數(shù)據(jù)庫(kù)審計(jì)詳解

1、.數(shù)據(jù)庫(kù)知識(shí)點(diǎn)審計(jì).審計(jì)概述審計(jì)的概念？審計(jì)系統(tǒng)的構(gòu)成？Sybsecurity數(shù)據(jù)庫(kù)？?jī)?nèi)存審計(jì)隊(duì)列？審計(jì)級(jí)別安裝審計(jì)系統(tǒng)審計(jì)數(shù)據(jù)管理實(shí)例演示（sql 2008）.審計(jì)的概念審計(jì)，英文稱之為“audit”，檢查、驗(yàn)證目標(biāo)的準(zhǔn)確性和完整性，用以防止虛假數(shù)據(jù)和欺騙行為，以及是否符合既定的標(biāo)準(zhǔn)、標(biāo)竿和其它審計(jì)原則。審計(jì)概念最早用于財(cái)務(wù)系統(tǒng)，主要是獲取金融體系和金融記錄的公司或企業(yè)的財(cái)務(wù)報(bào)表的相關(guān)信息。隨著科技信息技術(shù)的發(fā)展，大部份的企業(yè)、機(jī)構(gòu)和組織的財(cái)務(wù)系統(tǒng)都運(yùn)行在信息系統(tǒng)上面，所以信息手段成為財(cái)務(wù)審計(jì)的一種技術(shù)的同時(shí)，財(cái)務(wù)審計(jì)也帶動(dòng)了通用信息系統(tǒng)的審計(jì)。審計(jì)已開始包括信息技術(shù)審計(jì)。信息技術(shù)審計(jì)，是一

2、個(gè)信息技術(shù)（ IT ）基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計(jì)是一個(gè)通過收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。數(shù)據(jù)庫(kù)審計(jì)作為信息安全審計(jì)的重要組成部分，同時(shí)也是數(shù)據(jù)庫(kù)管理系統(tǒng)安全性重要的一部分。通過審計(jì)功能，凡是與數(shù)據(jù)庫(kù)安全性相關(guān)的操作均可被記錄下來。只要檢測(cè)審計(jì)記錄，系統(tǒng)安全員便可掌握數(shù)據(jù)庫(kù)被使用狀況。例如，檢查庫(kù)中實(shí)體的存取模式，監(jiān)測(cè)指定用戶的行為。審計(jì)系統(tǒng)可以跟蹤用戶的全部操作，這也使審計(jì)系統(tǒng)具有一種威懾力，提醒用戶安全使用數(shù)據(jù)庫(kù)。.審計(jì)系統(tǒng)的構(gòu)成審計(jì)系統(tǒng)的構(gòu)成審計(jì)系統(tǒng)的構(gòu)成s

3、ybsecurity 數(shù)據(jù)庫(kù)存放在sybsystempocs中的一組系統(tǒng)存儲(chǔ)過程master庫(kù)中的配置選項(xiàng)內(nèi)存審計(jì)隊(duì)列審計(jì)處理程序.sybsecurity數(shù)據(jù)庫(kù)sybsecurity庫(kù)是sqlserver審計(jì)系統(tǒng)的基礎(chǔ)，它是由審計(jì)系統(tǒng)的安裝程序sybinit 來建立的，除包括model庫(kù)中所有表之外，還另有兩張系統(tǒng)表。sysaudits 審計(jì)記錄表。所有審計(jì)信息均被記載在這個(gè)表中sysauditoptions 審計(jì)選擇設(shè)置記錄.內(nèi)存審計(jì)隊(duì)列當(dāng)定義的審計(jì)事件發(fā)生時(shí)，審計(jì)記錄首先被放在內(nèi)存審計(jì)隊(duì)列，在它被審計(jì)處理程序存放審計(jì)記錄之前，將一直存在這里。如果系統(tǒng)發(fā)生故障，內(nèi)存審計(jì)隊(duì)列記錄可能丟失。內(nèi)存

4、審計(jì)隊(duì)列溢出會(huì)影響整個(gè)系統(tǒng)的性能。當(dāng)審計(jì)隊(duì)列沒有空間時(shí)，如果用戶執(zhí)行一個(gè)被定義的審計(jì)的操作，那么審計(jì)處理程序?qū)⑦M(jìn)入一種睡眠狀態(tài)，等待有足夠的內(nèi)存空間才運(yùn)行用戶的命令。內(nèi)存審計(jì)隊(duì)列空間可由sp-configure來設(shè)置，參數(shù)為audit queue size 。審計(jì)數(shù)據(jù)流圖用戶將要在tablea中插入記錄，insert已被定義為審計(jì)事件。檢查操作權(quán)限，關(guān)于這條命令和處理的信息被記錄在內(nèi)存審計(jì)隊(duì)列。審計(jì)處理過程被調(diào)度的，將內(nèi)存審計(jì)隊(duì)列的信息寫入sybsecurity庫(kù)的sysaudits表中。審計(jì)信息被存在sysaudit表中，這些信息隨系統(tǒng)運(yùn)輸愈來愈多，如果需要的話，可將這些數(shù)據(jù)倒到另外一個(gè)表中

5、存放起來，或挎貝到磁帶上存放。這些工作可以由threshold manager來做建議使用insert into select 來備份ysaudit數(shù)據(jù)，因?yàn)檫@個(gè)操作記log。大量的數(shù)據(jù)存到存貯介質(zhì)上可以使用dump或bulk copy 。.審計(jì)級(jí)別sql server 級(jí)包括如下操作login ，logout ，reboot ，remote procedue call ， fatal error， privileged command.database 級(jí)包括操作grant ， revoke， truncate table， drop， useobject 級(jí)包括table/view acc

6、ess ， procedure， trigger執(zhí)行user 級(jí)包括table/view access ， command text.安裝審計(jì)系統(tǒng)審計(jì)系統(tǒng)由sybase安裝程序sybinit安裝。整個(gè)安裝過程完成以下操作執(zhí)行disk init初始化用戶指定使用的設(shè)備，并在其上創(chuàng)建sybsecurity數(shù)據(jù)庫(kù)。運(yùn)行sp-auditinstall建立一個(gè)段空間，并將sysaudit表建在這個(gè)段上。運(yùn)行installsecurity，建立sysauditoptions 表，建立審計(jì)系統(tǒng)存儲(chǔ)過程重新啟動(dòng)sql server 。建議不在sybsecurity庫(kù)中建立任何用戶表，存貯過程等。因?yàn)閟ysau

7、dits表是相當(dāng)動(dòng)態(tài)變化的，必須監(jiān)控其設(shè)備的使用情況。用于審計(jì)的系統(tǒng)存儲(chǔ)過程sp-auditdatabase 設(shè)置數(shù)據(jù)庫(kù)級(jí)事件審計(jì)sp-auditobject 設(shè)置訪問表與視圖事件的審計(jì)sp-auditsproc 設(shè)置執(zhí)行系統(tǒng)存儲(chǔ)過程與觸發(fā)事件審計(jì)sp-auditlogin 設(shè)置指定用戶全部操作的審計(jì)sp-auditoption 設(shè)置審計(jì)選項(xiàng)sp-addauditrecord 增加用戶定義的審計(jì)記錄.審計(jì)數(shù)據(jù)管理記錄審計(jì)事件的表sysaudits增長(zhǎng)很快，對(duì)這些記錄信息必須做有效的管理，定期將審計(jì)記錄歸檔。歸檔可以由手工操作完成，也可以用系統(tǒng)threshold manager來完成。如果用th

8、reshold 那么必須將sysaudit表放在獨(dú)自的段上?，F(xiàn)提供幾種方法處理審計(jì)記錄信息，用戶可根據(jù)自己系統(tǒng)需求選擇其中之一。將審計(jì)記錄拷貝到檔案表中存放或直接將數(shù)據(jù)存放外存介質(zhì)。截?cái)鄐ysandits表，不保存審計(jì)記錄。將檔案表中數(shù)據(jù)存放于外存介質(zhì)。審計(jì)記錄表sysaudits溢出，會(huì)導(dǎo)致以下的問題審計(jì)處理過程會(huì)死掉當(dāng)前內(nèi)存審計(jì)隊(duì)列的數(shù)據(jù)將丟失用戶程序向內(nèi)存審計(jì)隊(duì)列發(fā)送數(shù)據(jù)時(shí)被殺掉取消審計(jì)系統(tǒng)功能sp-auditoption enable auditing，off停止審計(jì)系統(tǒng)工作之后，刪除sybsecurity 庫(kù)drop database sybsearuity.實(shí)例演示（sql 200

9、8）創(chuàng)建創(chuàng)建SQL ServerSQL Server審計(jì)審計(jì)第一步你應(yīng)該在SQL Server 2008的一個(gè)實(shí)例上創(chuàng)建審計(jì)，這樣就能創(chuàng)建一個(gè)SQL Server審計(jì)。審計(jì)就是為與數(shù)據(jù)庫(kù)引擎相關(guān)的具體事件集合配置的安全對(duì)象。你可以在SQL Server 2008里的一個(gè)實(shí)例上創(chuàng)建多個(gè)審計(jì)。在創(chuàng)建審計(jì)時(shí)，你必須給它指定一個(gè)名稱和事件輸出的目標(biāo)位置。目標(biāo)文件可以是二進(jìn)制的文件、Windows Security日志或Windows Application日志。你還可以給審計(jì)對(duì)象指定一個(gè)或更多個(gè)可選參數(shù)。你可以用CREATE SERVER AUDIT語句，如下所示：.注意，你必須在主數(shù)據(jù)庫(kù)中創(chuàng)建一個(gè)審

10、計(jì)。由于審計(jì)是和SQL Server實(shí)例相聯(lián)系的，因此你不能在用戶數(shù)據(jù)庫(kù)中創(chuàng)建。第一行的CREATE SERVER AUDIT語句僅規(guī)定審計(jì)名稱（如SrvAudit）。第二行的TO 子句確定事件輸出時(shí)的目標(biāo)位置。例如，我想將輸出結(jié)果保存在文件中，所以我必須指定TO FILE并規(guī)定 值。注意這只是一個(gè)路徑名。SQL Server將自動(dòng)命名輸出文件，如下所示：在上面的例子中，TO FILE語句還包括了MAXSIZE參數(shù)，MAXSIZE參數(shù)將文件大小限制為5 MB。該參數(shù)是TO FILE子句可選參數(shù)之一。如果你將審計(jì)數(shù)據(jù)遷到Application日志或 Security 日志，你就只需要指定日志名選

11、項(xiàng)，示例如下：.就像你看到的一樣，TO FILE子句已經(jīng)被TO APPLICATION_LOG子句所替代并且還沒有另外規(guī)定其他的參數(shù)。最后一行在CREATE SERVER AUDIT 語句中的就是一個(gè) WITH子句。該子句支持很多個(gè)選項(xiàng)，限制了創(chuàng)建審計(jì)的方法。在這種情況下，我使用的是QUEUE_DELAY參數(shù)并將它的值設(shè)為3000。這個(gè)參數(shù)指定了在創(chuàng)建審計(jì)之前要耗費(fèi)的毫秒數(shù)并且。默認(rèn)數(shù)字為 1000 毫秒（即1秒）。.創(chuàng)建服務(wù)器審計(jì)規(guī)范創(chuàng)建服務(wù)器審計(jì)規(guī)范你創(chuàng)建SQL Server審計(jì)之后，必須創(chuàng)建一個(gè)服務(wù)器審計(jì)規(guī)范或者是一個(gè)數(shù)據(jù)庫(kù)審計(jì)規(guī)范或者是其中的每個(gè)。一個(gè)服務(wù)器審計(jì)規(guī)范就是和具體的SQL

12、Server審計(jì)相關(guān)的一個(gè)或多個(gè)服務(wù)審計(jì)?；顒?dòng)組就數(shù)據(jù)庫(kù)引擎暴露出來的一組相關(guān)的事件，例如，我們?cè)谶M(jìn)行安全審計(jì)操作時(shí)，SERVER_OPERATION_GROUP行動(dòng)組就出現(xiàn)了，如當(dāng)用戶在改變服務(wù)器設(shè)置時(shí)。你可以在每個(gè)審計(jì)上只創(chuàng)建一個(gè)服務(wù)器審計(jì)。但是，你可以對(duì)審計(jì)規(guī)范增加多個(gè)活動(dòng)組。創(chuàng)建一個(gè)服務(wù)器審計(jì)規(guī)范，你需要在主數(shù)據(jù)庫(kù)上運(yùn)行CREATE SERVER AUDIT SPECIFICATION，如下所示：.第一行CREATE SERVER AUDIT SPECIFICATION語句規(guī)定了審計(jì)規(guī)范名（SrvAuditSpec）。第二行FOR SERVER AUDIT子句指定了與審計(jì)規(guī)范相關(guān)的審計(jì)

13、名（SrvAudit）。第三行和第四行為 增加了規(guī)范活動(dòng)組的ADD 子句。在這種情況下，我增加了SUCCESSFUL_LOGIN_GROUP和FAILED_LOGIN_GROUP活動(dòng)組，跟蹤試圖登錄到SQL Server實(shí)例的安全主管。最后一行 CREATE SERVER AUDIT SPECIFICATION語句為WITH 子句。WITH 子句包括激活規(guī)范的在STATE參數(shù)。默認(rèn)值不能激活審計(jì)規(guī)范（STATE=OFF）。如果你在創(chuàng)建時(shí)不能激活審計(jì)規(guī)范，你就必須過段時(shí)間再激活，在你能夠?qū)徲?jì)活動(dòng)組之前進(jìn)行激活。.創(chuàng)建數(shù)據(jù)庫(kù)審計(jì)規(guī)范和服務(wù)器的審計(jì)規(guī)范不一樣，數(shù)據(jù)庫(kù)審計(jì)規(guī)范是具體針對(duì)數(shù)據(jù)庫(kù)的。但是它

14、和服務(wù)器審計(jì)規(guī)范相同的是，你可以增加審計(jì)活動(dòng)組，但是它們僅僅針對(duì)數(shù)據(jù)庫(kù)。此外，你可以給規(guī)范增加單獨(dú)的審計(jì)活動(dòng)。審計(jì)活動(dòng)就是數(shù)據(jù)庫(kù)具體的活動(dòng)，如刪除數(shù)據(jù)或運(yùn)行存儲(chǔ)程序。創(chuàng)建數(shù)據(jù)庫(kù)審計(jì)規(guī)范，在目標(biāo)數(shù)據(jù)庫(kù)中運(yùn)行CREATE DATABASE AUDIT SPECIFICATION語句，例如.第一行CREATE DATABASE AUDIT SPECIFICATION語句指定了規(guī)范（DbAuditSpec），第二行為FOR SERVER AUDIT 子句，用它可以判斷和規(guī)范相關(guān)的審計(jì)。接下來，我增加了一個(gè)審計(jì)活動(dòng)組，在這里就是 DATABASE_OBJECT_CHANGE_GROUP。在對(duì)Advent

15、ureWorks2008 數(shù)據(jù)庫(kù)執(zhí)行CREATE、ALTER 或DROP語句時(shí)就會(huì)出現(xiàn)這個(gè)活動(dòng)組。第二個(gè)ADD 子句制定了單獨(dú)審計(jì)活動(dòng)，而不是一個(gè)活動(dòng)組。這樣，審計(jì)活動(dòng)就是SELECT、INSERT、UPDATE和 DELETE。但是你要注意，下面一行包含一個(gè)ON子句指定的HumanResources schema和dbo安全主管。結(jié)果，只要dbo在HumanResources schema中查詢一個(gè)對(duì)象或在 AdventureWorks2008數(shù)據(jù)庫(kù)中插入、更新或刪除，SQL Server就會(huì)將事件記入日志。最后，CREATE DATABASE AUDIT SPECIFICATION語句中的最后一個(gè)子句就是WITH子句。跟上次一樣，你可以在操作完之后就激活審計(jì)規(guī)范或者過一段時(shí)間之后再進(jìn)行激活。.激活激活SQL ServerSQL Server審計(jì)審計(jì)和我們剛剛回顧的審計(jì)規(guī)范一樣，CREATE SERVER AUDIT 語句中的WITH子句并不支持STATE參數(shù)。也就是說你必須在單獨(dú)的一步中激活審計(jì)，如下面的語句中所示：.查看審計(jì)數(shù)據(jù)查看審計(jì)數(shù)據(jù)你可以在 SQL Server Management Studio中用Log 查看審計(jì)數(shù)據(jù)。另外如果你創(chuàng)建SQL Server審計(jì)將事件保存到Application日志或者Securi