Oracle數據庫審計功能的安全審計獲取技術

頁眉內容

《數據采集與審計》

課程論文

題目：Oracle數據庫審計功能的安全審計獲取技術

姓名：**學號：*******

院（系）：

專業：

7

頁眉內容

南京審計學院

20**年**月**日

7

頁眉內容

Oracle數據庫審計功能的安全審計獲取技術

**********1班**

【摘要】本文重點講述了Oracle數據庫在安全審計數據中的獲取技術實際應用。在當

今信息系統應用及其廣泛的大環境下，信息系統審計也需要更強大的審計軟件來實現數

據審計功能，本文基于Oracle數據庫詳細講解了數據審計功能和它的獲取技術關鍵。

【關鍵詞】Oracle技術；安全審計；審計數據的獲取

7

頁眉內容

OracleAuditFunctionofTheSecurityAuditAccesstoTechnology

Abstract：ThispaperfocusesontheOracledaelyusedintoday's

informationsystemenvironment,informationsystemauditalsoneedmorepowerfulauditsoftwaretoimplementthedataaudit,thisarticleisbasedonOracle

databaseindetailthefunctionofdataauditinganditsaccesstokeytechnology.

Keywords:OracleRDBMSSecurityauditauditdataacquisition

7

頁眉內容

引言

隨著全球信息化腳步的逐步加快，信息系統的安全越來越重要。國際上第一個有關

信息技術安全性評價的標準TCSEC（TrustedComputingStandardsEvaluatingCriteria），于上世紀80年代誕生

于美國，它是由美國國防部制定的《可靠計算機標準評估準則》，其中給出了一套標準

來定義滿足安全等級所需的安全功能及其保證的程度。作為其中一種安全保障機制的審

計，在最早的TCSEC中已經有了確定的要求。信息系統審計是記錄信息系統中用戶活動行

為的一種機制，它不但能夠識別誰訪問了系統，并能記錄系統被怎樣使用，從而為安全

事件的事后處理的提供依據。

審計功能的要求是在TCSEC中制訂的，安全審計作為新的概念，專門指由專業審計師

根據相關法律法規或財產所有人的委托及管理當局的授權，對計算機網絡環境下的有關

活動或行為進行系統、獨立的檢查驗證，并做出相應的評價。安全審計有四個基本要素，

包括安全漏洞，控制目標，控制措施與控制測試。安全漏洞是系統中容易被干擾或者破

壞的地方，是它的安全薄弱地區；控制目標是企業依據實際的計算機應用結合本公司的

實際情況做出的安全控制要求；而控制測試是企業對所有的安全控制措施與預期的安全

標準進行對比，對各項控制措施的存在性，執行力度，漏洞防范有效性的評價，得出企

業的安全措施可依賴程度。在這里安全審計作為專門的審計項目，審計人員必須要有過

硬的專業職能與技術。

安全審計是大審計的一部分，在計算機網絡環境安全對國家的安危和經濟體的利益

影響越來越深的大環境下，國家、社會、企業三位一體的去安全審計機制必須盡快建立

起來。而在國家的安全審計機關更加應當做出行動，首先基于法律法規針對廣域網的企

業安全實施年審制，其次應該發展社會中介機構，從而對計算機網絡的安全提供審計服

務，與律師事務所與會計師事務所一樣，能夠對企業計算機網絡系統安全作出評價，以

面向社會。在企業管理當局對網絡系統進行評估時，能夠從從中介機構處獲得對安全性

的檢查結論和最終評價。不僅如此，財政和財務審計也不與網絡安全息息相關，安全專

家們對網絡的安全機制作出評價，從而為委托人對相應的信息處理系統披露的信息真實

性與可靠性的可靠判斷提供依據。

而安全審計的第一步是審計數據的采集，可以設定為審計數據庫中的數據和操作系

統的日志、軟件登錄日志等等。在Oracle數據庫中，首先，對數據庫的訪問行為的審計，

目標是對用戶對數據庫操作的相關信息進行記錄，使得在必要時能夠查詢和對操作記錄

進行分析和判斷，在數據訪問操作時，審計機制記錄下操作的時間地點人物與操作的種

類和成功與否，然后對審計數據分析從而發掘出用戶的正常行為模式，判斷用戶行為合

法性，只要將對數據系統的數據訪問操作的審計記錄表示為六種要素信息，即用戶名

（人，操作行為發出者，即數據庫使用者），操作時間（時間，操作的具體發生時間），

IP（地點，實際操作發生地點），操作對象（對象名，數據操作的對象），操作行為（操

作類型，如select或update等）與返回碼（操作結果，成功或失敗）。

由于在大部分的基于Oracle數據庫的應用系統中都有依據自身系統功能設計實現對自

7

頁眉內容

身系統的用戶管理，從而能夠實現應用系統級的用戶管理與認證。審計六要素信息的操

作時間，操作行為，操作對象，返回碼都能在用戶在應用系統中對數據庫進行操作時從

Oracle數據庫的審計記錄里獲得。所以想要得到滿足審計需求的審計數據應當由數據庫審

計與應用系統審計這兩者的記錄合計獲得。數據審計系統的目標就是能夠對需要審計的

數據部署審計，當被審計數據發生操作時，實現對操作者、操作時間、操作對象和操作

行為信息的自動記錄，并提供這些信息的查詢、統計等功能。另外對有不同安全要求的

數據對象，又分為記錄操作數據和不記錄操作數據兩種審計級別。

Oracle數據庫自身的安全審計機制能夠審計在數據庫中發生的所有操作，產生的審計

記錄能夠保存到操作系統的審計跟蹤中。但是在實際使用過程中，使用的操作系統能否

支持則是能不能把Oracle數據庫的審計記錄寫到操作系統的審計跟蹤中的決定因素。

審計數據的產生必須要在數據庫開啟審計功能之后，在默認情況下，Oracle數據庫的

安全審計功能是關閉的，因為打開審計功能后，它會對系統得空間和性能兩方面產生影

響，所以想要從Oracle數據庫中獲得審計記錄，必須首先打開數據庫審計功能。而想要激

活數據庫上的審計功能，數據庫的初始化參數文件里必須包括audit_trail參數。參數可取值

為：OE（即禁用審計功能）、DB（即激活審計功能并將審計記錄寫到表中）、OS

（即即激活審計功能并將審計記錄寫到操作系統的審計跟蹤中，具體位置視具體情況而

定）。通過對audit_trail參數的設置，Oracle數據庫審計功能就能夠開啟，就能夠對所有發生

在數據庫內部的操作行為記錄下來，并對這些記錄進行深入研究分析，獲取重要的結論。

在下面，我們將對應用系統審計與數據庫審計設計和實踐進行闡述分析。

一、數據庫審計

數據庫審計能夠在發生對數據庫的操作時，捕捉并記錄操作時間、操作對象和操作

行為類型的信息。在Oracle數據庫中通過系統審計機制能夠記錄對數據庫操作時間、操作

對象名稱和行為類型。審計功能能對數據庫中發生的所有操作進行審計，審計記錄包括

操作時間、用戶名、操作行為和操作對象等。通過提交審計語句能夠開啟對相應類型數

據庫操作的審計。因為Oracle系數據庫的審計范圍很廣，并且在審計類別上有重疊，所以

對審計對象分類，從而獲取代表性審計對象給應用系統是有必要的。

由于在數據修改操作進行審計時，Oracle數據庫的審計功能沒有記錄修改前后的數值

的功能，這類操作的審計可以由觸發器實現，作為對系統審計的補充。大部分關系數據

庫系統都支持觸發器的使用，它在滿足執行條件時由系統自動調用而執行。通過對需要

審計的數據表添加行觸發器，在觸發器體內寫下記錄操作要素的代碼，就能實現對數據

修改操作的審計。所以數據庫審計能夠通過Oracle系統審計和編寫審計觸發器相結合加以

實現，以便記錄操作時間、操作類型與操作對象三要素。

二、應用系統審計

審計信息要素中的用戶名不能通過數據庫審計獲得。應用系統審計是審計系統在應

用系統中的實施部分，它能夠記錄應用系統的用戶名。由于目前應用系統多使用B/S構架

或C/S構架，因此應用審計層需要分別在使用這兩類構架的應用系統上加以實現。在C/S

構架的應用系統中，用戶通過應用系統客戶端連接數據庫，由客戶端可以獲取用戶的用

戶名信息及地址信息。在B/S構架的應用系統中，用戶在瀏覽器對話期間，應用系統可以

根據用戶的會話信息得到用戶名。應用系統收到操作請求時，通過向數據庫寫入操作者

信息即可完成應用審計層對操作者信息的記錄。應用系統審計層不僅能記錄用戶名，還

7

頁眉內容

會記錄操作時間，這樣能夠確定幫助確定操作者與操作行為的對應關系。

三、數據庫審計與應用系統審計的數據關聯

在數據庫審計和應用系統審計分別實現了對審計要素中不同內容的記錄后，為了形

成完整的包含審計六要素的審計記錄，還必須將數據庫審計層記錄的數據操作信息與應

用審計層記錄的操作者信息進行關聯，使系統能夠根據數據操作信息得到執行此操作的

唯一的操作者信息。

數據庫審計和應用系統審計記錄的內容中都包含IP和操作時間信息，如果能通過這

些共同信息的關聯實現兩個審計層記錄的信息一一對應，那么數據庫審計與應用系統審

計無需額外增加記錄的內容，將是一種非常經濟的方法。然而，這種方法并不能滿足對

應關系唯一性的要求。例如，當同一時間有兩個C/S類用戶在同一主機上登錄應用系統客

戶端進行數據操作時，由于這兩個用戶的IP和操作時間都相同，因此無法根據數據操作

信息推出執行該操作的唯一的用戶信息。而對于B/S類用戶，由于數據庫審計層只能記錄

應用服務器IP而無法記錄用戶IP，將兩個審計層記錄的信息對應起來更加困難。因此，

為了將數據庫審計與應用審計系統記錄的信息進行關聯，還必須尋可以標識每次數據

操作、并可同時被數據庫和應用系統記錄的參數，會話標識符可以滿足上述要求。

結論

數據審計是信息系統審計的一個環節，除此之外還有用戶操作審計、操作系統審計、

網絡安全審計等等，它們共同構成信息系統的審計體系。

隨著IT技術的發展和審計環境的變化，信息系統審計的硬件軟件條件也在不斷地改

進。文中使用的Oracle數據庫的審計功能比較強大，安全審計的要求基本實現，我們在審

計過程中所需要的數據庫獲取技術能夠滿足審計需求。

參考文獻：

[1]KevinLoney,MarieneThriault李紀松，周保太，等譯.數據庫管理員手冊[M].北京：機械工業出版社，2000.

[2]陳懷楚，王映.大學資源計劃（URP）建設研究[J].實驗技術與管理，2002，19（增刊）：102

[3]SusanHenczelTheInformationAuditasFirstSteptowardsEffectiveKnowledgeManagement:anOpportunityfortheSpecial1Librarian[J].SPEL,2000,34:210.

[4]陳晨,陳懷楚,高國柱,劉寶林.基于Oracle數據庫的數據審計系統的設計與實現[D].清華大學計算機與

管理應用中心.2005：

[5]李學剛.Oracle安全審計技術在教學管理信息系統中的應用研究[D].湖南大學.2011：

7