金融行業資料庫安全審計

標籤：group   failed   系統效能   title   安全   color   obj   資源   需要   

資料庫安全審計

行業要求：

審計內容是否至少包括：使用者的添加和刪除、審計功能的啟動和關閉、審計策略的調整、許可權變更、系統資源的異常使用、重要的系統操作（如使用者登入、退出）等。

資料庫開啟情況：

需開啟相關內容的Database Audit功能，方能滿足需求。

	審計內容	SQL Server	Oracle
1	使用者的添加和刪除	可滿足	可滿足
2	審計功能的啟動和關閉	可滿足	部分滿足（關閉可審計）
3	審計策略的調整	可滿足	可滿足
4	許可權變更	可部分滿足 （滿足Login層級的許可權變更，如果要細化到表層級，需要針對每個資料庫都建立審計，暫時不開啟細粒度的審計）	可滿足
5	系統資源的異常使用	（不理解定義，無從開啟）	（不理解定義，無從開啟）
6	重要的系統操作（如使用者登入、退出）等	可滿足	可滿足

• ?SQL Server

SQL Server只開啟了登入成功和失敗的審計，並寫入應用程式記錄檔。

以下審計行為集合基本能滿足行業審計指南的要求，鑒於目前沒有旁路審計系統，該審計功能的開啟會佔用系統資源，消耗部分效能。可以考慮先上生產觀察，如果有問題及時停止。可以滿足建立的審計寫入應用程式記錄檔，並從ELK查詢到。

SQL Server從2008開始引入了SQL Server審核（Audit），用於滿足細粒度的審計需求。可以針對特定的行為、主體和對象，細化到單個表層級。從使用者登入、登出事件，到表的建立、插入和刪除等。可選擇感興趣的待審計行為集合。SQL Server審核（Audit）基於擴充事件。當事件觸發時，近乎即時的分發給擴充事件引擎，由它通知調度器線程池，負責將使用者建立的事件會話從記憶體緩衝寫入到檔案等目標。預設，審計事件非同步寫入審計目標，效能影響很小。

	審核操作類型	描述
1	AUDIT_CHNAGE_GROUP	建立、修改或刪除任何審核時，均將引發此事件。 建立、修改或刪除任何審核規範時，均將引發此事件。 任何針對某審核的更改均將在該審核中審核。
2	FAILED_LOGIN_GROUP	指示主體嘗試登入到 SQL Server，但是失敗。 此類中的事件由新串連引發或由串連池中重用的串連引發。
3	SUCCESSFUL_LOGIN_GROUP	指示主體已成功登入到 SQL Server。 此類中的事件由新串連引發或由串連池中重用的串連引發。
4	LOGOUT_GROUP	指示主體已登出 SQL Server。 此類中的事件由新串連引發或由串連池中重用的串連引發。
5	SERVER_PRINCIPAL_CHANGE_GROUP	建立、更改或刪除伺服器主體時將引發此事件。 主體發出 sp_defaultdb 或 sp_defaultlanguage 預存程序或 ALTER LOGIN 語句時，將引發此事件。 此事件對 sp_addlogin 和 sp_droplogin 預存程序引發。 此事件由 sp_grantlogin、 sp_revokelogin 或 sp_denylogin 預存程序引發。
6	SERVER_PERMISSION_CHANGE_GROUP	為擷取伺服器範圍內的許可權（例如，建立登入名稱）而發出 GRANT、REVOKE 或 DENY 語句時，將引發此事件。
7	LOGIN_CHANGE_PASSWORD_GROUP	通過 ALTER LOGIN 語句或 sp_password 預存程序更改登入密碼時，將引發此事件。

• Oracle

Oracle提供內部審計功能，可提供標準的資料庫活動審計功能，通過參數audit_syslog_level可將審計條目寫入到預先配置好的syslog中，進而由ELK抓取，基本可滿足行業協會的要求，但部分功能有缺失，具體如下表：

審計策略	能否審計	動作陳述式
使用者的添加和刪除	能	audit create user;audit drop user 或audit user(所有對user的操作，包含create,drop,alter
審計功能的啟動和 關閉	部分可以	審計功能的開啟和關閉通過alter system語句的審計來實現：audit alter system; 在審計功能開啟的情況下可以審計對審計功能的關閉，
審計策略的調整	部分可以	審計策略調整通過語句system audit或許可權audit system來審計，當system audit被審計時，所有對審計策略的修改均可被審計，當上述語句或許可權沒有被審計則無法審計策略調整，包括audit audit system本身。
許可權變更	可以	許可權變更通過對語句system grant和grant any object privilege審計

對效能的影響：oracle審計發生在語句執行階段，根據oracle的白皮書《Oracle Database Auditing: Performance Guidelines》在一個tcp-c相當的測試中，測試結果如下

可見審計對效能影響很小，針對具體的系統需要測試審計對系統效能的影響。

金融行業資料庫安全審計