版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
课程目标学完本课后,应能完成以下工作:说明由DBA
负责的应用最少权限原则启用标准数据库审计指定审计选项复查审计信息审计线索业界安全性要求法律:Sarbanes-Oxley
法案(SOX)安全信息流通和责任法案
(HIPAA)加利福尼亚州违约法英国数据保
案审计要求最少权限审计基于值FGADBA安全性更新责任分离必须信任具有DBA
权限的用户。请考虑以下两个因素:信任审计线索保护受信任的职位担任必须共同分担DBA
责任一定不能共享帐户DBA
和系统管理员必须由不同分离操作员与DBA
的责任数据库安全性性。安全性包括以下几个安全系统可确保所包含数据的方面:限制对数据和服务的验证用户监视可疑活动最少权限原则只在计算机上安装所需只在计算机上激活所需服务只允许需要
的用户
操作系统和数据库限制对root
或管理员帐户的限制对SYSDBA
和SYSOPER
帐户的只允许用户
完成工作所需的数据库对象最少权限审计基于值FGADBA安全性更新REVOKE
EXECUTE
ON
UTL_SMTP,
UTL_TCP,
UTL_HTTP,UTL_FILE
FROM
PUBLIC;O7_DICTIONARY_ACCESSIBILITY=FALSEREMOTE_OS_AUTHENT=FALSE应用最少权限原则保护数据字典:从PUBLIC
撤消不必要的权限:限制用户可
的限制具有管理权限的用户限制
数据库验证:监视可疑活动监视或审计是安全过程的一部分。请复查下列各项:强制性审计标准数据库审计基于值审计细粒度审计(FGA)DBA
审计审计基于值FGADBA安全性更新标准数据库审计审计线索参数文件指定审计选项生成审计线索DBA用户执行命令数据库操作系统或XML
审计线索审计选项服务器进程123启用数据库审计复查审计信息审计线索4启用审计请在修改静态初始化参数之后重新启动数据库ALTER
SYSTEM
SET
audit_trail=“XML”
SCOPE=SPFILE;审计线索请使用AUDIT_TRAIL
启用数据库审计DBA_AUDIT_TRAILDBA_FGA_AUDIT_TRAILMON_AUDIT_TRAILEXTENDED_TIMESTAMP,PROXY_SESSIONID,
GLOBAL_UID,INSTANCE_NUMBER,
OS_PROCESS,TRANSACTIONID,
SCN,
SQL_BIND,
SQL_TEXTSTATEMENTID,ENTRYIDAUDIT_TRAIL=DB,EXTENDEDEnterprise
Manager
审计页指定审计选项审计SQL
语句:审计系统权限(非重点和重点):审计对象权限(非重点和重点):AUDIT
select
any
table,
create
any
trigger;AUDIT
select
any
table
BY
hr
BY
SESSION;AUDIT
table;AUDIT
ALL
on
hr.employees;AUDIT
UPDATE,DELETE
on
hr.employees
BY
ACCESS;使用和审计信息请在不使用审计选项时禁用审计选项基于值审计用户进行了更改触发器触发触发器创建了审计记录在审计线索表中了审计记录用户进行了更改基于值FGADBA安全性更新细粒度审计根据内容监视数据审计SELECT、INSERT、UPDATE、DELETE
和MERGE可
到表或视图,也可
到一列或多列可能会触发过程使用DBMS_FGA
程序包进行管理employees策略:AUDIT_EMPS_SALARYSELECT
name,
salaryFROM
employeesWHEREdepartment_id
=
10;FGADBA安全性更新FGA
策略定义:审计标准审计操作使用DBMS_FGA.ADD_POLICY创建的SECURE.LOG_EMPS_SALARYemployeesdbms_fga.add_policy
(=>
'HR',=>
'EMPLOYEES',object_schemaobject_namepolicy_name
=>'audit_emps_salary',audit_condition=>
'department_id=10',=>
'SALARY',audit_columnhandler_schemahandler_moduleenable=>=>=>statement_types
=>'secure','log_emps_salary',TRUE,'SELECT'
);SELECT
name,
job_idFROM
employees;SELECT
name,
salaryFROM
employeesWHEREdepartment_id
=
10;审计的
DML
语句:注意事项如果满足
FGA
谓词并且
了相关列,则会审计记录不管指定列是什么,都会审计DELETE
语句会审计MERGE
语句以及基础INSERT
或UPDATE
生成语句UPDATE
hr.employeesSET
salary
=
10WHERE
commission_pct
=
90;UPDATE
hr.employeesSET
salary
=
10WHERE
employee_id
=
111;FGA
准则要审计所有语句,请使用null
条件策略名必须唯一创建策略时,审计的表或视图必须已经存在如果审计条件语法无效,则
审计对象时会发生ORA-28112
错误如果表中不存在审计的列,则不会审计任何行如果事件处理程序不存在,则不会返回任何错误但仍会创建审计记录DBA
审计具有SYSDBA
或SYSOPER
权限的用户可在关闭数据库时进行连接。审计线索必须
在数据库外部总是审计以
SYSDBA
或
SYSOPER
进行的连接可使用audit_sys_operations
启用SYSDBA或SYSOPER
操作的附加审计可使用audit_file_dest
控制审计线索DBA安全性更新审计线索应该审计线索。遵循下列最佳方案准则:旧记录问题复查和避免出现避免记录丢失安全更新Oracle
在以下的Oracle
TechnologyNetwork
Web
站点上
了安全警报:htt
/technology/deploy/security/alerts.htmOracle
数据库管理员和开发
通过单击“Subscribe
to
Security
Alerts
Here”后可通过电子邮件得到有关严重安全警报进行预订。安全性更新应用安全补丁程序使用关键补丁程序更新进程应用所有安全补丁程序和解决方法与
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论