Trang chủ » Công Nghệ Thông Tin » An toàn thông tin

8 trang

115 lượt xem

Bài thực hành Bảo mật hệ thống thông tin số 11: Oracle Label Security (4)

Bài thực hành Bảo mật hệ thống thông tin số 11: Oracle Label Security (4) có nội dung trình bày về một số kỹ thuật nâng cao trong OLS, che dấu cột thông tin chính sách, sử dụng hàm gán nhãn, các view của OLS,... Mời các bạn cùng tham khảo chi tiết nội dung tài liệu.

Chủ đề:

xusong

Cơ sở an toàn thông tin

Bài th c hành s 11ự ố

ORACLE LABEL SECURITY (4)

Tóm t t n i dung:ắ ộ

Che d u c t thông tin chính sáchấ ộ

S d ng hàm gán nhãnử ụ

Các view c a OLSủ

I. M t s k thu t nâng cao trong OLSộ ố ỹ ậ

A. Lý thuy tế

1. Che d u c t thông tin nhãn d li uấ ộ ữ ệ

Đ tránh vi c hi n th c t ch a thông tin chính sách, ng i qu n tr có th thi tể ệ ể ị ộ ứ ườ ả ị ể ế

l p tùy ch n HIDE khi gán chính sách cho b ng.ậ ọ ả

M t khi chính sách đã đc áp d ng, tr ng thái n/Không n c a c t khôngộ ượ ụ ạ Ẩ Ẩ ủ ộ

th đc thay đi tr khi ta remove chính sách kh i b ng v i tham sể ượ ổ ừ ỏ ả ớ ố

DROP_COLUMN b ng TRUE. Sau đó chính sách có th đc áp d ng l i v iằ ể ượ ụ ạ ớ

tr ng thái m i.ạ ớ

Khi ng i dùng INSERT d li u vào b ng có tr ng thái n c t chính sách, giáườ ữ ệ ả ạ ẩ ộ

tr c a c t ch a nhãn s không b yêu c u ph i insert.ị ủ ộ ứ ẽ ị ầ ả

Câu l nh SELECT * s không t đng tr v giá tr c a c t n, tr khi nóệ ẽ ự ộ ả ề ị ủ ộ ẩ ừ

đc truy xu t tr c ti p.ượ ấ ự ế

Câu l nh DESCRIBE cũng s không hi n th thông tin c t n.ệ ẽ ể ị ộ ẩ

2. Hàm gán nhãn

Có nh ng b ng d li u l n, ta không th ng i gán nhãn cho t ng tr ng h p.ữ ả ữ ệ ớ ể ồ ừ ườ ợ

OLS cung c p cho ta m t cách gán nhãn khác. Đó là s d ng m t hàm (function)ấ ộ ử ụ ộ

do mình hi n th c đ OLS s t đng gán nhãn m i khi có hàng m i đc insertệ ự ể ẽ ự ộ ỗ ớ ượ

Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM

vào b ng d li u đc b o v . Xem ph n th c hành đ hi u rõ h n v cáchả ữ ệ ượ ả ệ ầ ự ể ể ơ ề

th c làm vi c này.ứ ệ

Hàm gán nhãn s override 2 tùy ch n LABEL_DEFAULT vàẽ ọ

LABEL_UPDATE.

B. Th c hànhự

1. Che d u c t thông tin chính sáchấ ộ

Do trong bài lab tr c, ta đã áp d ng chính sách cho b ng mà không có tùy ch nướ ụ ả ọ

HIDE nên trong b i lab này ta ph i remove chính sách (xóa luôn c t thông tin),ả ả ộ

th c hi n l i đo n code gán nhãn trong bài lab tr c và gán l i chính sách.ự ệ ạ ạ ướ ạ

CONN sec_admin/secadmin;

BEGIN

sa_policy_admin.remove_table_policy

(policy_name => 'ACCESS_LOCATIONS',

schema_name => 'HR',

table_name => 'LOCATIONS',

drop_column => true);

END;

SELECT * FROM hr.locations;

Ta nh n th y lúc này c t OLS_COLUMN v n ch a b xóa dù Oracle báo th cậ ấ ộ ẫ ư ị ự

hi n thành công th t c. Lý do là khi remove chính sách, ta s xóa c tệ ủ ụ ẽ ộ

OLS_COLUMN, t c là đã thay đi b ng Locations. Do v y ta c n c p thêmứ ổ ả ậ ầ ấ

quy n ALTER trên b ng Locations cho sec_admin đ c t OLS_COLUMN th tề ả ể ộ ậ

s b xóa. Bây gi ta gán l i chính sách trên đ th y s thay đi sau khiự ị ờ ạ ể ấ ự ổ

sec_admin đc gán quy n.ượ ề

CONN sec_admin/secadmin;

BEGIN

sa_policy_admin.apply_table_policy

(policy_name => 'ACCESS_LOCATIONS',

schema_name => 'HR',

table_name => 'LOCATIONS',

table_options => 'NO_CONTROL');

Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM

END;

CONN system/system;

GRANT alter ON hr.locations TO sec_admin;

CONN sec_admin/secadmin;

BEGIN

sa_policy_admin.remove_table_policy

(policy_name => 'ACCESS_LOCATIONS',

schema_name => 'HR',

table_name => 'LOCATIONS',

drop_column => true);

END;

SELECT * FROM hr.locations;

Ta nh n th y bây gi c t OLS_COLUMN đã th t s đc xóa.ậ ấ ờ ộ ậ ự ượ

Gán l i chính sách cho b ng v i NO_CONTROL và HIDE:ạ ả ớ

CONN sec_admin/secadmin;

BEGIN

sa_policy_admin.apply_table_policy

(policy_name => 'ACCESS_LOCATIONS',

schema_name => 'HR',

table_name => 'LOCATIONS',

table_options => 'HIDE,NO_CONTROL');

END;

Gán l i nhãn cho d li u trong b ng (do lúc remove đã xóa m t c t ch a thôngạ ữ ệ ả ấ ộ ứ

tin chính sách):

CONN sec_admin/secadmin;