普通的安全性和審計是被動的作法而一個全面的審計方法是要求實時報告試圖繞過安全性檢查的行為記住明智的公司會關閉所有後門數據訪問(如ODBC)並在應用層強化數據訪問然而我們仍然必須創建一個告警機制來監視所有層次的數據訪問活動不管是惡意的還是正常的例如一個Oracle DBA通常需要查看數據庫信息這是他們管理的職責部分而Federal法案規定這種數據訪問必須進行與應用層相同的跟蹤
特權用戶訪問問題表示的是一個嚴重的安全暴露因為審計方案必須審計Systems Administrators和Oracle DBA的訪問這些員工必須不能有任何審計機制的控制或職責
這種分離的職責是非常重要的因為給予任何負責維護服務器和數據庫的人員管轄權力都被認為是不正當行為許多情況下有不滿情緒的員工可能會查看保密信息作為個人用途並且有時會使用一些方法來在他們離職後暴露這些信息
有一些專業的Oracle審計工具可以審計DBA和其它特權用戶但是它們可能很昂貴且很難管理
Oracle安全和政府規定
Oracle部門屬於一些Federal隱私法案規定范圍如HIPAA要求雇傭一個獨立於SA和DBA員工之外的全職員工來控制Oracle安全分析師的審計
Oracle安全分析師必須具有每個單位唯一的技術應用和管理技能例如大型醫療公司通常會雇傭一名Medical Informatacist作為SPA通常是一名經過高級培訓的Medical Doctor (MD)具有應用設計系統架構系統管理和數據管理的技能財務機構會雇傭一名有豐富技術背景的Certified Public Accountant (CPA)
總之審計收集加強和報告必須一個單獨的IT實體負責僅僅負責管理所有數據隱私審計任何應用層的外部訪問都必須向安全管理員發送警報不管是惡意或是常規DBA職責部分
這是一個糟糕的討論但是現在你不能信任任何人並且Oracle管理員必須解決允許他們特權Oralce員工擁有完全訪問關系他們業務生存的數據的權限所帶來的問題
在年IOUG安全性調查是顯示Oracle部門要麼正在安裝復雜的安全性工具來審計他們的特權員工要麼使用背景檢查或信任的遠程DBA支持提供商來進行適當的保護以免受內部數據庫安全威脅的攻擊
From:http://tw.wingwit.com/Article/program/Oracle/201311/18832.html
