آشنایی با Oracle

صفحه 1:
ORACLE 

صفحه 2:
ل كم تنظیم وارائه: صالح حافظ قرآنى ابراهيم ترامشلو . دانشگاه امیرکبیر دانث ‎fa Sree Reena scar peepee Fea‏ ‎cee‏ 1 

صفحه 3:
‎eee‏ هلت ‎50 PLO are SCRE PORE Fee er eee ee ne EL Olan Aven ne ‏ا‎ ‎vekrt BOP _LOGP_OBOE 1 ‏ا مود‎ Cee en ONCE Ce a mena RVs ‏ا‎ Bee ‏ا‎ ‏تشخيص براي مهاجم وجود ندارد (جدول موجود نيست يا دسترسي)‎ oie ‏در آن زمان دسترسي فيزيکي به کامپیوترها نیز مشکل بود‎ ‎ ‎ 

صفحه 4:
ن گيري ‎(Bucky)‏ ee nen an ‏عوامل ايجاد خطا‎ ' خطاي کاربر :پاک کردن ركوردي از داده ها به طور اتفاقي خطاي توسعه دهنده : رفتار متفاوت کد در فازهاي تست و عمليتي ‎a ane ed‏ سسس«س_ خطاي مهاجم : پاک کردن عمدي اطلاعات خطاي سخت افزاري : خراب شدن تجهیزات خطاي طبيعي آتش سوزي: سیل. وجود ابزارهاي ۳۳۳۲۱ و 7۳۲۱ 

صفحه 5:
حرکت به سمت مکانیزمهای امنيتي قوي تر ‎@wsword‏ ارتباط كاربران با يايكاه داده ‎Cd PROX CSA Pe Seo‏ , اجداد با©8) 0 ا ل ل فك 5 ‎clad 3‏ یل ابل اجرا با دستور ۱ ‎RCRA ed Ce RRS ‏لوصح توسط 00809 بعداز مدتي تغيير ولعلم مى شد - تغییر به یک مقدار مشترک ‎Re ry eee ‏ا‎ ‏- تولید دلخواه 

صفحه 6:
حرکت به سمت مکانیزمهای امنيتي قوي تر ‎Priviexes‏ SBN LO Re ees a ‏سه سطح‎ pepsi ‏ال‎ privet — ‏صن‎ Ones Tr nc Seen ee Remap OCCT a re Fes Th Te ayant Tae atta aad ‏ترمينال لال (تاصى4)‎ ‏ا ا ل سا‎ Deal 30000 ten Te a ‏توليد كننده بلاك در‎ :)1:0006/1:0:0000( - ‏لمکانانگولفيکي‎ :)000۲ - ‏طاس)۳: نمیش‌گزایش‌ها در یکف رم تنعطافپذیر‎ ie 

صفحه 7:
۱ IC ۲ 0.9.0.9 قابلجرا بر روي ۳0) ۱ - مدل وبا ۱ ۹ (از طريق شبكه به كمك (ه()*را8©9) ' فايل 2<1) شده . قابل اجرا بر روي سيستم عامل هاي مختلف 

صفحه 8:
‎ene ۳‏ ا رت ۱ ‎10 WOR a0, ara nee over a ‎Prideuen ‎11111111111 ‏ايجاد و اعطاي ‎say pride‏ جداول بشاخص ‎ ‏امامو تدص سرجه ‎Penner en eee ny Sry ۳ sy ‎ ‎ere ‎07 ‎00000 ‎ere ‎Oe ‎ ‎Role ‎panne! ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 9:
ادامه. خط مشي هاي جديد امنيتي در ©..ا ذخیره تمامی 3() ها در جدول 9007۵000 انجام 69۳ بر فعالیت هاي زیر در هر دو حالت موفق و نا موفق : ييا ‎ae‏ ات 00 سروف لفق ‎REGOORCE 2‏ 000۵ ۱ 000000 ‎Os hc meeeted‏ مت تا ‎ -‏ 0007 ات 

صفحه 10:
AS Bree Chea pee ee rly] ۱0 en ‏ادع‎ POC nee al POE RT REY ORC cere ea Paes) Ric wap near CSN 7) ne a ieee Te ln San ‏ا‎ SSE Corer 

صفحه 11:
ها هگ 5 نزدیک دهه 1990 ‎gerry‏ اي لل ل ال كا ‎a‏ تحاص 6) أدبلا“ : يشتيبانكيري ‎He aS‏ ا نت ۳۳۳۹ - ل مي بایست حتما پایگاه داده در حال اجرا باشد . ۱ - یک پروسه زمانبر و طاقت فرسا ‎as‏ ا ‎NESTE ese‏ | ‎Ree Seon‏ 

صفحه 12:
Or, ‏ل‎ eee) Sea a a RO cae [۱ eee DRC Lae ese S ie ‏ع اومسر لصاصص"]”‎ - يك ابزار امنيتى بر اساس مدل )با8)» Ae a EE I soo ‏پیاده سازي با استفاده‎ - Eee Ana at an ‏ا ل‎ - نصب مشکل و زمان بر > استقبال چنداني نشد 7 افزایش پيچيدگي در تنظیمات . ۱ ‎meee ran)‏ سوت وت اد 

صفحه 13:
ادامه. امكانات امنيتى 2/واده 0 مه رما وس مت هه 1 00 لشن دن ‎eee ese a]‏ جدید متناسب با این شرایط لي 0 تسه پشتیبانی از سیستم هاي ‎(Center ORK Career OT acc‏ 000 000 ‏ا م‎ Tal 0 5 5 1 8 ‎esis)‏ ل ل سن 

صفحه 14:
9 بهبود مدیریت اسصو 1 ا ا لين ا ا ا الل لل ل - قفل كردن حساب كاربري يك كاربر 0# امم عومصع8©) ‎Ore‏ ‏ج صموو له - عصسحكمياو ام( كك 

صفحه 15:
9 dol HL IKol. dole! CNN IR Pee cere eC ZCR (OM En RO GYGVEO tablespace [eee ‏از‎ Pe Keppel ees pec eeany re lees CCC AC OO OT eed me er ae a ere as as s6YC6.COO peak ‏ا‎ tens 2 کمبودها: 5300010000 Ca acta - كدام سطر اصلاح ويا ياك شده است 7 محتویات سطر پاک شده؟ 

صفحه 16:
9 dol HL IKol. dole! بهبود پشتیبان گيري و ترمیم با نطاب 08000900 ‎NC ante es‏ 1 ‎ee ee ee eel‏ ات مت - ترميم با ‎aa ee‏ ی ما ON cea ei cea ae Cc ace ‏ا ا‎ ee Cee a Os ee NR ny eee ‏کاربرد در‎ - 

صفحه 17:
۱0 2 6 Geruriy eutures ۱9 ‏وم ماه‎ RO) anes eed CON aac acne SU elena 0 ©GL (Genre Coches Layer) - ‏اك‎ ce acne ea ala Oui icieriy © ROO1WG (Rewote Oukeuicaiva Dic-Ia Oser Service) - Ste ORS ana anal (ene eee OY nec eee (Cee enol Oe ed at cs cael 

صفحه 18:
۱9 arn acme ne eee ee ee Ore cen ey eer ae Cea Rael LOBPv.9 ‏امكان تركيب با‎ Te aan eee eek ae aL @ late od in ep ee eee ‏تا‎ tS a Bree ee ‏لصبو جاسمو‎ - Ce ad ‏قدرت ايجاد .شروع و خاتمه كار يك بايكاه داده‎ - 

صفحه 19:
یه هی ریق سر 6 :06 اال ‎Oirtud‏ یک نوع مکانیزم کنترل دسترسي سياستهاي امنيتي مستقیما به جداول متصلند ۱ اعمال خودکار در هر بار استفاده از جداول 9 مثال: بصصج يك كارمند در ديارتمان “4121 ‎Pro BOPLOY CE;‏ 0 ات ۵ ‎eae DONA‏ ‎DEPORTPOCOT="17;‏ ‏پیاده سازي : ‎OTe An Os‏ ‎Coustrart —‏ 

صفحه 20:
Carer ,0007_7100 ه0000 ممه 000005 0)00067_100, 0 1ف انناف Gevuriy ۳ ‏ج02‎ Ma encom GeO ۹7 once! Doble or Oiew emrcunenc kanes) ‏یس وا‎ COCTODER.COETOD GRE, COCTODER.PROOOC ‏تس ولا‎ تست 0000م 0000م ۳ 2000 مشتريان خود را ببينتد gla oo es Jey مشتربان خود را ببینند 

صفحه 21:
۱9۳۳۳۳ Weed كنترل بيام هاي خطا " پشتیبان گيري و ترمیم ON Nae Ce oR ne oa ea ROR (ON as rac racic Rac ac ee 9 Slee 0 sen ae 

صفحه 22:
را مه م9 Cd aa 1 ‏يك نوع اتصال سرور به سرور مي‎ ‏باشد‎ Ss ee anne cr ‏علدنا سحلت‎ 000 ‏م‎ ReneS ‏ا‎ اع سرورها ۱2 ‎ay Gener‏ 0 AO eee ‏وي ا لك سين‎ ارتباط رت ۱۳ [re 

صفحه 23:
Oe 07 Se co See ran 9 [۱ 2 0000005 ‎a 3‏ جاع اه ۵ ‏9 لت فال لفت رق ‏۲سا له 8 5 ل ‏۱9 ی ‎ae‏ مینست ‎eee ‏مسري م‎ (pori=19€0)) Cee ee ‏لاا‎ ‏مصخ * امامو ‎XO 0)‏ عو ككقة ‎01010010 

صفحه 24:
‎As eee)‏ ل ‏5 نوع مجان براي مشاهده اطلاعات يك جاورا 0000 در وك جاع 3 ‏کر ‎00 ‎۱ OL cm ‎eC aie ‎Ea a CCEA CCH ara ee eT oe a ‏لي‎ ‎Pe eee ‏كدر يروتكل‎ ete /1١اوسل‎ )3 ‏استفاده از 0254 صعدامزرا روسك‎ ee adc ‎DDP LO 4 0b5 ‏لازمه اطمينان‎ - 

صفحه 25:
ادامه .مشكلات امنيتى در دارا وص ده 22) ا ل 0 ‎aCe as)‏ ل 00 كل 3 ' خطر افشاء اطلاعات از طريق )ا 2107005 ‎Jo ol)‏ وا 4 ناكا 5 " کمترین افشاء 

صفحه 26:


صفحه 27:
FORT PEO CMC | PEROT يايه تمام كارهاي اعمال امنيت ‎٠‏ شناسايي كاربري است كه ميخواهد با سيستم 2 تمامي ‎ee‏ م ا ا ل ‎FeO‏ انواع تصدیق اصالت : ‎UO -‏ وله ‎ECA asa‏ و هن ها هرس 

صفحه 28:
ل 0 " مرسوم ترین روش تصدیق اصالت لأكلمات عبور به صورت رمز شده در يايكاه ذخيره ميشوند . " هر کاربر قادر به تعویض کلمه عبور خود است . 1 ES oe 

صفحه 29:
ل 0 مواردي جهت افزايش امنيت اين روش: 0 ‏ا‎ NO ‏هاي کاربران‎ - تعریف استانداردهايي براي اعمال 110000000 sence PY SS Rene Bes Fog Cen es ae eer 99,5 petal onbgo Sas jae 9 09,F age pe eel ype Obals — ‏استفاده مجدد از کلمه عبور قبلي بايستي محدود شود.‎ - 1 en Cee SRO OT 

صفحه 30:
تصديق اصالت قوى SES ‏ا‎ oom en RO ‏-انجه كه كاربر ميداند مثل كلمه عبور‎ ‏انچه که کاربر در اختیار دارد.‎ - 0 ‏و۳۳‎ ‎So Ne ‏ا‎ Met ne Sia ae ‏ی رت‎ Se ‏ب‎ aS eed 

صفحه 31:
PrvPies Reyer ‏ا الل‎ Ola a Orch aks games 9 yg alls ¢ PA ‏ا‎ ‏توسط مدير سسيستم بكر ميرود.‎ ‎ne er Ane a‏ ا م ا ا اك انتساب داده مي شوند. ‎cee a aes ‏يروفايل هاي محدودكننده منابع سيستمى‎ - ‏پروفایل های محدودکننده استفاده از محصولات‎ -7 

صفحه 32:
‎ole‏ قراردادن محدوديت در مورد استفاده از منابع سيستمي خاص براي كاربرن از جمله زمان استفاده از 626۳60 . تعداد بلاك های داده خوانده شده در هر ‎canes‏ و فراخوانى هاي ‎Cree eRe es‏ هاي فعال موازي » مدت زمان 00 تعداد اتصالات براي هر كارير مورة استفاده قرار مي ‏گیرد. ‎re‏ 0000 تضمین مي کند که كاربري خواسته یا حدس 0 7 ‎ae‏ ‎ ‏همجنين براي اعمال قوانيني در مورد زمان تعريف و ميزان ييجيدكي كلمات ‎nee 3‏ 0 30 بکار مي رود. 

صفحه 33:
يروفايل هاى محدودكننده محصولات " بعد از ا ا ا ‎CRO Ola‏ بانك وصل شد. " با تعریف چنین محدودیت هایی . این اتصال به برنامه ها و محصولات 0 لت ا ا ا ل ا ا ۳ ۱ 

صفحه 34:
امتيازات SURE are eee sie ce OC ‏ا ل‎ owe eRe pes ee ce ‏ل ل‎ 1 seer cae eT oa Oa oe Ok nat oa - هر دو نوع با دستور ۲8۳ به کاربران داده مي شود. 

صفحه 35:
امتيازات سيستمي این امتیازات به کاربران اجازه ساخت و تغییر ۳۳() ها و همچنین انجام عملیات هاي ‎Tn ee reel esac ne ner rece‏ 5355 ‎Oa‏ ات و9 ‏ات ات ‎Or‏ ‎۱ ‏ما‎ ad ‏ل لكا‎ 

صفحه 36:
امتیازات روي اشیا SOO Oe el Te ee ee) ee eS ane een eel 1۹ ens Seta Tots ay een Seen eRe Ona eC Tees macy ne eer ny [۱ Ie eeeseo nyo OER ‏ا‎ ed Getert / @ter Gequewe 5-0 ‎Publ‏ شاك 

صفحه 37:
ON RO a a eRe (CeCe ۳ ee Oser_(Role_Privs ‏مر طسو‎ Oe he a emo] ene (Ne ees a Oser_ool_Prive_Rerd 

صفحه 38:
1 eee ROBE eee ‏ا‎ ence ACA ee TOC) ae Cn Sree Ee erie 1 ‏نقش به کاربر انتساب داده مي شود.‎ ‎eee nt aed‏ كد گردند و براي سس ل ‎eS CS ie Nee eR ESB) ace ie ee‏ ‎errno‏ ل 30 0 ‎0 ‏ال‎ es geoen ‏نمي داند.‎ 

صفحه 39:
Ore ‏ا‎ و ‎Cee ae‏ ‎te ai‏ نكا Oe ne cetera ار 1 اسف ۱ ORC are On da 

صفحه 40:
۳0 he] mapeere pence LON NRO a aie OT ee ee Be Cate Ee TOTS ‏ا‎ ‎Etter Soe E ST RES Seen ea Pe ‏اک‎ ‎SOC) Pesos Re Sees ee Seed Oo ae 1 

صفحه 41:
ما مت ما مت هت و۱9 ما مزر رت ‎Ore St O®®‏ ما ل ال 0 9] CO O'Keete, O Yucy, b Gu, R Bunter - Privay ‏يي يي‎ ۱۳ ‏متا ات متا و‎ ek ‏تاه‎ ‏سس‎ 6 0 Bo 

صفحه 42:


صفحه 43:
ORACLE 

Oracle Security استاد درس :دکتررسول جليلي تنظيم وارائه: صالح حافظ قرآني ابراهيم ترامشلو دانشگاه صنعتي اميرکبير دانشکده مهندسي کامپيوتر و فناوري اطالعات تير 1384 سابقه امنيتي Oracle ‏ ‏ ‏ ‏ رابطه قديم شرکت Oracleو سازمان CIAآمريکا تاثير اين رابطه در انتخاب مکانيزمهاي امنيتي از آغاز نوع پيامهاي خطا Oracle v.2در سال 1979 ‏ select EMP_LAST_NAME ;from EMLPOYEES ‏ Error at line 2: ‏ORA-00942 :table or view does not exist دريافت اين پيام در صورتي که دسترسي درست نباشد – امکان تشخيص براي مهاجم وجود نداKرد (جدول موجود نيست يا دسترسي) در آن زمان دسترسي فيزيکي به کامپيوترها نيز مشکل بود پشتيبان گيري ()Backup به عنوان يک خط مشي امنيتي عوامل ايجاد خطا – – – – – – خطاي کاربر :پاک کردن رکوردي از داده ها به طور اتفاقي خطاي توسعه دهنده :رفتار متفاوت کد در فازهاي تست و عمليتي خطاي مدير :حذف غير عمد يک جدول عملياتي خطاي مهاجم :پاک کردن عمدي اطالعات خطاي سخت افزاري :خراب شدن تجهيزات خطاي طبيعي :آتش سوزي ،سيل...، وجود ابزارهاي importو export حرکت به سمت مکانيزمهاي امنيتي قوي تر ‏Password ‏ ‏ ‏ ‏ ‏ ارتباط کاربران با پايگاه داده از طريق زبانهاي UFIو ، PUFIاجداد SQL و PL/SQL اجرا بر روي IBM Mainframeو Digital VAX ‏Compile فايل aip.قابل اجرا با دستور .iap ‏IAG ‏runform کاربران يک usernameو passwordداشتند. passwordتKKوسKط DBAبKعد از مKدتي تKKغيير و اKعKالم مKي ش Kد. – – – تغيير به يک مقدار مشترک تغيير به يک مقدار معين :شماره تلفن فرد توليد دلخواه .inp حرکت به سمت مکانيزمهاي امنيتي قوي تر ‏Privileges سه سطح privilegeوجود داشت (تا قبل از )v.6 – : Connect privilegeدر حKد ايجاد يک session ‏Kلview ‏KصجKدو ، : Resource privilegeايجاد شKKاخ ، : DBA privilegeکKKنترلکKKامKل – : FASTFORMتوليد کننده بالک در SQL*Forms : CRTاKمKکاناتگKKراKفيکي فKKرمKتKنKعطافپKKذير ا ) : rpt(Oracle reportنKمايشگKKزارKشها در يک – – ‏ ‏ ‏ ‏ دسترسي ها از طريق يک ترمينال با دسترسی فيزيکي ترمينال الل ()dumb امنيت ورود به فضاي ترمينال ها بيشتر از امنيت سيستم بعدها امکانات زير اضافه شد – – نگاهي به تغييرات v.5 قابKلKجرا بKKر روي PC V.5.0.b ا ‏SQL*Net v.1.0  – – مدل Client-Server مسائل جديد امنيتي (اثبات )Identification تسهيل استفاده از Importو Export – (از طريق شبکه به کمک )SQL*Net فايل Exportشده ،قابل اجرا بر روي سيستم عامل هاي مختلف v.6 خط مشي هاي جديد امنيتي در به سه دسته کاربرRole بهprivilege تغيير مفهوم سطوح Role Granted To Privileges connect Users View،synonyms،database link، table export ايجاد،DB اتصال به resource Developers sequencesوclusters،شاخص ها، بر روي جداولprivilege ايجاد و اعطاي dba Database Administrators مشاهده داده، export انجام هر نوع،ايجاد و حذف کاربر،privilege اعطا و لغو ...،کاربران v.6 خط مشي هاي جديد امنيتي در.ادامه Auditing $SYS.AUD ها در جدولAudit ذخيره تمامي : بر فعاليت هاي زير در هر دو حالت موفق و نا موفقAudit انجام Login attempts Object access Database actions – – – CONNECT  RESOURCE  DBA  audit CONNECT: مثال KهKخواKلKلدKدوKي جKليتروKعاKK هر فaudit برايaudit all on  init.ora درAuditing تنظيم audit_trail=TRUE – ادامه .خط مشي هاي جديد امنيتي در v.6 ‏Backup Enhancement ظهور شکل جديدي از log fileها – – : Redo logsثKبتتKKغييراKتجKزئKي ،تKKا زKماننKKوشKتندر DB ‏archived log mode  امکان ترميم پايگاه داKده : Rollback segmentsتامينمKحلمKوقKتدادKه Kها در هKنگام تKKرمKيم ( )recoveryپKKايگKKاه KدادKهK مواردي که ثبت مي شدند : – – چه کسي ،چه زماني ،چه چيزهايي در جداول اما اينکه چه داده هايي تغيير کرده اند ،ثبت نمي شد v.7 . امکانات امنيتي Oracle7 نزديک دهه 1990 ظهور Triggerها ،بهبود قابليتهاي Auditing : Hot Backups پKشتيبانگKKيري در سKKطح فKKايل بKKدوKنshutdown پايگKKاه KدادKهK – – – در حالت پشتيبانگيري با استفاده از exportمي بايست حتما پايگاه داده در حال اجرا باشد . يک پروسه زمانبر و طاقت فرسا مشکالت فراوان در ترميم ،در صورتي که در حين ،Hot Backupسيستم Crashيا shutdownبشود . ادامه .امکانات امنيتي Oracle7 ‏User-defined Roles  – امکان تعريف roleهاي جديد و انتساب آنها به کاربران ‏Trusted Oracle7  – – – – – يک ابزار امنيتي بر اساس مدل BLP پياده سازي با استفاده از Labelingو رابطه تفوق ()domination لزوم ترکيب کنترل ها بر Role، Privilegeدر استخراج داده نصب مشکل و زمان بر استقبال چنداني نشد افزايش پيچيدگي در تنظيمات ، (با توجه به خاصيت )User-defined Roles ادامه .امکانات امنيتي Oracle7 ‏Oracle Advanced Networking Option  – – – – – در ،v.7.3سال 1996 رشد و بلوغ شبکه هاي internetو intranet نيازمندي هاي امنيتي جديد متناسب با اين شرايط امکانات encryptionو authenticationقوي پشتيباني از سيستم هاي Kerberos ،CyberSafeو SecureID مشکل کاهش کارايي رمز کردن queryدر سمت clientو رمزگشايي در سمت سرور رمز کردن پاسخ در سمت سرور و رمزگشايي در سمت client امکانات امنيتي Oracle8 بهبود مديريت Password – – – – Passwordاز پKKيشمKنقضي شKKدهK اجبار در نوع و طرح خاصي از password استفاده از تاريخچه ( passwordبراي جلوگيري از تکرار passwordقبلي) قفل کردن حساب کاربري يک کاربر Oracle ‏Oracle Security Server tool  – – – ‏Single sign-on ‏Digital signature در عمل غير موثر و ناکارآمد ادامه.امکانات امنيتي Oracle8 بهبود Auditing – امکان جابجايKي $SYS.AUDبKه tablespaceديگر براي جلوگيري از fragmentationدر SYSTEM tablespace $SYS.AUDتKنهKا جKدوKلس Kيستمي بKKا اKجازKه KجKابKجايKKيو حKذفدادKهK ‏KابKلKجرا بKKراKي سKKاخKتن viewهاي : cataudit.sqlمKجموعKه scriptهاي ق Kا مKختلف( 12نKKوع) بKKر روي $SYS.AUD – دقيقا کدام داده تغيير کرده است کدام سطر اصالح و يا پاک شده است محتويات سطر پاک شده؟ – – کمبودها: – – ادامه.امکانات امنيتي Oracle8 بهبود پشتيبان گيري و ترميم با RMAN utility – – – پشتيبان گيري در سطح فايل در زمان اجرای پايگاه داده ترميم با گزينه هاي point in timeو until cancel the operation ترميم با گزينه only the changed block ‏Tablespace point-in-time recovery utility  – – امکان ترميم يک بخشي از پايگاه داده بدون تاثير بر ساير tablespaceها کاربرد در ( data warehousesتعدد )tablespaces Oracle8i Advanced Security Features Oracle Advanced Networking Option زينK جايگ Authentication پشتيباني از ابزارهاي SSL (Secure Sockets Layer) Authentication  Data encryption  Data integrity  RADIUS (Remote Authentication Dial-In User Service) Token card, Smart card  Kerberos and CyberSpace Single sign-on  Database link authentications  – – – Oracle8i Advanced Security Features DCE Authorization پشتيباني از Distributed Computing Environment Solaris platform – – LDAPv.3 امکان ترکيب با Lightweight Directory Access Protocol – sqlnet.ora درOracle Net8 تنظيم از طريق connect internal حذف دستور Connect/as sysdba Connect/as sysoper شروع و خاتمه کار يک پايگاه داده، قدرت ايجاد – – – Oracle8i Advanced Security Features contd. ‏Virtual Private Database يک نوع مکانيزم کنترل دسترسي سياستهاي امنيتي مستقيما به جداول متصلند – ‏ ‏ ‏ ‏ اعمال سياستها توسط DBنه به وسيله Application اعمال خودکار در هر بار استفاده از جداول تصحيح queryها با استفاده از اين سياستها در سمت سرور مثال query :يک کارمند در دپارتمان IT ; select * from EMPLOYEE ‏ select * from EMPLOYEE where ;’DEPARTMENT=‘IT پياده سازي : – – ‏Security Policy Map ‏Constraint VPD Contd. Security Policy Map Policy Schema Table or View Function Key Columns پرسنل تنها سفارشات مشتريان خود را ببينند SECAP CUSTOMER.PRODUC T_ORDERS ORDERS_ SEC COMPANY_ID, CUST_ID پرسنل تنها داده هاي مشتريان خود را ببينند SECAP CUSTOMER.CUSTOM ERS, CUSTOMER.PRODUC T_ORDERS EMPOYEE _ID_SEC COMPANY_ID, EMPLOYEE_ID جمع بندي بخش اول کنترل پيام هاي خطا پشتيبان گيري و ترميم Auditing Privilege & Roles Password مديريت Authentication & Encryption VPD تيKخشآKK در دو بDataLinkage         Oracle & Database Links ‏ ‏ ‏ ‏ يک نوع اتصال سرور به سرور مي باشد تامين شفافيت محل ذخيره سازي از ديد کاربر امکان به اشتراک گذاري داده ها بين سرورها استفاده از Oracle Net8 listenerبه عنوان بر قرار کننده ارتباط ‏Client ‏Server 2 ‏Server1 ‏DB ‏DB ‏Database Link ‏Server ‏Server ‏DB ‏DB ‏Client Database Link يک مثال از  create database link OUR_CUSTOMER connect to ORDERS identified by OH_SO_NOSY1 using ‘(description=(address=(protocol=tcp) (host=customer.our.company.com) (port=1521)) (connect_data=(service_name=custom er)))’  select * from ORDERS.ORDERS_TAB@OU R_CUSTOMER; customer= پايگاه داده schema = ORDERS = جدول ORDERS_TAB Database Link = OUR_CUSTOMER     Database Link مشکالت امنيتي در Oracle data درDB Link براي مشاهده اطالعات يکview نوع5  dictionary DBA_DB_LINKS ALL_DB_LINKS USER_DB_LINKS V$DBLINK $LINK – TTP LU الزمه اطمينان زياد به – – – – – USER_DB_LINKS view اجراي دستور مربوط بهv8.1.7 در به صورت متن واضحpassword فيلد linkage در پروتکل هايTrusted Third Party Linkage Unit استفاده از به طور معمول، ادامه .مشکالت امنيتي در Database Link خطر افشاء اطالعات در صورتي که پايگاههاي داده نسبت به هم trustedنباشند ،پس از ايجاد اتصال خطر افشاء اطالعات از طريق TTP LU راه حل در : intersection – PPLPو PPXP ‏Cohort-Obscuring  کمترين افشاء تصديق اصالت كاربر -مقدمه پايه تمام كارهاي اعمال امنيت ،شناسايي كاربري است كه ميخواهد با سيستم كار كند. تمامي سطوح دسترسي و مكانيزم هاي امنيتي بر اساس نام كاربران عمل مي كنند. انواع تصديق اصالت : – ‏Database Authentication – ‏External Authentication – ‏Proxy Authentication تصديق اصالت توسط كلمه عبور ‏مرسوم ترين روش تصديق اصالت ‏كلمات عبور به صورت رمز شده در پايگاه ذخيره ميشوند . ‏هر كاربر قادر به تعويض كلمه عبور خود است . ‏وجود تهديداتي از قبيل جعل و دزدي كلمه عبور. تصديق اصالت توسط كلمه عبور ‏مواردي جهت افزايش امنيت اين روش: – اعمل خط مشي مديريت كلمات عبور توسط DBAومسول امنيت از طريق پروفايل هاي كاربران – تعريف استانداردهايي براي اعمال پيچيدگي هاي الزم براي كلمات عبور ،مثل حداقل طول – كلمات عبور نبايد شامل نام و مشخصات كاربران باشد. – كلمات عبور بايستي مرتبا تعويض گردد و بعد از مدتي دوباره نامعتبر گردد. – استفاده مجدد از كلمه عبور قبلي بايستي محدود شود. – بعد از تعداد مشخصي تالش ناموفق براي اتصال ،حساب كاربر Lockميگردد. تصديق اصالت قوي ‏تصديق اصالت با استفاده از تركيب موارد زير: – انچه كه كاربر ميداند مثل كلمه عبور – انچه كه كاربر در اختيار دارد. ‏مزايا : – تنوع مكانيزم هاي تصديق اصالت مثل كارتهاي هوشمند ،كربروس و... – استفاده از Network Authenticationبراي Single Signon Profiles ‏KيKعKماKلمKحدودKيKتهايخKاصو كنترلهايKيروKي Oracleاز Profileها بKKرا ا مKنابKع سKKيستميمKورد اKسKتفادKه ، KكلماتعKبور ،و مKحصوالتمKختلفOracle تKKوسKط مKدير سKKيستم بKKكار مKيرود. پروفايل ها توسط اسامي آنها متمايز مي شوند و به كاربر يا گروه كاربران انتساب داده مي شوند. ‏بر دو نوع هستند : – پروفايل هاي محدودكننده منابع سيستمي – پروفايل هاي محدودكننده استفاده از محصوالت پروفايل هاي محدودكننده منابع سيستمي براي قراردادن محدوديت در مورد استفاده از منابع سيستمي خاص براي كاربرن از جمله زمان استفاده از ، CPUتعداد بالك هاي داده خوانده شده در هر Sessionو فراخواني هاي انجام شده ،تعداد Sessionهاي فعال موازي ، مدت زمان idleو حداكثر تعداد اتصاالت براي هر كاربر مورد استفاده قرار مي گيرد. استفاده از چنين محدوديت هايي تضمين مي كند كه كاربري خواسته يا ناخواسته منابع سيستم را تلف كند” .مفهوم ” hog همچنين براي اعمال قوانيني در مورد زمان تعريف و ميزان پيچيدگي كلمات عبور وتعداد سعي هاي اشتباه قبا از Lockشدن حساب بكار مي رود. پروفايل هاي محدودكننده محKصوالت ‏بعد از تعريف كاربر ،توسط محصوالت مختلف Oracleمي توان به بانك وصل شد. ‏با تعريف چنين محدوديت هايي ،اين اتصال به برنامه ها و محصوالت خاصي محدود مي گردد. ‏مثال امكان اتصال از طريق SQL*Plusوجود دارد ولي از طريق SQL*Report writerممكن نيست. امتيازات كاربر به محض ايجاد هيچ حقي ندارد. براي انجام هر كاري ،بايد حق آن را داشت. در حدود 100حق مختلف تعريف شده است. حقوق Kبه دو دسته تقسيم بندي مي شود : – ‏System Privilege – ‏Object Privilege – هر دو نوع با دستور Grantبه كاربران داده مي شود. امتيازات سيستمي اين امتيازات به كاربران اجازه ساخت و تغيير Objectها و همچنين انجام عمليات هاي سيستمي را مي دهند ،ولي اجازه دسترسي به Objectهاي موجود و كار با آنها را نمي دهد. ‏Create/Alter User  ‏Create/Alter Table  ‏Execute Any Procedure  ‏Export/Import Full Database  … امتيازات روي اشيا اين امتيازات به كاربران اجازه دسترسي كاربر به يك شي خاص پايگاه كه مالك آن كاربر ديگKري است را مي دهند .مثل جدول ،ديد ،پروسيحر و . Synonym دسترسي به ديد بدون دسترسي به خود جدول ،يعني اعمال يك مكانيزم امنيتي براي دسترسي به زيرمجموعه اي از داده ها . ‏Insert / Update / Select / Delete on Table  ‏Select / Alter Sequence  ‏Execute Procedure  ‏Reference On Table  … Data Dictionary مجوز ها در Rol_Sys_Privs  Rol_Tab_Privs  User_Role_Privs  User_Tab_Privs_Made  User_Tab_Privs_Recd  User_col_Privs_Made  User_col_Privs_Recd  … نقش ها ‏KتKعطايمKجوزKها بKKه كارKبراKناKسKتفادKه KمKيشود. Role ها بKKراKيتKKسهيلكار مKديري ا بعد از ايجاد نقش ،مجموعه اي از حقوق به آن داده مي شود و يك يا چندين نقش به كاربر انتساب داده مي شود. نقشها مي توانند با كلمات عبور محافظت گردند و براي استفاده از حقوق آن نقش ،بايستي كلمه عبور زده شود مگر اينكه نقش پيش فرض كاربر باشد. مورد استفاده :توسط Applicationخاص بتواند ولي غير از آن روش نتواند دسترسي انجام دهد .زيرا كلمه عبور توسط .Appتامين مي گردد و كاربر آنرا نمي داند. Oracle 9i امكانات امنيتي Integrity  Entity Integrity – Referential Integrity – Authentication & Access Control  Privileges  Roles  Auditing  By user / statement / privilege / schema object – Views , Stored Program Unit ,Triggers  امكانات امنيتي -Oracle 9iادامه ‏Data Encryption  – فراهم كردن رمزنگاري بران داده هاي انتقالي در شبكه بعد از . Oracle7 – فراهم كردن رمزنگاري بران داده هاي ذخيره شده . – DBMS_OBFUSCATION_TOOLKITبKKراKي DESو . 3DES – تابع MD5براي درهم سازي و تصديق اصالت پيام . – Random Number GeneratorبKKراKيسKKاخKتكليد . منابع 1. Oracle Security Handbook , 2001 Oracle Press 2. Oracle 9i DBA Handbook , 2002 Oracle Press 3. Oracle Security Overview , 2002 Oracle Press 4. CM O’Keefe, M Yung, L Gu, R Baxter - Privacy Preserving Data Linkage Protocols Proceedings of the Workshop on Privacy in the Electronic 2004 Q& A QUESTIONS ANSWERS {Hafez,Tarameshloo}@ce.aut.ac.ir