數(shù)據(jù)庫基礎(chǔ)（基于達(dá)夢DM8）數(shù)據(jù)庫安全管理77.4審計管理03各設(shè)計級別設(shè)置01審計概述04審計實施侵害檢測02審計開關(guān)配置05審計信息審閱審計概述7.4.17.4.1審計概述

審計機(jī)制是DM數(shù)據(jù)庫管理系統(tǒng)安全管理的重要組成部分之一。DM數(shù)據(jù)庫除了提供數(shù)據(jù)安全保護(hù)措施外，還提供對日常事件的事后審計監(jiān)督。DM具有一個靈活的審計子系統(tǒng)，可以通過它來記錄系統(tǒng)級事件、個別用戶的行為以及對數(shù)據(jù)庫對象的訪問。通過考察、跟蹤審計信息，數(shù)據(jù)庫審計員可以查看用戶訪問的形式以及曾試圖對該系統(tǒng)進(jìn)行的操作，從而采取積極、有效的應(yīng)對措施。審計開關(guān)配置7.4.27.4.2審計開關(guān)配置1．審計的打開及關(guān)閉在DM系統(tǒng)中，要使用審計功能首先要打開審計開關(guān)，只要審計功能被啟用，系統(tǒng)級（詳見7.4.3）的審計記錄就會產(chǎn)生。需要注意的是審計開關(guān)必須由具有數(shù)據(jù)庫審計員權(quán)限的管理員進(jìn)行設(shè)置。7.4.2審計開關(guān)配置1．審計的打開及關(guān)閉審計開關(guān)由過程“VOIDSP_SET_ENABLE_AUDIT（paramint）;”控制，過程執(zhí)行完后會立即生效，param有三種取值：0(關(guān)閉審計)，1（打開普通審計），2（打開普通審計和實時審計），缺省值為0。審計設(shè)置存放于DM字典表SYSAUDIT中，進(jìn)行一次審計設(shè)置就在SYSAUDIT中增加一條對應(yīng)的記錄，取消審計則刪除SYSAUDIT中相應(yīng)的記錄。7.4.2審計開關(guān)配置2．查看審計開關(guān)狀態(tài)數(shù)據(jù)庫審計員可通過查詢V$DM_INI動態(tài)視圖查詢ENABLE_AUDIT的當(dāng)前值。SELECT*FROMV$DM_INIWHEREPARA_NAME='ENABLE_AUDIT';審計開關(guān)案例SP_SET_ENABLE_AUDIT(1);

【案例7-21】打開普通審計開關(guān)。嘗試使用SYSDBA用戶打開普通審計開關(guān)。由于SYSDBA沒有數(shù)據(jù)庫審計員權(quán)限，所以執(zhí)行后會發(fā)生“沒有執(zhí)行權(quán)限”的錯誤審計開關(guān)案例SP_SET_ENABLE_AUDIT(0);

【案例7-22】關(guān)閉普通審計開關(guān)。各審計級別設(shè)置7.4.37.4.3修改用戶DM允許在系統(tǒng)級、語句級、對象級三個級別上進(jìn)行審計設(shè)置。1）系統(tǒng)級系統(tǒng)的啟動與關(guān)閉審計。此級別的審計無法也無須由用戶進(jìn)行設(shè)置，只要審計開關(guān)打開就會自動生成對應(yīng)審計記錄。7.4.3修改用戶DM允許在系統(tǒng)級、語句級、對象級三個級別上進(jìn)行審計設(shè)置。2）語句級導(dǎo)致影響特定類型數(shù)據(jù)庫對象的特殊SQL或語句組的審計。如AUDITTABLE將審計CREATETABLE、ALTERTABL和DROPTABLE等語句。7.4.3修改用戶DM允許在系統(tǒng)級、語句級、對象級三個級別上進(jìn)行審計設(shè)置。3）對象級審計作用在特殊對象上的語句。如STAFF表上的INSERT語句，DEPT表上的UPDATE語句等。審計實施侵害檢測7.4.41開啟實時侵害檢測

當(dāng)執(zhí)行“SP_SET_ENABLE_AUDIT(2);”時，開啟審計實時侵害檢測功能。

實時侵害檢測系統(tǒng)用于實時分析當(dāng)前用戶的操作，并查找與該操作相匹配的實時審計分析規(guī)則，如果規(guī)則存在，則判斷該用戶的行為是否是侵害行為，確定侵害等級，并根據(jù)侵害等級采取相應(yīng)的響應(yīng)措施。1.開啟實時侵害檢測VOID

SP_CREATE_AUDIT_RULE(

RULENAMEVARCHAR(128),

OPERATIONVARCHAR(30),

USERNAMEVARCHAR(128),

SCHNAMEVARCHAR(128),

OBJNAMEVARCHAR(128),

WHENEVERVARCHAR(20),

ALLOW_IPVARCHAR(1024),

ALLOW_DTVARCHAR(1024),

INTERVALINTEGER,

TIMESINTERGER);具有AUDITDATABASE權(quán)限的用戶可以使用下面的系統(tǒng)過程創(chuàng)建實時侵害檢測規(guī)則。其中參數(shù)包括下面幾個。①RULENAME創(chuàng)建的審計實時侵害檢測規(guī)則名；②OPERATION審計操作名；OPERATION可選項較多，主要包括：CREATEUSER、DROPUSER、ALTERUSER、CREATEROLE、DROPROLE、CREATETABLESPACE、DROPTABLESPACE、ALTER_TABLESPACE、CREATESCHEMA、DROPSCHEMA、SETSCHEMA、CREATETABLE、DROPTABLE、TRUNCATETABLE、CREATEVIEW、ALTERVIEW、DROPVIEW、ALTERVIEW、CREATEINDEX、DROPINDEX、CREATEPROCEDURE、ALTERPROCEDURE、DROPPROCEDURE、CREATETRIGGER、DROPTRIGGER、ALTERTRIGGER、INSERT、SELECT、DELETE、UPDATE、EXECUTE、EXECUTETRIGGER等；1.開啟實時侵害檢測VOID

SP_CREATE_AUDIT_RULE(

RULENAMEVARCHAR(128),

OPERATIONVARCHAR(30),

USERNAMEVARCHAR(128),

SCHNAMEVARCHAR(128),

OBJNAMEVARCHAR(128),

WHENEVERVARCHAR(20),

ALLOW_IPVARCHAR(1024),

ALLOW_DTVARCHAR(1024),

INTERVALINTEGER,

TIMESINTERGER);具有AUDITDATABASE權(quán)限的用戶可以使用下面的系統(tǒng)過程創(chuàng)建實時侵害檢測規(guī)則。其中參數(shù)包括下面幾個。③USERNAME用戶名，沒有指定或’NULL'表示所有用戶；④SCHNAME模式名，沒有時指定為'NULL'；⑤OBJNAME對象名，沒有時指定為'NULL'；⑥WHENEVER審計時機(jī)，取值A(chǔ)LL/SUCCESSFUL/FAIL；⑦ALLOW_IP

允許的IP列表，以“,”隔開。例如“"192.168.0.1","127.0.0.1"”；1.開啟實時侵害檢測VOID

SP_CREATE_AUDIT_RULE(

RULENAMEVARCHAR(128),

OPERATIONVARCHAR(30),

USERNAMEVARCHAR(128),

SCHNAMEVARCHAR(128),

OBJNAMEVARCHAR(128),

WHENEVERVARCHAR(20),

ALLOW_IPVARCHAR(1024),

ALLOW_DTVARCHAR(1024),

INTERVALINTEGER,

TIMESINTERGER);具有AUDITDATABASE權(quán)限的用戶可以使用下面的系統(tǒng)過程創(chuàng)建實時侵害檢測規(guī)則。其中參數(shù)包括下面幾個。⑧ALLOW_DT

時間串，格式如下。ALLOW_DT::=<時間段項>{,<時間段項>}<時間段項>::=<具體時間段>|<規(guī)則時間段><具體時間段>::=<具體日期><具體時間>TO<具體日期><具體時間><規(guī)則時間段>::=<規(guī)則時間標(biāo)志><具體時間>TO<規(guī)則時間標(biāo)志><具體時間><規(guī)則時間標(biāo)志>::=MON|TUE|WED|THURS|FRI|SAT|SUN⑨INTERVAL時間間隔，單位為分鐘；⑩TIMES次數(shù)。1開啟實時侵害檢測案例SP_CREATE_AUDIT_RULE('WEEKEND_DANGEROUS_SESSION','CONNECT','SYSDBA','NULL','NULL','ALL','"127.0.0.1"','SAT"8:00:00"TOSAT"18:00:00"',0,0);

【案例7-33】創(chuàng)建一個審計實時侵害檢測規(guī)則WEEKEND_DANGEROUS_SESSION，該規(guī)則檢測每個星期六8:00至星期六18：00的所有非本地SYSDBA的登錄動作。1開啟實時侵害檢測案例SP_CREATE_AUDIT_RULE('PWD_BRUTAL_CRACK','CONNECT','NULL','NULL','NULL','FAIL','NULL','NULL',1,10);

【案例7-34】創(chuàng)建一個審計實時侵害檢測規(guī)則PWD_BRUTAL_CRACK，該規(guī)則檢測可能的口令暴力破解行為。2.刪除實時侵害檢測當(dāng)不再需要某個實時侵害檢測規(guī)則時，可使用下面的系統(tǒng)過程進(jìn)行刪除。VOID

SP_DROP_AUDIT_RULE(

RULENAMEVARCHAR(128));其參數(shù)RULENAME指名待刪除的審計實時侵害檢測規(guī)則名。2刪除實時侵害檢測案例SP_DROP_AUDIT_RULE('WEEKEND_DANGEROUS_SESSION');

【案例7-35】刪除已創(chuàng)建的實時侵害檢測規(guī)則DANGEROUS_SESSION。審計實施侵害檢測7.4.51.審計設(shè)置記錄查詢在前面針對一些操作開啟了審計，這些審計設(shè)置信息都按照如表所示結(jié)構(gòu)，記錄在數(shù)據(jù)字典表SYSAUDITOR.SYSAUDIT中。1.審計設(shè)置記錄查詢審計類型用戶可以查看此數(shù)據(jù)字典表查詢審計設(shè)置信息，了解當(dāng)前的審計設(shè)置情況。查看的語句如下。SELECT*FROMSYSAUDITOR.SYSAUDIT;2.審計記錄查詢只要DM系統(tǒng)處于審計活動狀態(tài)，系統(tǒng)就會按審計設(shè)置進(jìn)行審計活動，并將審計信息寫入審計文件。審計記錄內(nèi)容包括操作者的用戶名、所在站點、所進(jìn)行的操作、操作的對象、操作時間、當(dāng)前審計條件等。審計用戶可以通過動態(tài)視圖SYSAUDITOR.V$AUDITRECORDS查詢系統(tǒng)默認(rèn)路徑下的審計文件的審計記錄，動態(tài)視圖的結(jié)構(gòu)如表所示。2.審計記錄查詢只要DM系統(tǒng)處于審計活動狀態(tài)，系統(tǒng)就會按審計設(shè)置進(jìn)行審計活動，并將審計信息寫入審計文件。審計記錄內(nèi)容包括操作者的用戶名、所在站點、所進(jìn)行的操作、操作的對象、操作時間、當(dāng)前審計條件等。審計用戶可以通過動態(tài)視圖SYSAUDITOR.V$AUDITRECORDS查詢系統(tǒng)默認(rèn)路徑下的審計文件的審計記錄，動態(tài)視圖的結(jié)構(gòu)如表所示。查看設(shè)計記錄的基本語法如下。SELECT*FROMSYSAUDITOR.V$AUDITRECORDS;審計信息查詢案例首先使用SYSDBA用戶插入以下數(shù)據(jù)。INSERTINTOSCH_FACTORY.STAFF(部門號,姓名,性別,籍貫,年齡,電話號碼)VALUES(100001,'審計測試用戶','男','江西',36,)

【案例7-36】前面設(shè)置過對SYSDBA對表SCH_FACTORY.S