




已閱讀5頁,還剩4頁未讀, 繼續(xù)免費閱讀
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
數(shù)據(jù)采集與審計課 程 論 文題目: Oracle數(shù)據(jù)庫審計功能的安全審計獲取技術(shù)姓名: * 學號: * 院(系): 專業(yè): 南 京 審 計 學 院20*年 * 月 * 日Oracle數(shù)據(jù)庫審計功能的安全審計獲取技術(shù)* *1班 *【摘要】本文重點講述了Oracle數(shù)據(jù)庫在安全審計數(shù)據(jù)中的獲取技術(shù)實際應用。在當今信息系統(tǒng)應用及其廣泛的大環(huán)境下,信息系統(tǒng)審計也需要更強大的審計軟件來實現(xiàn)數(shù)據(jù)審計功能,本文基于Oracle數(shù)據(jù)庫詳細講解了數(shù)據(jù)審計功能和它的獲取技術(shù)關(guān)鍵?!娟P(guān)鍵詞】Oracle技術(shù);安全審計;審計數(shù)據(jù)的獲取7Oracle Audit Function of The Security Audit Access to Technology Abstract:This paper focuses on the Oracle database in security audit data access technology in practical application. And widely used in todays information system environment, information system audit also need more powerful audit software to implement the data audit, this article is based on Oracle database in detail the function of data auditing and its access to key technology.Key words: Oracle RDBMS Security audit audit data acquisition引言隨著全球信息化腳步的逐步加快,信息系統(tǒng)的安全越來越重要。國際上第一個有關(guān)信息技術(shù)安全性評價的標準TCSEC(Trusted Computing StandardsEvaluating Criteria),于上世紀 80 年代誕生于美國,它是由美國國防部制定的可靠計算機標準評估準則,其中給出了一套標準來定義滿足安全等級所需的安全功能及其保證的程度。作為其中一種安全保障機制的審計,在最早的TCSEC中已經(jīng)有了確定的要求。信息系統(tǒng)審計是記錄信息系統(tǒng)中用戶活動行為的一種機制,它不但能夠識別誰訪問了系統(tǒng),并能記錄系統(tǒng)被怎樣使用,從而為安全事件的事后處理的提供依據(jù)。審計功能的要求是在TCSEC中制訂的,安全審計作為新的概念,專門指由專業(yè)審計師根據(jù)相關(guān)法律法規(guī)或財產(chǎn)所有人的委托及管理當局的授權(quán),對計算機網(wǎng)絡環(huán)境下的有關(guān)活動或行為進行系統(tǒng)、獨立的檢查驗證,并做出相應的評價。安全審計有四個基本要素,包括安全漏洞,控制目標,控制措施與控制測試。安全漏洞是系統(tǒng)中容易被干擾或者破壞的地方,是它的安全薄弱地區(qū);控制目標是企業(yè)依據(jù)實際的計算機應用結(jié)合本公司的實際情況做出的安全控制要求;而控制測試是企業(yè)對所有的安全控制措施與預期的安全標準進行對比,對各項控制措施的存在性,執(zhí)行力度,漏洞防范有效性的評價,得出企業(yè)的安全措施可依賴程度。在這里安全審計作為專門的審計項目,審計人員必須要有過硬的專業(yè)職能與技術(shù)。安全審計是大審計的一部分,在計算機網(wǎng)絡環(huán)境安全對國家的安危和經(jīng)濟體的利益影響越來越深的大環(huán)境下,國家、社會、企業(yè)三位一體的去安全審計機制必須盡快建立起來。而在國家的安全審計機關(guān)更加應當做出行動,首先基于法律法規(guī)針對廣域網(wǎng)的企業(yè)安全實施年審制,其次應該發(fā)展社會中介機構(gòu),從而對計算機網(wǎng)絡的安全提供審計服務,與律師事務所與會計師事務所一樣,能夠?qū)ζ髽I(yè)計算機網(wǎng)絡系統(tǒng)安全作出評價,以面向社會。在企業(yè)管理當局對網(wǎng)絡系統(tǒng)進行評估時,能夠從從中介機構(gòu)處獲得對安全性的檢查結(jié)論和最終評價。不僅如此,財政和財務審計也不與網(wǎng)絡安全息息相關(guān),安全專家們對網(wǎng)絡的安全機制作出評價,從而為委托人對相應的信息處理系統(tǒng)披露的信息真實性與可靠性的可靠判斷提供依據(jù)。而安全審計的第一步是審計數(shù)據(jù)的采集,可以設定為審計數(shù)據(jù)庫中的數(shù)據(jù)和操作系統(tǒng)的日志、軟件登錄日志等等。在Oracle數(shù)據(jù)庫中,首先,對數(shù)據(jù)庫的訪問行為的審計,目標是對用戶對數(shù)據(jù)庫操作的相關(guān)信息進行記錄,使得在必要時能夠查詢和對操作記錄進行分析和判斷,在數(shù)據(jù)訪問操作時,審計機制記錄下操作的時間地點人物與操作的種類和成功與否,然后對審計數(shù)據(jù)分析從而發(fā)掘出用戶的正常行為模式,判斷用戶行為合法性,只要將對數(shù)據(jù)系統(tǒng)的數(shù)據(jù)訪問操作的審計記錄表示為六種要素信息,即用戶名(人,操作行為發(fā)出者,即數(shù)據(jù)庫使用者),操作時間(時間,操作的具體發(fā)生時間),IP(地點,實際操作發(fā)生地點),操作對象(對象名,數(shù)據(jù)操作的對象),操作行為(操作類型,如select或update等)與返回碼(操作結(jié)果,成功或失敗)。由于在大部分的基于Oracle數(shù)據(jù)庫的應用系統(tǒng)中都有依據(jù)自身系統(tǒng)功能設計實現(xiàn)對自身系統(tǒng)的用戶管理,從而能夠?qū)崿F(xiàn)應用系統(tǒng)級的用戶管理與認證。審計六要素信息的操作時間,操作行為,操作對象,返回碼都能在用戶在應用系統(tǒng)中對數(shù)據(jù)庫進行操作時從Oracle數(shù)據(jù)庫的審計記錄里獲得。所以想要得到滿足審計需求的審計數(shù)據(jù)應當由數(shù)據(jù)庫審計與應用系統(tǒng)審計這兩者的記錄合計獲得。數(shù)據(jù)審計系統(tǒng)的目標就是能夠?qū)π枰獙徲嫷臄?shù)據(jù)部署審計,當被審計數(shù)據(jù)發(fā)生操作時,實現(xiàn)對操作者、操作時間、操作對象和操作行為信息的自動記錄,并提供這些信息的查詢、統(tǒng)計等功能。另外對有不同安全要求的數(shù)據(jù)對象,又分為記錄操作數(shù)據(jù)和不記錄操作數(shù)據(jù)兩種審計級別。Oracle數(shù)據(jù)庫自身的安全審計機制能夠?qū)徲嬙跀?shù)據(jù)庫中發(fā)生的所有操作,產(chǎn)生的審計記錄能夠保存到操作系統(tǒng)的審計跟蹤中。但是在實際使用過程中,使用的操作系統(tǒng)能否支持則是能不能把Oracle數(shù)據(jù)庫的審計記錄寫到操作系統(tǒng)的審計跟蹤中的決定因素。審計數(shù)據(jù)的產(chǎn)生必須要在數(shù)據(jù)庫開啟審計功能之后,在默認情況下,Oracle數(shù)據(jù)庫的安全審計功能是關(guān)閉的,因為打開審計功能后,它會對系統(tǒng)得空間和性能兩方面產(chǎn)生影響,所以想要從Oracle數(shù)據(jù)庫中獲得審計記錄,必須首先打開數(shù)據(jù)庫審計功能。而想要激活數(shù)據(jù)庫上的審計功能,數(shù)據(jù)庫的初始化參數(shù)文件里必須包括audit_trail參數(shù)。參數(shù)可取值為:NONE(即禁用審計功能)、DB(即激活審計功能并將審計記錄寫到SYS.AUDS表中)、OS(即即激活審計功能并將審計記錄寫到操作系統(tǒng)的審計跟蹤中,具體位置視具體情況而定)。通過對audit_trail參數(shù)的設置,Oracle數(shù)據(jù)庫審計功能就能夠開啟,就能夠?qū)λ邪l(fā)生在數(shù)據(jù)庫內(nèi)部的操作行為記錄下來,并對這些記錄進行深入研究分析,獲取重要的結(jié)論。在下面,我們將對應用系統(tǒng)審計與數(shù)據(jù)庫審計設計和實踐進行闡述分析。一、 數(shù)據(jù)庫審計數(shù)據(jù)庫審計能夠在發(fā)生對數(shù)據(jù)庫的操作時,捕捉并記錄操作時間、操作對象和操作行為類型的信息。在Oracle 數(shù)據(jù)庫中通過系統(tǒng)審計機制能夠記錄對數(shù)據(jù)庫操作時間、操作對象名稱和行為類型。審計功能能對數(shù)據(jù)庫中發(fā)生的所有操作進行審計,審計記錄包括操作時間、用戶名、操作行為和操作對象等。通過提交審計語句能夠開啟對相應類型數(shù)據(jù)庫操作的審計。因為 Oracle 系數(shù)據(jù)庫的審計范圍很廣,并且在審計類別上有重疊,所以對審計對象分類,從而獲取代表性審計對象給應用系統(tǒng)是有必要的。由于在數(shù)據(jù)修改操作進行審計時,Oracle數(shù)據(jù)庫的審計功能沒有記錄修改前后的數(shù)值的功能,這類操作的審計可以由觸發(fā)器實現(xiàn),作為對系統(tǒng)審計的補充。大部分關(guān)系數(shù)據(jù)庫系統(tǒng)都支持觸發(fā)器的使用,它在滿足執(zhí)行條件時由系統(tǒng)自動調(diào)用而執(zhí)行。通過對需要審計的數(shù)據(jù)表添加行觸發(fā)器,在觸發(fā)器體內(nèi)寫下記錄操作要素的代碼,就能實現(xiàn)對數(shù)據(jù)修改操作的審計。所以數(shù)據(jù)庫審計能夠通過Oracle 系統(tǒng)審計和編寫審計觸發(fā)器相結(jié)合加以實現(xiàn),以便記錄操作時間、操作類型與操作對象三要素。二、 應用系統(tǒng)審計審計信息要素中的用戶名不能通過數(shù)據(jù)庫審計獲得。應用系統(tǒng)審計是審計系統(tǒng)在應用系統(tǒng)中的實施部分,它能夠記錄應用系統(tǒng)的用戶名。由于目前應用系統(tǒng)多使用B/S構(gòu)架或C/S構(gòu)架,因此應用審計層需要分別在使用這兩類構(gòu)架的應用系統(tǒng)上加以實現(xiàn)。在C/S構(gòu)架的應用系統(tǒng)中,用戶通過應用系統(tǒng)客戶端連接數(shù)據(jù)庫,由客戶端可以獲取用戶的用戶名信息及地址信息。在B/S構(gòu)架的應用系統(tǒng)中,用戶在瀏覽器對話期間,應用系統(tǒng)可以根據(jù)用戶的會話信息得到用戶名。應用系統(tǒng)收到操作請求時,通過向數(shù)據(jù)庫寫入操作者信息即可完成應用審計層對操作者信息的記錄。應用系統(tǒng)審計層不僅能記錄用戶名,還會記錄操作時間,這樣能夠確定幫助確定操作者與操作行為的對應關(guān)系。三、 數(shù)據(jù)庫審計與應用系統(tǒng)審計的數(shù)據(jù)關(guān)聯(lián)在數(shù)據(jù)庫審計和應用系統(tǒng)審計分別實現(xiàn)了對審計要素中不同內(nèi)容的記錄后,為了形成完整的包含審計六要素的審計記錄,還必須將數(shù)據(jù)庫審計層記錄的數(shù)據(jù)操作信息與應用審計層記錄的操作者信息進行關(guān)聯(lián),使系統(tǒng)能夠根據(jù)數(shù)據(jù)操作信息得到執(zhí)行此操作的唯一的操作者信息。數(shù)據(jù)庫審計和應用系統(tǒng)審計記錄的內(nèi)容中都包含 IP 和操作時間信息,如果能通過這些共同信息的關(guān)聯(lián)實現(xiàn)兩個審計層記錄的信息一一對應,那么數(shù)據(jù)庫審計與應用系統(tǒng)審計無需額外增加記錄的內(nèi)容,將是一種非常經(jīng)濟的方法。然而,這種方法并不能滿足對應關(guān)系唯一性的要求。例如,當同一時間有兩個C/S類用戶在同一主機上登錄應用系統(tǒng)客戶端進行數(shù)據(jù)操作時,由于這兩個用戶的 IP 和操作時間都相同,因此無法根據(jù)數(shù)據(jù)操作信息推出執(zhí)行該操作的唯一的用戶信息。而對于B/S類用戶,由于數(shù)據(jù)庫審計層只能記錄應用服務器IP而無法記錄用戶IP,將兩個審計層記錄的信息對應起來更加困難。因此,為了將數(shù)據(jù)庫審計與應用審計系統(tǒng)記錄的信息進行關(guān)聯(lián),還必須尋找可以標識每次數(shù)據(jù)操作、并可同時被數(shù)據(jù)庫和應用系統(tǒng)記錄的參數(shù),會話標識符可以滿足上述要求。結(jié)論數(shù)據(jù)審計是信息系統(tǒng)審計的一個環(huán)節(jié),除此之外還有用戶操作審計、操作系統(tǒng)審計、網(wǎng)絡安全審計等等,它們共同構(gòu)成信息系統(tǒng)的審計體系。隨著IT技術(shù)的發(fā)展和審計環(huán)境的變化,信息系統(tǒng)審計的硬件軟件條件也在不斷地改進。文中使用的Oracle數(shù)據(jù)庫的審計功能比較強大,安全審計的要求基本實現(xiàn),我們在審計過程中所需要的數(shù)據(jù)庫獲取技術(shù)能夠滿足審計需求。參考文獻:1 Kevin Loney,Mariene Thriault李紀松,周保太,等譯.數(shù)據(jù)庫管理員手冊M.北京:機械工業(yè)出版社,2000.2 陳懷楚,王映.大學資源計劃(URP)建設研究J.實驗技術(shù)與管理,2002,19(增刊):1023 Susan Henczel The Information
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 預防瘧疾主題班會課件
- 化學工業(yè)企業(yè)安全質(zhì)量環(huán)保標準化培訓體系
- 項目集成管理工程師課件
- 項目介紹框架課件
- 音樂里的中國年課件
- 門診護理培訓課件
- 汽車配套產(chǎn)業(yè)基地項目環(huán)境影響報告書(范文)
- 城市污水管網(wǎng)建設工程招投標方案(參考模板)
- 2025年煤礦鉆孔監(jiān)測系統(tǒng)合作協(xié)議書
- 高效節(jié)能電機項目申請報告
- 2024年宜賓市敘州區(qū)區(qū)內(nèi)外選調(diào)在編在職教師筆試真題
- 2025年廣東省中考英語試題(附答案)
- 2024年廣東省煙草專賣局系統(tǒng)招聘考試真題及答案
- 社區(qū)網(wǎng)格員(綜合治理)筆試試題及答案
- 餐飲革新與市場機遇
- 交通運輸行政執(zhí)法課件培訓
- 中國肉類加工設備行業(yè)發(fā)展趨勢及發(fā)展前景研究報告2025-2028版
- 2025年新疆中考數(shù)學試卷真題(含答案解析)
- 高考數(shù)學專題-基本不等式求最值的常用方法(解析版)
- 中國上海市酒店行業(yè)市場調(diào)查研究及投資前景預測報告
- 2025年廣西專業(yè)技術(shù)人員繼續(xù)教育公需科目(三)答案
評論
0/150
提交評論