Oracle审计基础手册专业资料.docVIP

节 标题页

简介 2

A 特定现场Oracle环境 3

B 密码管理 6

C Oracle系统安全 12

D 操作系统安全 18

E 寻常批次作业 22

F 系统和对象审计 24

G 备份方略 27

H 数据库联网 30

I 完整性和性能 32

1、简介和概述

这个审计程序包括了一套在复审Oracle数据库环境时可以执行审计测试。这个审计程序可以独立使用，然而，它应当和Oracle审计软件OraAudit联合使用。这些在OraAudit内生成审计测试，或插件，始终以来都用相应Oracle审计程序参照号来引用。这个审计软件使用指南可以在有关协助文献Oraaudit_Help_index.htm中找到。这个程序内审计测试，在能用到地方，是作为审计程序输出而被引用。

在竭力维持审计程序全面性和可行性同步，审计师应当在执行每一种审计测试时，运用她们自己判断力和创造性。有了这一结识，，归档审计测试就会得到持续完善，也会获得审计程序和软件定期修订。

Ref.No.

AuditTest

AuditFindings

TestOK?Y/N

Completedby：

Initials

X-Ref：WorkPapers

X-Ref：OraAuditPlugins

A

A001

A002

A003

A004

A005

A006

A008

A009

A010

特定现场Oracle环境

审计目的

通过复审和与DBA面谈，来理解现场Oracle解决环境。

拟定重要数据库应用系统，数据仓库，管理信息系统，Web应用和其她使用数据库系统核心业务系统。

提供主机系统和客户/服务器(C/S)解决环境文档，例如：

以主机为中心应用：建立在单个数据库服务器上，顾客通过操作系统(telnet)登录；

两层C/S环境：客户端应用解决在PC上（胖客户端），顾客通过客户端Oracle网络访问程序登录；

三层C/S环境：应用解决逻辑装载在应用服务器上，与数据库服务器和PC机（瘦客户端）相分离，顾客通过应用程序——专门网络访问程序登录。

记录使用每一种数据库应用，实用工具，或管理程序。

拟定Oracle服务器所安装操作系统。

拟定Oracle服务器所使用版本和产品。

核查Oracle数据库逻辑数据和解决模式与否记录进恰当手册中。

通过DBA执行SHOWPARAMETERS命令来获得Oracle当前参数。

Oracle建议客户实行数据字典保护，以防止有‘ANY’系统权限顾客对数据字典使用这样权限。为了使数据字典保护有效，在initsid.ora(Oracle9i控制文献)中如下设立：

O7_DICTIONARY_ACCESSIBILITY=FALSE

注解：这样做了后来，只有那些授权成DBA权限顾客（例如CONNECT/ASSYSDBA）连接才可以对数据字典使用‘ANY’权限。如果这个参数不象建议这样设，一种拥有DROPANYTABLE（例如）顾客就有能力故意丢弃数据字典一某些。然而，如果顾客需要对数据字典作视图访问，可以通过赋给它SELECTANYDICTIONARY权限来实现。注旨在Oracle9i，O7_DICTIONARY_ACCESSIBILITY=FASE是缺省；而在Oracle8i，这个参数缺省设为TRUE，因而必要明确地将其改为FALSE以启用这一安全特性。

核查用于检查系统中所有软件具备有效允许证流程与否到位。特别是，LICENSE_MAX_SESSIONS或LICENSE_MAX_USERS应当设立成将连接到数据库并发会话/顾客限制在允许证合同所指定限额之内。

注解：值0表达没有启用内部控制，因而会容许无限制会话/顾客连接到数据库。

A005

A008

A009

A010

Ref.No.

AuditTest

AuditFindings

TestOK?Y/N

Completedby：

Initials

X-Ref：WorkPapers

X-Ref：OraAuditPlugins

B

B001

B002

B003

B004

B005

B006

B007

B008

B009

B010

B011

B012

密码管理

审计目的

核查口令管理方略与否实行，以保证数据通过认证得到较好保护。

核查在Oracle环境中与口令管理有关原则与否已经建立，并已写入相应手册中。

核查在Oracle中，对于顾客帐号和组建立和维护，与否有足够授权程序。

从安全官员那里获得系统视图DB