Oracle Vault是Oracle推出的一套比較完整的運維安全體系框架。在很多運維機構中，Vault是非常好的可選擇方案。

Oracle Vault的原則是安全職責的拆分保護。從原來資料庫管理員sys承擔安全職責這個假設，轉變為單獨安全人員dbvowner和dbvaccount manager為安全配置中心。之後，從行為、領域等多個層面設定了很多安全區，對安全區採用額外的保護策略，將管理員遮蔽住。

注意：Vault的出發點是我們進行選型的一個重要考慮。安全威脅是多種類、多層次的。Oracle Vault是針對運維機構對“自己人”的一種約束設定，形成管理員和安全員相互牽制的結構。

資料庫管理員雖然可以進行管理工作，但是卻不能訪問特定敏感區域。而安全員雖然有安全授權能力，但是沒有管理員資料授權（系統許可權和資料許可權），安全員也不能訪問敏感資料。

這個過程中是有一些漏洞的，比如管理員存在修改安全員密碼，奪取安全員許可權的可能，所以Oracle Vault在安裝之後，有一些預設的領域和命令規則，將管理員嚴格的進行束縛。

此外，管理員有一些日常操作，如使用DB Control、Datapump和Recovery Manager，都有觸動安全領域規則的風險。這樣的情況Oracle是如何處理呢？本篇從Data Pump操作入手，進行簡單討論。

1、Data Pump與Vault

Oracle Data Pump（資料泵）是Oracle10g以後推出的資料備份管理工具。作為Exp/Imp的進化版，Data Pump對於各種Oracle新特性、功能支援力度是比較好的，在海量資料操作的時候，Data Pump也是有獨特的優勢。

如果我們仔細研究過Data Pump操作過程，就可以得知，Oracle Data Pump進行資料匯入的過程並不是一個整體，而是一系列動作的集合。比如：當進行資料匯入Schema模式的時候，如果目標資料庫沒有這個使用者，Data Pump時會建立出這個使用者。這個過程其實就是一般的create user xxx語句執行。

所以，進行export和import資料的過程，是一個多種許可權（系統許可權）綜合的過程。這也就是為什麼Oracle中匯入匯出資料庫的許可權是兩個角色許可權（Import/Export Full Database）。

那麼，如果管理員（備份操作員）需要進行資料匯入匯出敏感資料的時候，是要觸動到敏感資訊的。Oracle Vault環境下我們是怎麼配置呢？

2、預設行為配置

當前我們實驗選擇Oracle 11gR2版本，資料庫已經配置Vault元件。對scott資料進行保護，即使sys管理員也是無法訪問的。

SQL> show user;

User is "SYS"

SQL> select count(*) from scott.emp;

select count(*) from scott.emp

ORA-01031: 許可權不足

建立directory物件，匯出資料。

[oracle@SimpleLinux ~]$ cd /dumps/

[oracle@SimpleLinux dumps]$ ls -l

total 0

Oracle中建立directory物件dumps。嘗試進行匯出。

[oracle@SimpleLinux dumps]$ expdp \"/ as sysdba\" directory=dumps schemas=scott dumpfile=scottvault.dmp

Export: Release 11.2.0.4.0 - Production on Fri Apr 4 15:21:30 2014

Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production

（篇幅原因，有省略……）

Processing object type SCHEMA_EXPORT/TABLE/CONSTRAINT/REF_CONSTRAINT

ORA-39127: unexpected error from call to export_string :=SYS.DBMS_TRANSFORM_EXIMP.INSTANCE_INFO_EXP('AQ$_MGMT_NOTIFY_QTABLE_S','SYSMAN',1,1,'11.02.00.04.00',newblock)

ORA-01031: insufficient privileges

ORA-06512: at "SYS.DBMS_TRANSFORM_EXIMP", line 197

ORA-06512: at line 1

ORA-06512: at "SYS.DBMS_METADATA", line 9876

ORA-39127: unexpected error from call to export_string :=SYS.DBMS_TRANSFORM_EXIMP.INSTANCE_INFO_EXP('AQ$_MGMT_LOADER_QTABLE_S','SYSMAN',1,1,'11.02.00.04.00',newblock)

ORA-01031: insufficient privileges

ORA-06512: at "SYS.DBMS_TRANSFORM_EXIMP", line 197

ORA-06512: at line 1

ORA-06512: at "SYS.DBMS_METADATA", line 9876

Processing object type SCHEMA_EXPORT/POST_SCHEMA/PROCACT_SCHEMA

ORA-31693: Table data object "SCOTT"."DEPT" failed to load/unload and is being skipped due to error:

ORA-02354: error in exporting/importing data

ORA-28116: insufficient privileges to do direct path access

ORA-31693: Table data object "SCOTT"."EMP" failed to load/unload and is being skipped due to error:

ORA-02354: error in exporting/importing data

ORA-28116: insufficient privileges to do direct path access

ORA-31693: Table data object "SCOTT"."SALGRADE" failed to load/unload and is being skipped due to error:

ORA-02354: error in exporting/importing data

ORA-28116: insufficient privileges to do direct path access

. . exported "SCOTT"."BONUS" 0 KB 0 rows

Master table "SYS"."SYS_EXPORT_SCHEMA_01" successfully loaded/unloaded

******************************************************************************

Dump file set for SYS.SYS_EXPORT_SCHEMA_01 is:

/dumps/scottvault.dmp

Job "SYS"."SYS_EXPORT_SCHEMA_01" completed with 5 error(s) at Fri Apr 4 15:22:22 2014 elapsed 0 00:00:41

從報錯資訊中，我們看到Data Pump本質就是呼叫一系列的包方法，來將資料匯出。Sys使用者是有匯出資料許可權的，但是預設情況如果碰觸敏感資訊，也是報錯失敗。

3、額外授權

在設定Vault情況下，Oracle對於一些管理操作時需要額外授權的。Dbms_macadm包就是用於進行特定管理操作授權的。

當前我們在sys下，執行許可權。

SQL> exec dbms_macadm.authorize_datapump_user('SYS');

begin dbms_macadm.authorize_datapump_user('SYS'); end;

ORA-06550: 第 1 行, 第 7 列:

PLS-00904: insufficient privilege to access object DVSYS.DBMS_MACADM

ORA-06550: 第 1 行, 第 7 列:

PL/SQL: Statement ignored

在Oracle Vault中，所有對於敏感區域的授權動作，都是要透過dvowner管理物件。

SQL> conn dbvowner/qwer1234.@ora11g

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0

Connected as dbvowner

SQL> exec dbms_macadm.authorize_datapump_user('SYS');

PL/SQL procedure successfully completed

再次呼叫expdp程式。

[oracle@SimpleLinux dumps]$ expdp \"/ as sysdba\" directory=dumps schemas=scott dumpfile=scottvault.dmp

Export: Release 11.2.0.4.0 - Production on Fri Apr 4 16:15:06 2014

Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production

With the Partitioning, Oracle Label Security, OLAP, Data

（篇幅原因，有省略……）

SCHEMA_EXPORT/POST_SCHEMA/PROCACT_SCHEMA

. . exported "SCOTT"."DEPT" 5.929 KB 4 rows

. . exported "SCOTT"."EMP" 8.562 KB 14 rows

. . exported "SCOTT"."SALGRADE" 5.859 KB 5 rows

. . exported "SCOTT"."BONUS" 0 KB 0 rows

Master table "SYS"."SYS_EXPORT_SCHEMA_01" successfully loaded/unloaded

******************************************************************************

Dump file set for SYS.SYS_EXPORT_SCHEMA_01 is:

/dumps/scottvault.dmp

Job "SYS"."SYS_EXPORT_SCHEMA_01" successfully completed at Fri Apr 4 16:15:33 2014 elapsed 0 00:00:25

匯出成功。

4、匯入敏感資料動作

此時，我們設想一個場景。如果一個位於安全領域的資料物件，被匯出為dmp檔案（或者備份到其他介質中）。還原到一個環境之後，安全原則是否還存在？

我們進行試驗測試，匯入剛剛匯出的dmp檔案到資料庫中。

--匯入相同資料庫，不同schema

[oracle@SimpleLinux dumps]$ impdp \"/ as sysdba\" dumpfile=scottvault.dmp directory=dumps remap_schema=scott:test

Import: Release 11.2.0.4.0 - Production on Fri Apr 4 16:20:49 2014

Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production

With the Partitioning, Oracle Label Security, OLAP, Data Mining,

Oracle Database Vault and Real Application Testing options

Master table "SYS"."SYS_IMPORT_FULL_01" successfully loaded/unloaded

Starting "SYS"."SYS_IMPORT_FULL_01": "/******** AS SYSDBA" dumpfile=scottvault.dmp directory=dumps remap_schema=scott:test

Processing object type SCHEMA_EXPORT/USER

Processing object type SCHEMA_EXPORT/SYSTEM_GRANT

Processing object type SCHEMA_EXPORT/ROLE_GRANT

Processing object type SCHEMA_EXPORT/DEFAULT_ROLE

Processing object type SCHEMA_EXPORT/PRE_SCHEMA/PROCACT_SCHEMA

Processing object type SCHEMA_EXPORT/TABLE/TABLE

Processing object type SCHEMA_EXPORT/TABLE/TABLE_DATA

. . imported "TEST"."DEPT" 5.929 KB 4 rows

. . imported "TEST"."EMP" 8.562 KB 14 rows

. . imported "TEST"."SALGRADE" 5.859 KB 5 rows

. . imported "TEST"."BONUS" 0 KB 0 rows

Processing object type SCHEMA_EXPORT/TABLE/INDEX/INDEX

Processing object type SCHEMA_EXPORT/TABLE/CONSTRAINT/CONSTRAINT

Processing object type SCHEMA_EXPORT/TABLE/CONSTRAINT/REF_CONSTRAINT

Processing object type SCHEMA_EXPORT/POST_SCHEMA/PROCACT_SCHEMA

Job "SYS"."SYS_IMPORT_FULL_01" successfully completed at Fri Apr 4 16:20:59 2014 elapsed 0 00:00:08

匯入成功，檢視Vault約束是否存在。

SQL> conn sys/oracle@ora11g as sysdba

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0

Connected as SYS

SQL> select * from scott.emp;

select * from scott.emp

ORA-01031: 許可權不足

SQL> select * from test.bonus;

ENAME JOB SAL COMM

---------- --------- ---------- ----------

到一個新的環境之後，資料約束消失。

5、結論與討論

發現匯入敏感vault失效之後，一些朋友是有疑惑的，認為這樣是Oracle的一個問題缺陷。在這個問題上，筆者是和Oracle站在相同的立場的。

首先，Vault的本質是一種系統級別的控制技術。而不是一種資料加密技術。如果尋求加密，可以考慮TDE或者應用端加密技術。Vault是在訪問層面的一種控制機制。所以，當資料被合法的讀取留存之後，被解密是合理的想法。

第二，在進行Export的時候，Oracle Vault是要求額外授權的。Oracle認為：既然已經讓安全管理員允許特定使用者匯出敏感資料，那麼安全責任就轉移出系統了，擔負在特定使用者的身上。所以，這樣也是合理的。

最後，Vault的本質是“防範自己人”。這也就是限制了Oracle Vault發揮作用的層面。安全是一個多層面考慮的問題。沒有單獨的一種技術手段可以避免問題出現。在什麼都不可信的時候，我們總需要相信一些什麼。

注意：在11gR2版本中，已經取消了對於Exp/Imp在Vault環境的使用。Data Pump已經成為唯一選擇。

詳說Oracle Vault——使用資料泵工具

相關文章