Bài giảng Bảo mật cơ sở dữ liệu: Chương 8 - Trần Thị Kim Chi
lượt xem 17
download
Bài giảng "Bảo mật cơ sở dữ liệu - Chương 8: Virtual private database" cung cấp cho người học các nội dung: Giới thiệu về Virtual private database, Row-level security, kỹ thuật làm việc với policy function, quyền Exempt Access Policy, giám sát quyền Exempt Access Policy, xử lý các Exception về Policy Function,... Mời các bạn cùng tham khảo.
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Bài giảng Bảo mật cơ sở dữ liệu: Chương 8 - Trần Thị Kim Chi
- Chương VIII Pag. 1
- Nội Dung 1) Giới thiệu về Virtual Private Database 2) Row-level security 3) Kỹ thuật làm việc với policy function 4) Quyền EXEMPT ACCESS POLICY 5) Giám sát quyền EXEMPT ACCESS POLICY 6) Xử lý các Exception về Policy Function 7) Column Sensitive VPD 8) Example Pag. 2
- Virtual Private Databases • Cơ sở dữ liệu riêng ảo (Virtual Private Databases-VPD) cho phép nhiều người dùng truy cập vào một lược đồ duy nhất và ngăn chặn họ truy cập vào dữ liệu mà không liên quan đến họ. • VPD điều khiển việc truy xuất dữ liệu tại mức dòng (row) và cột (column) • SQL Server: use VIEW data object • Oracle10g: – Specific functions – Row-level security, fine-grained 3 access Database (FGA) Security and Auditing
- Giới thiệu về Virtual Private Database Pag. 4 Security and Auditing Database
- Giới thiệu về Virtual Private Database Ví dụ Pag. 5 Security and Auditing Database
- Giới thiệu về Virtual Private Database Ví dụ Pag. 6 Security and Auditing Database
- Giới thiệu về Virtual Private Database Ví dụ Pag. 7 Security and Auditing Database
- Overview of Virtual Private Databases (continued) Thực thi VPD là sự kết hợp của 2 kỹ thuật: • Fine-grained access control (FGAC) • Application Context 8 Database Security and Auditing
- Overview of Virtual Private Databases (continued) • Fine-grained access control (FGAC): cho phép người quản trị dùng các function để hiện thực các chính sách bảo mật và liên kết các chính sách bảo mật đó với các table, view hoặc synonym. • Việc gán các chính sách như vậy khiến cho những người dùng với quyền hạn khác nhau sẽ thấy được những “khung nhìn” khác nhau đối với đối tượng được bảo vệ. • Đồng thời chính sách bảo mật đó sẽ được áp dụng cho bất kỳ user nào truy xuất đến table đó mà không cần người quản trị phải gán chính sách cho từng user. 9 Database Security and Auditing
- Overview of Virtual Private Databases (continued) • Application Context: cung cấp một nơi lưu trữ bảo mật cho những giá trị ngữ cảnh ứng dụng. Sử dụng Application Context sẽ nâng cao hiệu quả thực hiện của FGAC • Lưu ý: bởi vì đây là 1 phương pháp hiệu quả và phổ biến để hiện thực việc bảo mật ở mức dòng dữ liệu trong Oracle, nên người ta thường dùng thuật ngữ Row-level security (RLS) để thay cho Fine-grained access control hoặc Virtual Private Database. 10 Database Security and Auditing
- Row-level Security • Row-level security (RLS) cho phép giới hạn việc truy xuất các hàng (record) dựa trên một chính sách bảo mật (security policy) được hiện thực bằng PL/SQL. Một chính sách bảo mật mô tả các quy định quản lý việc truy xuất các dòng dữ liệu. 11 Database Security and Auditing
- Row-level Security Cơ chế thực hiện • Để thực hiện RLS, đầu tiên ta tạo 1 hàm PL/SQL (PL/SQL function) trả về một chuỗi (string). Chuỗi string này chứa các điều kiện của chính sách bảo mật mà ta muốn hiện thực. • Hàm PL/SQL vừa được tạo ở trên sau đó được đăng ký cho các table, view mà ta muốn bảo vệ bằng cách dùng package PL/SQL DBMS_RLS. • Khi có một câu truy vấn của bất kỳ user nào trên đối tượng được bảo vệ, Oracle sẽ nối chuỗi được trả về từ hàm nêu trên vào mệnh đề WHERE của câu lệnh SQL ban đầu (nếu trong câu lệnh SQL ban đầu không có mệnh đề WHERE thì Oracle sẽ tự động tạo thêm mệnh đề WHERE để đưa chuỗi điều kiện vào), nhờ đó sẽ lọc được các hàng dữ liệu theo các điều kiện của chính sách bảo mật. 12 Database Security and Auditing
- Row-level Security Các lưu ý khi làm việc với RLS • Các hàm PL/SQL được đăng ký cho các table, view hay synonym bằng cách gọi thủ tục DBMS_RLS.ADD_POLICY. • Thủ tục ADD_POLICY đòi hỏi ít nhất phải có 3 tham số nhập vào: object_name, policy_name, policy_function. (Mô tả chi tiết của package DBMS_RLS được chứa trong file thư_mục_cài_đặt_Oracle\Oracle\RDBMS\ADMIN\dbmsrlsa.s ql). • Sự kết hợp của object_schema, object_name, và policy_name phải là duy nhất. 13 Database Security and Auditing
- Row-level Security Các lưu ý khi làm việc với RLS • Mặc định, policy sẽ được áp dụng cho tất cả các lệnh DML. Người quản trị có thể dùng tham số STATEMENT_TYPES để chỉ ra policy áp dụng cho loại câu lệnh nào. • Bất cứ khi nào 1 user truy xuất một cách trực tiếp hay gián tiếp vào đối tượng được bảo vệ, RLS engine sẽ được gọi một cách tự động, hàm PL/SQL đã đăng ký sẽ được thực thi, và rồi lệnh SQL của user sẽ được chỉnh sửa và thực thi. • Tuy nhiên, account SYS không bị ảnh hưởng bởi bất kỳ chính sách bảo mật nào. • Nhiều policy cũng có thể áp dụng cho cùng 1 đối tượng. Khi đó CSDL sẽ kết hợp tất cả các policy đó lại với nhau theo phép AND. 14 Database Security and Auditing
- Row-level Security Các lưu ý khi làm việc với RLS • Quyền sử dụng package DBMS_RLS không được gán cho mọi người dùng. Những người quản trị cần được gán quyền EXECUTE ON DBMS_RLS để có thể sử dụng được nó. • Tất cả các policy function mà ta tạo ra đều phải có đúng 2 tham số truyền vào. • Tham số đầu tiên là tên của schema sở hữu đối tượng mà chính sách RLS đó bảo vệ. • Tham số thứ hai là tên của đối tượng được bảo vệ. Hai tham số này rất hữu ích vì 1 policy function có thể được áp dụng cho nhiều đối tượng khác nhau trong nhiều schema khác nhau. • Các tham số sẽ được dùng để xác định đối tượng nào mà chính sách đó được gọi cho nó. Kiểu của 2 tham số truyền vào và của giá trị trả về phải là kiểu VARCHAR2.15 Database Security and Auditing
- Row-level Security Các lưu ý khi làm việc với RLS • Policy function cần được tạo ra trong schema của người quản trị bảo mật. Điều này quan trọng vì việc truy xuất vào các policy function cần được bảo vệ. Các user khác không nên có quyền thực thi hay quyền alter hoặc quyền drop trên các policy function này. • Để hiện thực được các chính sách bảo mật phức tạp một cách hiệu quả, thông thường người ta sử dụng kết hợp RLS với Application Context. Nhờ đó các chính sách bảo mật sẽ được áp dụng theo các điều kiện linh hoạt hơn (ví dụ: áp dụng chính sách bảo mật nào là dựa trên người dùng thuộc Department số mấy). 16 Database Security and Auditing
- Setting op a Virtual Private Databases Setting up a VPD involves the following steps. • Setup Test Environment • Create an Application Context • Create Login Trigger • Create Security Policies • Apply Security Policies to Tables • Test VPD • What Next 17 Database Security and Auditing
- Tạo User trong SQL Server 18 Database Security and Auditing
- Tạo user cho DB hiện hành • Để thêm 1 tài khoản (ID) cho 1 user mới vào DB hiện hành • Cú pháp: • sp_adduser [ @loginame = ] 'login' [ , [ @name_in_db = ] 'user' ] [ , [ @grpname = ] 'group' ] • Chú ý: chỉ có thể tạo user mới cho những user nào đã có tài khoản đăng nhập (login ID) • ‘login‘: xác định login id của user • 'user‘ là tên của user mới. Nếu tuỳ chọn này không được xác định, tên của user sẽ chính là tên login id của user đó. Có thể tạo ra tài khoản user khác với tên login id của user đó. • 'group‘ là nhóm hay role mà user mới này sẽ tự động trở thành thành viên của nhóm. • Có thể tạo user mới từ Enterprise Manager
- Tạo User trong Oracle 20 Database Security and Auditing
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Bài giảng Bảo mật cơ sở dữ liệu: Chương 1 - Trần Thị Kim Chi
195 p | 241 | 42
-
Bài giảng Bảo mật cơ sở dữ liệu: Chương 5 - Trần Thị Kim Chi
136 p | 159 | 27
-
Bài giảng Bảo mật cơ sở dữ liệu: Chương 2 - Trần Thị Kim Chi
177 p | 145 | 23
-
Bài giảng Bảo mật cơ sở dữ liệu: Chương 6 - Trần Thị Kim Chi
171 p | 111 | 23
-
Bài giảng Bảo mật cơ sở dữ liệu: Chương 3 - Trần Thị Kim Chi
130 p | 117 | 22
-
Bài giảng Bảo mật cơ sở dữ liệu: Chương 4 - Trần Thị Kim Chi
115 p | 122 | 19
-
Bài giảng Bảo mật hệ thống thông tin: Chương 8 - ĐH Bách khoa TP HCM
31 p | 130 | 18
-
Bài giảng Bảo mật cơ sở dữ liệu: Discretionary Access Control - Trần Thị Kim Chi
138 p | 226 | 17
-
Bài giảng Bảo mật hệ thống thông tin: Chương 10 - ĐH Bách khoa TP HCM
64 p | 140 | 15
-
Bài giảng Bảo mật hệ thống thông tin: Chương 7 - ĐH Bách khoa TP HCM
70 p | 126 | 15
-
Bài giảng Bảo mật hệ thống thông tin: Chương 6 - ĐH Bách khoa TP HCM
44 p | 110 | 13
-
Bài giảng Bảo mật cơ sở dữ liệu: Chapter 7 - Trần Thị Kim Chi
49 p | 95 | 9
-
Bài giảng Bảo mật cơ sở dữ liệu: Chương 9 - Trần Thị Kim Chi (Phần 1)
117 p | 85 | 9
-
Bài giảng Bảo mật cơ sở dữ liệu: Chương 3 - Trần Thị Kim Chi (tt)
59 p | 91 | 8
-
Bài giảng Bảo mật cơ sở dữ liệu: Security methods for statistical databases - Trần Thị Kim Chi
24 p | 81 | 6
-
Bài giảng Bảo mật cơ sở dữ liệu: Security models - Trần Thị Kim Chi
141 p | 81 | 6
-
Bài giảng Bảo mật cơ sở dữ liệu: Chapter 3 - Trần Thị Kim Chi
58 p | 84 | 4
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn