數(shù)據(jù)庫基礎與實例教程（達夢DM8） 課件 7.4審計管理

數(shù)據(jù)庫基礎（基于達夢DM8）數(shù)據(jù)庫安全管理77.4審計管理03各設計級別設置01審計概述04審計實施侵害檢測02審計開關配置05審計信息審閱審計概述7.4.17.4.1審計概述

審計機制是DM數(shù)據(jù)庫管理系統(tǒng)安全管理的重要組成部分之一。DM數(shù)據(jù)庫除了提供數(shù)據(jù)安全保護措施外，還提供對日常事件的事后審計監(jiān)督。DM具有一個靈活的審計子系統(tǒng)，可以通過它來記錄系統(tǒng)級事件、個別用戶的行為以及對數(shù)據(jù)庫對象的訪問。通過考察、跟蹤審計信息，數(shù)據(jù)庫審計員可以查看用戶訪問的形式以及曾試圖對該系統(tǒng)進行的操作，從而采取積極、有效的應對措施。審計開關配置7.4.27.4.2審計開關配置1．審計的打開及關閉在DM系統(tǒng)中，要使用審計功能首先要打開審計開關，只要審計功能被啟用，系統(tǒng)級（詳見7.4.3）的審計記錄就會產(chǎn)生。需要注意的是審計開關必須由具有數(shù)據(jù)庫審計員權限的管理員進行設置。7.4.2審計開關配置1．審計的打開及關閉審計開關由過程“VOIDSP_SET_ENABLE_AUDIT（paramint）;”控制，過程執(zhí)行完后會立即生效，param有三種取值：0(關閉審計)，1（打開普通審計），2（打開普通審計和實時審計），缺省值為0。審計設置存放于DM字典表SYSAUDIT中，進行一次審計設置就在SYSAUDIT中增加一條對應的記錄，取消審計則刪除SYSAUDIT中相應的記錄。7.4.2審計開關配置2．查看審計開關狀態(tài)數(shù)據(jù)庫審計員可通過查詢V$DM_INI動態(tài)視圖查詢ENABLE_AUDIT的當前值。SELECT*FROMV$DM_INIWHEREPARA_NAME='ENABLE_AUDIT';審計開關案例SP_SET_ENABLE_AUDIT(1);

【案例7-21】打開普通審計開關。嘗試使用SYSDBA用戶打開普通審計開關。由于SYSDBA沒有數(shù)據(jù)庫審計員權限，所以執(zhí)行后會發(fā)生“沒有執(zhí)行權限”的錯誤審計開關案例SP_SET_ENABLE_AUDIT(0);

【案例7-22】關閉普通審計開關。各審計級別設置7.4.37.4.3修改用戶DM允許在系統(tǒng)級、語句級、對象級三個級別上進行審計設置。1）系統(tǒng)級系統(tǒng)的啟動與關閉審計。此級別的審計無法也無須由用戶進行設置，只要審計開關打開就會自動生成對應審計記錄。7.4.3修改用戶DM允許在系統(tǒng)級、語句級、對象級三個級別上進行審計設置。2）語句級導致影響特定類型數(shù)據(jù)庫對象的特殊SQL或語句組的審計。如AUDITTABLE將審計CREATETABLE、ALTERTABL和DROPTABLE等語句。7.4.3修改用戶DM允許在系統(tǒng)級、語句級、對象級三個級別上進行審計設置。3）對象級審計作用在特殊對象上的語句。如STAFF表上的INSERT語句，DEPT表上的UPDATE語句等。審計實施侵害檢測7.4.41開啟實時侵害檢測

當執(zhí)行“SP_SET_ENABLE_AUDIT(2);”時，開啟審計實時侵害檢測功能。

實時侵害檢測系統(tǒng)用于實時分析當前用戶的操作，并查找與該操作相匹配的實時審計分析規(guī)則，如果規(guī)則存在，則判斷該用戶的行為是否是侵害行為，確定侵害等級，并根據(jù)侵害等級采取相應的響應措施。1.開啟實時侵害檢測VOID

SP_CREATE_AUDIT_RULE(

RULENAMEVARCHAR(128),

OPERATIONVARCHAR(30),

USERNAMEVARCHAR(128),

SCHNAMEVARCHAR(128),

OBJNAMEVARCHAR(128),

WHENEVERVARCHAR(20),

ALLOW_IPVARCHAR(1024),

ALLOW_DTVARCHAR(1024),

INTERVALINTEGER,

TIMESINTERGER);具有AUDITDATABASE權限的用戶可以使用下面的系統(tǒng)過程創(chuàng)建實時侵害檢測規(guī)則。其中參數(shù)包括下面幾個。①RULENAME創(chuàng)建的審計實時侵害檢測規(guī)則名；②OPERATION審計操作名；OPERATION可選項較多，主要包括：CREATEUSER、DROPUSER、ALTERUSER、CREATEROLE、DROPROLE、CREATETABLESPACE、DROPTABLESPACE、ALTER_TABLESPACE、CREATESCHEMA、DROPSCHEMA、SETSCHEMA、CREATETABLE、DROPTABLE、TRUNCATETABLE、CREATEVIEW、ALTERVIEW、DROPVIEW、ALTERVIEW、CREATEINDEX、DROPINDEX、CREATEPROCEDURE、ALTERPROCEDURE、DROPPROCEDURE、CREATETRIGGER、DROPTRIGGER、ALTERTRIGGER、INSERT、SELECT、DELETE、UPDATE、EXECUTE、EXECUTETRIGGER等；1.開啟實時侵害檢測VOID

SP_CREATE_AUDIT_RULE(

RULENAMEVARCHAR(128),

OPERATIONVARCHAR(30),

USERNAMEVARCHAR(128),

SCHNAMEVARCHAR(128),

OBJNAMEVARCHAR(128),

WHENEVERVARCHAR(20),

ALLOW_IPVARCHAR(1024),

ALLOW_DTVARCHAR(1024),

INTERVALINTEGER,

TIMESINTERGER);具有AUDITDATABASE權限的用戶可以使用下面的系統(tǒng)過程創(chuàng)建實時侵害檢測規(guī)則。其中參數(shù)包括下面幾個。③USERNAME用戶名，沒有指定或’NULL'表示所有用戶；④SCHNAME模式名，沒有時指定為'NULL'；⑤OBJNAME對象名，沒有時指定為'NULL'；⑥WHENEVER審計時機，取值ALL/SUCCESSFUL/FAIL；⑦ALLOW_IP

允許的IP列表，以“,”隔開。例如“"192.168.0.1","127.0.0.1"”；1.開啟實時侵害檢測VOID

SP_CREATE_AUDIT_RULE(

RULENAMEVARCHAR(128),

OPERATIONVARCHAR(30),

USERNAMEVARCHAR(128),

SCHNAMEVARCHAR(128),

OBJNAMEVARCHAR(128),

WHENEVERVARCHAR(20),

ALLOW_IPVARCHAR(1024),

ALLOW_DTVARCHAR(1024),

INTERVALINTEGER,

TIMESINTERGER);具有AUDITDATABASE權限的用戶可以使用下面的系統(tǒng)過程創(chuàng)建實時侵害檢測規(guī)則。其中參數(shù)包括下面幾個。⑧ALLOW_DT

時間串，格式如下。ALLOW_DT::=<時間段項>{,<時間段項>}<時間段項>::=<具體時間段>|<規(guī)則時間段><具體時間段>::=<具體日期><具體時間>TO<具體日期><具體時間><規(guī)則時間段>::=<規(guī)則時間標志><具體時間>TO<規(guī)則時間標志><具體時間><規(guī)則時間標志>::=MON|TUE|WED|THURS|FRI|SAT|SUN⑨INTERVAL時間間隔，單位為分鐘；⑩TIMES次數(shù)。1開啟實時侵害檢測案例SP_CREATE_AUDIT_RULE('WEEKEND_DANGEROUS_SESSION','CONNECT','SYSDBA','NULL','NULL','ALL','"127.0.0.1"','SAT"8:00:00"TOSAT"18:00:00"',0,0);

【案例7-33】創(chuàng)建一個審計實時侵害檢測規(guī)則WEEKEND_DANGEROUS_SESSION，該規(guī)則檢測每個星期六8:00至星期六18：00的所有非本地SYSDBA的登錄動作。1開啟實時侵害檢測案例SP_CREATE_AUDIT_RULE('PWD_BRUTAL_CRACK','CONNECT','NULL','NULL','NULL','FAIL','NULL','NULL',1,10);

【案例7-34】創(chuàng)建一個審計實時侵害檢測規(guī)則PWD_BRUTAL_CRACK，該規(guī)則檢測可能的口令暴力破解行為。2.刪除實時侵害檢測當不再需要某個實時侵害檢測規(guī)則時，可使用下面的系統(tǒng)過程進行刪除。VOID

SP_DROP_AUDIT_RULE(

RULENAMEVARCHAR(128));其參數(shù)RULENAME指名待刪除的審計實時侵害檢測規(guī)則名。2刪除實時侵害檢測案例SP_DROP_AUDIT_RULE('WEEKEND_DANGEROUS_SESSION');

【案例7-35】刪除已創(chuàng)建的實時侵害檢測規(guī)則DANGEROUS_SESSION。審計實施侵害檢測7.4.51.審計設置記錄查詢在前面針對一些操作開啟了審計，這些審計設置信息都按照如表所示結構，記錄在數(shù)據(jù)字典表SYSAUDITOR.SYSAUDIT中。1.審計設置記錄查詢審計類型用戶可以查看此數(shù)據(jù)字典表查詢審計設置信息，了解當前的審計設置情況。查看的語句如下。SELECT*FROMSYSAUDITOR.SYSAUDIT;2.審計記錄查詢只要DM系統(tǒng)處于審計活動狀態(tài)，系統(tǒng)就會按審計設置進行審計活動，并將審計信息寫入審計文件。審計記錄內(nèi)容包括操作者的用戶名、所在站點、所進行的操作、操作的對象、操作時間、當前審計條件等。審計用戶可以通過動態(tài)視圖SYSAUDITOR.V$AUDITRECORDS查詢系統(tǒng)默認路徑下的審計文件的審計記錄，動態(tài)視圖的結構如表所示。2.審計記錄查詢只要DM系統(tǒng)處于審計活動狀態(tài)，系統(tǒng)就會按審計設置進行審計活動，并將審計信息寫入審計文件。審計記錄內(nèi)容包括操作者的用戶名、所在站點、所進行的操作、操作的對象、操作時間、當前審計條件等。審計用戶可以通過動態(tài)視圖SYSAUDITOR.V$AUDITRECORDS查詢系統(tǒng)默認路徑下的審計文件的審計記錄，動態(tài)視圖的結構如表所示。查看設計記錄的基本語法如下。SELECT*FROMSYSAUDITOR.V$AUDITRECORDS;審計信息查詢案例首先使用SYSDBA用戶插入以下數(shù)據(jù)。INSERTINTOSCH_FACTORY.STAFF(部門號,姓名,性別,籍貫,年齡,電話號碼)VALUES(100001,'審計測試用戶','男','江西',36,)

【案例7-36】前面設置過對SYSDBA對表SCH_FACTORY.S