數(shù)據(jù)庫審計詳解

1、.數(shù)據(jù)庫知識點審計.審計概述審計的概念？審計系統(tǒng)的構(gòu)成？Sybsecurity數(shù)據(jù)庫？內(nèi)存審計隊列？審計級別安裝審計系統(tǒng)審計數(shù)據(jù)管理實例演示（sql 2008）.審計的概念審計，英文稱之為“audit”，檢查、驗證目標(biāo)的準(zhǔn)確性和完整性，用以防止虛假數(shù)據(jù)和欺騙行為，以及是否符合既定的標(biāo)準(zhǔn)、標(biāo)竿和其它審計原則。審計概念最早用于財務(wù)系統(tǒng)，主要是獲取金融體系和金融記錄的公司或企業(yè)的財務(wù)報表的相關(guān)信息。隨著科技信息技術(shù)的發(fā)展，大部份的企業(yè)、機構(gòu)和組織的財務(wù)系統(tǒng)都運行在信息系統(tǒng)上面，所以信息手段成為財務(wù)審計的一種技術(shù)的同時，財務(wù)審計也帶動了通用信息系統(tǒng)的審計。審計已開始包括信息技術(shù)審計。信息技術(shù)審計，是一

2、個信息技術(shù)（ IT ）基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。數(shù)據(jù)庫審計作為信息安全審計的重要組成部分，同時也是數(shù)據(jù)庫管理系統(tǒng)安全性重要的一部分。通過審計功能，凡是與數(shù)據(jù)庫安全性相關(guān)的操作均可被記錄下來。只要檢測審計記錄，系統(tǒng)安全員便可掌握數(shù)據(jù)庫被使用狀況。例如，檢查庫中實體的存取模式，監(jiān)測指定用戶的行為。審計系統(tǒng)可以跟蹤用戶的全部操作，這也使審計系統(tǒng)具有一種威懾力，提醒用戶安全使用數(shù)據(jù)庫。.審計系統(tǒng)的構(gòu)成審計系統(tǒng)的構(gòu)成審計系統(tǒng)的構(gòu)成s

3、ybsecurity 數(shù)據(jù)庫存放在sybsystempocs中的一組系統(tǒng)存儲過程master庫中的配置選項內(nèi)存審計隊列審計處理程序.sybsecurity數(shù)據(jù)庫sybsecurity庫是sqlserver審計系統(tǒng)的基礎(chǔ)，它是由審計系統(tǒng)的安裝程序sybinit 來建立的，除包括model庫中所有表之外，還另有兩張系統(tǒng)表。sysaudits 審計記錄表。所有審計信息均被記載在這個表中sysauditoptions 審計選擇設(shè)置記錄.內(nèi)存審計隊列當(dāng)定義的審計事件發(fā)生時，審計記錄首先被放在內(nèi)存審計隊列，在它被審計處理程序存放審計記錄之前，將一直存在這里。如果系統(tǒng)發(fā)生故障，內(nèi)存審計隊列記錄可能丟失。內(nèi)存

4、審計隊列溢出會影響整個系統(tǒng)的性能。當(dāng)審計隊列沒有空間時，如果用戶執(zhí)行一個被定義的審計的操作，那么審計處理程序?qū)⑦M入一種睡眠狀態(tài)，等待有足夠的內(nèi)存空間才運行用戶的命令。內(nèi)存審計隊列空間可由sp-configure來設(shè)置，參數(shù)為audit queue size 。審計數(shù)據(jù)流圖用戶將要在tablea中插入記錄，insert已被定義為審計事件。檢查操作權(quán)限，關(guān)于這條命令和處理的信息被記錄在內(nèi)存審計隊列。審計處理過程被調(diào)度的，將內(nèi)存審計隊列的信息寫入sybsecurity庫的sysaudits表中。審計信息被存在sysaudit表中，這些信息隨系統(tǒng)運輸愈來愈多，如果需要的話，可將這些數(shù)據(jù)倒到另外一個表中

5、存放起來，或挎貝到磁帶上存放。這些工作可以由threshold manager來做建議使用insert into select 來備份ysaudit數(shù)據(jù)，因為這個操作記log。大量的數(shù)據(jù)存到存貯介質(zhì)上可以使用dump或bulk copy 。.審計級別sql server 級包括如下操作login ，logout ，reboot ，remote procedue call ， fatal error， privileged command.database 級包括操作grant ， revoke， truncate table， drop， useobject 級包括table/view acc

6、ess ， procedure， trigger執(zhí)行user 級包括table/view access ， command text.安裝審計系統(tǒng)審計系統(tǒng)由sybase安裝程序sybinit安裝。整個安裝過程完成以下操作執(zhí)行disk init初始化用戶指定使用的設(shè)備，并在其上創(chuàng)建sybsecurity數(shù)據(jù)庫。運行sp-auditinstall建立一個段空間，并將sysaudit表建在這個段上。運行installsecurity，建立sysauditoptions 表，建立審計系統(tǒng)存儲過程重新啟動sql server 。建議不在sybsecurity庫中建立任何用戶表，存貯過程等。因為sysau

7、dits表是相當(dāng)動態(tài)變化的，必須監(jiān)控其設(shè)備的使用情況。用于審計的系統(tǒng)存儲過程sp-auditdatabase 設(shè)置數(shù)據(jù)庫級事件審計sp-auditobject 設(shè)置訪問表與視圖事件的審計sp-auditsproc 設(shè)置執(zhí)行系統(tǒng)存儲過程與觸發(fā)事件審計sp-auditlogin 設(shè)置指定用戶全部操作的審計sp-auditoption 設(shè)置審計選項sp-addauditrecord 增加用戶定義的審計記錄.審計數(shù)據(jù)管理記錄審計事件的表sysaudits增長很快，對這些記錄信息必須做有效的管理，定期將審計記錄歸檔。歸檔可以由手工操作完成，也可以用系統(tǒng)threshold manager來完成。如果用th

8、reshold 那么必須將sysaudit表放在獨自的段上?，F(xiàn)提供幾種方法處理審計記錄信息，用戶可根據(jù)自己系統(tǒng)需求選擇其中之一。將審計記錄拷貝到檔案表中存放或直接將數(shù)據(jù)存放外存介質(zhì)。截斷sysandits表，不保存審計記錄。將檔案表中數(shù)據(jù)存放于外存介質(zhì)。審計記錄表sysaudits溢出，會導(dǎo)致以下的問題審計處理過程會死掉當(dāng)前內(nèi)存審計隊列的數(shù)據(jù)將丟失用戶程序向內(nèi)存審計隊列發(fā)送數(shù)據(jù)時被殺掉取消審計系統(tǒng)功能sp-auditoption enable auditing，off停止審計系統(tǒng)工作之后，刪除sybsecurity 庫drop database sybsearuity.實例演示（sql 200

9、8）創(chuàng)建創(chuàng)建SQL ServerSQL Server審計審計第一步你應(yīng)該在SQL Server 2008的一個實例上創(chuàng)建審計，這樣就能創(chuàng)建一個SQL Server審計。審計就是為與數(shù)據(jù)庫引擎相關(guān)的具體事件集合配置的安全對象。你可以在SQL Server 2008里的一個實例上創(chuàng)建多個審計。在創(chuàng)建審計時，你必須給它指定一個名稱和事件輸出的目標(biāo)位置。目標(biāo)文件可以是二進制的文件、Windows Security日志或Windows Application日志。你還可以給審計對象指定一個或更多個可選參數(shù)。你可以用CREATE SERVER AUDIT語句，如下所示：.注意，你必須在主數(shù)據(jù)庫中創(chuàng)建一個審

10、計。由于審計是和SQL Server實例相聯(lián)系的，因此你不能在用戶數(shù)據(jù)庫中創(chuàng)建。第一行的CREATE SERVER AUDIT語句僅規(guī)定審計名稱（如SrvAudit）。第二行的TO 子句確定事件輸出時的目標(biāo)位置。例如，我想將輸出結(jié)果保存在文件中，所以我必須指定TO FILE并規(guī)定 值。注意這只是一個路徑名。SQL Server將自動命名輸出文件，如下所示：在上面的例子中，TO FILE語句還包括了MAXSIZE參數(shù)，MAXSIZE參數(shù)將文件大小限制為5 MB。該參數(shù)是TO FILE子句可選參數(shù)之一。如果你將審計數(shù)據(jù)遷到Application日志或 Security 日志，你就只需要指定日志名選

11、項，示例如下：.就像你看到的一樣，TO FILE子句已經(jīng)被TO APPLICATION_LOG子句所替代并且還沒有另外規(guī)定其他的參數(shù)。最后一行在CREATE SERVER AUDIT 語句中的就是一個 WITH子句。該子句支持很多個選項，限制了創(chuàng)建審計的方法。在這種情況下，我使用的是QUEUE_DELAY參數(shù)并將它的值設(shè)為3000。這個參數(shù)指定了在創(chuàng)建審計之前要耗費的毫秒數(shù)并且。默認(rèn)數(shù)字為 1000 毫秒（即1秒）。.創(chuàng)建服務(wù)器審計規(guī)范創(chuàng)建服務(wù)器審計規(guī)范你創(chuàng)建SQL Server審計之后，必須創(chuàng)建一個服務(wù)器審計規(guī)范或者是一個數(shù)據(jù)庫審計規(guī)范或者是其中的每個。一個服務(wù)器審計規(guī)范就是和具體的SQL

12、Server審計相關(guān)的一個或多個服務(wù)審計?；顒咏M就數(shù)據(jù)庫引擎暴露出來的一組相關(guān)的事件，例如，我們在進行安全審計操作時，SERVER_OPERATION_GROUP行動組就出現(xiàn)了，如當(dāng)用戶在改變服務(wù)器設(shè)置時。你可以在每個審計上只創(chuàng)建一個服務(wù)器審計。但是，你可以對審計規(guī)范增加多個活動組。創(chuàng)建一個服務(wù)器審計規(guī)范，你需要在主數(shù)據(jù)庫上運行CREATE SERVER AUDIT SPECIFICATION，如下所示：.第一行CREATE SERVER AUDIT SPECIFICATION語句規(guī)定了審計規(guī)范名（SrvAuditSpec）。第二行FOR SERVER AUDIT子句指定了與審計規(guī)范相關(guān)的審計

13、名（SrvAudit）。第三行和第四行為 增加了規(guī)范活動組的ADD 子句。在這種情況下，我增加了SUCCESSFUL_LOGIN_GROUP和FAILED_LOGIN_GROUP活動組，跟蹤試圖登錄到SQL Server實例的安全主管。最后一行 CREATE SERVER AUDIT SPECIFICATION語句為WITH 子句。WITH 子句包括激活規(guī)范的在STATE參數(shù)。默認(rèn)值不能激活審計規(guī)范（STATE=OFF）。如果你在創(chuàng)建時不能激活審計規(guī)范，你就必須過段時間再激活，在你能夠?qū)徲嫽顒咏M之前進行激活。.創(chuàng)建數(shù)據(jù)庫審計規(guī)范和服務(wù)器的審計規(guī)范不一樣，數(shù)據(jù)庫審計規(guī)范是具體針對數(shù)據(jù)庫的。但是它

14、和服務(wù)器審計規(guī)范相同的是，你可以增加審計活動組，但是它們僅僅針對數(shù)據(jù)庫。此外，你可以給規(guī)范增加單獨的審計活動。審計活動就是數(shù)據(jù)庫具體的活動，如刪除數(shù)據(jù)或運行存儲程序。創(chuàng)建數(shù)據(jù)庫審計規(guī)范，在目標(biāo)數(shù)據(jù)庫中運行CREATE DATABASE AUDIT SPECIFICATION語句，例如.第一行CREATE DATABASE AUDIT SPECIFICATION語句指定了規(guī)范（DbAuditSpec），第二行為FOR SERVER AUDIT 子句，用它可以判斷和規(guī)范相關(guān)的審計。接下來，我增加了一個審計活動組，在這里就是 DATABASE_OBJECT_CHANGE_GROUP。在對Advent

15、ureWorks2008 數(shù)據(jù)庫執(zhí)行CREATE、ALTER 或DROP語句時就會出現(xiàn)這個活動組。第二個ADD 子句制定了單獨審計活動，而不是一個活動組。這樣，審計活動就是SELECT、INSERT、UPDATE和 DELETE。但是你要注意，下面一行包含一個ON子句指定的HumanResources schema和dbo安全主管。結(jié)果，只要dbo在HumanResources schema中查詢一個對象或在 AdventureWorks2008數(shù)據(jù)庫中插入、更新或刪除，SQL Server就會將事件記入日志。最后，CREATE DATABASE AUDIT SPECIFICATION語句中的最后一個子句就是WITH子句。跟上次一樣，你可以在操作完之后就激活審計規(guī)范或者過一段時間之后再進行激活。.激活激活SQL ServerSQL Server審計審計和我們剛剛回顧的審計規(guī)范一樣，CREATE SERVER AUDIT 語句中的WITH子句并不支持STATE參數(shù)。也就是說你必須在單獨的一步中激活審計，如下面的語句中所示：.查看審計數(shù)據(jù)查看審計數(shù)據(jù)你可以在 SQL Server Management Studio中用Log 查看審計數(shù)據(jù)。另外如果你創(chuàng)建SQL Server審計將事件保存到Application日志或者Securi