Oracle数据库审计功能的安全审计获取技术
《数据采集与审计》
课程论文
题目: Oracle数据库审计功能的安全审计获取技术
姓名: ** 学号: *******
院(系):
专业:
南京审计学院20**年 ** 月 ** 日
Oracle数据库审计功能的安全审计获取技术
******** **1班 **
【摘要】本文重点讲述了Oracle数据库在安全审计数据中的获取技术实际应用。在当今信息系统应用及其广泛的大环境下,信息系统审计也需要更强大的审计软件来实现数据审计功能,本文基于Oracle数据库详细讲解了数据审计功能和它的获取技术关键。
【关键词】Oracle技术;安全审计;审计数据的获取
Oracle Audit Function of The Security Audit Access to
Technology
Abstract:This paper focuses on the Oracle database in security audit data access technology in practical application. And widely used in today's information system environment, information system audit also need more powerful audit software to implement the data audit, this article is based on Oracle database in detail the function of data auditing and its access to key technology.
Key words: Oracle RDBMS Security audit audit data acquisition
引言
随着全球信息化脚步的逐步加快,信息系统的安全越来越重要。国际上第一个有关信息技术安全性评价的标准TCSEC(Trusted Computing StandardsEvaluating Criteria),于上世纪 80 年代诞生于美国,它是由美国国防部制定的《可靠计算机标准评估准则》,其中给出了一套标准来定义满足安全等级所需的安全功能及其保证的程度。作为其中一种安全保障机制的审计,在最早的TCSEC中已经有了确定的要求。信息系统审计是记录信息系统中用户活动行为的一种机制,它不但能够识别谁访问了系统,并能记录系统被怎样使用,从而为安全事件的事后处理的提供依据。
审计功能的要求是在TCSEC中制订的,安全审计作为新的概念,专门指由专业审计师根据相关法律法规或财产所有人的委托及管理当局的授权,对计算机网络环境下的有关活动或行为进行系统、独立的检查验证,并做出相应的评价。安全审计有四个基本要素,包括安全漏洞,控制目标,控制措施与控制测试。安全漏洞是系统中容易被干扰或者破坏的地方,是它的安全薄弱地区;控制目标是企业依据实际的计算机应用结合本公司的实际情况做出的安全控制要求;而控制测试是企业对所有的安全控制措施与预期的安全标准进行对比,对各项控制措施的存在性,执行力度,漏洞防范有效性的评价,得出企业的安全措施可依赖程度。在这里安全审计作为专门的审计项目,审计人员必须要有过硬的专业职能与技术。
安全审计是大审计的一部分,在计算机网络环境安全对国家的安危和经济体的利益影响越来越深的大环境下,国家、社会、企业三位一体的去安全审计机制必须尽快建立起来。而在国家的安全审计机关更加应当做出行动,首先基于法律法规针对广域网的企业安全实施年审制,其次应该发展社会中介机构,从而对计算机网络的安全提供审计服务,与律师事务所与会计师事务所一样,能够对企业计算机网络系统安全作出评价,以面向社会。在企业管理当局对网络系统进行评估时,能够从从中介机构处获得对安全性的检查结论和最终评价。不仅如此,财政和财务审计也不与网络安全息息相关,安全专家们对网络的安全机制作出评价,从而为委托人对相应的信息处理系统披露的信息真实性与
可靠性的可靠判断提供依据。
而安全审计的第一步是审计数据的采集,可以设定为审计数据库中的数据和操作系统的日志、软件登录日志等等。在Oracle数据库中,首先,对数据库的访问行为的审计,目标是对用户对数据库操作的相关信息进行记录,使得在必要时能够查询和对操作记录进行分析和判断,在数据访问操作时,审计机制记录下操作的时间地点人物与操作的种类和成功与否,然后对审计数据分析从而发掘出用户的正常行为模式,判断用户行为合法性,只要将对数据系统的数据访问操作的审计记录表示为六种要素信息,即用户名(人,操作行为发出者,即数据库使用者),操作时间(时间,操作的具体发生时间),IP(地点,实际操作发生地点),操作对象(对象名,数据操作的对象),操作行为(操作类型,如select或update等)与返回码(操作结果,成功或失败)。
由于在大部分的基于Oracle数据库的应用系统中都有依据自身系统功能设计实现对自身系统的用户管理,从而能够实现应用系统级的用户管理与认证。审计六要素信息的操作时间,操作行为,操作对象,返回码都能在用户在应用系统中对数据库进行操作时从Oracle数据库的审计记录里获得。所以想要得到满足审计需求的审计数据应当由数据库审计与应用系统审计这两者的记录合计获得。数据审计系统的目标就是能够对需要审计的数据部署审计,当被审计数据发生操作时,实现对操作者、操作时间、操作对象和操作行为信息的自动记录,并提供这些信息的查询、统计等功能。另外对有不同安全要求的数据对象,又分为记录操作数据和不记录操作数据两种审计级别。
Oracle数据库自身的安全审计机制能够审计在数据库中发生的所有操作,产生的审计记录能够保存到操作系统的审计跟踪中。但是在实际使用过程中,使用的操作系统能否支持则是能不能把Oracle数据库的审计记录写到操作系统的审计跟踪中的决定因素。审计数据的产生必须要在数据库开启审计功能之后,在默认情况下,Oracle数据库的安全审计功能是关闭的,因为打开审计功能后,它会对系统得空间和性能两方面产生影响,所以想要从Oracle数据库中获得审计记录,必须首先打开数据库审计功能。而想要激活数据库上的审计功能,数据库的初始化参数文件里必须包括audit_trail参数。参数可取值为:NONE(即禁用审计功能)、DB(即激活审计功能并将审计记录写到SYS.AUDS 表中)、OS(即即激活审计功能并将审计记录写到操作系统的审计跟踪中,具体位置视具体情况而定)。通过对audit_trail参数的设置,Oracle数据库审计功能就能够开启,就能够对所有发生在数据库内部的操作行为记录下来,并对这些记录进行深入研究分
析,获取重要的结论。在下面,我们将对应用系统审计与数据库审计设计和实践进行阐述分析。
一、数据库审计
数据库审计能够在发生对数据库的操作时,捕捉并记录操作时间、操作对象和操作行为类型的信息。在Oracle 数据库中通过系统审计机制能够记录对数据库操作时间、操作对象名称和行为类型。审计功能能对数据库中发生的所有操作进行审计,审计记录包括操作时间、用户名、操作行为和操作对象等。通过提交审计语句能够开启对相应类型数据库操作的审计。因为 Oracle 系数据库的审计范围很广,并且在审计类别上有重叠,所以对审计对象分类,从而获取代表性审计对象给应用系统是有必要的。
由于在数据修改操作进行审计时,Oracle数据库的审计功能没有记录修改前后的数值的功能,这类操作的审计可以由触发器实现,作为对系统审计的补充。大部分关系数据库系统都支持触发器的使用,它在满足执行条件时由系统自动调用而执行。通过对需要审计的数据表添加行触发器,在触发器体内写下记录操作要素的代码,就能实现对数据修改操作的审计。所以数据库审计能够通过Oracle 系统审计和编写审计触发器相结合加以实现,以便记录操作时间、操作类型与操作对象三要素。
二、应用系统审计
审计信息要素中的用户名不能通过数据库审计获得。应用系统审计是审计系统在应用系统中的实施部分,它能够记录应用系统的用户名。由于目前应用系统多使用B/S构架或C/S构架,因此应用审计层需要分别在使用这两类构架的应用系统上加以实现。在C/S 构架的应用系统中,用户通过应用系统客户端连接数据库,由客户端可以获取用户的用户名信息及地址信息。在B/S构架的应用系统中,用户在浏览器对话期间,应用系统可以根据用户的会话信息得到用户名。应用系统收到操作请求时,通过向数据库写入操作者信息即可完成应用审计层对操作者信息的记录。应用系统审计层不仅能记录用户名,还会记录操作时间,这样能够确定帮助确定操作者与操作行为的对应关系。
三、数据库审计与应用系统审计的数据关联
在数据库审计和应用系统审计分别实现了对审计要素中不同内容的记录后,为了形成完整的包含审计六要素的审计记录,还必须将数据库审计层记录的数据操作信息与应用审计层记录的操作者信息进行关联,使系统能够根据数据操作信息得到执行此操作的唯一的操作者信息。
数据库审计和应用系统审计记录的内容中都包含 IP 和操作时间信息,如果能通过这些共同信息的关联实现两个审计层记录的信息一一对应,那么数据库审计与应用系统审计无需额外增加记录的内容,将是一种非常经济的方法。然而,这种方法并不能满足对应关系唯一性的要求。例如,当同一时间有两个C/S类用户在同一主机上登录应用系统客户端进行数据操作时,由于这两个用户的 IP 和操作时间都相同,因此无法根据数据操作信息推出执行该操作的唯一的用户信息。而对于B/S类用户,由于数据库审计层只能记录应用服务器IP而无法记录用户IP,将两个审计层记录的信息对应起来更加困难。因此,为了将数据库审计与应用审计系统记录的信息进行关联,还必须寻找可以标识每次数据操作、并可同时被数据库和应用系统记录的参数,会话标识符可以满足上述要求。
结论
数据审计是信息系统审计的一个环节,除此之外还有用户操作审计、操作系统审计、网络安全审计等等,它们共同构成信息系统的审计体系。
随着IT技术的发展和审计环境的变化,信息系统审计的硬件软件条件也在不断地改进。文中使用的Oracle数据库的审计功能比较强大,安全审计的要求基本实现,我们在审计过程中所需要的数据库获取技术能够满足审计需求。
参考文献:
[1] Kevin Loney,Mariene Thriault李纪松,周保太,等译.数据库管理员手册[M].北京:机械工业出版社,2000.