修改数据用户的安全性审计

最新推荐文章于 2021-05-06 19:16:48 发布
最新推荐文章于 2021-05-06 19:16:48 发布
阅读量111 收藏
点赞数

根据公司安全管理办法要求,将修改数据用户的信息尽量审计详细,首先考虑记录表,后发现trace更强大,任何细小的操作都可以跟踪下来,于是就做了以下的触发器:

grant ADMINISTER DATABASE TRIGGER to moduser;
grant dba,connect,resource to moduser;
grant alter session to moduser;
grant select any dictionary to MODUSER;

 

create table LOGIN_ACTION
(
  USERNAME  VARCHAR2(20),
  SESSIONID NUMBER,
  TERMINAL      VARCHAR2(50),
  program varchar2(50),
  action varchar2(50),
  IPADD     VARCHAR2(20),
  LOGON     DATE,
  LOGOUT    DATE,
  tracename varchar2(255)
)

 

CREATE OR REPLACE TRIGGER MODUSER.capt_sql
  AFTER LOGON ON DATABASE
declare
  p_str1      varchar2(200); ---声明要执行的SQL变量
  p_str2      varchar2(200);
  p_sessionid number;
  p_username  varchar2(100);
  p_program   varchar2(100);
  p_action    varchar2(100);
  p_tracename varchar2(255);

begin
  select user into p_username from dual;
  if p_username = 'MODUSER' then
 
    execute immediate 'select distinct a.username from v$session a where a.SID=(select sid from v$mystat where rownum<2) and a.username != ''SYS'' and serial#!=1'
      into p_program;
    execute immediate 'select distinct a.username from v$session a where a.SID=(select sid from v$mystat where rownum<2) and a.username != ''SYS'' and serial#!=1'
      into p_action;
    execute immediate 'select sid from v$mystat where rownum<2'
      into p_sessionid;
 
    execute immediate '
    SELECT       d.VALUE
               || ''/''
               || LOWER (RTRIM (i.INSTANCE, CHR (0)))
               || ''_ora_''
               || p.spid
               || ''.trc'' trace_file_name
          FROM (SELECT p.spid
                  FROM v$mystat m, v$session s, v$process p
                 WHERE m.statistic# = 1 AND s.SID = m.SID AND p.addr = s.paddr) p,
              (SELECT t.INSTANCE
                FROM v$thread t, v$parameter v
               WHERE v.NAME = ''thread''
                 AND (v.VALUE = 0 OR t.thread# = TO_NUMBER (v.VALUE))) i,
             (SELECT VALUE
                FROM v$parameter
               WHERE NAME =''user_dump_dest'') d'
      into p_tracename;
 
    insert into login_action
      (username,
       sessionid,
       terminal,
       program,
       action,
       ipadd,
       logon,
       tracename)
    values
      (SYS_CONTEXT('USERENV', 'CURRENT_USER'),
       p_sessionid,
       SYS_CONTEXT('USERENV', 'TERMINAL'),
       p_program,
       p_action,
       SYS_CONTEXT('USERENV', 'IP_ADDRESS'),
       sysdate,
       p_tracename);
 
    p_str1 := 'alter session set MAX_DUMP_FILE_SIZE=unlimited';
    p_str2 := 'alter session set sql_trace=true';
    execute immediate p_str1;
    execute immediate p_str2; -----启用当前SESSION跟踪
  end if;
end;

 

 


CREATE OR REPLACE TRIGGER MODUSER.capt_logout
  BEFORE LOGOFF ON DATABASE
declare
  p_str1      varchar2(200); ---声明要执行的SQL变量
  p_username  varchar2(20);
  p_sessionid number;
begin
  select user into p_username from dual;
  execute immediate 'select sid from v$mystat where rownum<2'
    into p_sessionid;

   
  if p_username = 'MODUSER' then
   
      update login_action x
         set logout = sysdate
       where x.sessionid = p_sessionid;
   
      p_str1 := 'alter session set sql_trace=true';
      execute immediate p_str1; -----禁用当前SESSION跟踪
    end if;
end;

由于后台JOB的运行也会触发,并且可能报错。所以将条件写的更加完善些,更新版本如上

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/16628454/viewspace-531886/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/16628454/viewspace-531886/

congye6804
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据安全框架.pptx
09-08
数据安全框架是指为保护数据免受未经授权的访问、使用、披露、修改或破坏而实施的一系列安全措施和控制机制。该框架旨在确保数据的机密性、完整性和可用性,以保护组织的业务连续性和信誉。 该框架的核心思想是,以...
触发器使用规则
Elegant_syh的博客
08-25 943
1、授予创建触发器的权限 grant create any trigger to user_name; 2、授予管理数据库触发器的权限 grant administer database trigger to user_name; 3.ORACLE 提供三个参数INSERTING, UPDATING,DELETING 用于判断触发了哪些操作。 谓词行为 INSERTING  :如果触发
Oracle用户权限表的管理方法
shmiloy001的专栏
03-29 1701
<br />我们将通过介绍命令的方式,谈谈Oracle用户权限表的管理方法,希望对大家有所帮助。<br />  我们将从创建Oracle用户权限表开始谈起,然后讲解登陆等一般性动作,使大家对Oracle用户权限表有个深入的了解。<br />一、创建<br />  sys;//系统管理员,拥有最高权限<br />  system;//本地管理员,次高权限<br />  scott;//普通用户,密码默认为tiger,默认未解锁<br />二、登陆<br />  sqlplus / as sysdba;//登陆
触发器
weixin_30376453的博客
05-31 64
触发器:一、什么是触发器? 一段SQL代码,挂到某个表的某个增、删、改的操作上。 当这个表执行相应的操作时,就会触发这段相应的SQL代码。触发器与存储过程的区别:1.存储过程是独立于表存在的,触发器需要依附某个表的某个操作。2.存储过程需要使用名称去调用才能执行,触发器则在表的操作过程中自动被触发调用。 二、触发器的分类:after触发器 ——先执行表的增删改的操作后,再触发触发器。 ins...
如何对数据库操作进行审计
镜悬xhs
02-04 1991
​在对关系型数据库的处理上,我们经常希望能对表的创建和更新操作进行审计,即在表上增加四个标准的字段:创建人、创建时间、修改人、修改时间。 当新建一条记录时,将触发记录新增的用户和操作时间记录在创建人和创建时间两个字段中;当修改一条记录时,将触发记录修改用户和操作时间记录在修改人和修改时间两个字段中。 以前做项目的时候,会强制开发人员写的SQL中要手动设置创建人、创建时间、修改人、修改时间值并记录到数据库中。 但是,这种靠Code Review和制度规范约定的方式,比较古老且不可靠。 那有没有什么办
SQL Server与数据安全性.pdf
09-19
这包括了如何配置SQL Server来提升数据安全性、使用认证机制来验证用户身份、利用加密技术保护数据安全、制定有效的备份与恢复策略以及执行严格的安全审核和权限管理。 在专业指导方面,文档可能为数据库管理员和...
医疗集团数据安全管理制度.docx
12-17
本制度涵盖了医院信息系统数据安全的各个方面,确保医院数据安全性和机密性。 一、数据安全管理责任 根据本制度,医院信息系统数据安全工作由信息科数据库管理员负责。这意味着,信息科数据库管理员是医院信息...
XX系统源代码安全审计报告(模板).doc
10-27
通过对XX系统的源代码进行全面审计,可以揭示潜在的安全隐患,提供针对性的改进措施,从而提高系统的安全性,保障用户数据安全和业务的正常运行。审计报告不仅指出问题,还为开发团队提供了明确的指导,以持续优化...
设备审计系统检查审计数据备份表.docx
最新发布
08-10
总结来说,设备审计系统检查审计数据备份表是一项涉及系统全面性、数据保护策略和安全性的任务。通过细致的备份管理和审计,组织可以有效防范数据丢失,降低业务中断的风险,同时满足合规要求,提升整体IT环境的稳定...
系统权限ADMINISTER DATABASE TRIGGER的作用
clt3617的博客
07-11 419
基于database创建一个系统trigger,遇到了权限问题,查了一下原来是需要ADMINISTER DATABASE TRIGGER权限[@more@]SQL> create or replace trigger tr...
Oracle触发器的使用
CodeStorys
03-16 230
—在创建触发器之前,必须用普通用户登录,且不能是sysdba,而是normal —同时,需要赋予用户创建表的权限,详细请看“关于连接和授权” — 给用户scott授予创建触发器的权限 — grant ADMINISTER DATABASE trigger to scott; ----revoke 取消授权 revoke ADMINISTER DATABASE trigger to scott —创建一个表 atable create table atable (ID number,
declare sql语句_[基础篇]-数据库-06-PL/SQL学习
weixin_39859061的博客
11-26 2201
PL/SQL学习PL/SQL程序设计什么是PL/SQLPL/SQL(Procedure Language/SQL)PLSQL是Oracle对sql语言的过程化扩展指在SQL命令语言中增加了过程处理语句(如分支、循环等),使SQL语言具有过程处理能力把SQL语言的数据操纵能力与过程语言的数据处理能力结合起来,使得PLSQL面向过程但比过程语言简单、高效、灵活和实用Plsql(oracle), Tra...
oracle 11g 升级 19c,Oracle 11g 升级 12c 、19c后改变 database trigger fail with ORA-01031
weixin_42394054的博客
04-05 1126
无论出于安全、特性、性能、支持周期都需要考虑升级数据库,但是也会导致有些功能改变而影响软件使用或管理方式,升级后经验格外重要,因为oracle官方提供的功能无法模拟各行业生产环境中所有的应用场景, 尤其是从最近要面临的11g升级19c大版本升级,防止踩雷,像wm_concat 在新版本不支持一样。之前我在《oracle 12c new feature: RESOURCE role without ...
ORA-04089: 无法对 SYS 拥有的对象创建触发器——错误原因和解决方案
Augenstern的博客
05-06 3581
1.错误原因 此错误原因是:sys拥有的对象大部分是数据字典,在数据字典之上创建trigger会令数据字典的修改不正常,严重会导致数据库被破坏,因此禁止对sys拥有的对象创建触发器。 2.解决方案 解决方案便是创建一个普通user,将之前需要创建触发器的table转到普通user的表空间下,即可成功创建trigger。 (1)首先为新的user创建tablespace(表空间) create tablespace zxf datafile 'D:\Oracle19c\oradata\ORCLDB\zxf.d
oralce 创建表空间 和 查询进程
weixin_30907523的博客
11-10 73
-- Create the user create user lesdba identified by les_321 default tablespace USERS temporary tablespace TEMP profile DEFAULT password expire;-- Grant/Revoke role privileges grant connect to les...
数据安全治理与审计实战
因此,理解和应对这些事件至关重要,企业需要建立一套健全的数据安全治理框架,包括风险评估、合规性检查、安全策略制定、审计和持续改进。 数据安全治理的方法通常包括以下几个步骤: 1. 风险评估:识别并分析数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值