溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

金融行業(yè)數(shù)據(jù)庫(kù)安全審計(jì)

發(fā)布時(shí)間:2020-08-10 15:41:45 來(lái)源:網(wǎng)絡(luò) 閱讀:770 作者:UltraSQL 欄目:關(guān)系型數(shù)據(jù)庫(kù)

數(shù)據(jù)庫(kù)安全審計(jì)


行業(yè)要求:

審計(jì)內(nèi)容是否至少包括:用戶的添加和刪除、審計(jì)功能的啟動(dòng)和關(guān)閉、審計(jì)策略的調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作(如用戶登錄、退出)等。


數(shù)據(jù)庫(kù)開啟情況:

需開啟相關(guān)內(nèi)容的數(shù)據(jù)庫(kù)審計(jì)功能,方能滿足需求。

審計(jì)內(nèi)容

SQL Server

Oracle

1

用戶的添加和刪除

可滿足

可滿足

2

審計(jì)功能的啟動(dòng)和關(guān)閉

可滿足

部分滿足(關(guān)閉可審計(jì))

3

審計(jì)策略的調(diào)整

可滿足

可滿足

4

權(quán)限變更

可部分滿足

(滿足Login級(jí)別的權(quán)限變更,如果要細(xì)化到表級(jí)別,需要針對(duì)每個(gè)數(shù)據(jù)庫(kù)都創(chuàng)建審計(jì),暫時(shí)不開啟細(xì)粒度的審計(jì))

可滿足

5

系統(tǒng)資源的異常使用

(不理解定義,無(wú)從開啟)

(不理解定義,無(wú)從開啟)

6

重要的系統(tǒng)操作(如用戶登錄、退出)等

可滿足

可滿足


  • ?SQL Server

SQL Server只開啟了登錄成功和失敗的審計(jì),并寫入應(yīng)用程序日志。

以下審計(jì)行為集合基本能滿足行業(yè)審計(jì)指南的要求,鑒于目前沒(méi)有旁路審計(jì)系統(tǒng),該審計(jì)功能的開啟會(huì)占用系統(tǒng)資源,消耗部分性能??梢钥紤]先上生產(chǎn)觀察,如果有問(wèn)題及時(shí)停止??梢詽M足創(chuàng)建的審計(jì)寫入應(yīng)用程序日志,并從ELK查詢到。


SQL Server從2008開始引入了SQL Server審核(Audit),用于滿足細(xì)粒度的審計(jì)需求??梢葬槍?duì)特定的行為、主體和對(duì)象,細(xì)化到單個(gè)表級(jí)別。從用戶登錄、登出事件,到表的創(chuàng)建、插入和刪除等。可選擇感興趣的待審計(jì)行為集合。SQL Server審核(Audit)基于擴(kuò)展事件。當(dāng)事件觸發(fā)時(shí),近乎實(shí)時(shí)的分發(fā)給擴(kuò)展事件引擎,由它通知調(diào)度器線程池,負(fù)責(zé)將用戶創(chuàng)建的事件會(huì)話從內(nèi)存緩存寫入到文件等目標(biāo)。默認(rèn),審計(jì)事件異步寫入審計(jì)目標(biāo),性能影響很小。


審核操作類型

描述

1

AUDIT_CHNAGE_GROUP

創(chuàng)建、修改或刪除任何審核時(shí),均將引發(fā)此事件。 創(chuàng)建、修改或刪除任何審核規(guī)范時(shí),均將引發(fā)此事件。 任何針對(duì)某審核的更改均將在該審核中審核。

2

FAILED_LOGIN_GROUP

指示主體嘗試登錄到 SQL Server,但是失敗。 此類中的事件由新連接引發(fā)或由連接池中重用的連接引發(fā)。

3

SUCCESSFUL_LOGIN_GROUP

指示主體已成功登錄到 SQL Server。 此類中的事件由新連接引發(fā)或由連接池中重用的連接引發(fā)。

4

LOGOUT_GROUP

指示主體已注銷 SQL Server。 此類中的事件由新連接引發(fā)或由連接池中重用的連接引發(fā)。

5

SERVER_PRINCIPAL_CHANGE_GROUP

創(chuàng)建、更改或刪除服務(wù)器主體時(shí)將引發(fā)此事件。

主體發(fā)出 sp_defaultdb 或 sp_defaultlanguage 存儲(chǔ)過(guò)程或 ALTER LOGIN 語(yǔ)句時(shí),將引發(fā)此事件。

此事件對(duì) sp_addlogin 和 sp_droplogin 存儲(chǔ)過(guò)程引發(fā)。

此事件由 sp_grantlogin、 sp_revokelogin 或 sp_denylogin 存儲(chǔ)過(guò)程引發(fā)。

6

SERVER_PERMISSION_CHANGE_GROUP

為獲取服務(wù)器范圍內(nèi)的權(quán)限(例如,創(chuàng)建登錄名)而發(fā)出 GRANT、REVOKE 或 DENY 語(yǔ)句時(shí),將引發(fā)此事件。

7

LOGIN_CHANGE_PASSWORD_GROUP

通過(guò) ALTER LOGIN 語(yǔ)句或 sp_password 存儲(chǔ)過(guò)程更改登錄密碼時(shí),將引發(fā)此事件。


  • Oracle

Oracle提供內(nèi)部審計(jì)功能,可提供標(biāo)準(zhǔn)的數(shù)據(jù)庫(kù)活動(dòng)審計(jì)功能,通過(guò)參數(shù)audit_syslog_level可將審計(jì)條目寫入到預(yù)先配置好的syslog中,進(jìn)而由ELK抓取,基本可滿足行業(yè)協(xié)會(huì)的要求,但部分功能有缺失,具體如下表:

審計(jì)策略

能否審計(jì)

操作語(yǔ)句

用戶的添加和刪除

audit create user;audit drop user 或audit user(所有對(duì)user的操作,包含create,drop,alter

審計(jì)功能的啟動(dòng)和

關(guān)閉

部分可以

審計(jì)功能的開啟和關(guān)閉通過(guò)alter system語(yǔ)句的審計(jì)來(lái)實(shí)現(xiàn):audit alter system;

在審計(jì)功能開啟的情況下可以審計(jì)對(duì)審計(jì)功能的關(guān)閉,

審計(jì)策略的調(diào)整

部分可以

審計(jì)策略調(diào)整通過(guò)語(yǔ)句system audit或權(quán)限audit system來(lái)審計(jì),當(dāng)system audit被審計(jì)時(shí),所有對(duì)審計(jì)策略的修改均可被審計(jì),當(dāng)上述語(yǔ)句或權(quán)限沒(méi)有被審計(jì)則無(wú)法審計(jì)策略調(diào)整,包括audit audit system本身。

權(quán)限變更

可以

權(quán)限變更通過(guò)對(duì)語(yǔ)句system grant和grant any object privilege審計(jì)


對(duì)性能的影響:oracle審計(jì)發(fā)生在語(yǔ)句執(zhí)行階段,根據(jù)oracle的白皮書《Oracle Database Auditing: Performance Guidelines》在一個(gè)tcp-c相當(dāng)?shù)臏y(cè)試中,測(cè)試結(jié)果如下

金融行業(yè)數(shù)據(jù)庫(kù)安全審計(jì)

可見(jiàn)審計(jì)對(duì)性能影響很小,針對(duì)具體的系統(tǒng)需要測(cè)試審計(jì)對(duì)系統(tǒng)性能的影響。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI