使用触发器实现对Oracle8i9i的细粒度审计.docVIP

使用触发器实现对Oracle 8i/9i的细粒度审计 摘要 ??? 对于Oracle 8i/9i来说，自带的审计手段只能捕获到“谁”执行此操作，而不能捕获执行了“什么”，审计的内容无法显示数据的变化情况，很难满足细粒度审计的要求。 所以目前来讲，在特定的位置配置相应的触发器用来记录和跟踪数据前后的变化，成为在这两个版本的Oracle数据库中做到细粒度审计的唯一可靠的方法。 ??? 本文介绍了使用触发器的基本的思路，以及几种典型的触发器，如对DDL，DML操作和其他的几种触发器的编写。从技术和实践的角度阐述了此种审计手段的功能和可行性。 Auditing Oracle 8i/9i in Particular by TriggerNetwork Security Division??? Neusoft Co., Ltd. Summary??? In the Oracle 8i/9i, some common audit methods can only log that who have done which operation in a table. For example ,the administrator can find that a user called hacker had done some update in a important table boss, but nothing was logged about what the data had been changed to.? ??? So we can make some trigger in the system ,which works as a logger,they can record the changes in particular. This article is about what the trigger is, how to write a trigger and how it works. 关键词：??? ORACLE数据库，触发器，审计；??? ORACLE ，trigger ，audit. 1.绪论 ??? Oracle是以高级结构化查询语言(SQL)为基础的大型关系型数据库，是目前最流行的客户/服务器体系结构的数据库之一。以其良好的性能和稳定的表现，成为市场占有率最高的大型数据库产品。 ??? 随着Oracle广泛的应用，用户对数据库中数据保护和操作监控的意识逐渐增强，越来越多的用户提出了更高的安全方面的要求。Oracle也一直在加强数 据库产品在审计和日志记录方面的能力，如在8i之后，加入了对归档日志的分析工具—logminer，在9i中加入了FGA（细粒度审计）的模块，最终在 Oracle 10g产品中实现了对整体数据的详细审计功能。虽然如此，在Oracle 8i/9i的审计功能还不是很完善，本文介绍了如何在上述版本的Oracle产品中实现对数据的及时和详尽的审计跟踪和日志记录。 1.1.Oracle 8i/9i的日志和审计功能 1.1.1.?logminer分析工具 ??? Oracle自身具有很多的日志，如监听器的日志、管理员登陆的日志、每次启动的配置日志和错误日志等等，分别存放在不同文件夹内。而对于数据的更改和数据定义等操作的记录，Oracle提供了一个强大的日志分析工具logminer。[1] ??? logminer是Oracle在8i之后推出的一个对数据库的归档文件的分析器。归档文件记录了Oracle所有的数据变化的情况，只有在数据库工作在 归档模式（archive）下的时候才会生成，而默认Oracle是在非归档（noarchive）模式下的。工作在归档模式的好处是，只要有相应的归档 文件，就可以把数据恢复到任意时刻的状态。logminer就是对这些归档文件进行分析，就可以得到数据在过去时间的所有的更改情况。 ??? logminer分析之后会得到一张表v$logmnr_contents，记录了详尽信息，可以使用SQL语句进行查询。如查询某段时间里，特定的表的 数据有那些变化等。使用logminer工具分析的过程比较复杂，8i与9i之间也有一些细节上的差别。对具体的配置和实现的方法，请查阅相关 Oracle的管理文档。 1.1.2.审计功能 ??? Oracle8i/9i自带的审计（audit）功能在默认的状态下也是不被开启的。[2]可以根据需要，设置对不同的数据库操作进行审计记录。有三种类型的审计操作：登录尝试、对象存取（具体对象上的具体语句）和数据库操作（具体的系统特权和语句，不考虑对象）。 1.1.3.FGA ??? 在Oracle 9i之中，引入了一个新的概念——FGA（细粒度审