1. 说明
本篇文章主要说一说Oracle数据库安全审计控制点中b、c、d测评项的相关内容和理解,以及一些其它零碎的与等保相关的内容。
2. 测评项
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d)应对审计进程进行保护,防止未经授权的中断。
3. 测评项b
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
审计记录应该包含足够的信息,对于数据库的审计而言而言,包含具体的SQL语句是必须的。
从Oracle安全审计(上)中可以得知,对于SYS用户,需要参数audit_sys_operations设置为true才会记录sys用户的具体操作的语句,否则只记录开启数据库、关闭数据库、建立连接等信息。
对于普通用户,则需要audit_trail参数设置为db, extended或xml, extended,否则不会记录具体的sql语句。
实际测评时,参数需要查看,同时具体的日志文件也需要查看,查看其是否真的存在记录。
3.1. 数据库表中的记录
如果audit_trail参数设置为db或db,extended,则其记录存放在数据库的表中。
sys.aud$ 表,审计记录的存放表,其它的视图都是从这里获取的数据:
select * from aud$;