




已閱讀5頁,還剩23頁未讀, 繼續(xù)免費閱讀
版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 Oracle數(shù)據(jù)庫安全建議數(shù)據(jù)庫安全建議 提交人 Oracle Sales Consultant 提交日期 八月 3 2011 版本號 v1 0 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 文檔控制文檔控制 變更記錄變更記錄 3 日期日期作者作者版本號版本號變更參考文件變更參考文件 審閱審閱 姓名姓名職位職位 發(fā)行發(fā)行 拷貝號拷貝號姓名姓名地址地址 1 2 3 4 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 目目 錄錄 1ORACLE數(shù)據(jù)庫安全管理數(shù)據(jù)庫安全管理 1 1 1目的和意義 1 1 2安全管理流程 1 1 3安全策略 3 1 4管理用戶 權限和資源 8 1 5審計準則 11 1 6管理審計跟蹤信息 15 1 7細粒度審計 23 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 1 oracle數(shù)據(jù)庫安全管理數(shù)據(jù)庫安全管理 1 1 目的和意義目的和意義 基于數(shù)據(jù)庫管理應用平臺的社保業(yè)務管理系統(tǒng)已成為大連社保信息 管理系統(tǒng)的核心業(yè)務 如何利用數(shù)據(jù)庫安全技術建立和完善大連社 保核心業(yè)務系統(tǒng)的安全架構(gòu) 消除已存在的和可能潛在的安全隱 患 保證核心業(yè)務系統(tǒng)安全可靠的運行 規(guī)范業(yè)務管理機制 對網(wǎng) 絡信息安全管理和建設是非常必要的 1 2 安全管理流程安全管理流程 在制定安全管理策略之前 一定要定義好安全管理的工作流程 因 為一個好的安全策略必須要有一個很好的執(zhí)行策略 才能達到更好 的系統(tǒng)安全 安全管理流程最重要的是管理 即制定良好的工作流程 制定相應 的模板 同時加強審批流程和監(jiān)控力度 做到有章可循 有證可 查 同時流程的制定 也使系統(tǒng)維護更加角色明確 責任清晰 達 到 進不來 改不了 賴不掉 的管理水平 對于數(shù)據(jù)庫的管理 維護工作 要制定好工作流程 特別是在運營 維護時期 消除任何操作失誤 要制定定期檢查流程 數(shù)據(jù)庫日常 維護流程和數(shù)據(jù)庫修改 維護 升級和調(diào)優(yōu)的工作流程 其中最重 要的是要讓主管領導清楚 到底作了哪些工作 同時也為審計工作 提供依據(jù) 安全管理工作流程如下圖所示 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 上面是一個簡單的安全管理流程 用戶可以參考指定符合自己運行 的工作流程 同時指派合適的人員和角色 或是結(jié)合目前流行的監(jiān) 控設備 讓自己的系統(tǒng)更加安全可靠 下面對流程有關的角色作一 介紹 以幫助用戶更好地理解安全管理流程 主管領導 主管領導 主管領導 是具有決定能否對數(shù)據(jù)庫進行維護 修改 升級和調(diào)優(yōu) 等工作的業(yè)務主管和運營維護主管 當然上面只是一個簡單的圖 例 用來說明對于關鍵業(yè)務平臺而言 任何操作都是很重要的 尤 其是對數(shù)據(jù)庫的操作 對業(yè)務系統(tǒng)影響最大 所以必須有相應領導 的認可 才能進行操作 系統(tǒng)維護人員 系統(tǒng)維護人員 這里特意強調(diào)系統(tǒng)維護人員 原因很簡單 系統(tǒng)和數(shù)據(jù)庫的關系十 分密切 對于系統(tǒng)的升級 維護 硬件更換 網(wǎng)絡調(diào)整 打Patch 等操作對數(shù)據(jù)庫有很大的影響 因此也需要和數(shù)據(jù)庫管理人員共同 協(xié)作 作好充分的準備工作和恢復策略 以免因系統(tǒng)原因?qū)е聰?shù)據(jù) 庫的崩潰或數(shù)據(jù)丟失 數(shù)據(jù)庫管理人員 數(shù)據(jù)庫管理人員 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 數(shù)據(jù)庫管理人員對于數(shù)據(jù)庫的安全來講 位置十分重要 任何數(shù)據(jù) 庫相關的維護 升級 管理等都由他來具體實現(xiàn) 因而技術的熟練 和對每一個操作可能帶來的損失都要清清楚楚 以免造成重大損 失 審計人員 審計人員也是一個很重要的角色 要對數(shù)據(jù)庫管理人員的操作進行 監(jiān)督和管理 以避免數(shù)據(jù)庫管理人員惡意的修改數(shù)據(jù)庫中的數(shù)據(jù) 監(jiān)控設施 監(jiān)控設施也是現(xiàn)在系統(tǒng)安全中必不可少的設施 從生物識別 指 紋 掌紋 瞳孔 到普通的IC卡 可以進行身份的確認 同時攝 像儀器的廣泛使用 也為安全帶來了相當大的優(yōu)勢 可以全程監(jiān)控 對系統(tǒng)的任何操作 包括任何人 任何時間和任何指令 對安全帶 來了更好的監(jiān)控記錄 以便進行問題和事故分析 業(yè)務人員 只能從業(yè)務應用中操縱數(shù)據(jù) 不能進行任何數(shù)據(jù)庫維護工作 其他用戶 只能從業(yè)務應用中操縱數(shù)據(jù) 不能進行任何數(shù)據(jù)庫維護工作 1 3 安全策略安全策略 制定了完善的安全管理工作流程后 需要制定數(shù)據(jù)庫的安全管理策 略 Oracle數(shù)據(jù)庫的安全管理策略包括 1 系統(tǒng)安全策略 2 數(shù)據(jù)安全策略 3 用戶安全策略 4 口令管理策略 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 5 審計策略 1 3 1 系統(tǒng)安全策略系統(tǒng)安全策略 系統(tǒng)安全策略包括 數(shù)據(jù)庫用戶管理 數(shù)據(jù)庫操作規(guī)范 用戶認 證 操作系統(tǒng)安全 1 數(shù)據(jù)庫用戶管理 在Oracle數(shù)據(jù)庫中 數(shù)據(jù)庫用戶是對信息訪問 的途徑 因此 對數(shù)據(jù)庫用戶的管理應當進行嚴格安全維護 只有 可信的人員才擁有管理數(shù)據(jù)庫用戶的強大權限 2 數(shù)據(jù)庫操作規(guī)范 由于數(shù)據(jù)是所有系統(tǒng)的核心 不能有任何篡改 和破壞 而數(shù)據(jù)庫管理人員是唯一能直接訪問數(shù)據(jù)庫的人員 其重 要性和安全性可想而知 因此 必須加強對Oracle數(shù)據(jù)庫維護人員 的監(jiān)控 規(guī)范操作流程 1 操作內(nèi)容文檔化 將操作內(nèi)容形成文檔 而且對可能產(chǎn)生的后果 和如何提前進行預防措施都要寫清楚 特別是對數(shù)據(jù)庫結(jié)構(gòu)的更 改 要考慮相關的操作 如備份等 2 加強審批過程管理 相關領導必須清楚數(shù)據(jù)庫維護人員要進行 什么樣的操作和相關后果 并簽字審批 3 加強操作過程的管理 對數(shù)據(jù)庫管理維護人員的操作 要有至 少一人陪同 以進行操作監(jiān)督 盡量避免誤操作 同時可以進行攝 像監(jiān)控操作屏幕 對整個操作過程進行記錄 4 加強問題處理的管理 對于數(shù)據(jù)庫所出現(xiàn)的問題要書寫相應報 告 分析原因 同時避免下次出現(xiàn)同樣問題 5 加強數(shù)據(jù)庫文檔管理 對于數(shù)據(jù)庫的設計 開發(fā) 實施過程中 涉及數(shù)據(jù)庫的工作很多 包括數(shù)據(jù)庫的結(jié)構(gòu)設計 物理和邏輯設 計 建模腳本 協(xié)助開發(fā)人員工作 調(diào)優(yōu)工作等等 都要予以記 錄和歸檔 以便于后期的維護和工作交接 3 用戶認證 Oracle可以使用主機操作系統(tǒng)認證用戶 也可以使 用數(shù)據(jù)庫的用戶認證 從安全的角度出發(fā) 建議將initSID ora文 件中的remote os authent參數(shù)設成FALSE 以防止沒有口令的連 接 建議將remote os roles設成FALSE 防止欺騙性連接 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 4 操作系統(tǒng)安全 對運行Oracle和任何數(shù)據(jù)庫應用程序的操作系統(tǒng) 環(huán)境考慮如下安全問題 1 數(shù)據(jù)庫管理員必須擁有操作系統(tǒng)權限來創(chuàng)建和刪除文件 2 通常的應用用戶不應擁有操作系統(tǒng)權限來創(chuàng)建或刪除與數(shù)據(jù)庫 有關的文件 3 如果操作系統(tǒng)識別對用戶的數(shù)據(jù)庫角色 安全管理員就必須擁 有操作系統(tǒng)權限來修改操作系統(tǒng)帳戶的安全域 應用用戶或第三方軟件用戶對數(shù)據(jù)庫的訪問要有合適的系統(tǒng)權限 而不是dba或oinstall用戶組 數(shù)據(jù)庫管理員系統(tǒng)賬戶 如oracle 的口令必須符合規(guī)定 不能太 簡單 而且要定期更改口令 另外不準泄漏口令 系統(tǒng)管理員在做系統(tǒng)維護的同時 應與數(shù)據(jù)庫管理員協(xié)作 避免破 壞數(shù)據(jù)庫的有關操作發(fā)生 1 3 2 數(shù)據(jù)安全策略數(shù)據(jù)安全策略 數(shù)據(jù)安全策略決定哪些用戶可以訪問特定的對象 以及對象上的每 個用戶允許執(zhí)行的特定類型的操作 整體的數(shù)據(jù)安全性應當基于數(shù)據(jù)的敏感程度 如果信息不是太敏 感 那么數(shù)據(jù)安全策略可以松一些 如果數(shù)據(jù)是敏感的 就應制定 安全策略 以保持對對象訪問的嚴格控制 如對敏感數(shù)據(jù)進行加密 處理 1 3 3 用戶安全策略用戶安全策略 用戶安全策略包括 一般用戶安全 最終用戶安全 管理員安全 應用程序開發(fā)人員安全 應用程序管理員安全 1 3 3 1一般用戶安全 1 口令安全 如果用戶認證由數(shù)據(jù)庫管理 則安全管理員應制定 口令安全策略來維護數(shù)據(jù)庫訪問的安全性 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 可以配置oracle使用加密口令來進行客戶機 服務器和服務器 服務 器連接 ORA ENCRYPT LOGIN TRUE DBLINK ENCRYPT LOGIN TRUE 2 權限管理 管理有多用戶 多應用程序或多對象的數(shù)據(jù)庫的安 全管理員應當利用角色提供的優(yōu)勢 角色大大簡化了在復雜環(huán)境中 的權限管理任務 3 最終用戶安全 安全管理員必須為最終用戶安全制定策略 如 果數(shù)據(jù)庫很大且有很多用戶 安全管理員可以決定如何對用戶組進 行分類 為這些用戶組創(chuàng)建用戶角色 對每個角色授予必要的權限 或應用程序角色 以及對用戶指定用戶角色 角色是授權和管理不同數(shù)據(jù)庫用戶組需要的公用權限的最簡單方 式 4 管理員安全 安全管理員應當擁有闡述管理員安全的策略 在數(shù)據(jù)庫創(chuàng)建后 應對SYS和SYSTEM用戶名更改口令 以防止對數(shù) 據(jù)庫的未認證訪問 且只有數(shù)據(jù)庫管理員才可用 5 應用程序開發(fā)人員安全 安全管理員必須為使用數(shù)據(jù)庫的應用 程序開發(fā)人員制定一套特殊的安全策略 安全管理員可以把創(chuàng)建必 要對象的權限授予應用程序開發(fā)人員 反之 創(chuàng)建對象的權限只能 授予數(shù)據(jù)庫管理員 他從開發(fā)人員那里接收對象創(chuàng)建請求 6 應用程序管理員安全 在有許多數(shù)據(jù)庫應用程序的大型數(shù)據(jù)庫 系統(tǒng)中 可以設立應用程序管理員 1 3 4 口令管理策略口令管理策略 口令管理包括 帳戶鎖定 口令老化及到期 口令歷史記錄 口令 復雜性校驗 1 帳戶鎖定 當某一特定用戶超過了失敗登錄嘗試的指定次數(shù) 服務器會自動鎖定這個用戶帳戶 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 例如 用戶ASHWINI 的失敗登錄嘗試的最大次數(shù)為4 帳戶保 持鎖定的時間是30天 經(jīng)過30天后這一帳戶會自動解鎖 CREATE PROFILE prof LIMIT FAILED LOGIN ATTEMPTS 4 PASSWORD LOCK TIME 30 ALTER USER ashwini PROFILE prof 2 口令老化及到期 DBA使用CREATE PROFILE語句指定口令的 最大生存期 當?shù)竭_了指定的時間長度則口令到期 用戶或DBA必 須變更口令 例如 ASHWINI可以在90天內(nèi)使用同樣的口令直至它到期 CREATE PROFILE prof LIMIT FAILED LOGIN ATTEMPTS 4 PASSWORD LOCK TIME 30 PASSWORD LIFE TIME 90 ALTER USER ashwini PROFILE prof 3 口令歷史記錄 DBA使用CREATE PROFILE語句指定時間間 隔 在這一間隔內(nèi)用戶不能重用口令 例如 DBA說明在60天中用戶不能重用自己的口令 CREATE PROFILE prof LIMIT PASSWORD REUSE TIME PASSWORD REUSE MAX UNLIMITED 4 口令復雜性校驗 通過使用PL SQL腳本utlpwdmg sql 它設置缺 省的概要文件參數(shù) 可以指定口令復雜性校驗例行程序 口令復雜性校驗例行程序執(zhí)行下列檢查 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 1 口令最小長度為4 2 口令與用戶ID不同 3 口令至少有一個字母 一個數(shù)字和一個標點符號標記 4 口令不和welcome account database 或user 之類的簡 單字匹配 5 口令與以前的口令至少有3個字母不同 1 3 5 審計策略審計策略 安全管理員應為每個數(shù)據(jù)庫審計過程定義一套策略 例如 可以禁 用數(shù)據(jù)庫審計 除非察覺可疑活動 當需要審計時 安全管理員必 須決定用何種明細級別審計數(shù)據(jù)庫 通常 根據(jù)查明的可疑操作 當進行普通系統(tǒng)審計之后 再進行特定類型的審計 InitSID ora中audit trail參數(shù)設置成OS DB或TRUE 確?;镜膶?計功能被使用 建議將此參數(shù)設置成OS 設置audit file dest參數(shù) 指定到某一Oracle為屬主的目錄 設置該 目錄的權限為讀 寫 1 4 管理用戶 權限和資源管理用戶 權限和資源 Oracle 用戶管理 1 用戶名稱命名規(guī)則 用戶名稱必須遵循命名規(guī)則 如命名長度 名字縮寫規(guī)范 名字同 時也必須能明確表示與其應用系統(tǒng)的關聯(lián)關系 例如 CGAC DEC 表示海關的報關子系統(tǒng)的數(shù)據(jù)庫用戶名稱 其 中CGAC是海關總署的縮寫 DEC是報關的縮寫 而中間用下劃線分 隔 很清晰 也容易管理 2 用戶口令設置規(guī)則 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 用戶口令設置 必須保證至少6位長度 而且要包含大小寫字母 數(shù)字和特殊字符 同時不能使用自己名稱 常用電話和生日等安全 性極低的口令 同時好的口令管理 要保證口令定期更換 同時在一定周期范圍內(nèi) 不要重復使用 3 用戶名和密碼保密規(guī)則 用戶和密碼必須妥善保管和使用 相應用戶和管理人員必須保守秘 密 不要造成人為地口令泄露 也不要擅自互相交換用戶名和口 令 自己只負責相關的口令管理 4 用戶統(tǒng)一管理規(guī)則 用戶的命名 創(chuàng)建 修改 授權等管理必須由數(shù)據(jù)庫管理員統(tǒng)一管 理 不能擅自更改 必須遵守一定的流程 1 4 1 權限和角色權限和角色 權限分為系統(tǒng)權限和對象權限 1 對象權限 select insert update delte index alter on table grant insert column1 on test to john 2 系統(tǒng)權限 alter system alter database create table connect sysdba sysoper 通過下列命令授權和回收權限 grant sysdba to system revoke sysdba from system grant select on test to system revoke select on test from system 通過下列數(shù)據(jù)字典 查詢權限信息 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 dba tab privs dba sys privs dba role privs 角色是一組權限的集合 或沒有權限 方便dba對權限集合的管理 如 imp full database exp full database 通過下列數(shù)據(jù)字典 查詢角色信息 dba roles session rolesk role role privs 1 4 2 用概要文件 用概要文件 profile 管理數(shù)據(jù)庫系統(tǒng)資源 管理數(shù)據(jù)庫系統(tǒng)資源 概要文件用來限制和管理數(shù)據(jù)庫系統(tǒng)資源的使用 當數(shù)據(jù)庫創(chuàng)建 時 會創(chuàng)建default的概要文件 它主要包含以下內(nèi)容 1 每個用戶能夠打開的并發(fā)會話數(shù) 2 連接到數(shù)據(jù)庫的使用或空閑時間 3 cpu的使用時間 4 private sql 和 pl sql 在SGA區(qū)的使用 5 執(zhí)行的邏輯讀 例子 create profile account user limit session per user 6 connect time 1440 idle time 120 logical reads per call 1000000 password life time 60 password reuse time 90 password reuse max unlimited failed login attempts 6 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 password lock time unlimited 通過下列數(shù)據(jù)字典 查詢profile的信息 dba profiles user resource limits user password limits resource cost 1 5 審計準則審計準則 在當今繁雜的數(shù)據(jù)事務處理環(huán)境中 需要對系統(tǒng)內(nèi)部進行的工作有 所監(jiān)控 不僅需要知道誰連到哪臺主機 還需要統(tǒng)計數(shù)據(jù) 監(jiān)控數(shù) 據(jù)訪問 或?qū)δ切┛梢傻牟僮鬟M行監(jiān)控 所有這些工作的完成都可 以利用審計的特點 1 5 1 決定是否使用數(shù)據(jù)庫或操作系統(tǒng)的審計跟蹤功能決定是否使用數(shù)據(jù)庫或操作系統(tǒng)的審計跟蹤功能 用戶的操作系統(tǒng)也可以包含審計跟蹤 用它來存儲由操作系統(tǒng)審計 程序生成的審計記錄 操作系統(tǒng)特定的審計程序也許支持或者不支 持對操作系統(tǒng)審計跟蹤的數(shù)據(jù)庫審計功能 使用數(shù)據(jù)庫審計跟蹤會帶來下列好處 1 根據(jù)預先定義的數(shù)據(jù)字典的審計跟蹤視圖來查看所選的審計跟 蹤部分 2 可以使用Oracle 工具 比如Oracle 報表 生成審計報表 操作系統(tǒng)的審計跟蹤也可以合并來自多個源的審計記錄 這些源包 括Oracle 和其他應用程序 因此如果所有審計記錄都來自同一個 地方那么檢驗系統(tǒng)活動會更加有效 1 5 2 保持審計過的信息可管理保持審計過的信息可管理 盡管相對來說審計的花費不是很多 但是要盡可能地限制經(jīng)過審計 的事件的數(shù)目 這樣將會最低限度地減小執(zhí)行經(jīng)過審計的語句所帶 來的性能方面的影響 并且減小審計跟蹤的大小 當設計審計策略時使用下面的常用準則 1 評價審計的目的 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 在對審計的原因有清晰地了解之后 可以設計合適的審計策略并避 免不必要的審計 2 理智地進行審計 審計必要的最少數(shù)目的語句 用戶或?qū)ο髞慝@得目標信息 這樣避 免了從混亂的重要的信息中審計不必要的信息 并因此防止消耗 SYSTEM 表空間中的寶貴空間 平衡一下你的需求來收集足夠的 信息 以便有能力存儲和處理這些信息 1 5 3 審計可疑的數(shù)據(jù)庫活動的準則審計可疑的數(shù)據(jù)庫活動的準則 當執(zhí)行審計以便監(jiān)控可疑的數(shù)據(jù)庫活動時 使用以下一些準則 1 先進行一般的審計 再進行特別的審計 當開始審計可疑的數(shù)據(jù)庫活動時 通常 可以用于目標指定用戶或 模式對象的信息并不是很多 因此 必須首先設置一些更加普通的 審計選項 一旦記錄并分析了初步的審計信息 就應該關掉這些普 通的審計選項 并啟用更特殊的審計選項 這種處理過程一直繼續(xù) 直到收集了足夠證據(jù)可以對可疑數(shù)據(jù)庫活動的可疑起因做明確而具 體的結(jié)論時為止 2 保護審計跟蹤 當審計可疑的數(shù)據(jù)庫活動時 需要保護審計跟蹤以便在沒有經(jīng)過審 計時不能添加 更改或刪除審計信息 1 5 4 審計正常的數(shù)據(jù)庫活動的準則審計正常的數(shù)據(jù)庫活動的準則 當審計的目的是收集特定的數(shù)據(jù)庫活動的歷史信息時 使用以下準 則 1 只審計適當?shù)牟僮?要避免在混亂的重要信息中得到無用的審計記錄 并減少審計跟蹤 管理的數(shù)量 只需要審計目標數(shù)據(jù)庫活動就可以 2 存檔審計記錄并清除審計跟蹤 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 在收集到所需的信息之后 將感興趣的審計記錄存檔并清除這些信 息的審計跟蹤 1 5 5 ORACLE數(shù)據(jù)庫的審計功能數(shù)據(jù)庫的審計功能 ORACLE數(shù)據(jù)庫審計的功能允許對表的訪問 權限的使用以及指定 的SQL語句的使用這些操作進行跟蹤 除此之外 它還提供了一種 辦法 代表終端用戶去跟蹤中間層的連接 對數(shù)據(jù)庫的審計分三類 1 語句級審計 2 特權級審計 3 對象級審計 1 語句審計 語句審計 只允許對SQL語句進行審計 語法 AUDIT option option BY username proxy name ON BEHALF OF ANY username BY SESSION ACCESS WHENEVER NOT SUCCESSFUL 在以下兩組SQL語句上使用審計語句 1 DDL 語句 對于具體的數(shù)據(jù)庫模式對象類型 而不是具體某個對象 下面的審 計命令可以對所有的CREATE TABLE和DROP TABLE語句進行審 計 AUDIT TABLE 2 DML 語句 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 對特定類型的數(shù)據(jù)庫對象的操作 而不是具體地對某一命令對象的 操作 下面的審計命令對所有的SELECT FROM TABLE語句審計 這條SQL語句而不適用于個別表 AUDIT SELECT TABLE 審計命令可以對所有用戶或部分用戶的操作進行審計 2 特權審計特權審計 特權審計是用來審計系統(tǒng)特權的使用情況 例如 CREATE TABLE或SELECT ANY TABLE 可以對任何系統(tǒng)特權的使用情況 進行審計 語法 AUDIT option ALL ON username objectname BY SESSION ACCESS WHENEVER NOT SUCCESSFUL 例子 AUDIT CREATE TABLE AUDIT UPDATE DELETE ON john cumstomer BY ACCESS WHENEVER SUCCESSFUL 可以設置特權審計去審計一個數(shù)據(jù)庫的所有用戶或部分用戶的系統(tǒng) 特權行為 3 對象審計 對象審計 對象審計可以對特定DML語句進行審計 與以下對象相關的SQL語 句的執(zhí)行情況可被審計 這些對象包括 表格 視圖 序列 存儲 過程 函數(shù)和包 語法 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 AUDIT option ALL ON username objectname BY SESSION ACCESS WHENEVER NOT SUCCESSFUL 對象審計應用于數(shù)據(jù)庫的所有用戶 1 6 管理管理審計跟蹤信息審計跟蹤信息 1 6 1 審計跟蹤信息內(nèi)容審計跟蹤信息內(nèi)容 審計跟蹤記錄可以包含不同類型的信息 這要根據(jù)審計的事件和設 置的審計選項來定 通常每個審計跟蹤記錄要包括下面的信息 操作系統(tǒng)登錄用戶名 用戶名 會話標識符 終端標識符 訪問的模式對象的名稱 已經(jīng)執(zhí)行的操作或者計劃執(zhí)行的操作 操作的完成代碼 日期和時間戳 寫入操作系統(tǒng)審計跟蹤中的審計跟蹤記錄是加密的 并且不可讀但 是這些記錄可以在數(shù)據(jù)字典文件中解密 審計跟蹤不存儲有關數(shù)據(jù)值的信息 因為這可能涉及到經(jīng)過審計的 語句 例如 當審計UPDATE 語句時 就不存儲更新過的行的新 數(shù)據(jù)值和原來的舊數(shù)據(jù)值 但是 使用細粒度審計方法可以執(zhí)行這 種特定類型的審計 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 1 6 2 默認的審計事件默認的審計事件 不管是否啟用數(shù)據(jù)庫審計 Oracle 通常會審計某些關系數(shù)據(jù)庫動 作并寫入操作系統(tǒng)審計跟蹤中 這些事件包括以下一些內(nèi)容 1 啟動實例 2 關閉實例 3 使用管理員權限連接數(shù)據(jù)庫 1 6 3 設置審計選項設置審計選項 使用AUDIT 語句來指定審計選項AUDIT 語句允許用戶在下列三種 級別下設置選項 級別效果 導致影響特定類型數(shù)據(jù)庫對象的特殊的SQL 語句或 語句組的審計 例如AUDIT TABLE審計CREATE TABLE TRUNCATE TABLE COMMENT ON TABLE 和DELETE FROM TABLE 語句 權限審計授予特殊系統(tǒng)權限的語句 例如AUDIT CREATE ANY TRIGGER 審計使用CREATEANY TRIGGER 系統(tǒng)權限發(fā)布的語句 對象審計作用在特殊對象上的語句 比如emp 表上的 ALTER TABLE 語句 要使用AUDIT 語句來設置語句以及權限選項 就必須擁有AUDIT SYSTEM 權限 要使用AUDIT 語句來設置對象審計選項 就必須 擁有經(jīng)過審計的對象或者擁有AUDIT ANY權限 設置語句和權限審計選項的審計語句可以包含一個BY 子句 用這 個子句來指定用戶或者應用程序代理的列表 以便限制語句和權限 審計選項的范圍 當設置審計選項時 也可以為審計指定以下條件 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 BY SESSION BY ACCESS BY SESSION 將使得Oracle 為在相同會話中發(fā)布的同一種類型的 所有SQL 語句寫入一條記錄 BY ACCESS 將使得Oracle 為每一 個訪問寫入一條記錄 WHENEVER SUCCESSFUL WHENEVER NOT SUCCESSFUL WHENEVER SUCCESSFUL 選擇只對成功的語句進行審 計 WHENEVER NOT SUCCESSFUL 選擇只對失敗或?qū)е洛e誤 的語句進行審計 在新的數(shù)據(jù)庫會話創(chuàng)建的時候該會話將從數(shù)據(jù)字典中獲得審計選 項 在數(shù)據(jù)庫連接期間這些審計選項將保持有效 新系統(tǒng)或?qū)ο髮?計選項的設置將會引起所有后續(xù)數(shù)據(jù)庫會話使用這些選項 現(xiàn)有的 會話繼續(xù)使用會話創(chuàng)建時設置的審計選項 警告 AUDIT 語句只能指定審計選項 它不能從整體上啟用審 計 如果要打開審計功能并基于當前設置的審計選項控制Oracle 是否生成審計記錄 就需要設置初始化參數(shù)AUDIT TRAIL 1 6 3 1 指定語句審計 有效的語句審計選項可以包含在AUDIT 和NOAUDIT 語句中 1 6 3 2 審計連接和審計斷開連接 要審計所有成功和不成功的數(shù)據(jù)庫連接以及斷開連接 不管用戶是 誰均可采用BY SESSION 鍵入以下語句 AUDIT SESSION 也可以單獨為用戶設置這個選項 如同下面的例子 AUDIT SESSION BY scott lori 1 6 3 3 審計因為對象不存在而導致失敗的語句 NO EXISTS語句選項指定審計因為目標對象不存在而導致失敗的 所有SQL 語句 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 1 6 3 4 指定權限審計 權限審計選項準確地與對應的系統(tǒng)權限匹配 例如使用DELETE ANY TABLE 權限進行審計的選項 DELETE ANY TABLE 要啟用 該選項 使用類似下面例子中的語句即可 AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL 要審計DELETE ANY TABLE 系統(tǒng)權限的所有成功和不成功使用鍵 入下列語句 AUDIT DELETE ANY TABLE 要審計在所有表上不成功的所有SELECT INSERT 和DELETE 語 句以及EXECUTE PROCEDURE 系統(tǒng)權限的不成功使用 需要由 所有數(shù)據(jù)庫用戶和個別經(jīng)過審計的語句發(fā)布以下語句 AUDIT SELECT TABLE INSERT TABLE DELETE TABLE EXECUTE PROCEDURE BY ACCESS WHENEVER NOT SUCCESSFUL 設置任何語句或權限審計選項都必須擁有AUDIT SYSTEM 系統(tǒng)權 限 通常安全管理員是唯一授予這個系統(tǒng)權限的用戶 1 6 3 5 指定對象審計 用戶可以為包含在用戶模式中的對象設置任何的對象審計選項 為 包含在另一個用戶模式中的對象設置對象審計選項 或者設置默認 對象審計選項 就必須有AUDIT ANY 系統(tǒng)權限 通常 安全管理 員是唯一授予AUDIT ANY 系統(tǒng)權限的用戶 要審計scott emp 表上的所有成功和不成功的DELETE 語句采用BY SESSION 默認值鍵入下列語句 AUDIT DELETE ON scott emp 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 要審計屬于用戶jward 的dept 表上的所有成功的 SELECT INSERT 和DELETE 語句 采用BY ACCESS 鍵入下列 語句 AUDIT SELECT INSERT DELETE ON jward dept BY ACCESS WHENEVER SUCCESSFUL 要將默認對象審計選項設置為審計所有不成功的SELECT 語句采 用BY SESSION 鍵入下列語句 AUDIT SELECT ON DEFAULT WHENEVER NOT SUCCESSFUL 1 6 3 6 在多層環(huán)境中審計 在多層環(huán)境中 Oracle 通過所有層保存客戶的標識符 這樣就能 夠?qū)徲嫶砜蛻魧嵤┑牟僮?如果這么做 只要在AUDIT 語句中 使用BY proxy 子句即可 該子句允許帶一些選項 用戶可以利用 這個子句做以下工作 審計由指定代理為自己發(fā)布的SQL 語句 審計代表指定的一個或多個用戶執(zhí)行的語句 審計代表任何一個用戶執(zhí)行的所有語句 下面的例子審計了由代理應用程序服務器appserve 代表客戶 jackson 發(fā)布的SELECT TABLE 語句 AUDIT SELECT TABLE BY appserve ON BEHALF OF jackson 1 6 4 關閉審計選項關閉審計選項 NOAUDIT 語句可以關閉Oracle 的各種審計選項 警告 NOAUDIT 語句只指定審計選項 它不能從整體上禁用審 計 要關閉審計并停止Oracle 生成審計記錄 可以在數(shù)據(jù)庫初始 化參數(shù)文件中設置初始化參數(shù)AUDIT TRAIL 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 1 6 4 1 關閉語句和權限審計 下面的語句將關閉相應的審計選項 NOAUDIT session NOAUDIT session BY scott lori NOAUDIT DELETE ANY TABLE NOAUDIT SELECT TABLE INSERT TABLE DELETE TABLE EXECUTE PROCEDURE 下面的語句將關閉所有語句審計選項 NOAUDIT ALL 下面的語句將關閉所有權限審計選項 NOAUDIT ALL PRIVILEGES 要禁用語句或權限審計選項就必須擁有AUDIT SYSTEM 系統(tǒng)權 限 1 6 4 2 關閉對象審計 下面的語句將關閉相應的審計選項 NOAUDIT DELETE ON emp NOAUDIT SELECT INSERT DELETE ON jward dept 此外要關閉emp 表上的所有對象審計選項 可以鍵入下列語句 NOAUDIT ALL ON emp 要關閉所有默認的對象審計選項 可以鍵入下列語句 NOAUDIT ALL ON DEFAULT 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 1 6 5 啟用和禁用數(shù)據(jù)庫審計啟用和禁用數(shù)據(jù)庫審計 任何授權的數(shù)據(jù)庫用戶都可以在任何時候設置語句 權限和對象審 計選項 但是除非啟用數(shù)據(jù)庫審計 否則Oracle 不能生成并在審 計跟蹤中存儲審計記錄 安全管理員通常負責這項操作 通過數(shù)據(jù)庫初始化參數(shù)文件中的AUDIT TRAIL 初始化參數(shù)啟用和 禁用數(shù)據(jù)庫審計 這個參數(shù)可以設置為下列值 DB 啟用數(shù)據(jù)庫審計并引導所有審計記錄到數(shù)據(jù)庫的審計跟蹤 OS 啟用數(shù)據(jù)庫審計并引導所有審計記錄到操作系統(tǒng)的審計跟 蹤 NONE 禁用審計這個值是默認值 可以用AUDIT FILE DEST 初始化參數(shù)來指定審計文件存儲的目 錄 如果編輯了初始化參數(shù)文件 需要重新啟動數(shù)據(jù)庫實例以便按 照計劃啟用或禁用數(shù)據(jù)庫審計 這些參數(shù)不是動態(tài)的 1 6 6 控制審計跟蹤的增長和大小控制審計跟蹤的增長和大小 如果審計跟蹤已經(jīng)完全裝滿 而且不能繼續(xù)插入更多的審計跟蹤 那么將不能成功執(zhí)行經(jīng)過審計的語句 直到清除審計跟蹤 所有發(fā) 布了經(jīng)過審計的語句的用戶都會收到警告信息 因此 安全管理員 必須控制審計跟蹤的增長和大小 當啟用審計并且正在生成審計記錄時 審計跟蹤將依據(jù)以下兩個因 素增長 打開的審計選項的數(shù)目 經(jīng)過審計的語句的執(zhí)行頻率 要控制審計跟蹤的增長可以采用以下方法 此文檔收集于網(wǎng)絡 如有侵權請聯(lián)系網(wǎng)站刪除 僅供學習與交流 啟用和禁用數(shù)據(jù)庫審計 如果啟用了數(shù)據(jù)庫審計 那么將生成 審計記錄并將其存儲在審計跟蹤中 如果禁用了數(shù)據(jù)庫審計 那么將不能生成審計記錄 要精挑細選需要打開的審計選項 如果執(zhí)行了很多經(jīng)過選擇的 審計 那么將不會生成無用或不必要的審計信息 并將它們存 儲在審計跟蹤中 要嚴格控制執(zhí)行對象審計的能力 1 6 6 1 從審計跟蹤中清除審計記錄 例如 要從審計跟蹤中刪除所有審計記錄 可以鍵入下列語句 DELETE FROM SYS AUD 還可以從作為審計表emp 的結(jié)果
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 餐飲管理培訓心得
- 醫(yī)療培訓課件
- 學期教育說課設計與實施綱要
- 課后服務活動展示
- 班組管理書籍設計
- 內(nèi)科火災應急預案
- 健康文化構(gòu)建與推廣
- 學會控制情緒心理健康
- 企業(yè)數(shù)據(jù)治理之數(shù)據(jù)算力治理方案
- 幼兒園小班洗手常規(guī)教案
- 如何預防錯混料
- 全新版大學進階英語綜合教程2綜合訓練第二單元(含答案)
- 安全責任家校共育
- (外標兩點法對數(shù)方程)桔梗含量為例
- 道路運輸防汛應急演練方案范文
- 道路管線施工地鐵保護施工方案
- 體格檢查技術操作考核評分標準(胸部)
- 農(nóng)村戲臺設計方案
- 北京玉淵潭中學英語新初一分班試卷含答案
- 焊接質(zhì)量檢查表
- JGJ59-2011建筑施工安全檢查評分表-(完整版)
評論
0/150
提交評論