mb实施Oracle数据库安全性

课程目标学完本课后，应能完成以下工作：说明由DBA

负责的应用最少权限原则启用标准数据库审计指定审计选项复查审计信息审计线索业界安全性要求法律：Sarbanes-Oxley

法案(SOX)安全信息流通和责任法案

(HIPAA)加利福尼亚州违约法英国数据保

案审计要求最少权限审计基于值FGADBA安全性更新责任分离必须信任具有DBA

权限的用户。请考虑以下两个因素：信任审计线索保护受信任的职位担任必须共同分担DBA

责任一定不能共享帐户DBA

和系统管理员必须由不同分离操作员与DBA

的责任数据库安全性性。安全性包括以下几个安全系统可确保所包含数据的方面：限制对数据和服务的验证用户监视可疑活动最少权限原则只在计算机上安装所需只在计算机上激活所需服务只允许需要

的用户

操作系统和数据库限制对root

或管理员帐户的限制对SYSDBA

和SYSOPER

帐户的只允许用户

完成工作所需的数据库对象最少权限审计基于值FGADBA安全性更新REVOKE

EXECUTE

ON

UTL_SMTP,

UTL_TCP,

UTL_HTTP,UTL_FILE

FROM

PUBLIC;O7_DICTIONARY_ACCESSIBILITY=FALSEREMOTE_OS_AUTHENT=FALSE应用最少权限原则保护数据字典：从PUBLIC

撤消不必要的权限：限制用户可

的限制具有管理权限的用户限制

数据库验证：监视可疑活动监视或审计是安全过程的一部分。请复查下列各项：强制性审计标准数据库审计基于值审计细粒度审计(FGA)DBA

审计审计基于值FGADBA安全性更新标准数据库审计审计线索参数文件指定审计选项生成审计线索DBA用户执行命令数据库操作系统或XML

审计线索审计选项服务器进程123启用数据库审计复查审计信息审计线索4启用审计请在修改静态初始化参数之后重新启动数据库ALTER

SYSTEM

SET

audit_trail=“XML”

SCOPE=SPFILE;审计线索请使用AUDIT_TRAIL

启用数据库审计DBA_AUDIT_TRAILDBA_FGA_AUDIT_TRAILMON_AUDIT_TRAILEXTENDED_TIMESTAMP,PROXY_SESSIONID,

GLOBAL_UID,INSTANCE_NUMBER,

OS_PROCESS,TRANSACTIONID,

SCN,

SQL_BIND,

SQL_TEXTSTATEMENTID,ENTRYIDAUDIT_TRAIL=DB,EXTENDEDEnterprise

Manager

审计页指定审计选项审计SQL

语句：审计系统权限（非重点和重点）：审计对象权限（非重点和重点）：AUDIT

select

any

table,

create

any

trigger;AUDIT

select

any

table

BY

hr

BY

SESSION;AUDIT

table;AUDIT

ALL

on

hr.employees;AUDIT

UPDATE,DELETE

on

hr.employees

BY

ACCESS;使用和审计信息请在不使用审计选项时禁用审计选项基于值审计用户进行了更改触发器触发触发器创建了审计记录在审计线索表中了审计记录用户进行了更改基于值FGADBA安全性更新细粒度审计根据内容监视数据审计SELECT、INSERT、UPDATE、DELETE

和MERGE可

到表或视图，也可

到一列或多列可能会触发过程使用DBMS_FGA

程序包进行管理employees策略：AUDIT_EMPS_SALARYSELECT

name,

salaryFROM

employeesWHEREdepartment_id

=

10;FGADBA安全性更新FGA

策略定义：审计标准审计操作使用DBMS_FGA.ADD_POLICY创建的SECURE.LOG_EMPS_SALARYemployeesdbms_fga.add_policy

(=>

'HR',=>

'EMPLOYEES',object_schemaobject_namepolicy_name

=>'audit_emps_salary',audit_condition=>

'department_id=10',=>

'SALARY',audit_columnhandler_schemahandler_moduleenable=>=>=>statement_types

=>'secure','log_emps_salary',TRUE,'SELECT'

);SELECT

name,

job_idFROM

employees;SELECT

name,

salaryFROM

employeesWHEREdepartment_id

=

10;审计的

DML

语句：注意事项如果满足

FGA

谓词并且

了相关列，则会审计记录不管指定列是什么，都会审计DELETE

语句会审计MERGE

语句以及基础INSERT

或UPDATE

生成语句UPDATE

hr.employeesSET

salary

=

10WHERE

commission_pct

=

90;UPDATE

hr.employeesSET

salary

=

10WHERE

employee_id

=

111;FGA

准则要审计所有语句，请使用null

条件策略名必须唯一创建策略时，审计的表或视图必须已经存在如果审计条件语法无效，则

审计对象时会发生ORA-28112

错误如果表中不存在审计的列，则不会审计任何行如果事件处理程序不存在，则不会返回任何错误但仍会创建审计记录DBA

审计具有SYSDBA

或SYSOPER

权限的用户可在关闭数据库时进行连接。审计线索必须

在数据库外部总是审计以

SYSDBA

或

SYSOPER

进行的连接可使用audit_sys_operations

启用SYSDBA或SYSOPER

操作的附加审计可使用audit_file_dest

控制审计线索DBA安全性更新审计线索应该审计线索。遵循下列最佳方案准则：旧记录问题复查和避免出现避免记录丢失安全更新Oracle

在以下的Oracle

TechnologyNetwork

Web

站点上

了安全警报：htt

/technology/deploy/security/alerts.htmOracle

数据库管理员和开发

通过单击“Subscribe

to

Security

Alerts

Here”后可通过电子邮件得到有关严重安全警报进行预订。安全性更新应用安全补丁程序使用关键补丁程序更新进程应用所有安全补丁程序和解决方法与