GVHD: TS. Đ ng Toàn Khánh ặ Nhóm th c hi n ự ệ 1. Lâm Th Ki u Ngân 1012022ị ề 2. Ngô Th Ng c Th m 1012040ị ọ ắ 1. Tổng quan 2. Kiến trúc Oracle Label Security 3. Triển khai thực hiện 4. Ưu điểm 5. Label Based Access Control (LBAC) vs Virtual Private Database (VPD)  Truy cập vào dữ liệu riêng tư bất hợp pháp ngày càng phổ biến.  Bảo mật dữ liệu riêng tư tốn kém nhiều chi phí và làm tăng tải cho người quản trị.  Thách thức đặt ra là làm sao bảo mật dữ liệu an toàn trước những xâm nhập bất hợp pháp.  Oracle đưa ra các giải pháp bảo mật toàn diện Oracle Database Defense in Dept. [...]... chọn “'Column Masking” dùng để báo cho Database trả về tất cả các dòng có liên quan theo đúng truy vấn ban đầu bằng cách bỏ qua mệnh đề where trong policy mới Tuy nhiên, policy sẽ vẫn thực thi để biết column cell nắm ngoài policy và trả về NULL cho những cell đó Column Relevant Policies Select cust_last_name, social _security_ number from accts; VPD Col Relevant Policy SOCIAL SECURITY NUMBER 431-395-9332... cơ chế bảo mật truy cập được gỡ bỏ khỏi các ứng dụng và tập trung vào bên trong Oracle SOCIAL SECURITY NUMBER Added by VPD Select * from employees where account_mgt_id = 148 431-395-9332 381-395-9223 •Hạn chế truy cập bằng cách sử dụng nội dung của dữ liệu được lưu trữ trong CSDL hoặc các biến bối cảnh được cung cấp bởi Oracle, ví dụ như tên người dùng hoặc địa chỉ IP •Trong ví dụ này, giá trị 148 có... cho người sử dụng Table Package USER Step 1 Step 2 Security Policy Step 5 Step 4 Where Predicate Step 3 Tại thời điểm thực thi, Oracle tự động thay đổi câu lệnh SQL của người dùng cuối bằng cách: • Tập hợp thông tin ngữ cảnh ứng dụng vào thời điểm ngươi dùng đăng nhập, sau đó gọi các policy function, function này trả về một predicate, là một mệnh đề where xác định một tập riêng các hàng trong bảng... xuất đến dòng dữ liệu Có các tên gọi khác: row-level security (RLS) fine-grained access control (FGAC) Được giới thiệu từ Oracle 8i Database thực thi chính sách bảo mật để sửa đổi câu truy vấn (Policy-based query modification) Chính sách bảo mật được tạo ra bởi các thủ tục được có sẵn Các thủ tục này được đính kèm vào table, view, table + column (từ Oracle 10g) bằng cách gọi đến một RDBMS package VPD... được gán nhãn để xác định mức độ và tính chất nhạy cảm của chúng Label quy định cụ thể độ nhạy cảm của thông tin trên dòng, xác định rõ các tiêu chí phải được đáp ứng nếu user muốn truy cập - Mỗi dòng trong bảng đều được dán nhãn và được xem như là mức độ bảo mật của nó - Mỗi nhãn bao gồm ba thành phần: Level, Compartment và Group  Data Labels - Level: là thành phần bắt buộc, phân cấp có xếp hạng, thể... STRATEGIC, NUCLEAR, CHEMICAL, OPERATOR  Data Labels - Groups: cũng là một tùy chọn để giới hạn truy cập trong một level Group có ích trong việc phân cấp user Group là một cây phân cấp - Ví dụ, Group có thể là các chi nhánh của một công ty, các vùng miền của một nước  Data Labels Tóm lại: độ nhạy cảm của nhãn là một thuộc tính đơn với nhiều thành phần Data labels phải chứa level, nhưng compartments... tả chế độ read-only hoặc read/write cho mỗi compartment và group Khi cấp quyền cho user, quản trị cũng quy định cụ thể session label nào sẽ được khởi tạo Session Label là sự kết hợp đặc biệt giữa Level, các Compartment và các Group lúc thực thi User có thể thay đổi session label ... một tên gắn liền với các label, các luật (rule) và các authorization  Khi thực thi một câu lệnh SELECT, OLS đánh giá mỗi dòng được select để kiểm tra xem user có được truy xuất không Việc kiểm tra này dựa trên các quyền và nhãn truy xuất đã được quản trị bảo mật gán cho user  OLS cũng có thể cấu hình để thực hiện kiểm tra bảo mật trên câu lệnh Update, Delete, Insert  Data Labels - Các dòng dữ liệu... khoảng trắng Lưu ý: khoảng trắng đầu và cuối là không hợp lệ  Mối quan hệ giữa các thành phần trong Data Labels Ví dụ Levels, Compartments, và groups trong các lĩnh vực Industry Levels Copartments groups Quốc phòng TOP_SECRET SECRET CONFIDENTIAL UNCLASSIFIED ALPHA DELTA SIGMA UK NATO SPAIN Dịch vụ tài chính ACQUISITIONS CORPORATE CLIENT OPERATIONS INSURANCE EQUITIES TRUSTS COMMERCIAL_LOANS CONSUMER_LOANS... CONFIDENTIAL PUBLIC MARKETING FINANCIAL SALES PERSONNEL AJAX_CORP BILTWELL_CO ACME_INC ERSATZ_LTD Label syntax LEVEL:COMPARTMENT1, ,COMPARTMENTn:GROUP1, ,GROUPn VD: SENSITIVE:FINANCIAL,CHEMICAL:EASTERN_REGION,WESTERN_REGION CONFIDENTIAL:FINANCIAL:VP_GRP SENSITIVE HIGHLY_SENSITIVE:FINANCIAL SENSITIVE::WESTERN_REGION User Labels User được gán: -Một cấp trong các level -Các compartment -Các Group Một Nhãn được . hợp pháp.  Oracle đưa ra các giải pháp bảo mật toàn diện Oracle Database Defense in Dept.