Oracle数据库安全性设计建议

核心提示： 通过AUDIT语句我们可以对成功或者不成功的特定对象的读取，更新操作进行审计，Oracle数据库安全性设计建议(6)，标准审计只会记录较少的跟踪信息，比如发出该语句的用户、时间、终端标识号等等，◆使用了公司网络外部的某个 IP 地址，◆选定或更新了特定列，该审计对于系统性能的影响更多地取决

通过AUDIT语句我们可以对成功或者不成功的特定对象的读取，更新操作进行审计。

标准审计只会记录较少的跟踪信息，比如发出该语句的用户、时间、终端标识号等等。

该审计对于系统性能的影响更多地取决于对象的繁忙程度。

2．用对象触发器进行审计（也就是DML审计）

此类审计通常由客户自行开发放置于特定数据库对象上的触发器，由于是自行开发，所以相对于标准审计则能够更自由地记录更多感兴趣的跟踪信息。比如更新操作将某个字段从什么原始值更新到了什么新值。

该审计对于系统性能的影响更多地取决于对象的繁忙程度和触发器的编写水平。

3．用系统级触发器进行审计（记录用户登录和退出）

当用户登录数据库或者离开数据库时，都可以通过自定义的触发器来记录用户名称，操作时间，终端标识号等信息。

由于触发器触发几率小，所以该审计对于系统性能影响并不大。

4．用LogMiner进行审计（也就是DML和DDL）

Oracle数据库将所有的更新操作都记录在重作日志中，而Oracle提供了LogMiner工具用于挖掘重作日志中的所有操作，相比起上述的各种审计方法来说，该种审计可能是信息最为完善，对于应用系统性能影响最小的方法。

此处稍微延展开来说一下，LogMiner是双刃剑，既然可以用来审计，也就能够被恶意使用作为数据窃取的工具。所以在数据本身的加密方面，Oracle同样提供了多种解决方案，比如DBMS_OBFUSCATION_TOOLKIT，DBMS_CRYPTO和最新的透明数据加密，甚至在数据备份方面Oracle也推出了Secure Backup来应对磁带数据的加密，但是要注意到数据加密不应用作访问控制的替代项，存储加密的数据并不会在存储介质本身提供额外的保护层，只是有助于在发生介质遭窃时保护诸如信用卡号之类的敏感数据。本文不再作更多的介绍。

5．细精度审计（FGA）

细粒度审计 (FGA)，是在 Oracle 9i 中引入的，能够记录 SCN 号和行级的更改以重建旧的数据，但是它们只能用于 select 语句，而不能用于 DML，如 update、insert 和 delete 语句。因此，对于 Oracle 数据库 10g 之前的版本，使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择,但它也是唯一可靠的方法。

而Oracle10g种FGA功能的增强使其不但能够支持select操作，同时也支持DML操作。在 Oracle 10g 中，审计已经从一个单纯的“操作记录者”成长为一个“事实记录机制”，它能以一个非常详细的级别来捕获用户的行为，这可以消除您对手动的、基于触发器的审计的需要。它还结合了标准审计和 FGA 的跟踪，这使其更易于跟踪数据库访问，而不用考虑它是如何生成的。

通过细粒度审计我们可以记录：

◆在早上九点到下午六点之间或在星期六和星期日对某个表进行了访问。

◆使用了公司网络外部的某个 IP 地址。

◆选定或更新了特定列。

◆使用了该列的特定值。