oracle10g ocp认证周老师中文与真题精解

1、管理 Oracle 数据库安全讲师:n 1数据目标课程目标:描述作为DBA的职责通过应用最小权限原则实现数据库安全管理默认用户账号实现标准安全特点描述数据库审计描述 VPDn 2数据工业安全需要.法律:Sarbanes-Oxley Act (SOX)Health Information Portability and Accountability Act (HIPAA)California Breach LawUK Data Protection Act审计n 3数据Requirements Least Privilege AuditingValue-based FGADBASec. Upda

2、tes职责分离DBA用户必须是赖的DBA的职责必须共享账号不能共用DBA和系统管理员必须属于不同的人分离操作员和DBA的职责n 5数据数据库安全一个安全的系统保证了数据库中数据的个方面：性，安全机制包括以下几限制验证用户监视可疑行为n 6数据最小权限原则.在机器里面只安装必须的只激活必须的服务的用户提供对OS和数据库仅给需要root或者管理员账号SYSDBA 和 SYSOPER 账号数据库对象必须做这些事务限制限制限制用户n 8数据RequirementsLeast Privilege AuditingValue-based FGADBASec. Updates应用最小权限原则保护数据字典:从

3、PUBLIC中撤回不必要的权限:通过用户限制目录限制用户拥有管理权限限制数据库验证:n 9数据REMOTE_OS_AUTHENT=FALSEREVOKE EXECUTE ON UTL_SMTP, UTL_TCP, UTL_HTTP, UTL_FILE FROM PUBLIC;O7_DICTIONARY_ACSIBILITY=FALSE监视可疑行为监视和审计是安全程序的主要部分：强制审计标准的数据库审计基于值的审计FGADBA审计n 16数据Requirements Least PrivilegeAuditing Value-based FGADBASec. Updates标准的数据库审计启用数

4、据库审计参数文件User执行命令DBA(2) 指定审计选项.产生审计回顾审计信息.审计OS 或 XML审计n 17数据服务器进程数据库审计选项审计启动审计修改初始化参数后需要重起数据库.n 18数据ALTER SYSTEM SET audit_trail=“XML” SCOPE=SPFILE;审计轨迹用启动数据库审计AUDIT_TRAILEXTENDED_TIMEST, GLOBAL_UID,PROXY_SESID,INSTANCE_NUMBER,OS_PROS,TRANIONID,SCN,SQL_BIND,SQL_TEXTn 19数据MON_AUDIT_TRAILDBA_FGA_AUDIT_

5、TRAILDBA_AUDIT_TRAILAUDIT_TRAIL=DB,EXTENDEDS ENEMENTID, RYIDTEntrise Manager 审计页n 20数据指定审计选项SQL 语句设计:系统权限审计 (nonfocused and focused):对象权限审计 (nonfocused and focused):n 21数据AUDIT ALL on hr.employees;AUDIT UPDATE,DELETE on hr.employees BY ACS;AUDIT select any table, create any trigger;AUDIT select any

6、tabY hr BY SES;AUDIT table;使用和审计信息如果不用可以禁用审计选项n 22数据基于值的审计用户开始一个进程触发器文件通过触发器创建审计文件被改变.到一个审计表中.n 23数据Requirements Least Privilege AuditingValue-based FGADBASec. Updates增强企业用户审计n 25数据共享模式FGADB_USER GLOBAL_UID标准审计USERNAME GLOBAL_UID单一模式FGADB_USER标准审计USERNAMEFGA可以监视基于目录的数据存取可以审计 SELECT, INSERT, UPDATE,

7、DELETE, 和可以连接到表或者视图是一个安全保证程序用DBMS_FGA包管理FGAMERGE成员n 26数据Policy: AUDIT_EMPS_SALARYSELECT name, salary FROM employees WHEREdepartment_id = 10;Requirements Least Privilege AuditingValue-basedFGA DBASec. UpdatesFGA 策略定义:审计标准审计行为由DBMS_FGA.ADD_POLICY创建成员n 27数据SECURE.LOG_ EMPS_SALARYSELECT name, salary FRO

8、M employees WHEREdepartment_id = 10;SELECT name, job_id FROM employees;dbms_fga.add_policy ( object_schema = HR, object_name= EMPLOYEES,policy_name = audit_emps_salary, audit_condition= department_id=10, audit_column= SALARY, handler_schema = secure, handler_module = log_emps_salary, enable= TRUE,se

9、ment_types = SELECT );DML审计: 考虑事项如果FGA判断是满意的并且有关字段被,则被审计.DELETE语句对于任何字段是会被无条件审计的或 UPDATE语句审计.MERGE语句用下面INSERTn 29数据UPDATE hr.employees SET salary = 10WHERE employee_id = 111;UPDATE hr.employees SET salary = 10WHERE commis_pct = 90;FGA 指导审计全部语句，使用null条件.策略名必须唯一.创建审计粗略时审计表或视图必须存在Y.如果审计条件语法错误,会发生.审计对象发

10、生时ORA-28112被审计.如果审计的标中字段不存在，没有仍然会创建.如果事件处理者不存在，没有错误返回，同时审计n 30数据DBA 审计当数据库处在关闭状态的时候用户可以用连接:SYSDBA 或 SYSOPER在数据库外面.审计线索必须被用SYSDBA 或 SYSOPER登陆的用户会一直被审计用用audit_sys_operations启动SYSDBAaudit_file_dest控制审计轨迹或的额外审计SYSOPERn 31数据Requirements Least Privilege AuditingValue-based FGADBASec. Updates审计轨迹系统将被保持.最好对

11、照练习指南:和储藏老问题检查预防避免丢失n 32数据审计？符合下列说明, “A” 到 “审计？”, 和“T” 到 “审计轨迹”.A1: 数据通过DML语句被改变A2: SQL 语句 (insert, update, delete, select, and merge)使用包括对象A3:T1: 固定的数据包括SQL语句T2: 固定的一套数据T3: N/An 33数据审计类型什么被审计？审计轨迹?标准的数据库审计基于值的审计FGA安全更新Oracle公司安全警报技术:htt数据库管理员和开发/technology/deploy/security/alerts.htm可以通过点击“订阅警报”用电子邮

12、件订阅安全警报通知.有关的n 34数据Requirements Least Privilege AuditingValue-based FGADBASec. Updates应用安全补丁使用关键性补丁更新进程.适用于所有的安全补丁和工作和工作区.联络Oracle安全产品的团队.n 35数据虚拟私有数据库: 概览虚拟私有数据库(VPD) 由下列项组成:精密审计控制安全应用VPD使用政策，以添加条件到SQL语句，保护敏感数据.VPD提供行级的控制在一个应用背景下通过精细审计策略应用属性定义.n 36数据VPD 例子业务规则: 雇员以外的人力资源部门只可看到自己的雇员进入以下查询:. 销售员SELEC

13、T * FROM EMPLOYEES;功能实施安全政策的回应，employee_id= my_emp_id 和数据库重写查询并执行:SELECT * FROM EMPLOYEESWHEREemployee_id=my_emp_id;n 37数据创建一个字段级别策略n 38数据BEGINdbms_rls.add_policy(object_schema = hr, object_name = employees,policy_name = hr_policy, function_schema =hr, policy_function = hrsec,sement_types =select,insert, sec_relevant_cols=mis_pct);END;/字段标准 VPD:例如语句并不总是被改写.设想一个策略来保护EMPLOYEES表的SALARY段.FGA控制:和COMMIS_PCT字不执行此查询 :执行此查询 :n 39数据SQL SELECT * FROM employees;SQL SELECT last_name, salary2 FROM employees;SQL SELECT last_name FROM employees;总结在本节课里，你学会如何:描述DBA的安全责任确定最少权限原则 启动标准数据库审计确定审计选项核对审计信息审计轨迹n