Oracle數(shù)據(jù)庫(kù)安全建議.doc

此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 Oracle數(shù)據(jù)庫(kù)安全建議數(shù)據(jù)庫(kù)安全建議 提交人 Oracle Sales Consultant 提交日期 八月 3 2011 版本號(hào) v1 0 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 文檔控制文檔控制 變更記錄變更記錄 3 日期日期作者作者版本號(hào)版本號(hào)變更參考文件變更參考文件 審閱審閱 姓名姓名職位職位 發(fā)行發(fā)行 拷貝號(hào)拷貝號(hào)姓名姓名地址地址 1 2 3 4 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 目目 錄錄 1ORACLE數(shù)據(jù)庫(kù)安全管理數(shù)據(jù)庫(kù)安全管理 1 1 1目的和意義 1 1 2安全管理流程 1 1 3安全策略 3 1 4管理用戶 權(quán)限和資源 8 1 5審計(jì)準(zhǔn)則 11 1 6管理審計(jì)跟蹤信息 15 1 7細(xì)粒度審計(jì) 23 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 1 oracle數(shù)據(jù)庫(kù)安全管理數(shù)據(jù)庫(kù)安全管理 1 1 目的和意義目的和意義 基于數(shù)據(jù)庫(kù)管理應(yīng)用平臺(tái)的社保業(yè)務(wù)管理系統(tǒng)已成為大連社保信息 管理系統(tǒng)的核心業(yè)務(wù) 如何利用數(shù)據(jù)庫(kù)安全技術(shù)建立和完善大連社 保核心業(yè)務(wù)系統(tǒng)的安全架構(gòu) 消除已存在的和可能潛在的安全隱 患 保證核心業(yè)務(wù)系統(tǒng)安全可靠的運(yùn)行 規(guī)范業(yè)務(wù)管理機(jī)制 對(duì)網(wǎng) 絡(luò)信息安全管理和建設(shè)是非常必要的 1 2 安全管理流程安全管理流程 在制定安全管理策略之前 一定要定義好安全管理的工作流程 因 為一個(gè)好的安全策略必須要有一個(gè)很好的執(zhí)行策略 才能達(dá)到更好 的系統(tǒng)安全 安全管理流程最重要的是管理 即制定良好的工作流程 制定相應(yīng) 的模板 同時(shí)加強(qiáng)審批流程和監(jiān)控力度 做到有章可循 有證可 查 同時(shí)流程的制定 也使系統(tǒng)維護(hù)更加角色明確 責(zé)任清晰 達(dá) 到 進(jìn)不來(lái) 改不了 賴不掉 的管理水平 對(duì)于數(shù)據(jù)庫(kù)的管理 維護(hù)工作 要制定好工作流程 特別是在運(yùn)營(yíng) 維護(hù)時(shí)期 消除任何操作失誤 要制定定期檢查流程 數(shù)據(jù)庫(kù)日常 維護(hù)流程和數(shù)據(jù)庫(kù)修改 維護(hù) 升級(jí)和調(diào)優(yōu)的工作流程 其中最重 要的是要讓主管領(lǐng)導(dǎo)清楚 到底作了哪些工作 同時(shí)也為審計(jì)工作 提供依據(jù) 安全管理工作流程如下圖所示 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 上面是一個(gè)簡(jiǎn)單的安全管理流程 用戶可以參考指定符合自己運(yùn)行 的工作流程 同時(shí)指派合適的人員和角色 或是結(jié)合目前流行的監(jiān) 控設(shè)備 讓自己的系統(tǒng)更加安全可靠 下面對(duì)流程有關(guān)的角色作一 介紹 以幫助用戶更好地理解安全管理流程 主管領(lǐng)導(dǎo) 主管領(lǐng)導(dǎo) 主管領(lǐng)導(dǎo) 是具有決定能否對(duì)數(shù)據(jù)庫(kù)進(jìn)行維護(hù) 修改 升級(jí)和調(diào)優(yōu) 等工作的業(yè)務(wù)主管和運(yùn)營(yíng)維護(hù)主管 當(dāng)然上面只是一個(gè)簡(jiǎn)單的圖 例 用來(lái)說(shuō)明對(duì)于關(guān)鍵業(yè)務(wù)平臺(tái)而言 任何操作都是很重要的 尤 其是對(duì)數(shù)據(jù)庫(kù)的操作 對(duì)業(yè)務(wù)系統(tǒng)影響最大 所以必須有相應(yīng)領(lǐng)導(dǎo) 的認(rèn)可 才能進(jìn)行操作 系統(tǒng)維護(hù)人員 系統(tǒng)維護(hù)人員 這里特意強(qiáng)調(diào)系統(tǒng)維護(hù)人員 原因很簡(jiǎn)單 系統(tǒng)和數(shù)據(jù)庫(kù)的關(guān)系十 分密切 對(duì)于系統(tǒng)的升級(jí) 維護(hù) 硬件更換 網(wǎng)絡(luò)調(diào)整 打Patch 等操作對(duì)數(shù)據(jù)庫(kù)有很大的影響 因此也需要和數(shù)據(jù)庫(kù)管理人員共同 協(xié)作 作好充分的準(zhǔn)備工作和恢復(fù)策略 以免因系統(tǒng)原因?qū)е聰?shù)據(jù) 庫(kù)的崩潰或數(shù)據(jù)丟失 數(shù)據(jù)庫(kù)管理人員 數(shù)據(jù)庫(kù)管理人員 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 數(shù)據(jù)庫(kù)管理人員對(duì)于數(shù)據(jù)庫(kù)的安全來(lái)講 位置十分重要 任何數(shù)據(jù) 庫(kù)相關(guān)的維護(hù) 升級(jí) 管理等都由他來(lái)具體實(shí)現(xiàn) 因而技術(shù)的熟練 和對(duì)每一個(gè)操作可能帶來(lái)的損失都要清清楚楚 以免造成重大損 失 審計(jì)人員 審計(jì)人員也是一個(gè)很重要的角色 要對(duì)數(shù)據(jù)庫(kù)管理人員的操作進(jìn)行 監(jiān)督和管理 以避免數(shù)據(jù)庫(kù)管理人員惡意的修改數(shù)據(jù)庫(kù)中的數(shù)據(jù) 監(jiān)控設(shè)施 監(jiān)控設(shè)施也是現(xiàn)在系統(tǒng)安全中必不可少的設(shè)施 從生物識(shí)別 指 紋 掌紋 瞳孔 到普通的IC卡 可以進(jìn)行身份的確認(rèn) 同時(shí)攝 像儀器的廣泛使用 也為安全帶來(lái)了相當(dāng)大的優(yōu)勢(shì) 可以全程監(jiān)控 對(duì)系統(tǒng)的任何操作 包括任何人 任何時(shí)間和任何指令 對(duì)安全帶 來(lái)了更好的監(jiān)控記錄 以便進(jìn)行問(wèn)題和事故分析 業(yè)務(wù)人員 只能從業(yè)務(wù)應(yīng)用中操縱數(shù)據(jù) 不能進(jìn)行任何數(shù)據(jù)庫(kù)維護(hù)工作 其他用戶 只能從業(yè)務(wù)應(yīng)用中操縱數(shù)據(jù) 不能進(jìn)行任何數(shù)據(jù)庫(kù)維護(hù)工作 1 3 安全策略安全策略 制定了完善的安全管理工作流程后 需要制定數(shù)據(jù)庫(kù)的安全管理策 略 Oracle數(shù)據(jù)庫(kù)的安全管理策略包括 1 系統(tǒng)安全策略 2 數(shù)據(jù)安全策略 3 用戶安全策略 4 口令管理策略 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 5 審計(jì)策略 1 3 1 系統(tǒng)安全策略系統(tǒng)安全策略 系統(tǒng)安全策略包括 數(shù)據(jù)庫(kù)用戶管理 數(shù)據(jù)庫(kù)操作規(guī)范 用戶認(rèn) 證 操作系統(tǒng)安全 1 數(shù)據(jù)庫(kù)用戶管理 在Oracle數(shù)據(jù)庫(kù)中 數(shù)據(jù)庫(kù)用戶是對(duì)信息訪問(wèn) 的途徑 因此 對(duì)數(shù)據(jù)庫(kù)用戶的管理應(yīng)當(dāng)進(jìn)行嚴(yán)格安全維護(hù) 只有 可信的人員才擁有管理數(shù)據(jù)庫(kù)用戶的強(qiáng)大權(quán)限 2 數(shù)據(jù)庫(kù)操作規(guī)范 由于數(shù)據(jù)是所有系統(tǒng)的核心 不能有任何篡改 和破壞 而數(shù)據(jù)庫(kù)管理人員是唯一能直接訪問(wèn)數(shù)據(jù)庫(kù)的人員 其重 要性和安全性可想而知 因此 必須加強(qiáng)對(duì)Oracle數(shù)據(jù)庫(kù)維護(hù)人員 的監(jiān)控 規(guī)范操作流程 1 操作內(nèi)容文檔化 將操作內(nèi)容形成文檔 而且對(duì)可能產(chǎn)生的后果 和如何提前進(jìn)行預(yù)防措施都要寫(xiě)清楚 特別是對(duì)數(shù)據(jù)庫(kù)結(jié)構(gòu)的更 改 要考慮相關(guān)的操作 如備份等 2 加強(qiáng)審批過(guò)程管理 相關(guān)領(lǐng)導(dǎo)必須清楚數(shù)據(jù)庫(kù)維護(hù)人員要進(jìn)行 什么樣的操作和相關(guān)后果 并簽字審批 3 加強(qiáng)操作過(guò)程的管理 對(duì)數(shù)據(jù)庫(kù)管理維護(hù)人員的操作 要有至 少一人陪同 以進(jìn)行操作監(jiān)督 盡量避免誤操作 同時(shí)可以進(jìn)行攝 像監(jiān)控操作屏幕 對(duì)整個(gè)操作過(guò)程進(jìn)行記錄 4 加強(qiáng)問(wèn)題處理的管理 對(duì)于數(shù)據(jù)庫(kù)所出現(xiàn)的問(wèn)題要書(shū)寫(xiě)相應(yīng)報(bào) 告 分析原因 同時(shí)避免下次出現(xiàn)同樣問(wèn)題 5 加強(qiáng)數(shù)據(jù)庫(kù)文檔管理 對(duì)于數(shù)據(jù)庫(kù)的設(shè)計(jì) 開(kāi)發(fā) 實(shí)施過(guò)程中 涉及數(shù)據(jù)庫(kù)的工作很多 包括數(shù)據(jù)庫(kù)的結(jié)構(gòu)設(shè)計(jì) 物理和邏輯設(shè) 計(jì) 建模腳本 協(xié)助開(kāi)發(fā)人員工作 調(diào)優(yōu)工作等等 都要予以記 錄和歸檔 以便于后期的維護(hù)和工作交接 3 用戶認(rèn)證 Oracle可以使用主機(jī)操作系統(tǒng)認(rèn)證用戶 也可以使 用數(shù)據(jù)庫(kù)的用戶認(rèn)證 從安全的角度出發(fā) 建議將initSID ora文 件中的remote os authent參數(shù)設(shè)成FALSE 以防止沒(méi)有口令的連 接 建議將remote os roles設(shè)成FALSE 防止欺騙性連接 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 4 操作系統(tǒng)安全 對(duì)運(yùn)行Oracle和任何數(shù)據(jù)庫(kù)應(yīng)用程序的操作系統(tǒng) 環(huán)境考慮如下安全問(wèn)題 1 數(shù)據(jù)庫(kù)管理員必須擁有操作系統(tǒng)權(quán)限來(lái)創(chuàng)建和刪除文件 2 通常的應(yīng)用用戶不應(yīng)擁有操作系統(tǒng)權(quán)限來(lái)創(chuàng)建或刪除與數(shù)據(jù)庫(kù) 有關(guān)的文件 3 如果操作系統(tǒng)識(shí)別對(duì)用戶的數(shù)據(jù)庫(kù)角色 安全管理員就必須擁 有操作系統(tǒng)權(quán)限來(lái)修改操作系統(tǒng)帳戶的安全域 應(yīng)用用戶或第三方軟件用戶對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)要有合適的系統(tǒng)權(quán)限 而不是dba或oinstall用戶組 數(shù)據(jù)庫(kù)管理員系統(tǒng)賬戶 如oracle 的口令必須符合規(guī)定 不能太 簡(jiǎn)單 而且要定期更改口令 另外不準(zhǔn)泄漏口令 系統(tǒng)管理員在做系統(tǒng)維護(hù)的同時(shí) 應(yīng)與數(shù)據(jù)庫(kù)管理員協(xié)作 避免破 壞數(shù)據(jù)庫(kù)的有關(guān)操作發(fā)生 1 3 2 數(shù)據(jù)安全策略數(shù)據(jù)安全策略 數(shù)據(jù)安全策略決定哪些用戶可以訪問(wèn)特定的對(duì)象 以及對(duì)象上的每 個(gè)用戶允許執(zhí)行的特定類(lèi)型的操作 整體的數(shù)據(jù)安全性應(yīng)當(dāng)基于數(shù)據(jù)的敏感程度 如果信息不是太敏 感 那么數(shù)據(jù)安全策略可以松一些 如果數(shù)據(jù)是敏感的 就應(yīng)制定 安全策略 以保持對(duì)對(duì)象訪問(wèn)的嚴(yán)格控制 如對(duì)敏感數(shù)據(jù)進(jìn)行加密 處理 1 3 3 用戶安全策略用戶安全策略 用戶安全策略包括 一般用戶安全 最終用戶安全 管理員安全 應(yīng)用程序開(kāi)發(fā)人員安全 應(yīng)用程序管理員安全 1 3 3 1一般用戶安全 1 口令安全 如果用戶認(rèn)證由數(shù)據(jù)庫(kù)管理 則安全管理員應(yīng)制定 口令安全策略來(lái)維護(hù)數(shù)據(jù)庫(kù)訪問(wèn)的安全性 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 可以配置oracle使用加密口令來(lái)進(jìn)行客戶機(jī) 服務(wù)器和服務(wù)器 服務(wù) 器連接 ORA ENCRYPT LOGIN TRUE DBLINK ENCRYPT LOGIN TRUE 2 權(quán)限管理 管理有多用戶 多應(yīng)用程序或多對(duì)象的數(shù)據(jù)庫(kù)的安 全管理員應(yīng)當(dāng)利用角色提供的優(yōu)勢(shì) 角色大大簡(jiǎn)化了在復(fù)雜環(huán)境中 的權(quán)限管理任務(wù) 3 最終用戶安全 安全管理員必須為最終用戶安全制定策略 如 果數(shù)據(jù)庫(kù)很大且有很多用戶 安全管理員可以決定如何對(duì)用戶組進(jìn) 行分類(lèi) 為這些用戶組創(chuàng)建用戶角色 對(duì)每個(gè)角色授予必要的權(quán)限 或應(yīng)用程序角色 以及對(duì)用戶指定用戶角色 角色是授權(quán)和管理不同數(shù)據(jù)庫(kù)用戶組需要的公用權(quán)限的最簡(jiǎn)單方 式 4 管理員安全 安全管理員應(yīng)當(dāng)擁有闡述管理員安全的策略 在數(shù)據(jù)庫(kù)創(chuàng)建后 應(yīng)對(duì)SYS和SYSTEM用戶名更改口令 以防止對(duì)數(shù) 據(jù)庫(kù)的未認(rèn)證訪問(wèn) 且只有數(shù)據(jù)庫(kù)管理員才可用 5 應(yīng)用程序開(kāi)發(fā)人員安全 安全管理員必須為使用數(shù)據(jù)庫(kù)的應(yīng)用 程序開(kāi)發(fā)人員制定一套特殊的安全策略 安全管理員可以把創(chuàng)建必 要對(duì)象的權(quán)限授予應(yīng)用程序開(kāi)發(fā)人員 反之 創(chuàng)建對(duì)象的權(quán)限只能 授予數(shù)據(jù)庫(kù)管理員 他從開(kāi)發(fā)人員那里接收對(duì)象創(chuàng)建請(qǐng)求 6 應(yīng)用程序管理員安全 在有許多數(shù)據(jù)庫(kù)應(yīng)用程序的大型數(shù)據(jù)庫(kù) 系統(tǒng)中 可以設(shè)立應(yīng)用程序管理員 1 3 4 口令管理策略口令管理策略 口令管理包括 帳戶鎖定 口令老化及到期 口令歷史記錄 口令 復(fù)雜性校驗(yàn) 1 帳戶鎖定 當(dāng)某一特定用戶超過(guò)了失敗登錄嘗試的指定次數(shù) 服務(wù)器會(huì)自動(dòng)鎖定這個(gè)用戶帳戶 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 例如 用戶ASHWINI 的失敗登錄嘗試的最大次數(shù)為4 帳戶保 持鎖定的時(shí)間是30天 經(jīng)過(guò)30天后這一帳戶會(huì)自動(dòng)解鎖 CREATE PROFILE prof LIMIT FAILED LOGIN ATTEMPTS 4 PASSWORD LOCK TIME 30 ALTER USER ashwini PROFILE prof 2 口令老化及到期 DBA使用CREATE PROFILE語(yǔ)句指定口令的 最大生存期 當(dāng)?shù)竭_(dá)了指定的時(shí)間長(zhǎng)度則口令到期 用戶或DBA必 須變更口令 例如 ASHWINI可以在90天內(nèi)使用同樣的口令直至它到期 CREATE PROFILE prof LIMIT FAILED LOGIN ATTEMPTS 4 PASSWORD LOCK TIME 30 PASSWORD LIFE TIME 90 ALTER USER ashwini PROFILE prof 3 口令歷史記錄 DBA使用CREATE PROFILE語(yǔ)句指定時(shí)間間 隔 在這一間隔內(nèi)用戶不能重用口令 例如 DBA說(shuō)明在60天中用戶不能重用自己的口令 CREATE PROFILE prof LIMIT PASSWORD REUSE TIME PASSWORD REUSE MAX UNLIMITED 4 口令復(fù)雜性校驗(yàn) 通過(guò)使用PL SQL腳本utlpwdmg sql 它設(shè)置缺 省的概要文件參數(shù) 可以指定口令復(fù)雜性校驗(yàn)例行程序 口令復(fù)雜性校驗(yàn)例行程序執(zhí)行下列檢查 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 1 口令最小長(zhǎng)度為4 2 口令與用戶ID不同 3 口令至少有一個(gè)字母 一個(gè)數(shù)字和一個(gè)標(biāo)點(diǎn)符號(hào)標(biāo)記 4 口令不和welcome account database 或user 之類(lèi)的簡(jiǎn) 單字匹配 5 口令與以前的口令至少有3個(gè)字母不同 1 3 5 審計(jì)策略審計(jì)策略 安全管理員應(yīng)為每個(gè)數(shù)據(jù)庫(kù)審計(jì)過(guò)程定義一套策略 例如 可以禁 用數(shù)據(jù)庫(kù)審計(jì) 除非察覺(jué)可疑活動(dòng) 當(dāng)需要審計(jì)時(shí) 安全管理員必 須決定用何種明細(xì)級(jí)別審計(jì)數(shù)據(jù)庫(kù) 通常 根據(jù)查明的可疑操作 當(dāng)進(jìn)行普通系統(tǒng)審計(jì)之后 再進(jìn)行特定類(lèi)型的審計(jì) InitSID ora中audit trail參數(shù)設(shè)置成OS DB或TRUE 確?；镜膶?計(jì)功能被使用 建議將此參數(shù)設(shè)置成OS 設(shè)置audit file dest參數(shù) 指定到某一Oracle為屬主的目錄 設(shè)置該 目錄的權(quán)限為讀 寫(xiě) 1 4 管理用戶 權(quán)限和資源管理用戶 權(quán)限和資源 Oracle 用戶管理 1 用戶名稱(chēng)命名規(guī)則 用戶名稱(chēng)必須遵循命名規(guī)則 如命名長(zhǎng)度 名字縮寫(xiě)規(guī)范 名字同 時(shí)也必須能明確表示與其應(yīng)用系統(tǒng)的關(guān)聯(lián)關(guān)系 例如 CGAC DEC 表示海關(guān)的報(bào)關(guān)子系統(tǒng)的數(shù)據(jù)庫(kù)用戶名稱(chēng) 其 中CGAC是海關(guān)總署的縮寫(xiě) DEC是報(bào)關(guān)的縮寫(xiě) 而中間用下劃線分 隔 很清晰 也容易管理 2 用戶口令設(shè)置規(guī)則 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 用戶口令設(shè)置 必須保證至少6位長(zhǎng)度 而且要包含大小寫(xiě)字母 數(shù)字和特殊字符 同時(shí)不能使用自己名稱(chēng) 常用電話和生日等安全 性極低的口令 同時(shí)好的口令管理 要保證口令定期更換 同時(shí)在一定周期范圍內(nèi) 不要重復(fù)使用 3 用戶名和密碼保密規(guī)則 用戶和密碼必須妥善保管和使用 相應(yīng)用戶和管理人員必須保守秘 密 不要造成人為地口令泄露 也不要擅自互相交換用戶名和口 令 自己只負(fù)責(zé)相關(guān)的口令管理 4 用戶統(tǒng)一管理規(guī)則 用戶的命名 創(chuàng)建 修改 授權(quán)等管理必須由數(shù)據(jù)庫(kù)管理員統(tǒng)一管 理 不能擅自更改 必須遵守一定的流程 1 4 1 權(quán)限和角色權(quán)限和角色 權(quán)限分為系統(tǒng)權(quán)限和對(duì)象權(quán)限 1 對(duì)象權(quán)限 select insert update delte index alter on table grant insert column1 on test to john 2 系統(tǒng)權(quán)限 alter system alter database create table connect sysdba sysoper 通過(guò)下列命令授權(quán)和回收權(quán)限 grant sysdba to system revoke sysdba from system grant select on test to system revoke select on test from system 通過(guò)下列數(shù)據(jù)字典 查詢權(quán)限信息 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 dba tab privs dba sys privs dba role privs 角色是一組權(quán)限的集合 或沒(méi)有權(quán)限 方便dba對(duì)權(quán)限集合的管理 如 imp full database exp full database 通過(guò)下列數(shù)據(jù)字典 查詢角色信息 dba roles session rolesk role role privs 1 4 2 用概要文件 用概要文件 profile 管理數(shù)據(jù)庫(kù)系統(tǒng)資源 管理數(shù)據(jù)庫(kù)系統(tǒng)資源 概要文件用來(lái)限制和管理數(shù)據(jù)庫(kù)系統(tǒng)資源的使用 當(dāng)數(shù)據(jù)庫(kù)創(chuàng)建 時(shí) 會(huì)創(chuàng)建default的概要文件 它主要包含以下內(nèi)容 1 每個(gè)用戶能夠打開(kāi)的并發(fā)會(huì)話數(shù) 2 連接到數(shù)據(jù)庫(kù)的使用或空閑時(shí)間 3 cpu的使用時(shí)間 4 private sql 和 pl sql 在SGA區(qū)的使用 5 執(zhí)行的邏輯讀 例子 create profile account user limit session per user 6 connect time 1440 idle time 120 logical reads per call 1000000 password life time 60 password reuse time 90 password reuse max unlimited failed login attempts 6 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 password lock time unlimited 通過(guò)下列數(shù)據(jù)字典 查詢profile的信息 dba profiles user resource limits user password limits resource cost 1 5 審計(jì)準(zhǔn)則審計(jì)準(zhǔn)則 在當(dāng)今繁雜的數(shù)據(jù)事務(wù)處理環(huán)境中 需要對(duì)系統(tǒng)內(nèi)部進(jìn)行的工作有 所監(jiān)控 不僅需要知道誰(shuí)連到哪臺(tái)主機(jī) 還需要統(tǒng)計(jì)數(shù)據(jù) 監(jiān)控?cái)?shù) 據(jù)訪問(wèn) 或?qū)δ切┛梢傻牟僮鬟M(jìn)行監(jiān)控 所有這些工作的完成都可 以利用審計(jì)的特點(diǎn) 1 5 1 決定是否使用數(shù)據(jù)庫(kù)或操作系統(tǒng)的審計(jì)跟蹤功能決定是否使用數(shù)據(jù)庫(kù)或操作系統(tǒng)的審計(jì)跟蹤功能 用戶的操作系統(tǒng)也可以包含審計(jì)跟蹤 用它來(lái)存儲(chǔ)由操作系統(tǒng)審計(jì) 程序生成的審計(jì)記錄 操作系統(tǒng)特定的審計(jì)程序也許支持或者不支 持對(duì)操作系統(tǒng)審計(jì)跟蹤的數(shù)據(jù)庫(kù)審計(jì)功能 使用數(shù)據(jù)庫(kù)審計(jì)跟蹤會(huì)帶來(lái)下列好處 1 根據(jù)預(yù)先定義的數(shù)據(jù)字典的審計(jì)跟蹤視圖來(lái)查看所選的審計(jì)跟 蹤部分 2 可以使用Oracle 工具 比如Oracle 報(bào)表 生成審計(jì)報(bào)表 操作系統(tǒng)的審計(jì)跟蹤也可以合并來(lái)自多個(gè)源的審計(jì)記錄 這些源包 括Oracle 和其他應(yīng)用程序 因此如果所有審計(jì)記錄都來(lái)自同一個(gè) 地方那么檢驗(yàn)系統(tǒng)活動(dòng)會(huì)更加有效 1 5 2 保持審計(jì)過(guò)的信息可管理保持審計(jì)過(guò)的信息可管理 盡管相對(duì)來(lái)說(shuō)審計(jì)的花費(fèi)不是很多 但是要盡可能地限制經(jīng)過(guò)審計(jì) 的事件的數(shù)目 這樣將會(huì)最低限度地減小執(zhí)行經(jīng)過(guò)審計(jì)的語(yǔ)句所帶 來(lái)的性能方面的影響 并且減小審計(jì)跟蹤的大小 當(dāng)設(shè)計(jì)審計(jì)策略時(shí)使用下面的常用準(zhǔn)則 1 評(píng)價(jià)審計(jì)的目的 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 在對(duì)審計(jì)的原因有清晰地了解之后 可以設(shè)計(jì)合適的審計(jì)策略并避 免不必要的審計(jì) 2 理智地進(jìn)行審計(jì) 審計(jì)必要的最少數(shù)目的語(yǔ)句 用戶或?qū)ο髞?lái)獲得目標(biāo)信息 這樣避 免了從混亂的重要的信息中審計(jì)不必要的信息 并因此防止消耗 SYSTEM 表空間中的寶貴空間 平衡一下你的需求來(lái)收集足夠的 信息 以便有能力存儲(chǔ)和處理這些信息 1 5 3 審計(jì)可疑的數(shù)據(jù)庫(kù)活動(dòng)的準(zhǔn)則審計(jì)可疑的數(shù)據(jù)庫(kù)活動(dòng)的準(zhǔn)則 當(dāng)執(zhí)行審計(jì)以便監(jiān)控可疑的數(shù)據(jù)庫(kù)活動(dòng)時(shí) 使用以下一些準(zhǔn)則 1 先進(jìn)行一般的審計(jì) 再進(jìn)行特別的審計(jì) 當(dāng)開(kāi)始審計(jì)可疑的數(shù)據(jù)庫(kù)活動(dòng)時(shí) 通常 可以用于目標(biāo)指定用戶或 模式對(duì)象的信息并不是很多 因此 必須首先設(shè)置一些更加普通的 審計(jì)選項(xiàng) 一旦記錄并分析了初步的審計(jì)信息 就應(yīng)該關(guān)掉這些普 通的審計(jì)選項(xiàng) 并啟用更特殊的審計(jì)選項(xiàng) 這種處理過(guò)程一直繼續(xù) 直到收集了足夠證據(jù)可以對(duì)可疑數(shù)據(jù)庫(kù)活動(dòng)的可疑起因做明確而具 體的結(jié)論時(shí)為止 2 保護(hù)審計(jì)跟蹤 當(dāng)審計(jì)可疑的數(shù)據(jù)庫(kù)活動(dòng)時(shí) 需要保護(hù)審計(jì)跟蹤以便在沒(méi)有經(jīng)過(guò)審 計(jì)時(shí)不能添加 更改或刪除審計(jì)信息 1 5 4 審計(jì)正常的數(shù)據(jù)庫(kù)活動(dòng)的準(zhǔn)則審計(jì)正常的數(shù)據(jù)庫(kù)活動(dòng)的準(zhǔn)則 當(dāng)審計(jì)的目的是收集特定的數(shù)據(jù)庫(kù)活動(dòng)的歷史信息時(shí) 使用以下準(zhǔn) 則 1 只審計(jì)適當(dāng)?shù)牟僮?要避免在混亂的重要信息中得到無(wú)用的審計(jì)記錄 并減少審計(jì)跟蹤 管理的數(shù)量 只需要審計(jì)目標(biāo)數(shù)據(jù)庫(kù)活動(dòng)就可以 2 存檔審計(jì)記錄并清除審計(jì)跟蹤 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 在收集到所需的信息之后 將感興趣的審計(jì)記錄存檔并清除這些信 息的審計(jì)跟蹤 1 5 5 ORACLE數(shù)據(jù)庫(kù)的審計(jì)功能數(shù)據(jù)庫(kù)的審計(jì)功能 ORACLE數(shù)據(jù)庫(kù)審計(jì)的功能允許對(duì)表的訪問(wèn) 權(quán)限的使用以及指定 的SQL語(yǔ)句的使用這些操作進(jìn)行跟蹤 除此之外 它還提供了一種 辦法 代表終端用戶去跟蹤中間層的連接 對(duì)數(shù)據(jù)庫(kù)的審計(jì)分三類(lèi) 1 語(yǔ)句級(jí)審計(jì) 2 特權(quán)級(jí)審計(jì) 3 對(duì)象級(jí)審計(jì) 1 語(yǔ)句審計(jì) 語(yǔ)句審計(jì) 只允許對(duì)SQL語(yǔ)句進(jìn)行審計(jì) 語(yǔ)法 AUDIT option option BY username proxy name ON BEHALF OF ANY username BY SESSION ACCESS WHENEVER NOT SUCCESSFUL 在以下兩組SQL語(yǔ)句上使用審計(jì)語(yǔ)句 1 DDL 語(yǔ)句 對(duì)于具體的數(shù)據(jù)庫(kù)模式對(duì)象類(lèi)型 而不是具體某個(gè)對(duì)象 下面的審 計(jì)命令可以對(duì)所有的CREATE TABLE和DROP TABLE語(yǔ)句進(jìn)行審 計(jì) AUDIT TABLE 2 DML 語(yǔ)句 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 對(duì)特定類(lèi)型的數(shù)據(jù)庫(kù)對(duì)象的操作 而不是具體地對(duì)某一命令對(duì)象的 操作 下面的審計(jì)命令對(duì)所有的SELECT FROM TABLE語(yǔ)句審計(jì) 這條SQL語(yǔ)句而不適用于個(gè)別表 AUDIT SELECT TABLE 審計(jì)命令可以對(duì)所有用戶或部分用戶的操作進(jìn)行審計(jì) 2 特權(quán)審計(jì)特權(quán)審計(jì) 特權(quán)審計(jì)是用來(lái)審計(jì)系統(tǒng)特權(quán)的使用情況 例如 CREATE TABLE或SELECT ANY TABLE 可以對(duì)任何系統(tǒng)特權(quán)的使用情況 進(jìn)行審計(jì) 語(yǔ)法 AUDIT option ALL ON username objectname BY SESSION ACCESS WHENEVER NOT SUCCESSFUL 例子 AUDIT CREATE TABLE AUDIT UPDATE DELETE ON john cumstomer BY ACCESS WHENEVER SUCCESSFUL 可以設(shè)置特權(quán)審計(jì)去審計(jì)一個(gè)數(shù)據(jù)庫(kù)的所有用戶或部分用戶的系統(tǒng) 特權(quán)行為 3 對(duì)象審計(jì) 對(duì)象審計(jì) 對(duì)象審計(jì)可以對(duì)特定DML語(yǔ)句進(jìn)行審計(jì) 與以下對(duì)象相關(guān)的SQL語(yǔ) 句的執(zhí)行情況可被審計(jì) 這些對(duì)象包括 表格 視圖 序列 存儲(chǔ) 過(guò)程 函數(shù)和包 語(yǔ)法 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 AUDIT option ALL ON username objectname BY SESSION ACCESS WHENEVER NOT SUCCESSFUL 對(duì)象審計(jì)應(yīng)用于數(shù)據(jù)庫(kù)的所有用戶 1 6 管理管理審計(jì)跟蹤信息審計(jì)跟蹤信息 1 6 1 審計(jì)跟蹤信息內(nèi)容審計(jì)跟蹤信息內(nèi)容 審計(jì)跟蹤記錄可以包含不同類(lèi)型的信息 這要根據(jù)審計(jì)的事件和設(shè) 置的審計(jì)選項(xiàng)來(lái)定 通常每個(gè)審計(jì)跟蹤記錄要包括下面的信息 操作系統(tǒng)登錄用戶名 用戶名 會(huì)話標(biāo)識(shí)符 終端標(biāo)識(shí)符 訪問(wèn)的模式對(duì)象的名稱(chēng) 已經(jīng)執(zhí)行的操作或者計(jì)劃執(zhí)行的操作 操作的完成代碼 日期和時(shí)間戳 寫(xiě)入操作系統(tǒng)審計(jì)跟蹤中的審計(jì)跟蹤記錄是加密的 并且不可讀但 是這些記錄可以在數(shù)據(jù)字典文件中解密 審計(jì)跟蹤不存儲(chǔ)有關(guān)數(shù)據(jù)值的信息 因?yàn)檫@可能涉及到經(jīng)過(guò)審計(jì)的 語(yǔ)句 例如 當(dāng)審計(jì)UPDATE 語(yǔ)句時(shí) 就不存儲(chǔ)更新過(guò)的行的新 數(shù)據(jù)值和原來(lái)的舊數(shù)據(jù)值 但是 使用細(xì)粒度審計(jì)方法可以執(zhí)行這 種特定類(lèi)型的審計(jì) 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 1 6 2 默認(rèn)的審計(jì)事件默認(rèn)的審計(jì)事件 不管是否啟用數(shù)據(jù)庫(kù)審計(jì) Oracle 通常會(huì)審計(jì)某些關(guān)系數(shù)據(jù)庫(kù)動(dòng) 作并寫(xiě)入操作系統(tǒng)審計(jì)跟蹤中 這些事件包括以下一些內(nèi)容 1 啟動(dòng)實(shí)例 2 關(guān)閉實(shí)例 3 使用管理員權(quán)限連接數(shù)據(jù)庫(kù) 1 6 3 設(shè)置審計(jì)選項(xiàng)設(shè)置審計(jì)選項(xiàng) 使用AUDIT 語(yǔ)句來(lái)指定審計(jì)選項(xiàng)AUDIT 語(yǔ)句允許用戶在下列三種 級(jí)別下設(shè)置選項(xiàng) 級(jí)別效果 導(dǎo)致影響特定類(lèi)型數(shù)據(jù)庫(kù)對(duì)象的特殊的SQL 語(yǔ)句或 語(yǔ)句組的審計(jì) 例如AUDIT TABLE審計(jì)CREATE TABLE TRUNCATE TABLE COMMENT ON TABLE 和DELETE FROM TABLE 語(yǔ)句 權(quán)限審計(jì)授予特殊系統(tǒng)權(quán)限的語(yǔ)句 例如AUDIT CREATE ANY TRIGGER 審計(jì)使用CREATEANY TRIGGER 系統(tǒng)權(quán)限發(fā)布的語(yǔ)句 對(duì)象審計(jì)作用在特殊對(duì)象上的語(yǔ)句 比如emp 表上的 ALTER TABLE 語(yǔ)句 要使用AUDIT 語(yǔ)句來(lái)設(shè)置語(yǔ)句以及權(quán)限選項(xiàng) 就必須擁有AUDIT SYSTEM 權(quán)限 要使用AUDIT 語(yǔ)句來(lái)設(shè)置對(duì)象審計(jì)選項(xiàng) 就必須 擁有經(jīng)過(guò)審計(jì)的對(duì)象或者擁有AUDIT ANY權(quán)限 設(shè)置語(yǔ)句和權(quán)限審計(jì)選項(xiàng)的審計(jì)語(yǔ)句可以包含一個(gè)BY 子句 用這 個(gè)子句來(lái)指定用戶或者應(yīng)用程序代理的列表 以便限制語(yǔ)句和權(quán)限 審計(jì)選項(xiàng)的范圍 當(dāng)設(shè)置審計(jì)選項(xiàng)時(shí) 也可以為審計(jì)指定以下條件 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 BY SESSION BY ACCESS BY SESSION 將使得Oracle 為在相同會(huì)話中發(fā)布的同一種類(lèi)型的 所有SQL 語(yǔ)句寫(xiě)入一條記錄 BY ACCESS 將使得Oracle 為每一 個(gè)訪問(wèn)寫(xiě)入一條記錄 WHENEVER SUCCESSFUL WHENEVER NOT SUCCESSFUL WHENEVER SUCCESSFUL 選擇只對(duì)成功的語(yǔ)句進(jìn)行審 計(jì) WHENEVER NOT SUCCESSFUL 選擇只對(duì)失敗或?qū)е洛e(cuò)誤 的語(yǔ)句進(jìn)行審計(jì) 在新的數(shù)據(jù)庫(kù)會(huì)話創(chuàng)建的時(shí)候該會(huì)話將從數(shù)據(jù)字典中獲得審計(jì)選 項(xiàng) 在數(shù)據(jù)庫(kù)連接期間這些審計(jì)選項(xiàng)將保持有效 新系統(tǒng)或?qū)ο髮?計(jì)選項(xiàng)的設(shè)置將會(huì)引起所有后續(xù)數(shù)據(jù)庫(kù)會(huì)話使用這些選項(xiàng) 現(xiàn)有的 會(huì)話繼續(xù)使用會(huì)話創(chuàng)建時(shí)設(shè)置的審計(jì)選項(xiàng) 警告 AUDIT 語(yǔ)句只能指定審計(jì)選項(xiàng) 它不能從整體上啟用審 計(jì) 如果要打開(kāi)審計(jì)功能并基于當(dāng)前設(shè)置的審計(jì)選項(xiàng)控制Oracle 是否生成審計(jì)記錄 就需要設(shè)置初始化參數(shù)AUDIT TRAIL 1 6 3 1 指定語(yǔ)句審計(jì) 有效的語(yǔ)句審計(jì)選項(xiàng)可以包含在AUDIT 和NOAUDIT 語(yǔ)句中 1 6 3 2 審計(jì)連接和審計(jì)斷開(kāi)連接 要審計(jì)所有成功和不成功的數(shù)據(jù)庫(kù)連接以及斷開(kāi)連接 不管用戶是 誰(shuí)均可采用BY SESSION 鍵入以下語(yǔ)句 AUDIT SESSION 也可以單獨(dú)為用戶設(shè)置這個(gè)選項(xiàng) 如同下面的例子 AUDIT SESSION BY scott lori 1 6 3 3 審計(jì)因?yàn)閷?duì)象不存在而導(dǎo)致失敗的語(yǔ)句 NO EXISTS語(yǔ)句選項(xiàng)指定審計(jì)因?yàn)槟繕?biāo)對(duì)象不存在而導(dǎo)致失敗的 所有SQL 語(yǔ)句 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 1 6 3 4 指定權(quán)限審計(jì) 權(quán)限審計(jì)選項(xiàng)準(zhǔn)確地與對(duì)應(yīng)的系統(tǒng)權(quán)限匹配 例如使用DELETE ANY TABLE 權(quán)限進(jìn)行審計(jì)的選項(xiàng) DELETE ANY TABLE 要啟用 該選項(xiàng) 使用類(lèi)似下面例子中的語(yǔ)句即可 AUDIT DELETE ANY TABLE BY ACCESS WHENEVER NOT SUCCESSFUL 要審計(jì)DELETE ANY TABLE 系統(tǒng)權(quán)限的所有成功和不成功使用鍵 入下列語(yǔ)句 AUDIT DELETE ANY TABLE 要審計(jì)在所有表上不成功的所有SELECT INSERT 和DELETE 語(yǔ) 句以及EXECUTE PROCEDURE 系統(tǒng)權(quán)限的不成功使用 需要由 所有數(shù)據(jù)庫(kù)用戶和個(gè)別經(jīng)過(guò)審計(jì)的語(yǔ)句發(fā)布以下語(yǔ)句 AUDIT SELECT TABLE INSERT TABLE DELETE TABLE EXECUTE PROCEDURE BY ACCESS WHENEVER NOT SUCCESSFUL 設(shè)置任何語(yǔ)句或權(quán)限審計(jì)選項(xiàng)都必須擁有AUDIT SYSTEM 系統(tǒng)權(quán) 限 通常安全管理員是唯一授予這個(gè)系統(tǒng)權(quán)限的用戶 1 6 3 5 指定對(duì)象審計(jì) 用戶可以為包含在用戶模式中的對(duì)象設(shè)置任何的對(duì)象審計(jì)選項(xiàng) 為 包含在另一個(gè)用戶模式中的對(duì)象設(shè)置對(duì)象審計(jì)選項(xiàng) 或者設(shè)置默認(rèn) 對(duì)象審計(jì)選項(xiàng) 就必須有AUDIT ANY 系統(tǒng)權(quán)限 通常 安全管理 員是唯一授予AUDIT ANY 系統(tǒng)權(quán)限的用戶 要審計(jì)scott emp 表上的所有成功和不成功的DELETE 語(yǔ)句采用BY SESSION 默認(rèn)值鍵入下列語(yǔ)句 AUDIT DELETE ON scott emp 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 要審計(jì)屬于用戶jward 的dept 表上的所有成功的 SELECT INSERT 和DELETE 語(yǔ)句 采用BY ACCESS 鍵入下列 語(yǔ)句 AUDIT SELECT INSERT DELETE ON jward dept BY ACCESS WHENEVER SUCCESSFUL 要將默認(rèn)對(duì)象審計(jì)選項(xiàng)設(shè)置為審計(jì)所有不成功的SELECT 語(yǔ)句采 用BY SESSION 鍵入下列語(yǔ)句 AUDIT SELECT ON DEFAULT WHENEVER NOT SUCCESSFUL 1 6 3 6 在多層環(huán)境中審計(jì) 在多層環(huán)境中 Oracle 通過(guò)所有層保存客戶的標(biāo)識(shí)符 這樣就能 夠?qū)徲?jì)代表客戶實(shí)施的操作 如果這么做 只要在AUDIT 語(yǔ)句中 使用BY proxy 子句即可 該子句允許帶一些選項(xiàng) 用戶可以利用 這個(gè)子句做以下工作 審計(jì)由指定代理為自己發(fā)布的SQL 語(yǔ)句 審計(jì)代表指定的一個(gè)或多個(gè)用戶執(zhí)行的語(yǔ)句 審計(jì)代表任何一個(gè)用戶執(zhí)行的所有語(yǔ)句 下面的例子審計(jì)了由代理應(yīng)用程序服務(wù)器appserve 代表客戶 jackson 發(fā)布的SELECT TABLE 語(yǔ)句 AUDIT SELECT TABLE BY appserve ON BEHALF OF jackson 1 6 4 關(guān)閉審計(jì)選項(xiàng)關(guān)閉審計(jì)選項(xiàng) NOAUDIT 語(yǔ)句可以關(guān)閉Oracle 的各種審計(jì)選項(xiàng) 警告 NOAUDIT 語(yǔ)句只指定審計(jì)選項(xiàng) 它不能從整體上禁用審 計(jì) 要關(guān)閉審計(jì)并停止Oracle 生成審計(jì)記錄 可以在數(shù)據(jù)庫(kù)初始 化參數(shù)文件中設(shè)置初始化參數(shù)AUDIT TRAIL 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 1 6 4 1 關(guān)閉語(yǔ)句和權(quán)限審計(jì) 下面的語(yǔ)句將關(guān)閉相應(yīng)的審計(jì)選項(xiàng) NOAUDIT session NOAUDIT session BY scott lori NOAUDIT DELETE ANY TABLE NOAUDIT SELECT TABLE INSERT TABLE DELETE TABLE EXECUTE PROCEDURE 下面的語(yǔ)句將關(guān)閉所有語(yǔ)句審計(jì)選項(xiàng) NOAUDIT ALL 下面的語(yǔ)句將關(guān)閉所有權(quán)限審計(jì)選項(xiàng) NOAUDIT ALL PRIVILEGES 要禁用語(yǔ)句或權(quán)限審計(jì)選項(xiàng)就必須擁有AUDIT SYSTEM 系統(tǒng)權(quán) 限 1 6 4 2 關(guān)閉對(duì)象審計(jì) 下面的語(yǔ)句將關(guān)閉相應(yīng)的審計(jì)選項(xiàng) NOAUDIT DELETE ON emp NOAUDIT SELECT INSERT DELETE ON jward dept 此外要關(guān)閉emp 表上的所有對(duì)象審計(jì)選項(xiàng) 可以鍵入下列語(yǔ)句 NOAUDIT ALL ON emp 要關(guān)閉所有默認(rèn)的對(duì)象審計(jì)選項(xiàng) 可以鍵入下列語(yǔ)句 NOAUDIT ALL ON DEFAULT 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 1 6 5 啟用和禁用數(shù)據(jù)庫(kù)審計(jì)啟用和禁用數(shù)據(jù)庫(kù)審計(jì) 任何授權(quán)的數(shù)據(jù)庫(kù)用戶都可以在任何時(shí)候設(shè)置語(yǔ)句 權(quán)限和對(duì)象審 計(jì)選項(xiàng) 但是除非啟用數(shù)據(jù)庫(kù)審計(jì) 否則Oracle 不能生成并在審 計(jì)跟蹤中存儲(chǔ)審計(jì)記錄 安全管理員通常負(fù)責(zé)這項(xiàng)操作 通過(guò)數(shù)據(jù)庫(kù)初始化參數(shù)文件中的AUDIT TRAIL 初始化參數(shù)啟用和 禁用數(shù)據(jù)庫(kù)審計(jì) 這個(gè)參數(shù)可以設(shè)置為下列值 DB 啟用數(shù)據(jù)庫(kù)審計(jì)并引導(dǎo)所有審計(jì)記錄到數(shù)據(jù)庫(kù)的審計(jì)跟蹤 OS 啟用數(shù)據(jù)庫(kù)審計(jì)并引導(dǎo)所有審計(jì)記錄到操作系統(tǒng)的審計(jì)跟 蹤 NONE 禁用審計(jì)這個(gè)值是默認(rèn)值 可以用AUDIT FILE DEST 初始化參數(shù)來(lái)指定審計(jì)文件存儲(chǔ)的目 錄 如果編輯了初始化參數(shù)文件 需要重新啟動(dòng)數(shù)據(jù)庫(kù)實(shí)例以便按 照計(jì)劃啟用或禁用數(shù)據(jù)庫(kù)審計(jì) 這些參數(shù)不是動(dòng)態(tài)的 1 6 6 控制審計(jì)跟蹤的增長(zhǎng)和大小控制審計(jì)跟蹤的增長(zhǎng)和大小 如果審計(jì)跟蹤已經(jīng)完全裝滿 而且不能繼續(xù)插入更多的審計(jì)跟蹤 那么將不能成功執(zhí)行經(jīng)過(guò)審計(jì)的語(yǔ)句 直到清除審計(jì)跟蹤 所有發(fā) 布了經(jīng)過(guò)審計(jì)的語(yǔ)句的用戶都會(huì)收到警告信息 因此 安全管理員 必須控制審計(jì)跟蹤的增長(zhǎng)和大小 當(dāng)啟用審計(jì)并且正在生成審計(jì)記錄時(shí) 審計(jì)跟蹤將依據(jù)以下兩個(gè)因 素增長(zhǎng) 打開(kāi)的審計(jì)選項(xiàng)的數(shù)目 經(jīng)過(guò)審計(jì)的語(yǔ)句的執(zhí)行頻率 要控制審計(jì)跟蹤的增長(zhǎng)可以采用以下方法 此文檔收集于網(wǎng)絡(luò) 如有侵權(quán)請(qǐng)聯(lián)系網(wǎng)站刪除 僅供學(xué)習(xí)與交流 啟用和禁用數(shù)據(jù)庫(kù)審計(jì) 如果啟用了數(shù)據(jù)庫(kù)審計(jì) 那么將生成 審計(jì)記錄并將其存儲(chǔ)在審計(jì)跟蹤中 如果禁用了數(shù)據(jù)庫(kù)審計(jì) 那么將不能生成審計(jì)記錄 要精挑細(xì)選需要打開(kāi)的審計(jì)選項(xiàng) 如果執(zhí)行了很多經(jīng)過(guò)選擇的 審計(jì) 那么將不會(huì)生成無(wú)用或不必要的審計(jì)信息 并將它們存 儲(chǔ)在審計(jì)跟蹤中 要嚴(yán)格控制執(zhí)行對(duì)象審計(jì)的能力 1 6 6 1 從審計(jì)跟蹤中清除審計(jì)記錄 例如 要從審計(jì)跟蹤中刪除所有審計(jì)記錄 可以鍵入下列語(yǔ)句 DELETE FROM SYS AUD 還可以從作為審計(jì)表emp 的結(jié)果