mb實(shí)施Oracle數(shù)據(jù)庫安全性_第1頁
mb實(shí)施Oracle數(shù)據(jù)庫安全性_第2頁
mb實(shí)施Oracle數(shù)據(jù)庫安全性_第3頁
mb實(shí)施Oracle數(shù)據(jù)庫安全性_第4頁
mb實(shí)施Oracle數(shù)據(jù)庫安全性_第5頁
已閱讀5頁,還剩21頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

課程目標(biāo)學(xué)完本課后,應(yīng)能完成以下工作:說明由DBA

負(fù)責(zé)的應(yīng)用最少權(quán)限原則啟用標(biāo)準(zhǔn)數(shù)據(jù)庫審計(jì)指定審計(jì)選項(xiàng)復(fù)查審計(jì)信息審計(jì)線索業(yè)界安全性要求法律:Sarbanes-Oxley

法案(SOX)安全信息流通和責(zé)任法案

(HIPAA)加利福尼亞州違約法英國數(shù)據(jù)保

案審計(jì)要求最少權(quán)限審計(jì)基于值FGADBA安全性更新責(zé)任分離必須信任具有DBA

權(quán)限的用戶。請(qǐng)考慮以下兩個(gè)因素:信任審計(jì)線索保護(hù)受信任的職位擔(dān)任必須共同分擔(dān)DBA

責(zé)任一定不能共享帳戶DBA

和系統(tǒng)管理員必須由不同分離操作員與DBA

的責(zé)任數(shù)據(jù)庫安全性性。安全性包括以下幾個(gè)安全系統(tǒng)可確保所包含數(shù)據(jù)的方面:限制對(duì)數(shù)據(jù)和服務(wù)的驗(yàn)證用戶監(jiān)視可疑活動(dòng)最少權(quán)限原則只在計(jì)算機(jī)上安裝所需只在計(jì)算機(jī)上激活所需服務(wù)只允許需要

的用戶

操作系統(tǒng)和數(shù)據(jù)庫限制對(duì)root

或管理員帳戶的限制對(duì)SYSDBA

和SYSOPER

帳戶的只允許用戶

完成工作所需的數(shù)據(jù)庫對(duì)象最少權(quán)限審計(jì)基于值FGADBA安全性更新REVOKE

EXECUTE

ON

UTL_SMTP,

UTL_TCP,

UTL_HTTP,UTL_FILE

FROM

PUBLIC;O7_DICTIONARY_ACCESSIBILITY=FALSEREMOTE_OS_AUTHENT=FALSE應(yīng)用最少權(quán)限原則保護(hù)數(shù)據(jù)字典:從PUBLIC

撤消不必要的權(quán)限:限制用戶可

的限制具有管理權(quán)限的用戶限制

數(shù)據(jù)庫驗(yàn)證:監(jiān)視可疑活動(dòng)監(jiān)視或?qū)徲?jì)是安全過程的一部分。請(qǐng)復(fù)查下列各項(xiàng):強(qiáng)制性審計(jì)標(biāo)準(zhǔn)數(shù)據(jù)庫審計(jì)基于值審計(jì)細(xì)粒度審計(jì)(FGA)DBA

審計(jì)審計(jì)基于值FGADBA安全性更新標(biāo)準(zhǔn)數(shù)據(jù)庫審計(jì)審計(jì)線索參數(shù)文件指定審計(jì)選項(xiàng)生成審計(jì)線索DBA用戶執(zhí)行命令數(shù)據(jù)庫操作系統(tǒng)或XML

審計(jì)線索審計(jì)選項(xiàng)服務(wù)器進(jìn)程123啟用數(shù)據(jù)庫審計(jì)復(fù)查審計(jì)信息審計(jì)線索4啟用審計(jì)請(qǐng)?jiān)谛薷撵o態(tài)初始化參數(shù)之后重新啟動(dòng)數(shù)據(jù)庫ALTER

SYSTEM

SET

audit_trail=“XML”

SCOPE=SPFILE;審計(jì)線索請(qǐng)使用AUDIT_TRAIL

啟用數(shù)據(jù)庫審計(jì)DBA_AUDIT_TRAILDBA_FGA_AUDIT_TRAILMON_AUDIT_TRAILEXTENDED_TIMESTAMP,PROXY_SESSIONID,

GLOBAL_UID,INSTANCE_NUMBER,

OS_PROCESS,TRANSACTIONID,

SCN,

SQL_BIND,

SQL_TEXTSTATEMENTID,ENTRYIDAUDIT_TRAIL=DB,EXTENDEDEnterprise

Manager

審計(jì)頁指定審計(jì)選項(xiàng)審計(jì)SQL

語句:審計(jì)系統(tǒng)權(quán)限(非重點(diǎn)和重點(diǎn)):審計(jì)對(duì)象權(quán)限(非重點(diǎn)和重點(diǎn)):AUDIT

select

any

table,

create

any

trigger;AUDIT

select

any

table

BY

hr

BY

SESSION;AUDIT

table;AUDIT

ALL

on

hr.employees;AUDIT

UPDATE,DELETE

on

hr.employees

BY

ACCESS;使用和審計(jì)信息請(qǐng)?jiān)诓皇褂脤徲?jì)選項(xiàng)時(shí)禁用審計(jì)選項(xiàng)基于值審計(jì)用戶進(jìn)行了更改觸發(fā)器觸發(fā)觸發(fā)器創(chuàng)建了審計(jì)記錄在審計(jì)線索表中了審計(jì)記錄用戶進(jìn)行了更改基于值FGADBA安全性更新細(xì)粒度審計(jì)根據(jù)內(nèi)容監(jiān)視數(shù)據(jù)審計(jì)SELECT、INSERT、UPDATE、DELETE

和MERGE可

到表或視圖,也可

到一列或多列可能會(huì)觸發(fā)過程使用DBMS_FGA

程序包進(jìn)行管理employees策略:AUDIT_EMPS_SALARYSELECT

name,

salaryFROM

employeesWHEREdepartment_id

=

10;FGADBA安全性更新FGA

策略定義:審計(jì)標(biāo)準(zhǔn)審計(jì)操作使用DBMS_FGA.ADD_POLICY創(chuàng)建的SECURE.LOG_EMPS_SALARYemployeesdbms_fga.add_policy

(=>

'HR',=>

'EMPLOYEES',object_schemaobject_namepolicy_name

=>'audit_emps_salary',audit_condition=>

'department_id=10',=>

'SALARY',audit_columnhandler_schemahandler_moduleenable=>=>=>statement_types

=>'secure','log_emps_salary',TRUE,'SELECT'

);SELECT

name,

job_idFROM

employees;SELECT

name,

salaryFROM

employeesWHEREdepartment_id

=

10;審計(jì)的

DML

語句:注意事項(xiàng)如果滿足

FGA

謂詞并且

了相關(guān)列,則會(huì)審計(jì)記錄不管指定列是什么,都會(huì)審計(jì)DELETE

語句會(huì)審計(jì)MERGE

語句以及基礎(chǔ)INSERT

或UPDATE

生成語句UPDATE

hr.employeesSET

salary

=

10WHERE

commission_pct

=

90;UPDATE

hr.employeesSET

salary

=

10WHERE

employee_id

=

111;FGA

準(zhǔn)則要審計(jì)所有語句,請(qǐng)使用null

條件策略名必須唯一創(chuàng)建策略時(shí),審計(jì)的表或視圖必須已經(jīng)存在如果審計(jì)條件語法無效,則

審計(jì)對(duì)象時(shí)會(huì)發(fā)生ORA-28112

錯(cuò)誤如果表中不存在審計(jì)的列,則不會(huì)審計(jì)任何行如果事件處理程序不存在,則不會(huì)返回任何錯(cuò)誤但仍會(huì)創(chuàng)建審計(jì)記錄DBA

審計(jì)具有SYSDBA

或SYSOPER

權(quán)限的用戶可在關(guān)閉數(shù)據(jù)庫時(shí)進(jìn)行連接。審計(jì)線索必須

在數(shù)據(jù)庫外部總是審計(jì)以

SYSDBA

SYSOPER

進(jìn)行的連接可使用audit_sys_operations

啟用SYSDBA或SYSOPER

操作的附加審計(jì)可使用audit_file_dest

控制審計(jì)線索DBA安全性更新審計(jì)線索應(yīng)該審計(jì)線索。遵循下列最佳方案準(zhǔn)則:舊記錄問題復(fù)查和避免出現(xiàn)避免記錄丟失安全更新Oracle

在以下的Oracle

TechnologyNetwork

Web

站點(diǎn)上

了安全警報(bào):htt

/technology/deploy/security/alerts.htmOracle

數(shù)據(jù)庫管理員和開發(fā)

通過單擊“Subscribe

to

Security

Alerts

Here”后可通過電子郵件得到有關(guān)嚴(yán)重安全警報(bào)進(jìn)行預(yù)訂。安全性更新應(yīng)用安全補(bǔ)丁程序使用關(guān)鍵補(bǔ)丁程序更新進(jìn)程應(yīng)用所有安全補(bǔ)丁程序和解決方法與

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論