Oracle数据库审计功能的安全审计获取关键技术.doc

《Oracle数据库审计功能的安全审计获取关键技术.doc》由会员分享，可在线阅读，更多相关《Oracle数据库审计功能的安全审计获取关键技术.doc（9页珍藏版）》请在咨信网上搜索。

1、数据采集与审计课 程 论 文题目： Oracle数据库审计功能安全审计获取技术姓名： * 学号： * 院（系）： 专业： 南 京 审 计 学 院20*年 * 月 * 日Oracle数据库审计功能安全审计获取技术* *1班 *【摘要】本文重点讲述了Oracle数据库在安全审计数据中获取技术实际应用。在当今信息系统应用及其广泛大环境下，信息系统审计也需要更强大审计软件来实现数据审计功能，本文基于Oracle数据库详细解说了数据审计功能和它获取技术核心。【核心词】Oracle技术；安全审计；审计数据获取Oracle Audit Function of The Security Audit Acces

2、s to Technology Abstract：This paper focuses on the Oracle database in security audit data access technology in practical application. And widely used in todays information system environment，information system audit also need more powerful audit software to implement the data audit，this article is b

3、ased on Oracle database in detail the function of data auditing and its access to key technology.Key words：Oracle RDBMS Security audit audit data acquisition引言随着全球信息化脚步逐渐加快，信息系统安全越来越重要。国际上第一种关于信息技术安全性评价原则TCSEC（Trusted Computing StandardsEvaluating Criteria），于上世纪 80 年代诞生于美国，它是由美国国防部制定可靠计算机原则评估准则，其中给出

4、了一套原则来定义满足安全级别所需安全功能及其保证限度。作为其中一种安全保障机制审计，在最早TCSEC中已有了拟定规定。信息系统审计是记录信息系统中顾客活动行为一种机制，它不但可以辨认谁访问了系统，并能记录系统被如何使用，从而为安全事件事后解决提供根据。审计功能规定是在TCSEC中制定，安全审计作为新概念，专门指由专业审计师依照有关法律法规或财产所有人委托及管理当局授权，对计算机网络环境下关于活动或行为进行系统、独立检查验证，并做出相应评价。安全审计有四个基本要素，涉及安全漏洞，控制目的，控制办法与控制测试。安全漏洞是系统中容易被干扰或者破坏地方，是它安全薄弱地区；控制目的是公司根据实际计算机应

5、用结合我司实际状况做出安全控制规定；而控制测试是公司对所有安全控制办法与预期安全原则进行对比，对各项控制办法存在性，执行力度，漏洞防范有效性评价，得出公司安全办法可依赖限度。在这里安全审计作为专门审计项目，审计人员必要要有过硬专业职能与技术。安全审计是大审计一某些，在计算机网络环境安全对国家安危和经济体利益影响越来越深大环境下，国家、社会、公司三位一体去安全审计机制必要尽快建立起来。而在国家安全审计机关更加应当做出行动，一方面基于法律法规针对广域网公司安全实行年审制，另一方面应当发展社会中介机构，从而对计算机网络安全提供审计服务，与律师事务所与会计师事务所同样，可以对公司计算机网络系统安全作出

6、评价，以面向社会。在公司管理当局对网络系统进行评估时，可以从从中介机构处获得对安全性检查结论和最后评价。不但如此，财政和财务审计也不与网络安全息息有关，安全专家们对网络安全机制作出评价，从而为委托人对相应信息解决系统披露信息真实性与可靠性可靠判断提供根据。而安全审计第一步是审计数据采集，可以设定为审计数据库中数据和操作系统日记、软件登录日记等等。在Oracle数据库中，一方面，对数据库访问行为审计，目的是对顾客对数据库操作有关信息进行记录，使得在必要时可以查询和对操作记录进行分析和判断，在数据访问操作时，审计机制记录下操作时间地点人物与操作种类和成功与否，然后对审计数据分析从而发掘出顾客正常行

7、为模式，判断顾客行为合法性，只要将对数据系统数据访问操作审计登记表达为六种要素信息，即顾客名（人，操作行为发出者，即数据库使用者），操作时间（时间，操作详细发生时间），IP（地点，实际操作发生地点），操作对象（对象名，数据操作对象），操作行为（操作类型，如select或update等）与返回码（操作成果，成功或失败）。由于在大某些基于Oracle数据库应用系统中均有根据自身系统功能设计实现对自身系统顾客管理，从而可以实现应用系统级顾客管理与认证。审计六要素信息操作时间，操作行为，操作对象，返回码都能在顾客在应用系统中对数据库进行操作时从Oracle数据库审计记录里获得。因此想要得到满足审计需求

8、审计数据应当由数据库审计与应用系统审计这两者记录共计获得。数据审计系统目的就是可以对需要审计数据布置审计，当被审计数据发生操作时，实现对操作者、操作时间、操作对象和操作行为信息自动记录，并提供这些信息查询、记录等功能。此外对有不同安全规定数据对象，又分为记录操作数据和不记录操作数据两种审计级别。Oracle数据库自身安全审计机制可以审计在数据库中发生所有操作，产生审计记录可以保存到操作系统审计跟踪中。但是在实际使用过程中，使用操作系统能否支持则是能不能把Oracle数据库审计记录写到操作系统审计跟踪中决定因素。审计数据产生必要要在数据库启动审计功能之后，在默认状况下，Oracle数据库安全审计

9、功能是关闭，由于打开审计功能后，它会对系统得空间和性能两方面产生影响，因此想要从Oracle数据库中获得审计记录，必要一方面打开数据库审计功能。而想要激活数据库上审计功能，数据库初始化参数文献里必要涉及audit_trail参数。参数可取值为：NONE（即禁用审计功能）、DB（即激活审计功能并将审计记录写到SYS.AUDS表中）、OS（即即激活审计功能并将审计记录写到操作系统审计跟踪中，详细位置视详细状况而定）。通过对audit_trail参数设立，Oracle数据库审计功能就可以启动，就可以对所有发生在数据库内部操作行为记录下来，并对这些记录进行进一步研究分析，获取重要结论。在下面，咱们将相

10、应用系统审计与数据库审计设计和实践进行阐述分析。一、 数据库审计数据库审计可以在发生对数据库操作时，捕获并记录操作时间、操作对象和操作行为类型信息。在Oracle 数据库中通过系统审计机制可以记录对数据库操作时间、操作对象名称和行为类型。审计功能能对数据库中发生所有操作进行审计，审计记录涉及操作时间、顾客名、操作行为和操作对象等。通过提交审计语句可以启动对相应类型数据库操作审计。由于 Oracle 系数据库审计范畴很广，并且在审计类别上有重叠，因此对审计对象分类，从而获取代表性审计对象给应用系统是有必要。由于在数据修改操作进行审计时，Oracle数据库审计功能没有记录修改先后数值功能，此类操作

11、审计可以由触发器实现，作为对系统审计补充。大某些关系数据库系统都支持触发器使用，它在满足执行条件时由系统自动调用而执行。通过对需要审计数据表添加行触发器，在触发器体内写下记录操作要素代码，就能实现对数据修改操作审计。因此数据库审计可以通过Oracle 系统审计和编写审计触发器相结合加以实现，以便记录操作时间、操作类型与操作对象三要素。二、 应用系统审计审计信息要素中顾客名不能通过数据库审计获得。应用系统审计是审计系统在应用系统中实行某些，它可以记录应用系统顾客名。由于当前应用系统多使用B/S构架或C/S构架，因而应用审计层需要分别在使用这两类构架应用系统上加以实现。在C/S构架应用系统中，顾客

12、通过应用系统客户端连接数据库，由客户端可以获取顾客顾客名信息及地址信息。在B/S构架应用系统中，顾客在浏览器对话期间，应用系统可以依照顾客会话信息得到顾客名。应用系统收到操作祈求时，通过向数据库写入操作者信息即可完毕应用审计层对操作者信息记录。应用系统审计层不但能记录顾客名，还会记录操作时间，这样可以拟定协助拟定操作者与操作行为相应关系。三、 数据库审计与应用系统审计数据关联在数据库审计和应用系统审计分别实现了对审计要素中不同内容记录后，为了形成完整包括审计六要素审计记录，还必要将数据库审计层记录数据操作信息与应用审计层记录操作者信息进行关联，使系统可以依照数据操作信息得到执行此操作唯一操作者

13、信息。数据库审计和应用系统审计记录内容中都包括 IP 和操作时间信息，如果能通过这些共同信息关联实现两个审计层记录信息一一相应，那么数据库审计与应用系统审计无需额外增长记录内容，将是一种非常经济办法。然而，这种办法并不能满足相应关系唯一性规定。例如，当同一时间有两个C/S类顾客在同一主机上登录应用系统客户端进行数据操作时，由于这两个顾客 IP 和操作时间都相似，因而无法依照数据操作信息推出执行该操作唯一顾客信息。而对于B/S类顾客，由于数据库审计层只能记录应用服务器IP而无法记录顾客IP，将两个审计层记录信息相应起来更加困难。因而，为了将数据库审计与应用审计系统记录信息进行关联，还必要寻找可以

14、标记每次数据操作、并可同步被数据库和应用系统记录参数，会话标记符可以满足上述规定。结论数据审计是信息系统审计一种环节，除此之外尚有顾客操作审计、操作系统审计、网络安全审计等等，它们共同构成信息系统审计体系。随着IT技术发展和审计环境变化，信息系统审计硬件软件条件也在不断地改进。文中使用Oracle数据库审计功能比较强大，安全审计规定基本实现，咱们在审计过程中所需要数据库获取技术可以满足审计需求。参照文献：1 Kevin Loney,Mariene Thriault李纪松，周保太，等译.数据库管理员手册M.北京：机械工业出版社，.2 陈怀楚，王映.大学资源筹划（URP）建设研究J.实验技术与管理，19（增刊）：1023 Susan Henczel The Information Audit as First Step towards Effective Know ledge Management:an Opportunity for the Special 1 LibrarianJ.NSPEL,34:210.4陈晨,陈怀楚,高国柱,刘宝林.基于 Oracle 数据库数据审计系统设计与实现D.清华大学计算机与管理应用中心.：5李学刚. Oracle安全审计技术在教学管理信息系统中应用研究D.湖南大学.：