Oracle9i安全审计技术在电子政务中的应用.docx

Oracle 9i安全审计技术在电子政务中的应用在大型的信息系统开发中，我们往往选择功能强大的数据库系统作为应用层的数据存储，除了支撑业务系统的正常运行外，还要求数据库系统有较高的可靠性、必威体育官网网址性、可控性和可跟踪性，对数据库系统的各种操作是在有监控的条件下进行的，同时，对重要数据的操作也要保留历史痕迹，这样，当出现了重大的涉密业务办理失误，需要进行责任追查认定时，数据库级别的审计功能可以有效地配合应用系统层审计记录，进一步提高审计的强度，从而为事后追踪和责任认定提供有力的审计证据。同时，应用系统层的某些审计功能的实现也需要数据库审计特性的辅助来实现。Oracle 数据库系统被应用于很多大型的信息系统中，为应用系统提供了良好的数据库存储支持和广泛的安全特性以保护用户的信息免受未经授权的访问及有意或无意的破坏。这种安全性是在用户到用户，权限到权限的基础上通过授予或撤消权限来提供的，并且是附加于但又独立于用户的计算机系统本身已有的安全机制之上。在实现了权限分配的基础上，应用中又面临着实时跟踪被使用的系统资源与数据库资源，监测用户对数据库的行为的问题，这就是大型数据库管理系统所必需的审计功能。从Oracle 9i开始，引入了一个新的安全特性——Auditing（Oracle 9i审计特性）。Oracle 9i审计特性为我们提供了监视和记录数据活动的功能，通常用于监视重要的数据库活动和收集特定的数据库活动信息。利用该特性，我们可以实现对数据库系统的操作进行记录以及对特定重要业务数据表的控制，甚至可以实现应用系统的操作与数据库动作的关联。开启审计特性默认情况下，为了提高数据库系统的性能，审计特性是关闭的。如果需要开启审计功能，需要设置audit_trail参数的值为 ‘DB’，该操作可以通过管理控制台来实现，也可以通过修改初始化参数文件init.ora实现，但是即使这样，我们仍旧不能做到对审计特性的即时开关，因为audit_trail是一个静态参数，需要在下一次数据库系统重新启动后才能生效。修改该参数并重新启动数据库后，可以在通过如下命令来查询审计特性是否已开启：SQL show parameter audit_trail;NAME TYPE VALUE------------------------------------ ----------- ------------audit_trail string DBaudit_trail 参数的值可以设置为以下几种：1.NONE：不开启审计功能2.DB：开启审计功能，并将审计记录保存在数据库系统提供的审计视图内，要求用于审计功能实现的视图已经创建。3.OS：审计记录写入一个操作系统文件。4.TRUE：与参数DB效果等同5.FALSE：不开启审计功能。SPFILE服务器端参数文件Oracle 9i提供了一个二进制服务器参数文件(spfile)来管理初始化参数，这是一个另人激动的新特性。通过spfile，我们就可以使用alter system或者alter session命令动态地改变所有的参数，尽管有些静态参数不能够马上生效，但是可以修改到spfile中，将在数据库下次重新启动后生效。可以通过如下方式建立SPFILE：SQL startup pfile=‘C:\Oracle\admin\orcl\pfile\init.ora;SQL create spfile from pfile;这样，SPFILE就建立成功了，但是不能以同样的方式指定spfile来启动数据库，Oracle 9i提供了一种变通的方法，即可以创建一个包含spfile参数的pfile文件，指向spfile，如下是一个pfile文件的内容：#pfile link to spfilespfile= C:\Oracle\Ora90\database\SPFILEORCL.ORA这样，我们在启动时指定pfile，实际上就实现了以SPFILE文件启动数据库的操作，同时，在该pfile文件中，还可以指定其他的参数，如果出现与SPFILE中重复的参数设置，那么，后出现的参数设置将覆盖先前的设置。采用如上方式启动数据库后，你就可以使用alter system命令来改变任何一个初始化参数。SQL alter system set audit_trail = ‘DB’ scope=spfile;这里，需要对重要的scope参数引起注意。scope参数具有三个值：1.spfile: 在spfile中改变一个参数而不影响当前的实例。2.memory：仅将改变应用于当前实例。3.both：立即执行改变，并永久地使用改变。在使用spfile启动数据库后，我们就可以在系统应用层通过业务逻辑来实现对audit_trail参数的修改，该修改将在下一次重新启动数据