电子审计轨迹分析(3)
2017-08-09 02:38
导读:首先我们使数据库答应审计,必须在INIT.ORA文件中的AUDITTRAIL值设为DB(答应审计,并将审计结果写进SYS.AUD$表),对于特定的表(如ACCOUNT表),我们所需要
首先我们使数据库答应审计,必须在INIT.ORA文件中的AUDITTRAIL值设为DB(答应审计,并将审计结果写进SYS.AUD$表),对于特定的表(如ACCOUNT表),我们所需要的审计轨迹主要是插进(INSERT、删除(DELETE)和更新 (UPDATE)操纵,可以利用以下的语句来进行:AUDIT INSERT ON ACCOUNT BY ACCESS;AUDIT UPDAT E ON ACCOUNT BY ACCESS;AUDIT DELETE ON ACCOUNT BY ACCESS;上述语句指定了一个审计记录在每次插进、删除和更新ACCOUNT表时写进,审计记录结果可以通过对DBA-AUDIT-OBJECT视图的查询进行显示。
假如在SYS.AUD$上储存信息,就必须先保护该表,否则用户可通过非法操纵来删除审计踪迹,由于SYS.AUD$是存在数据库内的,可通过以下命令来保护该表:AUDIT ALL ON SYSAUD$ BY ACCESS;而且对该表的操纵只能由具有CONNECT INTERNAL能力的用户来删除(例如,在DBA组中)。
另外,ORACLE8的触发器功能也是较强大的,如可以建立A和B两个触发器来对TABI表设置审计轨迹,并将轨迹记录在TAB2、TAB3表中。
CREAT TRIGGER A
AFTER INSERT OR UPDATE OR DELETE ON TAB1
DECLARE
STATEMENTTYPE CHAR(1);
BEGIN
IF INSERTING THEN
STATEMENTTYPE:=‘I’;
ELSIF UPDATING THEN
STATEMENTTYPE:=‘U’;
ELSE
STATEMENTTYPE:‘D’;
END IF;
INSERT INTO TAB2
VALUES(SYSDATE,STATEMENTTYPE, USER);
END A;
CREAT TRIGGER B
BEFORE INSERT OR UPDATE OR DELETE ON TAB1
FOR EACH ROW
BEGIN
INSERT INTO TAB3
VALUES(SYSDATE,USER,
NEW.ID,: NEW.RECORDER,:OLD.ID,:OLD,RECORDER);
END B;
3、其他数据库
ACCESS、FOXPRO等数据库可以通过设置密码等方式来限制访问,但直接利用数据库本身来设置审计轨迹是很困难的。
本文来自中国科教评价网 (三)操纵系统层
1、Windows2000操纵系统
Windows2000是微软最近推出的操纵系统,其覆盖的用户面之广是史无前例的:从家庭用户、贸易用户、笔记本用户、工作组服务器、部分服务器到提供企业计算和安全环境的高级服务器到可以提供全球联机电子交易服务的数据中心服务器。尽管可以分为四个版本:PROFESSIONAL(专业版)、SERVER(服务器版)、ADVANCED SERVER(高级服务器版)和DATACENTER SERVER(数据中心服务器版),然而内核和界面是一样的,区别仅在于支持的CPU数目和某些高级功能和服务。作为单用户多任务的内置网络功能操纵系统,Windows2000拥有一个健全的用户帐户和工作环境,利用其固有的安全机制,可以安排我们的审计轨迹。
Windows2000使用“本地安全设置”更精确地治理工作组中的用户和资源,它将安全策略地分成两类:帐户策略和本地策略。其中,本地策略包括审核策略、用户权利指派和安全选项,其中的审核策略就是用来指定要记录的事件类型,这些类型涉及从系统范围的事件(例如用户登录)到指定事件(例如某用户试图读取某个特定文件),这些事件包括成功事件、不成功事件或兼而有之。审核记录写进计算机的安全日志,通过“事件查看器”我们可以获得部分审计轨迹。
为了控制各种审计轨迹文件的数目,同时为了保护重要文件(包括审计踪迹文件)不被非法删除、修改,Windows2000新的“加密文件系统”(EFS提供了一种核心文件加密技术,该技术用于在NTFS文件系统卷上存储已加密文件。对已加密的文件的用户,加密是透明的。但是,试图访问已加密文件的进侵者将被禁止这些操纵。具体操纵时既可以通过为文件设置加密属性,也可以用命令行功能CIPHER加密文件。当然,利用Windows2000的文件和文件夹权限设置功能,也可以控制各种审计轨迹文件的数目。
