Oracle DB审计

本文深入探讨了Oracle数据库的审计功能,包括责任分离、数据库安全性和监视合规性的关键方面。介绍了标准数据库审计、配置审计线索、统一审计线索以及指定审计选项等设置。同时,讨论了默认审计、Enterprise Manager审计页面的使用,以及如何进行基于值的细粒度审计(FGA)策略。文章还提到了FGA在DML语句中的应用及其注意事项,并阐述了SYSDBA审计、审计线索的维护以及Oracle Audit Vault的使用和维护信息。
摘要由CSDN通过智能技术生成
• 说明DBA 负责的安全和审计工作
• 启用标准数据库审计
• 指定审计选项
• 复查审计信息
• 维护审计线索
  • 责任分离
• 具有DBA 权限的用户必须是可信任的。
– 滥用信任
– 用审计线索保护受信任位置
• 必须共同分担DBA 责任。
• 绝对不要共享帐户。
• DBA 和系统管理员必须由不同的人员担任。
• 分离操作员与DBA 的责任。
以下是满足责任分离的主要要求。
DBA 必须是可信任的:很难限制某个DBA 去做什么。为了完成工作,DBA 需要很高的权限。DBA 是受信任的职位,因此必须接受全面检查。即使是受信任的DBA 也必须承担责任。
考虑以下因素:
• 滥用信任:DBA 可能会滥用DBA_USERS视图中的加密密码。
用审计线索保护受信任位置:谨慎实施审计且遵守准则之后,审计线索会指出特定人员没有违反规程,也没有破坏性行为。
如果有恶意用户试图让人怀疑受信任的用户,设计良好的审计线索可捕获该行为。
Oracle Database Vault:在下面的情况下,可以使用Oracle Database Vault 选件:数据库必须强制执行责任分离,或者不允许DBA 查看某些或所有数据库方案中的数据。
  • 数据库安全性
安全的系统可确保所包含数据的机密性。有以下几方面的安全性功能:
• 限制对数据和服务的访问
• 验证用户
• 监视可疑活动
数据库安全性
Oracle Database 11g提供了业界最佳的安全系统框架。但是,要让这个框架起作用,数据库管理员必须遵循最佳实践并持续监视数据库活动。
限制对数据和服务的访问
不是所有用户都应对所有数据具有访问权。根据数据库中存储的内容,可按业务需要、客户期望以及日益增加的法律限制条款来强制实施有限制的访问。必须保护信用卡信息、医疗保健数据、身份识别信息等,使之免受未授权访问的侵害。Oracle DB 通过提供细 粒度的授权控制来限制数据库访问。限制访问必须包括应用最少权限原则。
验证用户
为了强制对敏感数据实施访问控制,系统必须首先知道是谁尝试访问数据。如果验证机制有漏洞,就会导致所有其它安全预防措施变得无用。
最基本的用户验证方式是要求用户提供知道的验证信息,如口令。如果可以保证口令遵循简单规则,就可极大地增强系统的安全性。
比较严格的验证方法包括要求用户提供掌握的某些验证信息,如令牌或公共密钥基础结构(PKI) 证书。
更严格的验证方法是,通过诸如指纹、虹膜、骨组织模式等唯一生物学特征来识别用户。
Oracle DB 支持通过高级安全选件来使用高级验证技术(如基于令牌、生物学和证书的身份识别技术)。
为了防止有人钻验证漏洞,必须锁定当前未使用的用户帐户。
监视可疑活动
即使经过授权和验证的用户有时也会钻系统漏洞。为了查到信息失窃的原因,第一步就是要找出不寻常的数据库活动,如某个雇员突然开始查询大量的信用卡信息、研究结果或其它敏感信息。为了跟踪用户活动和确定可疑活动的变化趋向,Oracle DB 提供了很多审计
工具。
  • 监视合规性
监视或审计是安全过程不可缺少的一部分。
请复查下列各项:
• 强制性审计
• 标准数据库审计
• 基于值审计
• 细粒度审计(FGA)
• SYSDBA(和SYSOPER)审计
监视合规性
审计意味着捕获并存储系统上所发生情况的信息,这会增加系统必须执行的工作量。
审计必须有重点,以便只捕获有意义的事件。如果审计重点设置适当,则会最大程度地减少对系统性能的影响。
如果审计重点设置不当,则会对系统性能产生明显的影响。
• 强制性审计:不管其它审计选项或参数如何设置,所有Oracle DB 都会审计特定的操作。由于数据库需要记录诸如授权用户连接等数据库活动,所以存在强制性审计日志。
• 标准数据库审计:通过使用 AUDIT_TRAIL初始化参数在系统级别启用。启用审计之后,选择要审计的对象和权限,并使用AUDIT命令设置审计属性。
• 基于值审计:扩展了标准数据库审计的功能,不仅会捕获发生的审计事件,还会捕获插入、更新或删除的实际值。
基于值审计是通过数据库触发器实施的。
• 细粒度审计(FGA):扩展了标准数据库审计的功能,从而可捕获发出的 实际SQL 语句,而不仅仅是发生事件的情况。
• SYSDBA(和SYSOPER)审计:将DBA 与审计者或安全管理员的审计责任分离开,审计者或安全管理员在操作系统审计线索中负责监视DBA 的活动。
  • 标准数据库审计
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值