Другие возможности обеспечения безопасности

Описанные далее возможности обеспечения безопасности по большей части относятся к администраторам баз данных Oracle или специалистам, отвечающим за безопасность. Приведем лишь краткий обзор таких функций, подробную же информацию можно найти в документации Oracle.

Представления и хранимые процедуры.Помимо рассмотренных способов обеспечения безопасности данных БД ORACLE существуют и другие возможности. Самым распространенным способом ограничения доступа к данным в зависимости от их значений является использование представлений и хранимых процедур (ХП).

С помощью представлений определяется подмножество данных таблиц и предоставляется пользователю доступ только к представлениям. Также можно ограничить доступ к таблице, используя ХП или пакет, выдав пользователям привилегии на них. Код ХП может содержать собственный набор правил подтверждения правильности.

Детальный контроль доступа и политика безопасности.Детальный контроль доступа (fine1grained access control) предлагает способ контекстного обеспечения безопасности, который может быть реализован в коде приложения или в представлениях. Благодаря тому, что детальный контроль доступа реализуется на уровне базы данных, он единообразно действует для всех приложений.

Детальный контроль доступа появился в версии Oracle8i и реализуется специальными правилами для таблиц, регламентирующими права доступа к этим таблицам.

Политика безопасности (security policy) реализуется программным модулем, который может предоставлять доступ на основе логического условия любого вида. Для всех команд SQL, выполняемых на базе данных, создается предикат (условие, добавляемое в инструкцию WHERE и ограничивающее доступ к данным), который автоматически может применяться для обеспечения безопасности на основе содержимого таблицы.

Виртуальные частные базы данных.Механизм контекстных мер безопасности позволяет создавать виртуальные частные базы данных (VPD, Virtual Private Database). Благодаря применению VPD сразу несколько пользователей могут видеть свои собственные представления одной или нескольких таблиц базы данных. Ранее говорилось о том, что подобные меры безопасности можно обеспечить за счет создания и поддержания представлений, но применение VPD избавляет от забот по созданию представлений и разграничению доступа к ним для отдельных пользователей и групп пользователей.

Метки безопасности и управление ими.Метки безопасности появились в Oracle9i. Они представляют собой расширение VPD; различие в том, что программные модули для поддержки VPD уже написаны и действуют для значений единственного столбца, содержащего метки. Поэтому для реализации меток безопасности не требуется специального программирования.

Метки безопасности относятся к дополнительным компонентам Oracle9i Enterprise Edition. Policy Manager, инструмент администрирования с графическим интерфейсом пользователя, входящий в состав Enterprise Manager, также появился в версии Oracle9i. Он реализует управление метками безопасности.

Контекст приложения.Контекст приложения (application context), введенный в Oracle8i, позволяет установить для пользователя некоторые атрибуты, которые будут действовать в течение всего пользовательского сеанса. Применяя такие атрибуты для предоставления доступа, можно создать роль для конкретного приложения, которая продолжает существовать в базе данных на всем протяжении работы приложения. Контекст приложения может использоваться для реализации детального контроля доступа.

LogMiner.LogMiner – это инструментальное средство, позволяющее применять команды SQL для анализа событий в журнале базы данных. LogMiner позволяет отслеживать транзакции по мере их обработки или выявлять, какие конкретно функции вызвали изменение данных. Утилита LogMiner появилась в Oracle8i. С помощью LogMiner (наряду с журналами аудита) можно определить, что происходило с вашей базой данных Oracle. В версии Oracle9i LogMiner включен в Enterprise Manager. Исследование возможностей LogMiner лежит за пределами нашей книги. Подробную информацию можно найти в документации по Oracle.

Oracle Advanced Security.Продукт Oracle Advanced Security, который ранее назывался Secure Network Services, а затем Advanced Network Services, – это пакет расширения, предлагающий мощные средства шифрования данных. Oracle Advanced Security обеспечивает дополнительные возможности по обеспечению безопасности в трех областях:

Сетевая безопасность

Шифрование сообщений, передаваемых службами Oracle Net Services, реализация SSL_шифрования (Secure Sockets Layer – протокола защищенных сокетов) и поддержка RADIUS, Kerberos, смарт-карт, карточек-идентификаторов (tokencards) и биометрической аутентификации.

Безопасность пользователей предприятия

Включает применение разнообразных сторонних средств поддержки каталогов, таких как LDAP_каталоги, с помощью которых можно реализовать возможность однократной регистрации. Oracle Advanced Security включает в себя сервис каталогов Oracle Internet Directory (OID).

Безопасность инфраструктуры открытых ключей

Включает поддержку стандартных сертификатов X.509 версии 3. Oracle работает с основными поставщиками сервисов инфраструктуры открытых ключей (Public Key Infrastructure – PKI), такими как Baltimore Technologies и VeriSign, для обеспечения координации с их доверенными корневыми сертификатами.

Oracle Advanced Security внедряет эти сервисы на уровне Oracle Net Services, который реализует взаимодействие между сервером и клиентом. Кроме того, Oracle Advanced Security можно использовать с драйвером Thin JDBC, несодержащим Oracle Net Services.

Oracle Advanced Security включает в себя Oracle Enterprise Security Manager, графический интерфейс пользователя для управления доменами и пользователями предприятия.