数据库审计

审计系统 简介 审计系统分为网络审计、数据库审计、综合审计。 网络审计针对于网络协议进行审计，如http、smtp、pop3、vnc、RDP、Rlogin、SSH、Telnet 等； 数据库审计专门用于数据库操作审计，详细记录用户操作数据库的操作，并支持回放；综合审计则将网络审计和数据库审计功能进行综合，进行综合审计。 网络审计的功能 网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审 计功能。从管理层面提供互联网的有效监督，预防、制止数据泄密。满足用户对互联网行为审计备案及安 全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。 贴近网监业务模式，提高网络破案成功率 系统功能依照公安网监的业务流程设置：从日常例行的网络行为巡察、到有目的地行为线索搜索； 从发现嫌疑人虚拟身份线索后进行的虚拟身份分析，到依据发现的行为或身份线索进行监视布控；从系统 实时监控网络行为并在策略条件满足时触发报警，到以布控策略组为单位查看布控告警结果等。上述功能 体现了网监的真实业务内涵，并且操作非常便利，能够帮助警员最大限度地利用网络线索来侦破疑难案件。 全面内容安全审计，满足所有合规性要求 系统支持从网页访问、email、文件下载到即时通讯等数十种主要网络应用协议的识别还原，帮助用户最大限度地不遗漏有潜在安全风险的网络行为

(1)用户标识和鉴别： 该方法由系统提供一定的方式让用户标识自己的名字或身份。每次用户要求进入系统时，由系统进行核对，通过鉴定后才能提供系统的使用权 (2)存取控制 通过用户权限定义和合法权检查确保只有合法权限的用户访问数据库，所有未授权的人员无法存取数据 (3)视图机制 为不同的用户定义视图，通过视图机制把要保密的数据对无权存取的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。 (4)审计 建立审计日志，把用户对数据库的所有操作自动记录下来放入审计日志中，DBA可以利用审计跟踪的信息，重现导致数据库现有状况的一系列事件，找出非法存取数据的人，时间和内容等。 (5)数据加密 对存储和传输的数据进行加密处理，从而使得不知道解密算法的人无法获知数据的内容。 来源： https://www.cnblogs.com/iQXQZX/p/12536453.html

1 ．什么是数据库的安全性？ 答：数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 2 ．数据库安全性和计算机系统的安全性有什么关系？ 答：安全性问题不是数据库系统所独有的，所有计算机系统都有这个问题。只是在数据库系统中大量数据集中存放，而且为许多最终用户直接共享，从而使安全性问题更为突出。 系统安全保护措施是否有效是数据库系统的主要指标之一。 数据库的安全性和计算机系统的安全性，包括操作系统、网络系统的安全性是紧密联系、相互支持的， 3 ．试述实现数据库安全性控制的常用方法和技术。 答：实现数据库安全性控制的常用方法和技术有： ( l ）用户标识和鉴别：该方法由系统提供一定的方式让用户标识自己的名字或身份。每次用户要求进入系统时，由系统进行核对，通过鉴定后才提供系统的使用权。 ( 2 ）存取控制：通过用户权限定义和合法权检查确保只有合法权限的用户访问数据库，所有未被授权的人员无法存取数据。例如CZ 级中的自主存取控制( DAC ) , Bl 级中的强制存取控制（MAC ）。 ( 3 ）视图机制：为不同的用户定义视图，通过视图机制把要保密的数据对无权存取的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。 ( 4 ）审计：建立审计日志，把用户对数据库的所有操作自动记录下来放入审计日志中，DBA 可以利用审计跟踪的信息

第1步：查看审计功能是否开启？ SQL> show parameter audit; NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ audit_file_dest string /u01/app/oracle/admin/ORCL/adump audit_sys_operations boolean FALSE audit_syslog_level string audit_trail string NONE audit_trail 的value值为NONE表示不开启； audit_trail 的value值为FALSE表示不开启； audit_trail 的value值为DB表示开启； audit_trail 的value值为TURE表示开启； audit_trail 的value值为OS表示审计记录写入一个操作系统文件（不是特别理解）； 第2步：开启审计功能 SQL> alter system set audit_sys_operations=TRUE scope=spfile;--审计管理用户(以sysdba/sysoper角色登陆) SQL> alter system set audit_trail=db,extended

一定要注意：不要直接删除adump目录，否则，你会sqlplus不了数据库。 1.进入审计日志目录： cd $ORACLE_BASE/admin/$ORACLE_SID/adump 2.查询3个月前的审计文件： find ./ -type f -name "*.aud" -mtime +91 3.删除3个月的审计文件： find ./ -type f -name "*.aud" -mtime +91|xargs rm -f 4.清空所有审计文件： find ./ -type f -name "*.aud"|xargs rm -f 5.新装好一个数据库中查询审计开关的时候，它的默认设置为DB。（查看命令：show parameter audit_trail ) audit_trail=DB，代表的是，oracle将把每次审计跟踪记录在数据库的一张叫做AUD$的表中。 （查看命令：select owner,table_name,tablespace_name from dba_tables a where a.table_name ='AUD$'） 6.如果这张表所在的表空间是oracle数据库最重要的system表空间，此时它正好被设置为自动扩展的话，时间久了， system表空间会因为过度肥胖把磁盘撑爆，反之，如果system表空间没有自动扩展，AUD$表就没有地方写就会报错

开启网络监听 查看网络监听器状态 lsnrctl status 关闭监听器 lsnrctl stop cd $ORACLE_HOME/network/admin 修改： listener.ora tnsnames.ora 开启监听器 lsnrctl start 查看数据库本地监听器 SQL> show parameter local 指定数据库库中监听器。 alter system set local_listener='listener_orcl' 到此，用户可以使用网络登陆 监控 sysdba操作 show parameter audit NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ audit_file_dest string /u01/app/oracle/admin/orcl/adu #审计文件位置 mp audit_sys_operations boolean FALSE #开/关sysdba 所有操作记录。 audit_syslog_level string audit_trail string DB 默认记录 :connect,开/关库，错误信息 监控指定用户操作 (v$session,v$process) 开启网络

转载于： http://blog.itpub.net/9399028/viewspace-712457/ https://blog.csdn.net/Hehuyi_In/article/details/100765237 1.审计概述 审计audit用于监视用户所执行的数据库操作，审计记录存放在数据字典表（称为审计记录，存放在system表空间中的SYS.AUD$）中，或者系统审计记录中 （默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/)，不管你是否打开数据库的审计功能，以下这些操作系统会强制记录：用管理员权限连接Instance；启动数据库；关闭数据库。 2.和审计相关的参数以及默认值 2.1.参数默认值 11g： SQL> show parameter audit audit_file_dest string /u01/app/oracle/admin/single/adump audit_sys_operations boolean FALSE audit_syslog_level string audit_trail string DB 12c： SQL> show parameter audit NAME TYPE VALUE ------------------------------------ -----------------

第1步：查看审计功能是否开启？ SQL> show parameter audit; NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ audit_file_dest string /u01/app/oracle/admin/ORCL/adump audit_sys_operations boolean FALSE audit_syslog_level string audit_trail string NONE audit_trail 的value值为NONE表示不开启； audit_trail 的value值为FALSE表示不开启； audit_trail 的value值为DB表示开启； audit_trail 的value值为TURE表示开启； audit_trail 的value值为OS表示审计记录写入一个操作系统文件（不是特别理解）； 第2步：开启审计功能 SQL> alter system set audit_sys_operations=TRUE scope=spfile;--审计管理用户(以sysdba/sysoper角色登陆) SQL> alter system set audit_trail=db,extended

Oracle 作者： Davis_itpub 时间：2018-06-27 16:28:39 61 0 审计（Audit)用于监视用户所执行的数据库操作，并且Oracle 会将审计跟踪结果存放到OS 文件（默认位置为$ORACLE_BASE/admin /$ORACLE_SID/adump/），或数据库（存储在system 表空间中的SYS.AUD$表中，可通过视图dba_audit_trail 查看）中。审计可以提供有用的信息，用于揭示权限的滥用和误用。当需要一定的粒度时，DBA 可以使用细粒度的审计来监控对表中某些行或列的访问，而不仅仅是是否访问表。 在oracle 11g 中，审计功能（AUDIT_TRAIL）是默认开启的。审计数据默认存放SYSTEM 表空间下的AUD$审计字典基表上。开启审计数据库会增加消耗，降低业务性能，因此，如果不是很必要，在安装好数据库后，可适当选择关闭数据库审计功能。 Oracle 公司还推荐使用基于OS 文件的审计日志记录方式(OSaudit trail files)，当AUDIT_TRAIL 设置为OS 时，审计记录文件将在AUDIT_FILE_DEST 参数所指定的目录中生成。 一、审计类型 语句审计 按照语句类型审计SQL 语句，而不论访问何种特定的模式对象。也可以在数据库中指定一个或多个用户，针对特定的语句审计这些用户 权限审计

http://blog.itpub.net/9399028/viewspace-712457/审计（Audit) 用于监视用户所执行的数据库操作，审计记录可存在数据字典表（称为审计记录：存储在system表空间中的 SYS.AUD$ 表中，可通过视图dba_audit_trail查看）或操作系统审计记录中（默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/）.。默认情况下审计是没有开启的。 不管你是否打开数据库的审计功能，以下这些操作系统会强制记录：用管理员权限连接Instance；启动数据库；关闭数据库。 和审计相关的两个主要参数 1、audit_sys_operations AUDIT_SYS_OPERATIONS enables or disables the auditing of top-level operations, which are SQL statements directly issued by users when connecting with SYSDBA or SYSOPER privileges.(SQL statements run from within PL/SQL procedures or functions are not considered top-level.) The audit records