Oracle中,现在保护每一行的安全介绍

　　Oracle Label Security（Oracle标签安全性）按行来控制用户的访问。
　　
　　绝大多数商业应用程序都必须处理安全性问题。应用程序经常需要限制对专用记录的访问、建立审计跟踪，或者执行一个工作流过程，所有这些都要符合公司的安全策略。构建安全的软件是一个富有挑战性且复杂的工作，在整个机构内治理软件的安全策略可能会更困难。
　　
　　作为模式（schema）设计人员，你可能会在表中添加安全性列并根据这些表创建用户特定的视图。作为DBA，你可能会创建角色和权限来保护数据库对象。而作为开发人员，你可能会编写PL/SQL包，将安全事务处理封装在应用程序内。所有这些技术都很有效，但这些方法也都具有一定的缺点。例如，某人可能会无意中将专用数据导出至一个个人模式、原有的应用程序可能与安全对象不兼容，或者用户可能会利用SQL＊Plus绕过整个应用程序的安全性检查。
　　
　　Oracle9i数据库有一个可以帮助解决这些问题的组件：Oracle Label Security。Oracle Label Security最早引入Oracle8i第三版（8.1.7），它是一个使你能够建立并实施企业安全性策略的简捷工具。
　　
　　Oracle Label Security是内置于数据库引擎中的过程与约束条件集，该数据引擎实施对在单个表或整个模式上的"行"级访问控制。要利用Oracle Label Security，需要创建一个或多个安全策略，其中每一个安全策略都包含一组标签。你可以用这些标签来标明哪些用户能够访问什么类型数据。在创建了一个策略之后，将该策略应用于需要保护的表，并将这些标签授予你的用户，这样，你就完成了整个过程。Oracle Label Security对查询的修改是透明的，并且在即时计算访问级别，以执行你的新策略。
　　
　　当Oracle9i数据库在解析各个SQL语句时，它也检测各个表是否受到某个安全策略的保护。根据该用户的访问权限，Oracle9i数据库向该语句的WHERE子句中添加安全性谓词。因为这些都发生在数据库引擎的内部，所以不管该SQL语句的来源如何，用户都不可能绕过该安全性机制。
　　
　　它是如何工作的？
　　这里有一个非常简单的例子，可以说明Oracle Label Security是如何工作的。我们创建了名为documents的表，并向其中填入了4个记录，同时定义了两个安全级别：PUBLLIC（公共）与INTERNAL（内部）。每个级别各有一个数字值：1000或2000。接着可以为表的每一行指定一个级别。下面给出对该表进行的一个简单SELECT：
　　
　　SQL> SELECT * FROM documents;
　　
　　DOCID　 DOCNAME　　　　　LEVEL　　　DOC_LABEL
　　-----　 -----------　　　--------　 ---------
　　1　　　 SHARE_WARE　　　 PUBLIC　　 1000
　　2　　　 WEST_PAYROLL　　 INTERNAL　 2000
　　3　　　 EAST_SALES　　　 INTERNAL　 2000
　　4　　　 COMP_PAYROLL　　 INTERNAL　 2000
　　
　　现在假定在我们的数据库中有两个用户：EMP与MGR。我们为这些用户指定如下访问级别：
　　
　　EMP 被指定为 PUBLIC只读。
　　
　　MGR 被指定为 PUBLIC与INTERNAL 读/写。
　　当这两个用户访问该表时，EMP只能读取第1行，而MGR可以对所有4行进行读／写操作。
　　
　　当这两个用户访问此 documents表时，其内部会发生什么呢？假定EMP用户运行下面的查询：
　　
　　SELECT * FROM documents;
　　
　　Oracle9i数据库对该查询进行解析，并判定该表是受标签安全性的保护。Oracle Label Security向该查询中添加一个 WHERE 子句，以确保该EMP只能看到标记有 PUBLIC 访问的行：
　　
　　SELECT * FROM documents
　　WHERE doc_label = 1000;
　　
　　下面是该 EMP 用户在运行此查询后所看到的内容：
　　
　　DOCID　　 DOCNAME　　　　 LEVEL　　　DOC_LABEL
　　-----　　 ----------　　　------　　 ---------
　　1　　　　 SHARE_WARE　　　PUBLIC　　 1000
　　
　　你可能想知道："为什么不根据某一列值，创建一个限制访问的视图呢？"事实上，假如你的应用程序只需要几个级别，并没有非凡的安全要求要考虑，那么向你的表中添加一个安全性列，然后再利用视图就可以了。
　　
　　但假设你的系统要求发生了变化，你现在需要利用对改变数据集的定制的读／写许可跨多个机构来治理数个级别的用
　　户。此外，这些机构位于不同的国家，各自都有自己的法律和安全性限制。假如仅使用视图，就很难满足这些要求了。
　　
　　幸运的是，Oracle Label Security就是为了适应扩展而设计的，因此实施此类应用程序安全性可能比你预计的更轻易。
　　
　　一个练习示例
　　实施Oracle Label Security包括以下10个步骤：
　　
　　安装Oracle Label Security（每个数据库进行一次）
　　创建安全性策略
　　定义级别
　　定义区间（compartment）（可选）
　　定义分组（可选）
　　创建标签
　　将标签策略应用于表
　　指定用户标签
　　指定正常授权级别的访问
　　为表中的行指定合适的标签
　　在使用Oracle Label Security时，可以利用Oracle Enterprise Manager的Policy Manager图形用户界面（GUI）或者Oracle Label Security PL/SQL包。
在我们的示例实施中，我们将利用PL／SQL包。相同的概念可以应用于上述两种技术中的任一种。
　　
　　步骤1；安装Oracle Label Security
　　对于每一个数据库只需要安装一次Oracle Label Security。安装过程包括4个步骤：
　　
　　启动Universal Installer。
　　选择并安装该Oracle Label Security选项。
　　以SYS身份按下面的方式运行$ORACLE_HOME/rdbms/ admin/catols.sql：
　　
　　SQL> CONN sys/passWord AS SYSDBA;
　　SQL> @?/rdbms/admin/catols
　　
　　注重：此catols.sql脚本在其最后一步对数据库进行SHUTDOWN IMMEDIATE （立即关闭）。
　　
　　重新启动实例并运行
　　SQL> SELECT username FROM dba_users;
　　
　　你将看到一个新的包括所有Oracle Label Security对象的 LBACSYS用户。其缺省口令是LBACSYS （所以一定要更改该口令）。该用户将治理你的安全策略。
　　
　　步骤2：创建一个安全性策略
　　下一个任务是创建一个安全性策略。一个策略就是一个包括所有安全规则和访问要求的存储桶（bUCket）。行级别的数据标签和对这些行的模式访问总是与一个策略相关联。
　　
　　在本例中，你需要定义对公司文档的行级别的访问。在此步骤内，创建一个名为DOC_POLICY的策略。要创建一个策略，先以LBACSYS身份建立连接，然后利用 sa_sysdb.create_policy过程：
　　
　　SQL> CONN lbacsys/lbacsys
　　SQL> EXEC sa_sysdba.create_policy
　　('DOC_POLICY','DOC_LABEL');
　　
　　第一个参数DOC_POLICY是该策略的名字，第二个参数DOC_LABEL是一个列的名字，Oracle Label Security将把该列添加到你将在标签控制下替换的表内。
　　
　　为了核实你的策略已经创建，可按下面方式查询DBA_SA_POLICIES ：
　　
　　SQL> SELECT policy_name, status
　　from DBA_SA_POLICIES;
　　
　　POLICY_NAME STATUS
　　----------- -------
　　DOC_POLICY ENABLED
　　
　　要禁用、重新启用或者删除一个策略，可利用以下过程：
　　
　　SQL> EXEC sa_sysdba.disable_policy
　　('DOC_POLICY');
　　SQL> EXEC sa_sysdba.enable_policy
　　('DOC_POLICY');
　　SQL> EXEC sa_sysdba.drop_policy
　　('DOC_POLICY');
　　
　　步骤3：定义级别
　　每个安全性策略都必须包含指定访问表的不同等级的级别。在本例中，创建了两个敏感度级别： PUBLIC与 INTERNAL。
　　
　　SQL> EXEC sa_components.create_level
　　('DOC_POLICY', 1000,
　　'PUBLIC', 'Public Level');
　　SQL> EXEC sa_components.create_level
　　('DOC_POLICY', 2000,
　　'INTERNAL', 'Internal Level');
　　
　　每个级别都有一个策略名、一个数字ID、一个缩写名与一个全名。该数字ID表示敏感度级别--编号越高，表明敏感度越高。在本例中，INTERNAL 比PUBLIC的敏感度要高。为了查看你所创建的级别，执行下面过程：
　　
　　SQL> SELECT * FROM dba_sa_levels
　　ORDER BY level_num;
　　
　　步骤4：定义区间（可选）
　　区间使你能够将对一行数据的访问精确限定在一个级别之内。在本例中，你具有阅读敏感度级别相同的文档，但是某一区间只能看到该级别的子集。下面你要创建FINANCE 与 HUMAN_RESOURCE区间：
　　
　　SQL> EXEC sa_components.create_compartment
　　('DOC_POLICY', 200,
　　'FIN', 'FINANCE');
　　SQL> EXEC sa_components.create_compartment
　　&nb
　　sp;　('DOC_POLICY', 100,
　　'HR', 'HUMAN_RESOURCE');
　　
　　区间有一个策略名、一个数字ID、一个缩写名与一个全名。区间的数字ID并不指定其敏感度的级别。它仅用于在显示访问信息时对区间进行排序。要了解关于区间的信息，可以查询DBA_SA_COMPARTMENTS视图。
　　
　　步骤5：定义分组（可选）
　　和使用区间类似，使用分组是将访问限制在一个级别内的另一个可选用的方法。当有多个层次的用户时（如在一个公司的机构设置图中），组是非常有用的。
　　
　　在创建一个分组时，必须定义一个层次(hierarchy)。在本例中，ALL_REGIONS是父，WEST_REGION和EAST_REGION是ALL_REGIONS的子。

　　
　　SQL> EXEC sa_components.create_group
　　('DOC_POLICY', 10,
　　'ALL', 'ALL_REGIONS');
　　SQL> EXEC sa_compon