一种数据访问安审计的方案.docVIP

一种数据访问安全审计方案 电信科学技术第十研究所710061 2. 西安西无二电子信息集团公司 陕西 西安 710015) 摘 要：通过对oracle 10g数据库审计机制的研究，设计一种数据库用户与应用用户的映射机制，实现对用户数据操作的各项信息进行审计。 oracle 10g数据库 数据库用户 应用用户 审计 oracle是以结构化查询语言(SQL)为基础的大型对象关系型数据库，是市场占有率很高的数据库产品。随着数据库系统的广泛应用，用户对数据库中数据保护和操作监控的意识逐渐增强，从而对数据安全性提出了更高的要求。oracle也一直在加强其数据库产品在审计和日志记录方面的能力，对于oracle 以前版本来说，自带的审计手段只能记录到“谁”执行此操作，而不能捕获执行了“什么”，审计的内容无法显示数据的变化情况，很难满足详细审计的要求在9i中只能对select语句进行审计在oracle 10g中实现了对整体数据的详细审计功能可以使用DBMS_FGA实现对DML（数据操纵语言如：insert、update、delete）的审计功能。本文基于oracle 10g的数据库审计机制设计了一种数据安全访问审计方案。审计是记录数据库中用户活动行为的一种机制，是对选定的用户动作的监控和记录，它不但记录谁访问数据库，能够记录对数据库如何操作[]。oracle数据库系统提供对其内部所发生的活动进行审计的功能作用。当管理员发现数据库有可能被非法操作后如数据被非授权用户所删除就可以决定对该数据库的所有连接进行审计，对数据库所有表成功或不成功删除进行审计。这样可以发现非法用户的来源、使用的终端会话的时间等。2 .监视和收集关于指定数据库中变化的数据 管理员可以收集哪些数据被修改、执行了多少逻辑的I/O等数据。、oracle 10g数据库审计机制1. oracle 10g的审计机制 oracle 10g的审计机制用来监视用户对oracle数据库所做的各种操作。在缺省情况下，该审计功能是关闭的。激活的办法是在初始化参数文件中将Audit_trail设置为TRUE。审计功能激活后，数据库用户对其拥有的表或视图就可以进行如下审计操作：使用SQL语句来挑选审计选择项例如审计每一次访问中不成功删除任何表的操作：Audit delete any table by access whenever not successful;审计对该数据库用户所拥有的表或视图的成功或不成功的存取操作例如对EMP表插入进行审计：Audit insert on scott.EMP;有选择地审计各种类型的SQL操作（SELECT、UPDATE、INSERT、DELETE) 例如只审计查询、增加删除表，而不审计修改：Audit select table,insert table,delete table;控制审计的程度（是以SESSION为单位，还是以ACCESS为单位）如果是以SESSION为单位则表示每次审计一个会话只插入一条审计记录；以ACCESS为单位,则表示每一次访问都会插入一条审计记录。 对于数据库DBA用户还可以如下：对LOGON、LOGOFF、GRANTREVOKE等进行审计；为某些数据库表设定缺省选择项。 另外，使用dbms_fga包可不必进行设置即可调用审计功能。2. oracle 10g审计oracle 10g数据库系统提供对其内部所发生的活动进行审计的功能目前oracle 10g可以对以下3种情况进行审计。 1）登录审计对每一企图登录到oracle的用户进行审计（无论其登录是否成功）。 2）数据活动审计对任何涉及到数据库对象操作的活动如连接oracle、建表、建立角色建立表空间等都被审计具体包括语句审计和权限审计。 ①语句审计（STATEMENT AUDITING）对某种类型的SQL语句（查询select、添加insert、修改update删除delete）进行审计，不指定结构或对象。比如对SCOTT用户执行的所有SELECT语句进行审计（AUDIT SELECT BY SCOTT）。②权限审计（PRIVILEGE AUDITING对执行相应动作的系统权限（建表权create any table、建序列权create any sequence 等）的审计。比如审计哪些用户使用了CREATE TRIGGER 系统权限（AUDIT CREATE TRIGGER）。 对象审计（OBJECT AUDITING）任何用户对表的操作如对表做SELECT、INSERT、UPDATEDELETE等）都可被审计。例如，对特定方案对象上指定语句审计，实际上就是对象权限的审计。审计对HR.EMPLOYEES数据表执行的SELECT操作的审计（AUDIT SELE