数据库安全审计模板.docx

数据库安全审计模板.docx

《数据库安全审计模板.docx》由会员分享，可在线阅读，更多相关《数据库安全审计模板.docx（36页珍藏版）》请在冰点文库上搜索。

数据库安全审计模板

数据库安全审计系统

姓名：

学号：

班级：

指导老师：

1引言

............................................................................................................................

3

1.1

编写目的...........................................................................................................................

3

1.2

数据库安全的定义和特征............................................................................................

3

1.2.1

数据库安全包含两层含义................................................................................

3

1.2.2

数据库安全的特征.............................................................................................

3

1.3

术语定义...........................................................................................................................

4

1.4

参考资料...........................................................................................................................

4

2总体设计....................................................................................................................

5

2.1

需求规定...........................................................................................................................

5

2.1.1

需求范围................................................................................................................

5

2.1.2

用户范围................................................................................................................

5

2.2

运行环境...........................................................................................................................

5

2.3

基本处理流程...................................................................................................................

5

2.4

系统总体结构...................................................................................................................

6

2.4.1

总体结构................................................................................................................

6

2.4.3

详细审计流程........................................................................................................

8

2.4.2

相关信息的获取及检查........................................................................................

9

3系统界面设计..........................................................................................................................

12

3.1

主界面

.............................................................................................................................

12

3.2

内部结构.........................................................................................................................

13

4接口设计...................................................................................................................................

13

4.1

用户接口.........................................................................................................................

14

4.2

外部接口.........................................................................................................................

14

4.3

内部接口.........................................................................................................................

14

5系统维护...................................................................................................................................

14

5.1

出错信息.........................................................................................................................

14

5.2

补救措施.........................................................................................................................

14

1引言

1.1编写目的

根据《用户需求规格书》、《软件需求规格书》、《架构设计说明书》编写此文档，为开发人员提供指引。

1.2数据库安全的定义和特征

1.2.1数据库安全包含两层含义

第一层是指系统运行安全,系统运行安全通常受到的威胁如下，一些网络不法分子通过网络，局域网等途径通过入侵电脑使系统无法正常启动，

或超负荷让机子运行大量算法，并关闭cpu风扇，使cpu过热烧坏等破坏性活动；第二层是指系统信息安全，系统安全通常受到的威胁如下，黑客

对数据库入侵，并盗取想要的资料。

1.2.2数据库安全的特征

数据库系统的安全特性主要是针对数据而言的，包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。

下面分别对其进行介绍

一、数据独立性：

数据独立性包括物理独立性和逻辑独立性两个方面。

物理独立性是指用户的应用程序与存储在磁盘上的数据库中的数据是相互独立的；逻辑独立性是指用户的应用程序与数据库的逻辑结构是相互独立的。

二、数据安全性：

操作系统中的对象一般情况下是文件，而数据库支持的应用要求更为精细。

通常比较完整的数据库对数据安全性采取以下措施：

（1）将数据库中需要保护的部分与其他部分相隔。

（2）采用授权规则，如账户、口令和权限控制等访问控制方法。

（3）对数据进行加密后存储于数据库。

三、数据完整性：

数据完整性包括数据的正确性、有效性和一致性。

正确性是指数据的输入值与数据表对应域的类型一样；有效性是指数据库中的理论数值满足现实应用中对该数值段的约束；一致性是指不同用户使用的同一数据应该是一样的。

保证数据的完整性，需要防止合法用户使用数据库时向数据库中加入不合语义的数据

四、并发控制：

如果数据库应用要实现多用户共享数据，就可能在同一时刻多个用户要存取数据，这种事件叫做并发事件。

当一个用户取出数据进行修改，在修改存入数据库之前如有其它用户再取此数据，那么读出的数据就是不正确的。

这时就需要对这种并发操作施行控制，排除和避免这种错误的发生，保证数据的正确性。

五、故障恢复：

由数据库管理系统提供一套方法，可及时发现故障和修复故障，从而防止数据被破坏。

数据库的恢复是指系统发生故障后，把数据从

错误状态中恢复到某一正确状态的功能。

对于事务故障、系统故障和介质故障三

种不同的故障类型，DBMS有不同的恢复方法。

登记日志文件和数据转储是恢复中常用的技术，恢复的基本原理是利用存储在日志文件和数据库后备副本中的冗余数据来重建数据库。

1.3术语定义

FAILED_LOGIN_ATTEMPTS:

最大错误登录次数

PASSWORD_GRACE_TIME:

口令失效后锁定时间

PASSWORD_LIFE_TIME:

口令有效时间

PASSWORD_LOCK_TIME:

登录超过有效次数锁定时间

PASSWORD_REUSE_口MAX:

令历史记录保留次数

PASSWORD_RESUSE_TIME:

口令历史记录保留时间

PASSWORD_VERIFY_FUNCTION:

口令复杂度审计函数

1.4参考资料

序

参考文档名称

作者

来源

号

1

审计软件开发指南

审计署

校图书馆二楼

2

基于数据库安全审

聂元铭，吴晓明

计的研究

1126edb6f1a1066.html

3

数据库安全审计取

林建辉，黄天戍，杨

证模型的实现

超

_wjsjxx200827053.aspx

2总体设计

2.1需求规定

2.1.1需求范围

Oracle数据库的账号和口令验证

在Oracle数据库系统中可以通过设置用户的安全参数维护安全性，为了防止非授权用户对数据库进行存取，在创建用户时必须使用安全参数对用户进行限制。

用户的安全参数包括：

用户名、口令、用户权限。

2.1.2用户范围

本系统主要用户可分为两大类用户：

管理员和普通用户和超级用户。

管理员：

数据库管理员通过创建、修改、删除和监视用户来控制用户对数据库的存取。

用户：

只能在限定的条件对数据库进行操作。

超级用户：

权限在普通用户和管理员之间。

2.2运行环境

Windows环境下，Oracle数据库

2.3基本处理流程

授权机制约束机制审计

身份验证

数据库服务器

用户

操作系统

（RDBMS）

存储过程触发器视图

图2数据库系统的安全机制

2.4系统总体结构

2.4.1总体结构

获取被审计单位

的相关信息

审计数据字典数据采集器

审计日志

手工分析分析器

执行响应

形成审计工作底稿

形成审计报告

2.4.3详细审计流程

以以

以以

以以

以以

以以

以以

以以

以以

以以

以以

以以

以以

以以

以

以以

以以以

以以以

以以以

以以以

以

以以以以

以以以以

以以以以

以以以以

以以以以

以以以

以以以以

以以以

以以以

以以

以以以

以以以

以以以

以以以

以以以

以以以

以以以

以以以

以以以

以以

以以以

以以

以以以

以以

以以

以

以以

以

以以以

以以以

以以以

以以以

以以以

以以

以以

以以

以以

2.4.2相关信息的获取及检查

检查账户口令的生存期是否符合标准

安全基线项

目名称

安全基线编

号

安全基线项

说明

检测操作步

骤

基线符合性

判定依据

备注

数据库管理系统Oracle账户口令生存期安全基线要求项

SBL-Oracle-0001

对于采用静态口令认证技术的数据库，账户口令的生存期不长于

90天。

1.以Oracle用户登陆到系统中。

2.以sqlplus‘/assysdba’登陆到sqlplus环境中。

3.执行selectresource_name,limitfromdba_profiles,dba_userswheredba_profiles.profile=dba_users

.profileanddba_users.account_status='OPEN'and

resource_name='PASSWORD_GRACE_TIME'

查询结果中PASSWORD_GRACE_TIME小于等于90。

检查重复口令使用

安全基线项

目名称

安全基线编

号

安全基线项

说明

检测操作步

骤

基线符合性

判定依据

数据库管理系统Oracle重复口令的使用策略安全基线要求项

SBL-Oracle-0002

对于采用静态口令认证技术的数据库，应配置数据库，使用户不能重复使用

最近5次（含5次）内已使用的口令。

1.以Oracle用户登陆到系统中。

2.以sqlplus‘/assysdba’登陆到sqlplus环境中。

3.执行selectresource_name,limitfromdba_profiles,dba_userswheredba_profiles.profile=dba_users

.profileanddba_users.account_status='OPEN'and

resource_name='PASSWORD_REUSE_MAX';

查询结果中PASSWORD_REUSE_MAX大于等于5。

备注

检查认证控制

安全基线项

目名称

安全基线编

号

安全基线项

说明

检测操作步

骤

基线符合性

判定依据

备注

数据库管理系统Oracle认证控制策略安全基线要求项

SBL-Oracle-03-01-03

对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过

6次（不含6次），锁定该用户使用的账号。

1.以Oracle用户登陆到系统中。

2.以sqlplus‘/assysdba’登陆到sqlplus环境中。

3.执行selectresource_name,limitfromdba_profiles,dba_userswheredba_profiles.profile=dba_users

.profileanddba_users.account_status='OPEN'and

resource_name='FAILED_LOGIN_ATTEMPTS';

查询结果中FAILED_LOGIN_ATTEMPTS等于6。

检查更改默认帐户密码

安全基线项

数据库管理系统Oracle默认账户口令策略安全基线要求项

目名称

安全基线编

SBL-Oracle-0004

号

安全基线项

更改数据库默认帐号的密码。

说明

检测操作步

1.

以Oracle用户登陆到系统中。

骤

2.

以system/system、system/manager、sys/sys、sys/cHAnge_on_install

、

scott/scott、scott/tiger、dbsnmp/dbsnmp、rman/rman、xdb/xdb登陆sqlplus

环境。

基线符合性上述账户口令均不能成功登录。

判定依据

备注

检查密码更改策略

安全基线项

数据库管理系统Oracle密码更改策略安全基线要求项

目名称

安全基线编

SBL-Oracle-0005

号

安全基线项

Oracle软件账户的访问控制可遵循操作系统账户的安全策略，比如不要共享

说明

账户、强制定期修改密码、密码需要有一定的复杂度等。

检测操作步

1.

以Oracle用户登陆到系统中。

骤

2.

以sqlplus‘/assysdba’登陆到sqlplus环境中。

3、执行selectlimitfromdba_profileswhere

resource_name='PASSWORD_LIFE_TIME'andprofilein（selectprofilefrom

dba_userswhereaccount_status='OPEN'

基线符合性

查询结果中PASSWORD_LIFE_TIME小于等于90。

判定依据

备注

检查密码复杂度策略

安全基线项

数据库管理系统Oracle密码复杂度策略安全基线要求项

目名称

安全基线编

SBL-Oracle-0006

号

安全基线项

对于采用静态口令进行认证的数据库，口令长度至少

6位，并包括数字、小

说明

4类中至少2类。

写字母、大写字母和特殊符号

检测操作步

1.

以Oracle用户登陆到系统中。

骤

2.

以sqlplus‘/assysdba’登陆到sqlplus环境中。

3、执行selectlimitfromdba_profileswhere

resource_name='PASSWORD_VERIFY_FUNCTION'andprofilein（select

profilefromdba_userswhereaccount_status='OPEN'

基线符合性为用户建profile，调整PASSWORD_VERIFY_FUNCTION，指定密码复杂度判定依据

备注

检查各用户的权限

安全基线项

目名称

安全基线编

号

安全基线项

说明

检测操作步

骤

基线符合性

判定依据

备注

数据库管理系统Oracle密码复杂度策略安全基线要求项

SBL-Oracle-0007

管理员：

数据库管理员通过创建、修改、删除和监视用户来控制用户对数据库的存取；用户：

只能在限定的条件对数据库进行操作；超级用户：

权限在普通用户和管理员之间。

1、检查普通用户的权限是否越线；检查普通用户的应有操作是否完善；

2、检查DBA用户的权限是否超过应有权限；检查DBA用户的权限到期时3、是否被收回；

3、检查管理员的权限是否符合自身身份；检查系统的日志是否能被管理员更改

以数据库设定的用户权限标准为据

3系统界面设计

3.1主界面

数据库安全审计

20xx以以以以

20xx以以以以

以以以以Admin

以以以

以以以以以以

以以以以以以以以[以以以]

3.2内部结构

数数数数数数数数数

以以以以以以以以以以以以以以以以以以以以以以以以以以以以以以以以以以

以以以以以以以以

4接口设计

4.1用户接口

用户输入账号和口令登录系统，系统通过SQL语句将用户输入的账号和口令与系统内部的进行比较，并作出相应的响应。

4.2外部接口

提供与所使用的环境下得数据库相连接的接口，通过此接口使用外部的数据库和其他工具

4.3内部接口

提供系统各功能之间的连接接口

5系统维护

5.1出错信息

1、系统认证：

审计人员登录不到系统中，可能是还没添加该审计人员的信息

2、

5