眾所周知，數(shù)據(jù)庫(kù)系統(tǒng)功能強(qiáng)大而豐富，因而，對(duì)于一個(gè)數(shù)據(jù)庫(kù)環(huán)境而言，我們可以生成很多類型的審計(jì)記錄。當(dāng)然，這并不意味著本文所涉及到的所有審計(jì)類型都適合讀者你，但是，知道有哪些審計(jì)類型以及如何實(shí)施這些審計(jì)有助于你滿足合規(guī)需求。

要實(shí)施完善的數(shù)據(jù)庫(kù)審計(jì)，必須理解的一個(gè)關(guān)鍵問題是需求，從而知道可以使用哪些審計(jì)類型來滿足自己的需求。本文可作為你實(shí)施數(shù)據(jù)庫(kù)審計(jì)的一個(gè)參考。

審計(jì)數(shù)據(jù)庫(kù)的登入和登出

在你要進(jìn)入一家公司會(huì)晤某人的時(shí)候，一般需要在前臺(tái)進(jìn)行登記。這樣做可確保公司完整的記錄進(jìn)入公司的任何人，在出現(xiàn)問題時(shí)，或在追蹤和調(diào)查“這事兒是誰干的？”時(shí)，這種登錄很有用處。這種日志通常會(huì)記錄來客是誰、何時(shí)進(jìn)入、何時(shí)離開。同樣的過程也適用于數(shù)據(jù)庫(kù)，多數(shù)環(huán)境中所需要的首要審計(jì)就是完整的記錄哪些人曾登入過數(shù)據(jù)庫(kù)。

對(duì)于這類審計(jì)，你需要記錄兩類事件：登入事件和登出事件。對(duì)于每一個(gè)事件，你都需要保存登錄名和時(shí)間，但你還應(yīng)該考慮記錄附加信息。這包括發(fā)起連接的客戶端的IP地址，以及用于初始化連接的程序。例如，在Oracle環(huán)境中，你可能想知道該連接是否由SQL Plus等初始化。

除了這兩類事件，你還應(yīng)當(dāng)記錄所有失敗的登錄企圖。事實(shí)上，從安全的觀點(diǎn)來看，失敗的登錄事件甚至可能比成功的登錄更重要。記錄失敗的登錄企圖不僅是為了審計(jì)和合規(guī)目的，而且可作為警告和停用某個(gè)賬戶的基礎(chǔ)。

雖然你可將這三類事件放在同樣的文件或表格中，但你可能會(huì)以不同的方式進(jìn)行報(bào)告。成功的登錄和登出報(bào)告不是多數(shù)人愿意關(guān)注的問題，除非要進(jìn)行某種調(diào)查，因?yàn)檫@些日志反映了正常的操作。除此之外，還有一種例外情況，即比較不同時(shí)期的文件，看其是不是發(fā)生了改變。然而，過多的失敗登錄肯定是一個(gè)令人感興趣的安全報(bào)告，而且許多人會(huì)根據(jù)如下這幾個(gè)方面定期地查看這些失敗的登錄企圖：

用戶名

連接失敗的客戶端IP地址

源程序

時(shí)間和日期

 例如，圖一展示了兩個(gè)視圖，這兩個(gè)視圖根據(jù)兩個(gè)方面進(jìn)行了分類總結(jié)，一是根據(jù)登錄名（上圖的左側(cè)），二是根據(jù)顯示失敗登錄的詳細(xì)視圖的報(bào)告（包括登錄名、源IP地址、連接到哪個(gè)數(shù)據(jù)庫(kù)服務(wù)器、通信類型）。

可使用數(shù)據(jù)庫(kù)的特性或使用外部的數(shù)據(jù)庫(kù)安全方案來審計(jì)登入和登出活動(dòng)。所有的數(shù)據(jù)庫(kù)廠商都支持這種基本的審計(jì)功能，而且因?yàn)檫@些事件的數(shù)量是很小的（至少在與審計(jì)實(shí)際的SQL調(diào)用時(shí)所得到的事件數(shù)量相比時(shí)是這樣的），所以數(shù)據(jù)庫(kù)在執(zhí)行這種審計(jì)時(shí)所遭受的性能損失很少。

正如在插入或更新時(shí)，Oracle觸發(fā)器會(huì)啟動(dòng)一樣，系統(tǒng)級(jí)觸發(fā)器會(huì)針對(duì)特定的系統(tǒng)事件（如登入、登出和DDL執(zhí)行）而執(zhí)行。下面看一下如何實(shí)施這種審計(jì)：

首先，創(chuàng)建一個(gè)你用來保存這種信息的表：

下一步，創(chuàng)建一個(gè)在發(fā)生新登入時(shí)可執(zhí)行的觸發(fā)器：

 #p#

多數(shù)數(shù)據(jù)在用戶登入時(shí)被記載，但在用戶登出時(shí)，需要用觸發(fā)器來記載其登出日期和時(shí)間，代碼如下：

在Oracle環(huán)境中這樣做就可以了。如果你運(yùn)行的是Sybase環(huán)境，問題就更簡(jiǎn)單了，因?yàn)槟憧梢杂孟旅娴拿顚徲?jì)對(duì)所有數(shù)據(jù)庫(kù)的所有訪問：

根據(jù)失敗的登錄來實(shí)施警告或賬戶鎖定這種功能，需要得到數(shù)據(jù)庫(kù)廠商或數(shù)據(jù)庫(kù)安全解決方案的支持。如果使用數(shù)據(jù)庫(kù)來生成登錄和登出的審計(jì)，并且你的數(shù)據(jù)庫(kù)廠商可以實(shí)施賬戶鎖定功能，那么，你可以在數(shù)據(jù)庫(kù)環(huán)境中實(shí)現(xiàn)這一點(diǎn)。例如，你可能知道如何建立Oracle的口令策略。在另外一種環(huán)境中（如SQL server 2000），你就無法使用本地?cái)?shù)據(jù)庫(kù)特性來完成此功能，而需要編寫代碼來檢查Windows的事件日志，查找失敗的登錄，或者使用一個(gè)外部的安全系統(tǒng)來實(shí)現(xiàn)。

在使用外部安全系統(tǒng)時(shí)，你可以使用SQL防火墻來阻止經(jīng)過一定數(shù)量的失敗登入企圖后，某個(gè)登錄名的任何連接。在這種情形中，數(shù)據(jù)庫(kù)并不會(huì)收到連接企圖，因?yàn)檫@種連接企圖會(huì)在防火墻水平上被拒絕。另外一個(gè)選擇（該選擇并不要求你將安全系統(tǒng)置于數(shù)據(jù)庫(kù)之前）是使用數(shù)據(jù)庫(kù)過程，如圖二所示。在這種情形中，失敗的登錄次數(shù)超過某個(gè)上限后，審計(jì)系統(tǒng)就會(huì)生成一次審計(jì)。該審計(jì)被發(fā)送給一個(gè)負(fù)責(zé)連接到數(shù)據(jù)庫(kù)的系統(tǒng)，并且調(diào)用一個(gè)過程來鎖定賬戶。該系統(tǒng)一般還會(huì)通知數(shù)據(jù)庫(kù)管理員，告知已經(jīng)采取了該行動(dòng)，以便于進(jìn)行調(diào)查，并且在必要時(shí)可以釋放被鎖定的賬戶。

除了可用于創(chuàng)建審計(jì)線索，登錄信息可用于創(chuàng)建一種可以幫助管理員確認(rèn)異常的基準(zhǔn)。用戶登錄活動(dòng)的基準(zhǔn)是“正常”登錄行為的反映。這種基準(zhǔn)是通過著眼于在某段時(shí)間（例如，一個(gè)月）的所有登錄活動(dòng)而構(gòu)建的。通過將所有的可能性進(jìn)行組合，對(duì)其分類而建立基準(zhǔn)。例如，你可以根據(jù)網(wǎng)絡(luò)位置、用戶名、源程序、時(shí)間和日期來對(duì)登錄進(jìn)行分類，此時(shí)的基準(zhǔn)可能會(huì)類似于下面這個(gè)樣子：

這個(gè)基準(zhǔn)表明，根據(jù)相對(duì)記錄期中所觀察到的所有登錄活動(dòng)，user1總是從192.168.1.168（例如這是一臺(tái)應(yīng)用程序服務(wù)器），并且是24小時(shí)持續(xù)地連接。User2用于從Excel連接到數(shù)據(jù)庫(kù)，它用于192.168子網(wǎng)中的多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)中，不能用于正常上班時(shí)間之外。***，在從isql發(fā)起訪問時(shí)，就會(huì)用到user3，它可以在周末從10.10.10子網(wǎng)的任何節(jié)點(diǎn)上工作。

有了這種基準(zhǔn)，管理員就可以對(duì)背離正常操作的行為做出報(bào)告或發(fā)出警告。例如，如果你看到有人使用user1成功登錄，但其IP地址卻不同于192.168.1.168，而且所使用的工具卻是SQL Navigator之類的工具，可以斷定，要么你的環(huán)境發(fā)生了變化，要么是某人成功地獲得了應(yīng)用程序服務(wù)器的用戶名和口令，并用這些信息從數(shù)據(jù)庫(kù)析取信息。再舉一個(gè)例子，使用user2在午夜2點(diǎn)的一次登錄就非常可疑。當(dāng)然，這可能表明某個(gè)人工作得很晚，但根據(jù)具體環(huán)境、敏感性等，你可能需要深入地調(diào)查此事。

【編輯推薦】

1. 安全審計(jì)打造固若金湯的數(shù)據(jù)堡壘(二)
2. 安全審計(jì)打造固若金湯的數(shù)據(jù)堡壘(三) 
3. 電信行業(yè)數(shù)據(jù)庫(kù)安全審計(jì)解決方案
4. 電力行業(yè)數(shù)據(jù)庫(kù)系統(tǒng)安全審計(jì)解決方案
5. 交警支隊(duì)數(shù)據(jù)庫(kù)安全審計(jì)解決方案