1. Thuyết trình : Lê Tuấn Anh MSSV: 51100084
ORACLE DATABASE VAULT
Thuyết trình : Lê Tuấn Anh MSSV:

2. Oracle data vault (ODV)
Đặt vấn đề
Giới thiệu
Cài đặt
Chức năng
Thành phần
Demo

3. Đặt vấn đề
Quản trị viên có đảm bảo không xâm nhập những thông tin riêng tư?
Dữ liệu có thực sự an toàn trong nội bộ?
Các thông tin nhạy cảm có bị tiết lộ?

4. Oracle database vault là gì?
Là một sản phẩm của Oracle giúp tổ chức tăng cường bảo mật thông tin cho các ứng dụng và đặt ra các quy định nghiêm ngặt về quyền truy cập và bảo mật trong quá trình vận hành dữ liệu.
Ứng dụng này cũng giúp tổ chức bảo vệ dữ liệu lưu trong các ứng dụng , ngăn không cho các người dùng có quyền DBA truy cập.
Đây là một hệ thống bảo mật cơ sở dữ liệu của Oracle.

5. Chức năng
Kiểm soát ngăn chặn những người dùng có quyền truy cập vào dữ liệu nhạy cảm
Hỗ trợ kiểm soát theo thời gian thực
Phân tách vai trò giữa các người dùng trong Database, kể cả người quản trị.
Hỗ trợ bảo mật ứng dụng với các chính sách được xây dựng từ Oracle.

6. Cài đặt
Ở Oracle 11gR2, tất cả các option đã được cài đặt, chúng ta chỉ cần enable ODV lên:
Open Command Prompt, then get to [Oracle Database Homes]/bin
Type:
chopt enable lbac
chopt enable dv

7. Cài đặt
Sau đó sử dụng DBCA để cấu hình: (Bật dbca bằng cách vào Start -> All Program -> Oracle – Oradb11g_home1 -> Configuration and Migration Tools -> Database Configuration Assistant

8. Login vào DVA

9. Thành phần
Thành phần điều khiển truy xuất(Access control components)
Thành phần quản trị(DVA – Database Vault Adminstrator)
Thành phần hỗ trợ cấu hình(DV Configuration Assistant)
Thành phần DVSYS và DVF schemas
Thành phần giao diện PL/SQL và gói(PL/SQL interface and Packages)
Thành phần Oracle Label Security PL/SQL APIs
Thành phần Báo cáo vào theo dõi( Reporting and Monitoring Tools)

10. Access control components
Realms
Command Rules
Factors
Rule Sets
Secure Application Role

11. Realm
Realms: là một nhóm các chức năng của database schema, object, role cần được bảo vệ. Ví dụ bạn có thể gom nhóm một tập các database schema, object, role ,.. - Những đối tượng , có liên quan đến dữ liệu cần được bảo vệ như tài khoản, giá cả, nhân lực, nguồn lực.v.v. Sau khi bạn đã nhóm chúng lại vào trong Realms. Bạn có thể sử dụng Realms để điều khiển phân quyền cho các đối tượng hoặc các role cụ thể. Realms cho phép bạn có thể phân quyền một cách chi tiết và linh động tới các đối tượng người dùng sử dụng các database schema, object, role đó.
Ví du: Bạn có thể bảo vệ dữ liệu của một Object(ví dụ như Scott, với bảng EMP). Bằng Realms và không cho các quản trị khác quyền truy xuất tới bảng này(ví dụ như tài khoản SYSTEM).

12. Realm
Ví dụ: Giả sử chúng ta có thông tin về nhân viên trong bảng EMP của schemas SCOTT. Như ta thấy, DBA có thể truy cập vào thông tin lương (vốn dĩ là một thông tin nhạy cảm) rất đơn giản bằng cách sử dụng câu query như sau

13. Realm – How to use?

14. Realm – How to use?

15. Realm – How to use?

16. Realm – How to use?

17. Realm – How to use?

18. Realm – How to use?

19. Realm – How to use?

20. Realm – How to use?
Và khi log in lại , User System sẽ không thể truy cập vào dữ liệu trong bảng SCOTT.EMP nữa

21. Realm – How to use?
Nhưng nếu đăng nhập bằng chính owner của table EMP là SCOTT thì user này vẫn có quyền truy cập vào dữ liệu thuộc schemas của mình, như vậy chúng ta đã ngăn chặn được sự truy suất trái phép cuả những super-privilege account (cụ thể là DBA) khỏi những dữ liệu nhạy cảm

22. Realm - Realm Authorization
Realm authorization dung để chỉ định những account của db hay role có quyền quản lý và truy cập lên những đối tượng được bảo vệ bởi Realm.
Chú ý : Authorization Type : Participant - Owner

23. Realm (More)
ODV cung cấp sẵn một vài realm được xây dựng trước. Bao gồm:
DV Account Management Realm: Defines the realm for administrators who create and manage database accounts and profiles.
ODV Realm: Defines the realm for the Oracle Database Vault schemas - DVSYS, DVF and LBACSYS where Database Vault access control configuration and roles are contained.
Oracle Data Dictionary Realm: Defines the realm for the Oracle Catalog schemas, SYS, SYSTEM, SYSMAN, MDSYS, etc. Also controls the ability to grant system privileges and database administrator roles.
Oracle Enterprise Manager Realm: Defines the Enterprise Manager monitoring and management realm(protect SYSMAN and DBSNMP)

24. Command Rules
Một command rule là một luật đặc biệt, nó cho phép bạn điều khiển cách mà các User thi hành bất kỳ câu lệnh SQL nào, bao gồm các câu lệnh như: SELECT, ALTER, SYSTEM, câu lệnh của ngôn ngữ DML, DDL. Command Rules phải làm việc với rule sets để xác định xem câu lệnh của người dùng có được cho phép hay không.
Command rule được thực hiện sau khi đã check thành công realm.
DV check toàn bộ những command rules có liên quan và một hành động nào đó chỉ được thực thi khi tất cả chúng đều được thỏa mãn.
Ví dụ:
Bạn có thể chỉ cho phép một số User có địa chỉ IP trong khoảng nào đó được logon vào cơ sở dữ liệu.
Bạn có thể giới hạn thời gian được truy cập vào cơ sở dữ liệu theo thời gian(giờ trong ngày, và ngày trong tuần, ngày trong tháng…).

25. Command Rules
Ví dụ 1: Làm thế nào để enable và disable quyền tạo bảng của user SCOTT

26. Command Rules

27. Command Rules

28. Command Rules
Và kết quả:

29. Command Rules
Thêm vào đó ta cũng có thể sử dụng PL/SQL Procedure để tạo Command rules (Sử dụng packet DBMS_MACADM của schema DVSYS);
Ví dụ 2: Ngăn chặn khả năng update trên bảng EMP;

30. Command Rules
Ví dụ 3: Chỉ cho phép UPDATE khi connect được tạo cục bộ với qiao thức Bequeath(BEQ).

31. Command Rules

32. Command Rules

33. Command Rules

34. Command Rules

35. Command Rules

36. Command Rules

37. Command Rules

38. Command Rules

39. Command Rules

40. Command Rules
Đăng nhập vào db bằng user Scott sử dụng BEQ connection, ta có kết quả:

41. Command Rules
Đăng nhập vào db bằng user Scott sử dụng listener connection(TCP connection), ta có kết quả:

42. Rule Sets
Một tập quy tắc(tập luật - Rule Set) là một tập hợp của một hay nhiều luật mà bạn có thể kết hợp với Realms Authorization, Command rule, Factor, hoặc các Secure Application Role. Các rule có giá trị true hoặc false tùy thuộc vào giá trị của mỗi quy tắc mà nó chứa, và kiểu quy tắc của tập luật là (All True hay Any True). Mỗi luật ở trong tập luật là một biểu thức PL/SQL, mà giá trị sẽ là true hoặc false. Nếu muốn bạn có thể cho cùng một luật vào nhiều tập luật.
Rule set chia làm 2 loại : một loại là OR set, tức là trả về true nếu có một vài rule nhỏ trong đó là true -> Any true và một loại là AND set, tức là nó chỉ trả về true khi tất cả các rule nhỏ trong đó đều là true.

43. Rule Sets Convenience rule sets include
ODV cung cấp cho chúng ta khá nhiều những rule sets được xây dựng trước để sử dụng:
Convenience rule sets include
Enabled—Use it to allow activity
Disabled—Use it to prevent activity
Template rule sets include
Allow Sessions
Can Grant Virtual Private Database (VPD) Administration
Can Maintain Accounts/Profiles
Can Maintain Own Account
Check Trigger Init Parameter

44. Factors
Một Factor là một biến hay một thuộc tính được đặt tên, được sử dụng trong rule sets
Cho phép định nghĩa những rules để tạo ra những quyết định dựa trên IP của kết nối, thời gian trong ngày mà kết nối được thiết lập, user tạo kết nối, proxy user, và nhiều thứ khác mà Db quan tâm tới.

45. Factors Một vài API factor function hữu ích:
DVF.F$CLIENT_IP: Use it when you need to base a decision on the client IP from which the connection is made. Example: Use to distinguish between listener BEQ connection

46. Factors

47. Factors Một vài API factor function hữu ích:
DVF.F$NETWORK_PROTOCOL: Use it when you need to make a decision based on the protocol the database client is using to connect to the server

48. Factors Một vài API factor function hữu ích:
DVF.F$MACHINE: Use this factor when you need to make a decision based on the client hostname.

49. Factors
Một vài API factor function hữu ích:
DVF.F$ENTERPRISE_IDENTITY: Use this factor to get the enterprise identity of the logged-on user when you use advanced authentication such as Kerberos, RADIUS, or Oracle Internet Directory (OID) authentication.
DVF.F$PROXY_ENTERPRISE_IDENTITY: Use this factor to get the OID Distinguished Name (DN) when the proxy user is an enterprise user.
DVF.F$PROXYUSER:Use this factor to get the proxy user as opposed to the user who opened the connection.
DVF.F$IDENTIFICATION_TYPE: Use this factor when you need to base your decision on how the user was identified.
DVF.F$AUTHENTICATION_METHOD: Use this factor to know how the user was authenticated—for example, PASSWORD for database authentication, KERBEROS, SSL, RADIUS, OS, etc.

50. Secure Application Role
Một secure Application Role là một Role trong cơ sở dữ liệu đặc biệt có thể được kích hoạt dựa trên giá trị của các tập lệnh của Oracle Database Vault.
=> Quản lý tốt hơn quyền mà bạn đã gán cho những role này

51. DVA – Database Vault Adminstrator
DVA là ứng dụng java được xây dựng nhằm hỗ trợ người quản lý có thể không thành thạo ngôn ngữ PL/SQL có thể cấu hình ODV một cách dễ dàng thông qua giao diện ngư dùng thân thiện. DVA cung cấp một bộ các báo cáo phong phú, giúp người quản trị dễ dàng hiểu được những thông tin bảo mật cơ bản. Những báo cáo này cũng giúp chỉ ra độ lệch từ những thông tin cơ bản này.

52. Thành phần DVSYS và DVF schemas
DVSYS là một schema được Oracle Database Vault cung cấp để lưu trữ các đối tượng mà nó cần dùng cho việc xử lý trong ODV. Schema này bao gồm các Role, view, account, functions, và các Database objects khác(những object mà ODV sử dụng). DVF schema bao gồm các chức năng chung như lấy thời gian chạy, các giá trị yếu tố thiết lập trong ODV điều khiển truy xuất cấu hình.

53. Oracle Label Security PL/SQL APIs
Oracle Database Vault cung cấp khả năng điều khiển truy cập với Oracle Label Security.

54. Reporting and Monitoring Tools
Oracle Database Vault cho phép theo dõi các báo cáo về các hoạt động của nó thông qua giao diện trực quan. Ngoài ra bạn có thể theo dõi được sự thay đổi chính sách, các hành vi vi phạm chính sách, các cấu hình và sự thay đổi của cấu trúc cơ sở dữ liệu.

55. Reports in ODV Reports in DV General security reports DV reports
DV configuration issues
DV auditing reports
General security reports

56. DV Reports

57. General security reports

58. General security reports

59. Monitor

60. Monitor

61. Disable và Enable ODV Disable DV:
Kiểm tra xem ODV là disable hay enable?
SELECT * FROM V$OPTION WHERE PARAMETER = 'Oracle Database Vault';
Nếu ODV đang được enable thì kết quả sẽ là:

62. Disable ODV
Stop the database, Database Control console process, and listener.

63. Disable ODV
Disable the Oracle Database Vault option: In the ORACLE_HOME\bin directory, rename the oradvll.dll file to another name, such as oradvll.dll.dbl.

64. Disable ODV
Restart database, Database Control console process, và listener.

65. Disable ODV
Nếu vì quên mật khẩu mà bạn phải disble ODV thì bạn chỉ cần connect với tài khoản SYS hoặc SYSTEM và reset lại password.

66. Disable ODV
Vào cmd, Chạy Oracle Database Vault Configuration Assistant (DVCA) bằng dvca -action disable option.

67. Disable ODV
Connect SQL*Plus với user SYS sử dụng SYSDBA privilege, và sau đó chạy statement ALTER TRIGGER dưới đây :

68. Enable ODV
Mở cmd,sử dụng DVCA để reenable Oracle Database Vault bằng cú pháp. Chi tiết : ADM70987

69. Enable ODV
Stop database, Database Control console process, và listener.
Enable Oracle Database Vault option bằng cách: đổi tên file copy backed up của file oradvll.dll (ví dụ, oradv11.dll.dbl) thành oradvll.dll. Và cũng đảm bảo rằng file executable cho Oracle Label Security là oralbacll.dll.
Restart database, Database Control console process, và listener.

70. Tài liệu tham khảo
tm#DVADM002