Bài thực hành Bảo mật hệ thống thông tin số 8: Oracle Label Security (1)

Bài thực hành Bảo mật hệ thống thông tin số 8: Oracle Label Security (1) có nội dung trình bày về mô hình DAC và MAC, DAC và MAC trong Oracle, giới thiệu Oracle Label Security, hướng dẫn cài đặt Oracle Label Security, chính sách trong Oracle Label Security,... Mời các bạn cùng tham khảo cho tiết nội dung tài liệu.

Bài th c hành s  8 ự ố

ORACLE LABEL SECURITY (1)

 Tóm t t n i dung:   ắ ộ  

Mô hình DAC và MAC 

DAC và MAC trong Oracle

Gi i thi u Oracle Label Securityớ ệ

Hướng d n cài đ t Oracle Label Securityẫ ặ

Chính sách trong Oracle Label Security

I Gi i thi u ớ ệ

A. Lý thuy t ế

1 Mô hình DAC và MAC

Có 2 mô hình tiêu bi u dùng đ  qu n lý vi c truy xu t d  li u m t cách đúngể ể ả ệ ấ ữ ệ ộ  

đ n và b o đ m an toàn cho d  li u là DAC (Discretionary Access Control) vàắ ả ả ữ ệ   MAC (Mandatory Access Control)

DAC: qu n lý vi c truy xu t d  li u b ng cách qu n lý vi c c p phát cácả ệ ấ ữ ệ ằ ả ệ ấ   quy n truy xu t cho nh ng ngề ấ ữ ười dùng thích h p tùy theo yêu c u c a các chínhợ ầ ủ   sách b o m t.ả ậ

MAC: qu n lý vi c truy xu t d a trên m c đ  nh y c m c a d  li u và m cả ệ ấ ự ứ ộ ạ ả ủ ữ ệ ứ  

đ  tin c y c a ngộ ậ ủ ười dùng truy xu t CSDL. B ng cách phân l p và gán nhãn choấ ằ ớ  

d  li u và ngữ ệ ười dùng, đ ng th i áp d ng quy t c “ồ ờ ụ ắ no read up ­ no write down”, 

mô hình MAC giúp ta tránh được vi c rò r  d  li u có m c đ  nh y c m cao raệ ỉ ữ ệ ứ ộ ạ ả   cho nh ng ngữ ười dùng có đ  tin c y th p.ộ ậ ấ

2 MAC và DAC trong Oracle

DAC   :

Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM

Trong Oracle Database, các nhà qu n tr  có th  áp d ng mô hình DAC thông quaả ị ể ụ  

vi c qu n lý các truy xu t theo quy n đ i tệ ả ấ ề ố ượng và quy n h  th ng (bài Lab 3 –ề ệ ố  

Quy n và Role ề )

MAC   :

Oracle hi n th c mô hình MAC trên lý thuy t thành s n ph m Oracle Labelệ ự ế ả ẩ   Security (OLS). Tuy nhiên, do mô hình MAC lý thuy t tuân theo nguyên t c “ế ắ no  read up ­ no write down” nên ch  b o đ m tính bí m t mà không có tính toàn v n.ỉ ả ả ậ ẹ  

Đ  cung c p m t mô hình b o v  t t h n cho CSDL c a khách hàng, OLS c aể ấ ộ ả ệ ố ơ ủ ủ   Oracle đã c i ti n mô hình MAC lý thuy t b ng cách thay đ i nguyên t c trênả ế ế ằ ổ ắ  

thành “no read up ­ no write up ­ limited write down”. Nh  v y, tính b o m t vàờ ậ ả ậ   tính toàn v n c a d  li u đẹ ủ ữ ệ ược b o đ m. M t khác, khác v i mô hình lý thuy t,ả ả ặ ớ ế   OLS không b t bu c áp d ng MAC cho toàn b  CSDL. Ngắ ộ ụ ộ ười qu n tr  có th  chả ị ể ỉ 

đ nh ra nh ng table ho c schema nào s  đị ữ ặ ẽ ược áp d ng OLS.ụ

M i t  ố ương quan gi a DAC và MACữ  :

Khi người dùng nh p vào 1 câu truy v n SQL, đ u tiên Oracle s  ki m tra DACậ ấ ầ ẽ ể  

đ  b o đ m r ng user đó có quy n truy v n trên table để ả ả ằ ề ấ ược nh c đ n trong câuắ ế   truy v n. K  ti p Oracle s  ki m tra xem có chính sách VPD (Virtual Privateấ ế ế ẽ ể   Database) nào được áp d ng cho table đó không. N u có, chu i đi u ki n c aụ ế ỗ ề ệ ủ   chính sách VPD s  đẽ ược n i thêm vào câu truy v n g c, giúp l c ra đố ấ ố ọ ược m tộ  

t p các hàng d  li u th a đi u ki n c a VPD. Cu i cùng, Oracle s  ki m tra cácậ ữ ệ ỏ ề ệ ủ ố ẽ ể   nhãn OLS trên m i hàng d  li u có trong t p trên đ  xác đ nh nh ng hàng nào màỗ ữ ệ ậ ể ị ữ  

người dùng có th  truy xu t (xem hình minh h a bên dể ấ ọ ưới)

Ki n trúc c a Oracle Label Security ế ủ

3 Gi i thi u Oracle Label Securityớ ệ

Oracle Label Security (OLS) là m t s n ph m độ ả ẩ ược hi n th c d a trên n nệ ự ự ề  

t ng công ngh  Virtual Private Database (VPD), cho phép các nhà qu n tr  đi uả ệ ả ị ề   khi n truy xu t d  li u   m c hàng (row­level) m t cách ti n l i và d  dàngể ấ ữ ệ ở ứ ộ ệ ợ ễ  

h n. Nó đi u khi n vi c truy xu t n i dung c a các dòng d  li u b ng cách soơ ề ể ệ ấ ộ ủ ữ ệ ằ   sánh nhãn c a hàng d  li u v i nhãn và quy n c a user. Các nhà qu n tr  có thủ ữ ệ ớ ề ủ ả ị ể 

d  dàng t o thêm các chính sách ki m soát vi c truy xu t các hàng d  li u choễ ạ ể ệ ấ ữ ệ   các CSDL b ng giao di n đ  h a thân thi n ngằ ệ ồ ọ ệ ười dùng có tên g i là Oracleọ   Policy Manager ho c b ng các packages đặ ằ ược xây d ng s n.ự ẵ

Có 6 package được hi n th c s n cho OLS:ệ ự ẵ

 SA_SYSDBA: t o, thay đ i, xóa các chính sách.ạ ổ

 SA_COMPONENTS: đ nh nghĩa và qu n lý các thành ph n c a nhãn.ị ả ầ ủ

 SA_LABEL_ADMIN: th c hi n các thao tác qu n tr  chính sách, nhãn. ự ệ ả ị

 SA_POLICY_ADMIN: áp d ng chính sách cho b ng và schema.ụ ả

 SA_USER_ADMIN: qu n lý vi c c p phát quy n truy xu t và quy đ nh m cả ệ ấ ề ấ ị ứ  

đ  tin c y cho các user liên quan.ộ ậ

 SA_AUDIT_ADMIN: thi t l p các tùy ch n cho các tác v  qu n tr  vi cế ậ ọ ụ ả ị ệ   audit

Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM

(Trong ch ươ ng trình này chúng ta ch  tìm hi u cách làm vi c v i OLS thông qua 5 ỉ ể ệ ớ   package đ u trong 6 package li t kê   trên) ầ ệ ở

Trong OLS, ta dùng các chính sách (policy) đ  qu n lý truy xu t. Đ i v i m iể ả ấ ố ớ ỗ   chính sách, ta c n đ nh ra m t t p nhãn đ  phân l p d  li u t  cao xu ng th pầ ị ộ ậ ể ớ ữ ệ ừ ố ấ  

d a theo m c đ  nh y c m c a d  li u (ngoài ra các nhãn còn có nh ng y u tự ứ ộ ạ ả ủ ữ ệ ữ ế ố  khác mà ta s  bàn đ n khi đi vào chi ti t). Các nhãn đó đẽ ế ế ược g i là các ọ nhãn dữ 

li u ệ  ­ “data label”. Sau đó ta áp d ng các chính sách lên các b ng ho c schema màụ ả ặ   mình mong mu n b o v  M i khi m t ngố ả ệ ỗ ộ ười dùng mu n truy xu t m t hàng dố ấ ộ ữ 

li u nào đó, h  th ng s  so sánh nhãn c a ngệ ệ ố ẽ ủ ười dùng (user label) t i th i đi mạ ờ ể  

đó v i nhãn d  li u đ  quy t đ nh có cho phép vi c truy xu t hay không.ớ ữ ệ ể ế ị ệ ấ

4 Năm bước hi n th c OLS ệ ự

Quy trình c  b n đ  hi n th c m t chính sách OLS g m 5 bơ ả ể ệ ự ộ ồ ước nh  sau:ư

 B1: T o chính sách OLS.ạ

 B2: Đ nh nghĩa các thành ph n mà m t label thu c chính sách trên có th  có.ị ầ ộ ộ ể

 B3: T o các nhãn d  li u th t s  mà b n mu n dùng.ạ ữ ệ ậ ự ạ ố

 B4: Gán chính sách trên cho các table ho c schema mà b n mu n b o v ặ ạ ố ả ệ

 B5: Gán các gi i h n quy n, các nhãn ngớ ạ ề ười dùng ho c các quy n truy xu tặ ề ấ  

đ c bi t cho nh ng ngặ ệ ữ ười dùng liên quan

Trong chương trình c a chúng ta, các khái ni m và đ i tủ ệ ố ượng OLS s  l n lẽ ầ ượ  t

được gi i thi u theo th  t  c a các bớ ệ ứ ự ủ ước trong quy trình hi n th c c  b n m tệ ự ơ ả ộ   chính sách OLS đ  giúp các b n d  theo dõi và th c hành.ể ạ ễ ự

1 Cài đ t OLS ặ

Cài đ t m c đ nh c a Oracle không bao g m tính năng OLS. Do v y ph n nàyặ ặ ị ủ ồ ậ ầ  

s  hẽ ướng d n các b n cài đ t thêm tính năng OLS cho m t c  s  d  li u có s n.ẫ ạ ặ ộ ơ ở ữ ệ ẵ  

B n ph i có quy n admin đ  có th  th c hi n vi c cài đ t này.ạ ả ề ể ể ự ệ ệ ặ

Trong ví d  minh h a bên dụ ọ ưới, tên (System Identifier Database ­ SID) c a củ ơ 

s  d  li u đang t n t i có tên là ở ữ ệ ồ ạ ORCL

Các bước cài đ t OLS:ặ

a. Trước khi cài đ t, c n đ m b o là d ch v  ặ ầ ả ả ị ụ OracleService<SID> đã đ c t t.ượ ắ   Trong ví d  minh h a   đây, d ch v  có tên là  ụ ọ ở ị ụ OracleServiceORCL. Đ  t tể ắ  

d ch v  này, ch n  ị ụ ọ Start    Settings    Control Panel   Administrative  Tools  Services

b. Ch n d ch v  ọ ị ụ OracleServiceORCL và nh n chu t ph i, ch n ấ ộ ả ọ Stop đ  t t d chể ắ ị  

v  này.ụ

Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM

c. Sau khi đã t t d ch v  ắ ị ụ OracleServiceORCL, m  th  m c ch a chở ư ụ ứ ương trình  cài đ t ặ Oracle Database Enterprise Edition, nh p đôi lên file ấ setup.exe

d. Oracle Universal Installer được kh i đ ng:ở ộ

e. Click ch n ọ Advanced Installation trong c a s  ử ổInstallation Method r i nh nồ ấ   Next

f. Ch n ọ Custom trong c a s  ử ổSelect Installation Type và nh n ấ Next.

g. Ở ử ổ c a s  Specify File Locations, nh p ậ Global Database Name vào Home và 

đường d n c a  ẫ ủ Oracle Home vào Path r i nh n ồ ấ Next. Thông th ng, n uườ ế   khi cài đ t Oracle, b n không thay đ i giá tr  m c đ nh c a v  trí cài đ t thì giáặ ạ ổ ị ặ ị ủ ị ặ  

tr  c a đị ủ ường d n là ẫ C:\oracle\product\10.2.0\db_1

Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM

h. Trong c a s  ử ổ Available Product Components đánh d u vào ô ấ Oracle Label  Security

i. Các bước k  ti p làm theo hế ế ướng d n trong c a s  hi n th  (cách làm gi ngẫ ử ổ ể ị ố  

nh  quá trình cài đ t Oracle Database).ư ặ

2 C u hình đ  s  d ng OLS ấ ể ử ụ

a. Ch n   Start  ọ   Programs    Oracle­OraDb10g_home1   Configuration and Migration Tools  Database Configuration Assistant. C aử  

s  chổ ương trình s  hi n ra nh  hình bên dẽ ệ ư ưới. Click Next đ  ti p t c.ể ế ụ

b. Trong c a s  ử ổStep 1, ch n ọ Configure Database Options và click Next.

Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM

c.Trong  Step 2, ch n c  s  d  li u mà b n mu n cài đ t thêm OLS và clickọ ơ ở ữ ệ ạ ố ặ   Next

d. Trong Step 3, ch n ọ Oracle Label Security và click Next

e. Trong Step 4, đ  m c đ nh và ch n ề ặ ị ọ Finish.

f.L n lầ ượt 2 ô c a s  ử ổ Restart Database và Confirmation xu t hi n, nh n ấ ệ ấ OK  trong m i c a s  đó.ỗ ử ổ

Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM

g. Sau khi chương trình cài đ t thành công, click ặ No trong c a s  ử ổDatabase  Configuration Assistant đ  thoát ra kh i ch ng trình.ể ỏ ươ

3 Kích ho t tài kho n LBACSYSạ ả

Đ  s  d ng OLS b o v  cho c  s  d  li u, ta c n t o ra các chính sách (policy) quyể ử ụ ả ệ ơ ở ữ ệ ầ ạ  

đ nh các m c đ  nh y c m c a d  li u và m c đ  tin c y c a nh ng ngị ứ ộ ạ ả ủ ữ ệ ứ ộ ậ ủ ữ ười dùng  liên quan. Mu n t o ra các chính sách, ta ph i đăng nh p b ng tài kho n ố ạ ả ậ ằ ả LBACSYS.  Tuy nhiên, m c đ nh tài kho n này b  khóa. Dùng đo n l nh sau đ  kích ho t tàiặ ị ả ị ạ ệ ể ạ   kho n này.ả

CONN system/system;

ALTER USER lbacsys IDENTIFIED BY lbacsys ACCOUNT UNLOCK;

4 Chu n b  d  li uẩ ị ữ ệ

Đ  minh h a cho ph n th c hành c a các bài lab v  OLS, chúng ta c n t oể ọ ầ ự ủ ề ầ ạ  

trước m t s  tài kho n, role.ộ ố ả

Thông thường, ng  c nh mà trong đó d  li u c n đữ ả ữ ệ ầ ược b o v  s  g m cácả ệ ẽ ồ   thành ph n:ầ

 D  li u c n đữ ệ ầ ược b o v ả ệ

 Ch  s  h u d  li u c n đủ ở ữ ữ ệ ầ ược b o v  (user t o ra và ch a d  li u c nả ệ ạ ứ ữ ệ ầ  

được b o v  trong schema c a mình).ả ệ ủ

 User ch u trách nhi m qu n lý ai đị ệ ả ược phép truy xu t nh ng đ i tấ ữ ố ượ  ng

d  li u c n đữ ệ ầ ược b o v ả ệ

 User ch u trách nhi m qu n lý chính sách b o m t và nh ng quy đ nhị ệ ả ả ậ ữ ị  

c a chính sách đó.ủ

Trong ph n th c hành, chúng ta s  s  d ng các đ i tầ ự ẽ ử ụ ố ượng d  li u thu cữ ệ ộ   schema HR (có s n khi cài đ t Oracle Database, ch a d  li u qu n lý nhân sẵ ặ ứ ữ ệ ả ự 

c a m t công ty­ Human Resources) nh  là nh ng đ i tủ ộ ư ữ ố ượng d  li u c n đữ ệ ầ ượ  c

b o v  Nói cách khác, HR là user t o ra, qu n lý và s  h u (v  m t n i dung)ả ệ ạ ả ở ữ ề ặ ộ  

d  li u c n đữ ệ ầ ược b o v  Đ i m t kh u cho schema ả ệ ổ ậ ẩ HR:

CONN system/system;

ALTER USER hr IDENTIFIED BY hr ACCOUNT UNLOCK;

Ti p theo, ta t o m i user ế ạ ớ HR_SEC ch u trách nhi m qu n lý nh ng user nàoị ệ ả ữ  

được phép truy xu t d  li u trong schema ấ ữ ệ HR:

CONN system/system;

GRANT connect, create user, drop user,

create role, drop any role

TO hr_sec IDENTIFIED BY hrsec;

Ta t o user ạ SEC_ADMIN ch u trách nhi m qu n lý chính sách b o m t dànhị ệ ả ả ậ   cho d  li u trong ữ ệ HR. 

CONN system/system;

GRANT connect TO sec_admin IDENTIFIED BY secadmin;

Ta cũng c n t o ra các user là các nhân viên trong công ty và role cho các nhânầ ạ   viên:

CONN system/system;

CREATE ROLE emp_role;

GRANT connect TO emp_role;

Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM

Steven King (Tổng Giám đốc) CREATE USER sking IDENTIFIED BY sking;

GRANT emp_role TO sking;

Neena Kochhar (Giám đốc điều hành) CREATE USER nkochhar IDENTIFIED BY nkochhar;

GRANT emp_role TO nkochhar;

Karen Partner (Trưởng phòng Sales) CREATE USER kpartner IDENTIFIED BY kpartner;

GRANT emp_role TO kpartner;

Louise Doran (Nhân viên thuộc phòng Sales) CREATE USER ldoran IDENTIFIED BY ldoran;

GRANT emp_role TO ldoran;

Vì HR là người qu n lý v  m t n i dung đ i v i d  li u trong c a phòng nhânả ề ặ ộ ố ớ ữ ệ ủ  

s  nên HR là ngự ườ ấi c p quy n xem d  li u cho các nhân viên:ề ữ ệ

CONN hr/hr;

GRANT select ON hr.locations TO emp_role;

II Chính sách trong Oracle Label Security

A Lý thuy t ế

 Chính sách (policy) có th  để ược xem nh  là m t danh sách t p h p thông tin vư ộ ậ ợ ề  các nhãn d  li u và nhãn ngữ ệ ười dùng c a chính sách đó, các quy đ nh v  quy n truyủ ị ề ề  

xu t, các đi u ki n áp d ng chính sách. Do v y đ  hi n th c OLS thì đ u tiên c nấ ề ệ ụ ậ ể ệ ự ầ ầ  

ph i t o ra chính sách.ả ạ

 Oracle cho phép t o nhi u chính sách khác nhau. M t chính sách có th  đạ ề ộ ể ượ  c dùng đ  b o v  nhi u b ng và schema. M t b ng ho c schema có th  để ả ệ ề ả ộ ả ặ ể ược b o vả ệ 

b i nhi u chính sách khác nhau. Khi đó, n u m t ngở ề ế ộ ười dùng mu n truy xu t d  li uố ấ ữ ệ   trong b ng thì ph i th a mãn quy đ nh c a t t c  các chính sách đang đả ả ỏ ị ủ ấ ả ược áp d ngụ   cho b ng đó.ả

 V i m i chính sách đớ ỗ ược áp d ng trên m t b ng, m t c t dùng đ  l u thông tinụ ộ ả ộ ộ ể ư   nhãn d  li u (data label) c a chính sách đó cho m i hàng trong b ng s  đữ ệ ủ ỗ ả ẽ ược thêm  vào b ng. M i b ng có áp d ng chung 1 chính sách s  có c t thông tin v i tên c tả ọ ả ụ ẽ ộ ớ ộ  

gi ng nhau. Vì v y, m i khi t o m t chính sách, ta ph i quy đ nh m t tên c t choố ậ ỗ ạ ộ ả ị ộ ộ   chính sách đó và tên này ph i là duy nh t trong toàn b  các chính sách OLS c aả ấ ộ ủ   CSDL. 

Ví dụ: chính sách A quy đ nh tên c t ch a thông tin là B. Nh  v y v i m i b ng cóị ộ ứ ư ậ ớ ỗ ả  

áp d ng chính sách A, Oracle s  thêm vào đó 1 c t có tên là B dùng đ  l u nhãn dụ ẽ ộ ể ư ữ 

li u tệ ương  ng v i chính sách A cho t ng dòng d  li u c a b ng đó.ứ ớ ừ ữ ệ ủ ả

 Các c t ch a thông tin c a các chính sách trong m i b ng có ki u NUMBER.ộ ứ ủ ỗ ả ể   Thông tin c a nhãn d  li u đủ ữ ệ ượ ưc l u trong c t này là m t con s  đ i di n cho nhãnộ ộ ố ạ ệ  

g i là tag (s  đọ ẽ ược gi i thi u k  h n trong ph n sau).ớ ệ ỹ ơ ầ

 Chúng ta s  d ng packageử ụ  SA_SYSDBA đ  qu n lý chính sách. SA_SYSDBAể ả   bao g m các th  t c (ồ ủ ụ procedure) sau:

 SA_SYSDBA.CREATE_POLICY: t o m i m t chính sách.ạ ớ ộ

 SA_SYSDBA.ALTER_POLICY:   thay   đ i   nh ng   đi u   ki n   áp   d ngổ ữ ề ệ ụ   chính sách

 SA_SYSDBA.DISABLE_POLICY: làm cho nh ng quy đ nh c a chínhữ ị ủ   sách t m th i không có hi u l c đ i v i nh ng d  li u có áp d ng chính sách đó.ạ ờ ệ ự ố ớ ữ ữ ệ ụ

 SA_SYSDBA.ENABLE_POLICY: kích ho t chính sách đ  nh ng quyạ ể ữ  

đ nh c a chính sách trên các đ i tị ủ ố ượng d  li u mà nó b o v  có hi u l c. M cữ ệ ả ệ ệ ự ặ  

đ nh ngay khi đị ượ ạc t o ra, chính sách đã được kích ho t.ạ

 SA_SYSDBA.DROP_POLICY: xóa b  chính sách và t t c  các nhãnỏ ấ ả  

người dùng, nhãn d  li u liên quan ra kh i c  s  d  li u.ữ ệ ỏ ơ ở ữ ệ

B Th c hành ự

 Ta dùng procedure SA_SYSDBA.CREATE_POLICY đ  t o ra chính sách m i.ể ạ ớ   Quy n th c thi th  t c này đề ự ủ ụ ược c p m c đ nh cho LBACSYS. Trong ph n th cấ ặ ị ầ ự   hành sau ta s  t o ra m t chính sách dùng đ  đi u khi n các truy xu t đ n b ngẽ ạ ộ ể ề ể ấ ế ả   LOCATIONS c a HR v i tên g i là “ACCESS_LOCATIONS” và có c t ch a nhãnủ ớ ọ ộ ứ   tên là “OLS_COLUMN”

Chương Trình Đào Tạo Từ Xa KH & KT Máy Tính – Đại học Bách Khoa TP.HCM

CONN lbacsys/lbacsys;

BEGIN

SA_SYSDBA.CREATE_POLICY ( policy_name => 'ACCESS_LOCATIONS', column_name => 'OLS_COLUMN');

END;

/

 Khi m t chính sách độ ượ ạc t o ra, Oracle t  đ ng t o ra 1 role qu n tr  riêng choự ộ ạ ả ị   chính   sách   đó   và   gán   role   này   cho   LBACSYS   Tên   c a   role   có   d ngủ ạ  

“<tên_chính_sách>_DBA”. Ví d , đ i v i chính sách v a t o   trên thì role tụ ố ớ ừ ạ ở ươ  ng

ng s  có tên là  

ứ ẽ ACCESS_LOCATIONS_DBA. Thông th ng LBACSYS ch  cóườ ỉ   nhi m v  chung t o ra các chính sách, s  có nh ng ngệ ụ ạ ẽ ữ ười khác ch u trách nhi mị ệ  

qu n lý chính sách đó. C  th  trong ng  c nh th c hành c a chúng ta, SEC_ADMINả ụ ể ữ ả ự ủ  

s  là user ch u trách nhi m qu n lý chính sách, duy trì ho t đ ng c a nó và HR_SECẽ ị ệ ả ạ ộ ủ  

s  quy t đ nh quy n truy xu t d  li u trong schema HR c a các user khác d a trênẽ ế ị ề ấ ữ ệ ủ ự  

m c đ  tin c y h  ứ ộ ậ ọ

 Đ  SEC_ADMIN có th  qu n lý và duy trì ho t đ ng c a chính sách, ta c nể ể ả ạ ộ ủ ầ  

c p cho user này role qu n tr  c a chính sách và các quy n th c thi trên các packageấ ả ị ủ ề ự   liên quan:

CONN lbacsys/lbacsys;

GRANT access_locations_dba TO sec_admin;

Package dùng để tạo ra các thành phần của nhãn

GRANT execute ON sa_components TO sec_admin;

Package dùng để tạo các nhãn

GRANT execute ON sa_label_admin TO sec_admin;

Package dùng để gán chính sách cho các table/schema

GRANT execute ON sa_policy_admin TO sec_admin;