Oracle标签安全测试 - 站长交流 - 枫叶交流论坛热血超辅|腾迅QQ2008|腾讯2008|美甲|说话玫瑰|炒股|游戏|免费游戏|股票|软件|下载|GOOGLE ADWORDS优惠券|网赚|GOOGLE优化|源码|数码美甲|武林超辅

　　本文详细解答了如何对Oracle 标签进行安全测试……

　　其中牵涉到几个名词，解释一下：

　　Policy：就是安全策略，一个安全策略是level，compartment，group，label的集合。
　　Level：等级，这是最基础的安全控制等级，必须设置。
　　Compartment：分隔(这不是官方翻译)，提供第二级的安全控制，是可选的。
　　Group：组(这不是官方翻译)，提供第三级的安全控制，是可选的。
　　Label：标签，最终体现到每一行上的安全标签，必须设置。只有用户被赋予的标签和此行上的标签相同或者等级更高的时候，该行才能够被用户存取。

　　1。创建策略：

　　EXEC sa_sysdba.create_policy('DOC_POLICY','DOC_LABEL');

　　2。创建敏感等级：

　　EXEC sa_components.create_level('DOC_POLICY', 1000, 'PUBLIC', 'Public Level');
　　EXEC sa_components.create_level('DOC_POLICY', 2000, 'INTERNAL', 'Internal Level');

　　3。创建分隔：

　　EXEC sa_components.create_compartment('DOC_POLICY', 200, 'FIN', 'FINANCE');
　　EXEC sa_components.create_compartment('DOC_POLICY', 100, 'HR', 'HUMAN_RESOURCE');

　　4。创建分组：

　　EXEC sa_components.create_group('DOC_POLICY', 10, 'ALL', 'ALL_REGIONS');
　　EXEC sa_components.create_group('DOC_POLICY', 20, 'WEST','WEST_REGION', 'ALL');
　　EXEC sa_components.create_group('DOC_POLICY', 30, 'EAST', 'EAST_REGION', 'ALL');

　　((级别：分隔：组) 组成标签)(就是对于某个部门某个区域的用户的数据(记录)分别分配一个不同的标记，也就是标签的数字号,对用户也分配同样的标记)

　　5。创建标签：

　　EXEC sa_label_admin.create_label('DOC_POLICY', '10000', 'PUBLIC', TRUE);
　　EXEC sa_label_admin.create_label('DOC_POLICY', '20200','INTERNAL:HR:WEST', TRUE);
　　EXEC sa_label_admin.create_label('DOC_POLICY', '20400','INTERNAL:FIN:EAST', TRUE);
　　EXEC sa_label_admin.create_label('DOC_POLICY', '30900','INTERNAL:HR,FIN:ALL', TRUE);

　　6。向表应用策略：

EXEC sa_policy_admin.apply_table_policy ( policy_name =>'DOC_POLICY', schema_name=>'TS',table_name=>'DOCUMENT', table_options=>'LABEL_DEFAULT,READ_CONTROL,WRITE_CONTROL');

　　7。向用户分配标签：

　　EXEC sa_user_admin.set_user_labels -
　　( policy_name => 'DOC_POLICY' -
　　, user_name => 'TEST' -
　　, max_read_label => 'INTERNAL:HR,FIN:ALL' -
　　, max_write_label => 'INTERNAL:HR,FIN:ALL' -
　　, min_write_label => 'PUBLIC' -
　　, def_label => 'INTERNAL:HR,FIN:ALL' -
　　, row_label => 'PUBLIC');
　　EXEC sa_user_admin.set_user_labels -
　　( policy_name => 'DOC_POLICY' -
　　, user_name => 'HR' -
　　, max_read_label => 'INTERNAL:HR:WEST' -
　　, max_write_label => 'INTERNAL:HR:WEST' -
　　, min_write_label => 'PUBLIC' -
　　, def_label => 'INTERNAL:HR:WEST' -
　　, row_label => 'PUBLIC');
　　EXEC sa_user_admin.set_user_labels -
　　( policy_name => 'DOC_POLICY' -
　　, user_name => 'SCOTT' -
　　, max_read_label => 'PUBLIC' -
　　, max_write_label => 'PUBLIC' -
　　, min_write_label => 'PUBLIC' -
　　, def_label => 'PUBLIC' -
　　, row_label => 'PUBLIC');
　　INSERT INTO ts.document VALUES(1, 'SHARE_WARE',CHAR_TO_LABEL('DOC_POLICY','PUBLIC'));
　　INSERT INTO ts.document VALUES (2, 'WEST_PAYROLL', 20200);
　　INSERT INTO ts.document VALUES (3, 'EAST_SALES', 20400);
　　INSERT INTO ts.document VALUES (4, 'COMP_PAYROLL', 30900);

　　8。测试：

　　SQL> CONN test/test

　　已连接。

　　SQL> INSERT INTO TS.document VALUES
　　2 (1, 'SHARE_WARE',CHAR_TO_LABEL
　　3 ('DOC_POLICY','PUBLIC'));

　　已创建 1 行。

　　SQL> INSERT INTO TS.document VALUES
　　2 (2, 'WEST_PAYROLL', 20200);

　　已创建 1 行。

　　SQL> INSERT INTO TS.document VALUES
　　2 (3, 'EAST_SALES', 20400);

　　已创建 1 行。

　　SQL> INSERT INTO TS.document VALUES
　　2 (4, 'COMP_PAYROLL', 30900);

　　已创建 1 行。

　　SQL>
　　SQL> commit;

　　提交完成。

　　SQL> SELECT docname, doc_label
　　2 FROM ts.document;
　　DOCNAME DOC_LABEL
　　SHARE_WARE 10000
　　WEST_PAYROLL 20200
　　EAST_SALES 20400
　　COMP_PAYROLL 30900
　　SQL> desc ts.document

　　名称是否为空? 类型

　　DOCID NUMBER
　　DOCNAME VARCHAR2(60)
　　DOC_LABEL NUMBER(10)
　　SQL> conn hr/hr

　　已连接。

　　SQL> SELECT docname, doc_label
　　2 FROM ts.document;
　　DOCNAME DOC_LABEL
　　SHARE_WARE 10000
　　WEST_PAYROLL 20200
　　SQL> conn hr/hr

　　已连接。

　　SQL>
　　SQL> INSERT INTO TS.document VALUES
　　2 (1, 'SHARE_WARE',CHAR_TO_LABEL
　　3 ('DOC_POLICY','PUBLIC'));

　　已创建 1 行。

　　SQL> INSERT INTO TS.document VALUES
　　2 (2, 'WEST_PAYROLL', 20200);

　　已创建 1 行。

　　SQL> INSERT INTO TS.document VALUES
　　2 (3, 'EAST_SALES', 20400);
　　INSERT INTO TS.document VALUES
　　*

　　第 1 行出现错误:

　　ORA-12406: 未经策略 DOC_POLICY 授权的 SQL 语句
　　ORA-06512: 在 "LBACSYS.LBAC_STANDARD", line 20
　　ORA-06512: 在 "LBACSYS.LBAC$AI0_45004", line 1
　　ORA-04088: 触发器 'LBACSYS.LBAC$AI0_45004' 执行过程中出错
　　SQL> INSERT INTO TS.document VALUES
　　2 (4, 'COMP_PAYROLL', 30900);
　　INSERT INTO TS.document VALUES
　　*

　　第 1 行出现错误:

　　已连接。

　　SQL> INSERT INTO TS.document VALUES
　　2 (1, 'SHARE_WARE',CHAR_TO_LABEL
　　3 ('DOC_POLICY','PUBLIC'));

　　已创建 1 行。

　　SQL> INSERT INTO TS.document VALUES
　　2 (2, 'WEST_PAYROLL', 20200);
　　INSERT INTO TS.document VALUES
　　*

　　第 1 行出现错误:

　　ORA-12406: 未经策略 DOC_POLICY 授权的 SQL 语句
　　ORA-06512: 在 "LBACSYS.LBAC_STANDARD", line 20
　　ORA-06512: 在 "LBACSYS.LBAC$AI0_45004", line 1
　　ORA-04088: 触发器 'LBACSYS.LBAC$AI0_45004' 执行过程中出错
　　SQL> INSERT INTO TS.document VALUES
　　2 (3, 'EAST_SALES', 20400);
　　INSERT INTO TS.document VALUES
　　*

　　第 1 行出现错误:

　　对于DML(insert，update，delete)操作呢?其实，Oracle是自动在表上添加了触发器，这一点我们可以在设置完label以后，通过dba_triggers视图验证，添加的是INSERT AFTER EACH ROW，UPDATE AFTER EACH ROW和DELETE BEFORE EACH ROW三个trigger

　　触发器 'LBACSYS.LBAC$AI0_45004'代码：

　　DECLARE v_allowed NUMBER;
　　new_label LBAC_LABEL;
　　BEGIN
　　IF lbac_session.policy_disabled('DOC_POLICY') OR (lbac_standard.secure_context('LBAC$0_LAB', 'LBAC$BYPASS') = 2)
　　THEN RETURN;
　　END IF;
　　IF :new.DOC_LABEL IS NULL OR (NOT lbac_utl.data_label(:new.DOC_LABEL))
　　THEN
　　lbac_standard.raise_facility_error('TRUSTED', 'LBAC', 12406, 'DOC_POLICY');
　　END IF;
　　IF bitand(nvl(lbac_standard.secure_context('LBAC$LABELS', :new.DOC_LABEL),0),3)=0
　　THEN
　　lbac_standard.raise_facility_error('TRUSTED', 'LBAC', 12406, 'DOC_POLICY');
　　END IF;
　　IF bitand(nvl(lbac_standard.secure_context('LBAC$LABELS',:new.DOC_LABEL),0),2)=2
　　THEN
　　lbac_services.audit_privilege('DOC_POLICY',2,0,TRUE,'insert privilege used');
　　END IF;
　　END;