הוא ניתוח מערך הגבלה של גישה חובה בעבור אורקל DBMS





833



סיכום:

קישור זה הזמן מוקדש לניתוח ערכת מיגון חובת הגבלה של גישה בעבור אורקל DBMS. בגלל מכך מתגלים 10 ערוצי דליפה.





מילות מפתח:

בקרת גישה, אבטחת מסדי דגשים, גישה חובה, אורקל DBMS, מודל גישה מחייב, אבטחת תווית בידי אורקל






מרכז המאמר:


קישור זה הזמן מוקדש לניתוח ערכה ל חובת הגדרת גישה בשביל אורקל DBMS. בגלל מכך מתגלים עשר ערוצי דליפה.



בשביל מוצרי צריכה מידע רבות המבוססות על DBMS בדרך כלל נושא ליישם הגדרת גישה, המצריך לשקול את כל ערכה של המידע. הגיע בדרך כלל כדאי למערכות מידע רחבות אזור של ממשל עד תאגיד (כלומר ציוד האורטופדי עיצוב גיאוגרפיות אם מוצרי צריכה שליטה על מסמכים). רשת כזאת מרמזת ברוב המקרים אודות מודל גישה מחייב. זכוכית התכונות על ידי המודל המחייב הוא מניעה בקרב ירידה מכוונת או מקרית בקרב חיוניות המידע בגלל בקרת זרימת הידע הנדרש. מודל גישה מחייב מתבצע על ידי תיוג יותר מידי הנושאים והחפצים השייכים למערכת הגבלה של הגישה.



אורקל DBMS הנו היום אחד מה- DBMS התעשייתי החזק והפופולרי מאוד. כבר החל מגרסת Oracle9i, רכיב Oracle Label Security (OLS) שנעשה, העניין בנותן לארוז גישה מחייב לנתונים המאוחסנים. OLS היא בעצם ערכת מיגון נהלים ומגבלות המובנים בליבת מסד הפרטים, המאפשרים עשייה בידי בקרת גישה ברמה הרשומה. מתוך מטרה לעזור OLS עלינו להכין מדיניות אבטחה במכילה קבוצת תוויות. בכל לפני עשור שנוצרת מדיניות הינו מתופעל להחיל אותה המתארת את טבלאות מוגנות לכן המשתמשים לקבל בחזרה זכויות אודות תוויות טובות.


נדמה לנו שהוא בעבור ערוצי זליגה אפשריים בידי בניית רזי נראה מכובד בעבור המערכת שנבדקה.

אנחנו מספקים את אותו אלגוריתם הניתוח הנפוץ אחריו בקרב מודל הגישה החובה המיושם.

1) רמות אובייקטים על ידי גישה נקבעים בהתאם התיעוד שנתגלה וחקירת ה- DBMS (למשל, טבלאות, מחרוזות או אולי עמודות).

2) פקודות אצל SQL מנותחות במונחים על ידי האופן שבו משתמשים זכאים להופך לדבר אחר אובייקטי גישה.

3) נוצרים 5 אובייקטים בעלות רמות סודיות מתחלפות בכל מהות אובייקט גישה.

4) חמש חשבונות משתמשים (נושא גישה) נוצרים במחיר זכויות גישה מחייב משתנות.

5) נועד רצף של שאילתות SQL שמבוצעות בעלות זכויות הגבלת גישה שונות וחובה בעלויות אובייקטים במחיר איכות סודיות נפרד. על פי נדמה לנו שהוא ההפקה בקרב שאילתות הנ"ל תצליחו לבחור מודל גישה ולקבוע מסקנה אם מושם למערכת פגיעויות העלולות לגרום לדליפה או לחילופין ריקבון על ידי ארגון סודות.

למה שלא נבחן אובייקטי גישה בשנת OLS. הנ"ל רישומי פירוט, בנות תוויות מבודדות. בדרך כלל משתמע שהרי טבלאות הנן אובייקט גישה ב- OLS מכיוון שמדיניות האבטחה מוחלת על אודות טבלאות. יחד עם זאת, בטבלאות אין כלל תוויות עצמן; הם שכיח כוללים שורות שכותרתו.

פעולות ה- SQL הבסיסיות הבאות מטפלות ברשומות בודדות:

- צור הפקת תקליט חדש;

- בחר קריאה של רשומה קיימת;

- השגת של שיא קיים;

מחיקת מחיקת רשומה.

הניסויים של העסק כללו רצפי שאילתות שנקראו באמצעות משתמשים בנות זכויות גישה מכריח מתחלפות לאובייקטים ברמות סודיות משתנות. ניסויים האלו אפשרו לבחור את כל מודל הגישה החובה בקרב OLS לרשומות. כולנו מגדירים נספח משתנים: I ו- J. I מהווה תשומת לב על ידי תווית אובייקטים. ערכים זעומים 2 שנים על ידי I מצביעים על אודות איכות סודיות משמעותית יותר (הערך 0 תואם סודי ביותר). J הוא חשיבות על ידי איכות הגישה אצל הנבדקים.

אפשר לספר את אותו המודל בתצוגה הרשמית הבאה:





1. CREATE \ SELECT \ UPDATE \ DELETE, j = i

2. בחר, j i



מודל גישה חובה כזו ברמה שיא הנו במיוחד ראוי ואותו אחד שדיברנו עומד בקריטריונים בקרב מודל האבטחה בידי בל-לה פדולה. פָּעוּט OLS מנהל צוות נכון באיכות רישומי הטבלה.

יחד עם זה, לתחום מספרי כייצוג בידי פרמטרים מאוחסנים, משתמשים רשאים לתקשר בעלות ייצוגיות אלמנטים שונה, אשר אינם קשורים ממדיניות הגישה החובה. אביזרים נלווים הינם דוגמה לאובייקטים אלו. משתמשים הוא יכולים להופך לדבר אחר רק את ארגון הטבלאות, בקיצור לשלב שדות להתחיל, להיות שונה את אותו שמם ולשנות את כל סוגי הפרטים. OLS מאבדת את כל יכולתה לעסוק נכון באיכות השולחן.

סופר סתם צפת , למשתמש בעל זכויות מכריח גבוהות יותר יש אופציה לתכנן שדה אידיאלי בטבלה. לאתר זה מכובד השדה עלול לשאת חסוי בעצמו, ומנגנון OLS ולא מונע פעולה הינו. למשתמש עם זכויות גישה נוחות לכל כיס כל הזמן יש אפשרות לבדוק שמות בקרב כל השדות.

לדוגמה, נוצר שדה חדש אשר נקרא new_password_xxx (כאשר xxx הנו מידע סודי ביותר) בעלויות שאילתת ה- SQL הבאה:


שנה אחת את כל הטבלה user1.test_table ADD (new_password VARCHAR2 (30));

אם וכאשר משתמש שונה ואין לו זכויות חובה תאריך את כל השאילתה שמטרתה (SELECT * FROM user1.test_table;), הינה לוקח רשת דגשים ריקה, אולם כל שמות השדות ofuser1.test_table נחשפים בפניו. לפי שהוצג לעיל, ניסיון העמודה יוכל להכיל ארגון מסווג.


פעולות המוצגות בדוגמה יוצרות ערוצי דופלקס על ידי חילופי אלמנטים מצד נושאים בעלי זכויות גישה מוצלחות ונמוכות יותר, ומסיבה זו הנם יכולים להביא לדליפה על ידי ארגון מסווג.

בסוגיית הנאום מתחילה, מודל הגישה החובה המיושם באורקל הם לא שלם, ועובדה הינו נותנת לעבור רעיון מסווג ללא שליטה בצינורות הגישה החובה, העניין שמקטין את כל ערכה של הידע.

כמו כן, אפשר למצוא אודות השיטות בעצם לאימות חתימת מקלדת ביומטרית מאתרנו: http://www.allmysoft.com/biometric-keyboard-signature-authentication.html