安全计算环境-（五）系统管理软件-3

Oracle

 

控制点

3.

安全审计

对服务器进行安全审计的目的是保持对操作系统和数据库系统的运行情况及用户行为的跟踪，以便事后进行追踪和分析。

a)

安全要求：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

要求解读：应检查数据库系统是否开启了安全审计功能，查看当前审计范围是否覆盖每个用户。

检查方法

1.执行“select value from v$parameter where name='audit_trai1'”命令，查看是否开启了审计功能。

2.以不同的用户身份登录数据库系统并进行不同的操作，在Oracle数据库中查看日志记录是否满足要求。

期望结果

1.audit_trail 不为none。

2.可以在Oracle数据库中查看不同的用户登录数据库系统并进行不同的操作的日志记录。

b)

安全要求：审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

要求解读：数据库系统的审计策略应覆盖系统内重要的安全相关事件，例如用户登录系统、自主访问控制的所有操作记录、重要的用户行为（如增加/删除用户、删除库表）等。

检查方法

1.查看Oracle自身的日志记录是否符合要求。

• 查询日志文件的位置。日志文件的位置为background_dump_dest的值。打开日志文件，查看其中是否包括所需的审计相关信息。

SQL>show parameter dump_dest;

• 查看数据库、表空间、对象的日志记录模式。

SQL>select log_mode,force_logging from v$database;

SQL>select tablespace_name,logging, force_logging from dba_tablespaces;

SQL>select table_name,logging from user_tables;

• 访谈管理员，了解是否已安装并使用LogMiner工具查看和分析日志。若是，则通过该工具查看日志。

2.若使用第三方数据库审计产品或插件，则由管理员展示所记录的内容，以确认其中是否包括事件发生的日期与时间、触发事件的主体与客体、事件类型、事件成功或失败、身份鉴别事件中请求的来源（例如末端标识符）、事件的结果等内容。

期望结果

1.Oracle自身的日志默认包含所有的事件信息（无法直接查看，查看须借助相关工具）。若系统已开启日志且日志文件存在，则该项默认符合。

• 在默认情况下，Oracle的日志文件存储在$ORACLE/rdbms/log目录下。

• 数据库级别、表空间级别、对象级别的日志记录模式的查询结果为YES，表示记录该级别日志；为NO，表示不记录该级别日志。查询结果应不全为NO。

• LogMiner是Oracle官方提供的日志工具，具有检查数据库的逻辑更改、侦察并更正用户的误操作、执行事后审计、执行变化分析等功能。

2.第三方数据库审计系统和审计插件所记录的内容应包括事件发生的日期与时间、触发事件的主体与客体、事件类型、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等内容。

c)

安全要求：应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

要求解读：检查Oracle数据库系统的日志权限设置，非授权人员不能对日志进行操作。另外，应防止因审计日志空间不够而无法记录日志的情况发生。

检查方法

核查是否严格限制了用户访问审计记录的权限，例如采用Audit Vault等。

期望结果

安全审计管理员定期对审计记录进行备份，审计记录的维护和导出由专人负责。

d)

安全要求：应对审计进程进行保护，防止未经授权的中断。

要求解读：Oracle数据库系统默认符合此项。如果使用第三方工具，则应检查未授权的Oracle数据库用户是否能中断审计进程。

检查方法

1.核查管理员的审计权限是否已被严格限制。

2.测试用户是否可以通过“alter system set audit_trail=none”命令重启实例并关闭审计功能（应为否）。

期望结果

1.已限制管理员的审计权限。

2.除审计人员外，其他人员无法对审计进程进行开启、关闭等关键操作。