để đảm bảo nắm bắt thay đổi so với cú pháp ban đầu Bạn bật sách Context-Sensitive cách đặt tham số policy_type quy trình DBMS_RLS.ADD_POLICY thành CONTEXT_SENSITIVE SHARED_CONTEXT_SENSITIVE 41 BEGIN DBMS_RLS.ADD_POLICY( object_schema => 'hr', object_name => 'employees', policy_name => 'secure_update', policy_function => 'hide_fin', policy_type => dbms_rls.CONTEXT_SENSITIVE); END; / Các sách Context-Sensitive hữu ích biến vị ngữ khác nên áp dụng tùy thuộc vào người dùng thực truy vấn Ví dụ, xem xét trường hợp người quản lý nên có nhóm WHERE đặt thành người quản lý nhân viên phải có vị từ WHERE empno đặt thành emp_id Các sách Shared context-sensitive hoạt động giống sách nhạy cảm theo ngữ cảnh thơng thường, ngoại trừ chúng chia sẻ nhiều đối tượng sở liệu Đối với loại sách này, tất đối tượng chia sẻ chức sách từ UGA, vị từ lưu trữ ngữ cảnh phiên cục thay đổi 6.7 Sử dụng Shared Context Sensitive Policy để chia sẻ Policy với nhiều đối tượng Tạo sách SHARED_CONTEXT_SENSITIVE với DBMS_RLS.ADD_POLICY Create a policy for the first table, employees: BEGIN DBMS_RLS.ADD_POLICY( 42 object_schema => 'hr', object_name => 'employees', policy_name => 'secure_update', policy_function => 'hide_fin', policy_type => dbms_rls.SHARED_CONTEXT_SENSITIVE); END; / Create a policy for the second table, fin_data: BEGIN DBMS_RLS.ADD_POLICY( object_schema => 'hr', object_name => 'fin_data', policy_name => 'secure_update', policy_function => 'hide_fin', policy_type => dbms_rls.SHARED_CONTEXT_SENSITIVE); END; / 6.8 Khi nên sử dụng sách Context-Sensitive Shared ContextSensitive Các sách Context-sensitive hữu ích biến vị ngữ không cần phải thay đổi phiên người dùng, sách phải thực thi hai nhiều biến vị ngữ khác cho người dùng nhóm khác Chính sách quy định nhà phân tích thấy sản phẩm riêng họ nhân viên khu vực nhìn thấy khu vực họ Trong trường hợp này, sở liệu phải chạy lại hàm sách lần loại người dùng thay đổi Hiệu suất đạt được thực người dùng 43 đăng nhập phát hành số câu lệnh DML đối tượng bảo vệ mà không làm cho máy chủ chạy lại hàm sách Chương 7: Oracle Virtual Private Database hoạt động với tính Oracle khác nào? 7.1 Sử dụng sách Oracle Virtual Private Database với Editions Nếu bạn chuẩn bị ứng dụng cho định nghĩa lại dựa ấn bạn bao gồm bảng mà ứng dụng sử dụng với chế độ xem ấn bản, bạn phải di chuyển sách Virtual Private Database bảo vệ bảng đến chế độ xem ấn Khi đối tượng ấn có sách Virtual Private Database, áp dụng tất phiên mà đối tượng nhìn thấy Khi đối tượng edition thực hóa, sách VPD đính kèm với gắn với xuất thực tế Khi bạn vừa áp dụng sách VPD cho đối tượng xuất kế thừa, hành động thực hóa 7.2 Sử dụng SELECT FOR UPDATE User Queries bảng VPD bảo vệ Theo nguyên tắc chung, người dùng không nên bao gồm mệnh đề FOR UPDATE truy vấn bảng bảo vệ Virtual Private Database Công nghệ The Virtual Private Database phụ thuộc vào việc viết lại truy vấn người dùng chế độ xem nội tuyến bao gồm vị từ VPD tạo hàm sách VPD Bởi điều này, hạn chế tương tự view áp dụng cho bảng bảo vệ VPD Nếu truy vấn người dùng bảng bảo vệ VPD bao gồm mệnh đề FOR UPDATE câu lệnh SELECT, hầu hết trường hợp, truy vấn khơng hoạt động Tuy nhiên, truy vấn người dùng hoạt động số trường hợp chế độ inline view VPD tạo đủ đơn giản Mệnh đề FOR UPDATE có hạn chế sau: - Bạn khơng thể định mệnh đề với cấu trúc khác sau đây: toán tử DISTINCT, biểu thức CURSOR, toán tử thiết lập, hàm group_by_clause tổng hợp - Các bảng bị khóa mệnh đề phải đặt sở liệu sở liệu cột LONG chuỗi tham chiếu câu lệnh 44 7.3 Các sách Oracle Virtual Private Database ảnh hưởng đến hoạt động bên ANSI Virtual Private Database Oracle viết lại SQL cách sử dụng khung nhìn động Đối với SQL có chứa outer join ANSI, số view khơng hợp số index khơng sử dụng Để khắc phục vấn đề này, viết lại SQL để không sử dụng phép outer join chuẩn ANSI 7.4 Cách thức sách bảo mật Virtual Private Database Oracle làm việc với ứng dụng Chính sách bảo mật Virtual Private Database Oracle áp dụng sở liệu, khơng phải ứng dụng Do đó, người dùng cố gắng truy cập liệu cách sử dụng ứng dụng khác khơng thể bỏ qua sách bảo mật Virtual Private Database Oracle Một ưu điểm khác việc tạo sách bảo mật sở liệu bạn trì nơi trung tâm, thay trì sách bảo mật cá nhân nhiều ứng dụng Virtual Private Database Oracle cung cấp bảo mật mạnh bảo mật dựa ứng dụng, với chi phí sở hữu thấp Bạn muốn thực thi sách bảo mật khác tùy thuộc vào ứng dụng truy cập liệu Xem xét tình có hai ứng dụng, Order Entry Inventory, hai truy cập vào bảng Oder Bạn muốn có ứng dụng Inventory sử dụng sách giới hạn quyền truy cập dựa loại sản phẩm Đồng thời, bạn muốn có ứng dụng Order Entry sử dụng sách hạn chế quyền truy cập dựa số khách hàng 7.5 Sử dụng Automatic Reparsing cho chức sách kiểm sốt truy cập Fine-Grained Theo mặc định, truy vấn đối tượng kích hoạt với kiểm sốt truy cập chi tiết chạy hàm sách để đảm bảo biến vị ngữ sử dụng cho sách Ví dụ, trường hợp hàm sách dựa thời gian, truy vấn cho phép từ 8:00 sáng đến 5:00 chiều, việc thực thi trỏ phân tích vào buổi trưa chạy hàm sách thời điểm đó, đảm bảo sách tư vấn lại cho truy vấn Ngay curser 45 phân tích cú pháp lúc sáng, chạy sau (ví dụ, vào buổi trưa), hàm sách Virtual Private Database chạy lại để đảm bảo việc thực thi trỏ cho phép thời điểm (trưa) Điều đảm bảo kiểm tra bảo mật phải thực Tự động thực lại chức sách Virtual Private Database không xảy bạn đặt cài đặt DBMS_RLS.ADD_POLICY STATIC_POLICY thành TRUE thêm sách Cài đặt làm cho chức sách trả vị từ 7.6 Sử dụng Oracle Virtual Private Database Policies truy vấn Flashback Theo mặc định, hoạt động sở liệu sử dụng liệu commited gần có Tính truy vấn flashback cho phép bạn truy vấn sở liệu số điểm khứ Để viết ứng dụng sử dụng truy vấn flashback, bạn sử dụng mệnh đề AS OF truy vấn SQL để định thời gian số thay đổi hệ thống (SCN), truy vấn liệu cam kết từ thời gian định Bạn sử dụng gói PL / SQL DBMS_FLASHBACK, đòi hỏi nhiều mã hơn, cho phép bạn thực nhiều thao tác, tất tham chiếu đến thời điểm Tuy nhiên, bạn sử dụng truy vấn flashback đối tượng sở liệu bảo vệ sách Oracle Virtual Private Database, sách áp dụng cho liệu cũ Áp dụng sách Virtual Private Database Oracle để liệu truy vấn flashback an tồn phản ánh sách kinh doanh 7.7 Sử dụng Oracle Virtual Private Database Oracle Label Security 7.7.1 Sử dụng Oracle Virtual Private Database để thực thi sách bảo mật Oracle Label Bạn sử dụng sách Virtual Private Database Oracle để truy cập cấp độ cột hàng dựa ủy quyền người dùng Oracle Label Security Phải thực bước sau: - Bước 01: Khi bạn tạo sách bảo mật Oracle Label Security Oracle, không áp dụng sách cho bảng mà bạn muốn bảo vệ Trong thủ tục SA_SYSDBA.CREATE_POLICY, đặt tham số default_options thành NO_CONTROL 46 - Bước 02: Tạo thành phần Oracle Label Security Oracle cho phép user dùng bình thường - Bước 03: Khi bạn tạo sách Virtual Private Database Oracle, làm sau: + Trong hàm PL / SQL bạn tạo cho sách, sử dụng hàm Oracle Label Security DOMINATES để so sánh ủy quyền người dùng với nhãn mà bạn tạo Bước 02 + Trong định nghĩa sách Virtual Private Database, áp dụng hàm cho bảng mà bạn muốn bảo vệ Trong thủ tục DBMS_RLS.ADD_POLICY, sử dụng cột (tham số sec_relevant_cols) chức column masking (sec_relevant_cols_opt) để hiển thị ẩn cột dựa ủy quyền người dùng Oracle Label Security 47 48 7.7.2 Oracle Virtual Private Database Oracle Label Security Exceptions Hãy lưu ý ngoại lệ sau bạn sử dụng Oracle Virtual Private Database Oracle Label Security: - Khi bạn xuất liệu, sách Oracle Virtual Private Database Oracle Label Security không thực thi hoạt động xuất đường dẫn trực tiếp - Bạn khơng thể áp dụng sách Oracle Virtual Private Database sách Oracle Label Security cho đối tượng lược đồ SYS - Người dùng sở liệu cấp đặc quyền EXEMPT ACCESS POLICY, trực tiếp thông qua vai trò sở liệu, miễn thi hành sở liệu Oracle Virtual Private Database Lưu Ý: - Đặc quyền EXEMPT ACCESS POLICY không ảnh hưởng đến việc thực thi đặc quyền đối tượng SELECT, INSERT, UPDATE DELETE Các đặc quyền thực thi người dùng cấp đặc quyền EXEMPT ACCESS POLICY - Các giá trị SYS_CONTEXT mà Oracle Virtual Private Database sử dụng không truyền đến sở liệu thứ cấp để chuyển đổi dự phòng 49 7.8 Mơ hình người dùng Virtual Private Database Oracle Bạn sử dụng Oracle Virtual Private Database kiểu mơ hình người dùng sau: Người dùng ứng dụng người dùng sở liệu Xác thực proxy OCI JDBC / OCI Xác thực proxy tích hợp với Enterprise User Security Người dùng kết nối với tư cách One Big Application User Web-based applications 50 ... sẻ ứng dụng mà không cần truy cập liệu xuyên tổ chức Chương 2: Giới thiệu Oracle Virtual Private Database 2.1 Định nghĩa Oracle Virtual Private Database (Oracle VPD) Oracle virtual private database. .. nghĩa giải vấn đề bảo mật ứng dụng nghiêm trọng tiềm ẩn Giả sử người dùng phép sử dụng ứng dụng, sau vẽ đặc quyền liên kết với ứng dụng đó, sửa đổi sai sở liệu cách sử dụng công cụ truy vấn đặc biệt,... đổi Điều thích hợp cho việc sử dụng đệm kết nối (connect pooling) tới database mà sử dụng chung shema sử dụng ngữ cảnh ứng dụng để thay đổi định danh người dùng ứng dụng - Shared_Context_Sensitive: