文档介绍:节 标题 页
介绍 2
A 特定现场的Oracle环境 3
B 密码管理 6
C Oracle系统安全 12
D 操作系统安全 18
E 日常的批次作业 22
F 系统和对象审计 24
G 备份策略 27
H 数据库联网 30
I 完整性和性能 32
1、介绍和概述
这个审计程序包含了一套在复审Oracle数据库环境时可以执行的审计测试。这个审计程序可以独立使用,然而,它应该和Oracle审计软件OraAudit联合使用。这些在OraAudit内生成的审计测试,或插件,一直以来都用对应的Oracle审计程序参考号来引用。这个审计软件的使用指南可以在相关的帮助文件Oraaudit_Help_indexhtm中找到。这个程序内的审计测试,在能用到的地方,是作为审计程序的输出而被引用的。
在尽力维持审计程序的全面性和可行性的同时,审计师应该在执行每一个审计测试时,运用他们自己的判断力和创造性。有了这一认识,,归档的审计测试就会得到持续的完善,也会获得审计程序和软件的定期修订。
Ref No
Audit Test
Audit Findings
Test OK? Y / N
Completed by:
Initials
X-Ref: Work Papers
X-Ref: OraAudit Plugins
A
A001
A002
A003
A004
特定现场的Oracle环境
审计目标
通过复审和与DBA面谈,来理解现场的Oracle处理环境。
确定重要的数据库应用系统,数据仓库,管理信息系统,Web应用和其他使用数据库系统的关键业务系统。
提供主机系统和客户/服务器(C/S)处理环境的文档,例如:
以主机为中心的应用:建立在单个数据库服务器上,用户通过操作系统(telnet)登录;
两层的C/S环境:客户端的应用处理在PC上(胖客户端),用户通过客户端Oracle网络访问程序登录;
三层的C/S环境:应用处理逻辑装载在应用服务器上,与数据库服务器和PC机(瘦客户端)相分离,用户通过应用程序——专门的网络访问程序登录。
记录使用的每一个数据库应用,实用工具,或管理程序。
确定Oracle服务器所安装的操作系统。
A005
Ref No
Audit Test
Audit Findings
Test OK? Y / N
Completed by:
Initials
X-Ref: Work Papers
X-Ref: OraAudit Plugins
A005
A006
A008
A009
确定Oracle服务器所使用的版本和产品。
核查Oracle数据库的逻辑数据和处理模式是否记录进适当的手册中。
通过DBA执行SHOW PARAMETERS命令来获得Oracle目前的参数。
Oracle建议客户实施数据字典保护,以防止有‘ANY’系统权限的用户对数据字典使用这样的权限。为了使数据字典保护有效,在init<sid>ora(Oracle9i控制文件)中如下设置:
O7_DICTIONARY_ACCESSIBILITY = FALSE
注解:这样做了以后,只有那些授权成DBA权限的用户(例如CONNECT /AS SYSDBA)的连接才可以对数据字典使用‘ANY’权限。如果这个参数不象建议的这样设,一个拥有DROP ANY TABLE(例如)的用户就有能力故意丢弃数据字典的一部分。然而,如果用户需要对数据字典作视图访问,可以通过赋给它SELECT ANY DICTIONARY权限来实现。注意在Oracle9i,O7_DICTIONARY_ACCESSIBILITY=FASE是缺省的;而在Oracle8i,这个参数缺省设为TRUE,因而必须明确地将其改为FALSE以启用这一安全特性。
A008
A009
A010
Ref No
Aud