数据库审计详解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
审计概念最早用于财务系统,主要是获取金融体系和金融记录 的公司或企业的财务报表的相关信息。随着科技信息技术的发 展,大部份的企业、机构和组织的财务系统都运行在信息系统 上面,所以信息手段成为财务审计的一种技术的同时,财务审 计也带动了通用信息系统的审计。审计已开始包括信息技术审 计。
信息技术审计,是一个信息技术( IT )基础设施控制范围内 的检查。信息系统审计是一个通过收集和评价审计证据,对信 息系统是否能够保护资产的安全、维护数据的完整、使被审计 单位的目标得以有效地实现、使组织的资源得到高效地使用等 方面做出判断的过程。
程 • master库中的配置选项 • 内存审计队列 • 审计处理程序
sybsecurity数据库
• sybsecurity库是sqlserver审计系统的基础, 它是由审计系统的安装程序sybinit 来建立 的,除包括model库中所有表之外,还另有 两张系统表。
• sysaudits 审计记录表。所有审计信息均被 记载在这个表中
• database 级 包括操作grant , revoke, truncate table, drop, use
• object 级 包括table/view access , procedure, trigger执行
安装审计系统
审计系统由sybase安装程序sybinit安装。整个安装过程完成以 下操作
现提供几种方法处理审计记录信息,用户可根据自己系统
需求选择其中之一。
将审计记录拷贝到档案表中存放或直接将数据存放外存介质。
截断sysandits表,不保存审计记录。
将档案表中数据存放于外存介质。
审计记录表sysaudits溢出,会导致以下的问题
审计处理过程会死掉
当前内存审计队列的数据将丢失
USE master
GO
CREATE SERVER AUDIT SrvAudit
• sysauditoptions 审计选择设置记录
内存审计队列
当定义的审计事件发生时,审计记录首先被放在内存审计队列 ,在它被审计处理程序存放审计记录之前,将一直存在这里。 如果系统发生故障,内存审计队列记录可能丢失。内存审计队 列溢出会影响整个系统的性能。当审计队列没有空间时,如果 用户执行一个被定义的审计的操作,那么审计处理程序将进入 一种睡眠状态,等待有足够的内存空间才运行用户的命令。内 存审计队列空间可由sp-configure来设置,参数为audit queue size 。
例上创建审计,这样就能创建一个SQL Server审计。审计就是为与数据库引擎相关 的具体事件集合配置的安全对象。你可以 在SQL Server 2008里的一个实例上创建多 个审计。
在创建审计时,你必须给它指定一个名称 和事件输出的目标位置。目标文件可以是 二进制的文件、Windows Security日志或
数据库知识点 审计
审计概述
审计的概念? 审计系统的构成? Sybsecurity数据库? 内存审计队列? 审计级别 安装审计系统 审计数据管理 实例演示(sql 2008)
审计的概念
审计,英文称之为“audit”,检查、验证目标的准确性和完整性 ,用以防止虚假数据和欺骗行为,以及是否符合既定的标准、 标竿和其它审计原则。
数据库审计作为信息安全审计的重要组成部分,同时也是数据 库管理系统安全性重要的一部分。通过审计功能,凡是与数据 库安全性相关的操作均可被记录下来。只要检测审计记录,系 统安全员便可掌握数据库被使用状况。
审计系统的构成
• 审计系统的构成 • sybsecurity 数据库 • 存放在sybsystempocs中的一组系统存储过
建议不在sybsecurity库中建立任何用户表,存贮过程等。
因为sysaudits表是相当动态变化的,必须监控其设备的使用情
况。
用于审计的系统存储过程
sp-auditdatabase 设置数据库级事件审计
sp-auditobject 设置访问表与视图事件的审计
sp-auditsproc 设置执行系统存储过程与触发事件审计
sp-auditlogin 设置指定用户全部操作的审计
Байду номын сангаас
审计数据管理
记录审计事件的表sysaudits增长很快,对这些记录信息必须做 有效的管理,定期将审计记录归档。归档可以由手工操作完成 ,也可以用系统threshold manager来完成。如果用threshold 那 么必须将sysaudit表放在独自的段上。
用户程序向内存审计队列发送数据时被杀掉
取消审计系统功能
sp-auditoption "enable auditing","off" 停止审计系统工作之后,删除sybsecurity 库 drop database sybsearuity
实例演示(sql 2008)
创建SQL Server审计 第一步你应该在SQL Server 2008的一个实
执行disk init初始化用户指定使用的设备,并在其上创建 sybsecurity数据库。
运行sp-auditinstall建立一个段空间,并将sysaudit表建在这个 段上。
运行installsecurity,建立sysauditoptions 表,建立审计系统存 储过程
重新启动sql server 。
,如果需要的话,可将这些数据倒到另外一个表中存放起来, 或挎贝到磁带上存放。这些工作可以由threshold manager来做
审计级别
• sql server 级 包括如下操作login ,logout ,reboot , remote procedue call , fatal error, privileged command.
审计数据流图
用户将要在tablea中插入记录,insert已被定义为审计事件。 检查操作权限,关于这条命令和处理的信息被记录在内存审计
队列。 审计处理过程被调度的,将内存审计队列的信息写入
sybsecurity库的sysaudits表中。 审计信息被存在sysaudit表中,这些信息随系统运输愈来愈多
信息技术审计,是一个信息技术( IT )基础设施控制范围内 的检查。信息系统审计是一个通过收集和评价审计证据,对信 息系统是否能够保护资产的安全、维护数据的完整、使被审计 单位的目标得以有效地实现、使组织的资源得到高效地使用等 方面做出判断的过程。
程 • master库中的配置选项 • 内存审计队列 • 审计处理程序
sybsecurity数据库
• sybsecurity库是sqlserver审计系统的基础, 它是由审计系统的安装程序sybinit 来建立 的,除包括model库中所有表之外,还另有 两张系统表。
• sysaudits 审计记录表。所有审计信息均被 记载在这个表中
• database 级 包括操作grant , revoke, truncate table, drop, use
• object 级 包括table/view access , procedure, trigger执行
安装审计系统
审计系统由sybase安装程序sybinit安装。整个安装过程完成以 下操作
现提供几种方法处理审计记录信息,用户可根据自己系统
需求选择其中之一。
将审计记录拷贝到档案表中存放或直接将数据存放外存介质。
截断sysandits表,不保存审计记录。
将档案表中数据存放于外存介质。
审计记录表sysaudits溢出,会导致以下的问题
审计处理过程会死掉
当前内存审计队列的数据将丢失
USE master
GO
CREATE SERVER AUDIT SrvAudit
• sysauditoptions 审计选择设置记录
内存审计队列
当定义的审计事件发生时,审计记录首先被放在内存审计队列 ,在它被审计处理程序存放审计记录之前,将一直存在这里。 如果系统发生故障,内存审计队列记录可能丢失。内存审计队 列溢出会影响整个系统的性能。当审计队列没有空间时,如果 用户执行一个被定义的审计的操作,那么审计处理程序将进入 一种睡眠状态,等待有足够的内存空间才运行用户的命令。内 存审计队列空间可由sp-configure来设置,参数为audit queue size 。
例上创建审计,这样就能创建一个SQL Server审计。审计就是为与数据库引擎相关 的具体事件集合配置的安全对象。你可以 在SQL Server 2008里的一个实例上创建多 个审计。
在创建审计时,你必须给它指定一个名称 和事件输出的目标位置。目标文件可以是 二进制的文件、Windows Security日志或
数据库知识点 审计
审计概述
审计的概念? 审计系统的构成? Sybsecurity数据库? 内存审计队列? 审计级别 安装审计系统 审计数据管理 实例演示(sql 2008)
审计的概念
审计,英文称之为“audit”,检查、验证目标的准确性和完整性 ,用以防止虚假数据和欺骗行为,以及是否符合既定的标准、 标竿和其它审计原则。
数据库审计作为信息安全审计的重要组成部分,同时也是数据 库管理系统安全性重要的一部分。通过审计功能,凡是与数据 库安全性相关的操作均可被记录下来。只要检测审计记录,系 统安全员便可掌握数据库被使用状况。
审计系统的构成
• 审计系统的构成 • sybsecurity 数据库 • 存放在sybsystempocs中的一组系统存储过
建议不在sybsecurity库中建立任何用户表,存贮过程等。
因为sysaudits表是相当动态变化的,必须监控其设备的使用情
况。
用于审计的系统存储过程
sp-auditdatabase 设置数据库级事件审计
sp-auditobject 设置访问表与视图事件的审计
sp-auditsproc 设置执行系统存储过程与触发事件审计
sp-auditlogin 设置指定用户全部操作的审计
Байду номын сангаас
审计数据管理
记录审计事件的表sysaudits增长很快,对这些记录信息必须做 有效的管理,定期将审计记录归档。归档可以由手工操作完成 ,也可以用系统threshold manager来完成。如果用threshold 那 么必须将sysaudit表放在独自的段上。
用户程序向内存审计队列发送数据时被杀掉
取消审计系统功能
sp-auditoption "enable auditing","off" 停止审计系统工作之后,删除sybsecurity 库 drop database sybsearuity
实例演示(sql 2008)
创建SQL Server审计 第一步你应该在SQL Server 2008的一个实
执行disk init初始化用户指定使用的设备,并在其上创建 sybsecurity数据库。
运行sp-auditinstall建立一个段空间,并将sysaudit表建在这个 段上。
运行installsecurity,建立sysauditoptions 表,建立审计系统存 储过程
重新启动sql server 。
,如果需要的话,可将这些数据倒到另外一个表中存放起来, 或挎贝到磁带上存放。这些工作可以由threshold manager来做
审计级别
• sql server 级 包括如下操作login ,logout ,reboot , remote procedue call , fatal error, privileged command.
审计数据流图
用户将要在tablea中插入记录,insert已被定义为审计事件。 检查操作权限,关于这条命令和处理的信息被记录在内存审计
队列。 审计处理过程被调度的,将内存审计队列的信息写入
sybsecurity库的sysaudits表中。 审计信息被存在sysaudit表中,这些信息随系统运输愈来愈多