奇智科技oracle数据库运维操作审计解决方案.docVIP

Oracle数据库运维操作审计 解决方案 杭州奇智信息科技有限公司 第 PAGE 8页 目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc248297209 第1章 Oracle数据库运维操作现状 PAGEREF _Toc248297209 \h 2 HYPERLINK \l _Toc248297210 1.1 直接登录到数据库服务器上，执行命令行（如sqlplus） PAGEREF _Toc248297210 \h 2 HYPERLINK \l _Toc248297211 1.2 通过加密的web进行操作（比如enterprise manager） PAGEREF _Toc248297211 \h 3 HYPERLINK \l _Toc248297212 1.3 使用客户端工具的数据库访问（如PL/SQL,Toad等） PAGEREF _Toc248297212 \h 3 HYPERLINK \l _Toc248297213 第2章 数据库操作审计方案 PAGEREF _Toc248297213 \h 4 HYPERLINK \l _Toc248297214 2.1 直接登录到数据库服务器使用命令行的操作审计 PAGEREF _Toc248297214 \h 4 HYPERLINK \l _Toc248297215 2.2 通过web进行的操作审计 PAGEREF _Toc248297215 \h 4 HYPERLINK \l _Toc248297216 2.3 使用客户端工具的操作审计 PAGEREF _Toc248297216 \h 5 Oracle数据库运维操作现状 目前，用户对oracle数据库的运维操作有三种： 直接登录到数据库服务器上，执行命令行（如sqlplus） 通过加密的web进行操作（比如enterprise manager） 使用客户端工具的数据库访问（如PL/SQL,Toad等） 数据库操作审计方案 针对三种不同的oracle数据库运维操作，奇智科技提供了完整的解决方案，帮助用户降低数据库运维操作过程中所存在的风险： 直接登录到数据库服务器使用命令行的操作审计 对于直接登录到数据库服务器上的命令行操作，shterm能够记录操作者所有的sql语句和输出结果，并且能够在输入输出内容中进行文本搜索： （图为shterm对操作者通过命令行进行数据库操作的审计示例） 通过web进行的操作审计 对于使用https/http的 web操作，shterm可以记录所有的操作过程，包括键盘的输入内容和鼠标的点击（左右键，单双击），其中键盘的输入可以进行文本搜索： （图为shterm对图形操作过程的审计示例） 使用客户端工具的操作审计 目前国内针对这个问题主要是旁路解析，通过流量捕获和协议解析来实现，但是存在三个无法避免的问题： 流量捕获，肯定会丢数据包，数据包的丢失导致无法正确提取SQL操作会话； 协议解析不完整，目前国内数据库协议基本只能实现到60-70%（通常是通过搜索TNS header区的SQL语句来作为审计输出。可以捕获部分的数据库操作。但是TNS的data区还有一些非文本的命令表达形式，而且不同的命令后续数据续数据结构不同，也会在一个TCP包里封装多个命令。一旦涉及到绑定变量，函数等语句基本无法完整解析），无法实现100%协议解析； 无法解析ssh，https直接登录到数据库服务器操作和加密的web配置操作； 目前在运营商、金融等高端行业，用户是这样来解决使用数据库客户端工具进行数据库运维的操作： 数据库客户端一定要集中管理，不允许随意在笔记本/台式机等操作终端上安装客户端程序，客户端程序必须统一安装在1台/几台指定的windows 服务器上； 操作者必须通过Shterm登陆到指定的Windows服务器上，然后在这台服务器上打开客户端程序进行操作； Shterm完整的记录所有的图形操作过程，并且可以实时监控所有的数据库操作，如果发现操作有风险，可以随时阻断； Shterm 把各种sql输入语句以文本的方式展现，并能够进行关键词搜索； 5．Shterm 把搜索出来的SQL语句根据时间和执行该操作的图形会话关联起来进行上下文回放（单独的sql语句并不能帮助用户进行问题确认，必须知道sql语句的上下文语义才能准确的判断出操作行为），既能看到每一条SQL操作指令，又能根据当时执行指令的时间定位到当时指令相关操作过程，真正方便用户进行快速排查问题；