现实中的细粒度审计(2)

现实中的细粒度审计(2)

现实中的细粒度审计(2) 现实中的细粒度审计(2)

管理 FGA 策略

begindbms_fga.drop_policy (object_schema => 'BANK',object_name => 'ACCOUNTS',policy_name => 'ACCOUNTS_ACCESS' );end;

begindbms_fga.enable_policy (object_schema => 'BANK',object_name => 'ACCOUNTS',policy_name => 'ACCOUNTS_ACCESS',enable => FALSE );end;

enableTRUE。

处理器模块

SELECTSELECT

handler_schema

handler_module

handler_module package.procedure

FGA 数据字典视图

表 2 包含该视图中一些重要列的简短描述。

表 3 包含该视图中重要列的简短描述。

视图和 FGA

create view vw_accounts as select * from accounts;

select * from vw_accounts;

select object_name, sql_text from dba_fga_audit_trail;OBJECT_NAME SQL_TEXT----------- -------------------------------------------------ACCOUNTS select * from vw_accounts

的实际语句，而这正是您希望了解的。

阅读有关 DBMS_FGA 程序包的更多信息

访问 Oracle 数据库主页

访问 Oracle 平台安全性主页

dbms_fga.add_policyobject_name

其它用途

SELECT

结论

g 中的新特性，这些特性使 FGA 的功能极为强大，适用于所有类型的审计情况。

(arup@proligence.com) 是 IntelliClaim 的首席数据库设计人员，该公司位于 Connecticut 的 Norwalk，提供对卫生保健保险索赔管理高度安全和基于规则的优化。他是 2003 年度 Oracle DBA 奖的获得者，并与他人合作编著了即将出版的 Oracle 隐私安全性审计

SQL 语句

审计状态

select balance from accounts;

进行审计。用户选择了在添加策略时所指定的审计列 BALANCE。

select * from accounts;

进行审计。即使用户没有明确指定列 BALANCE，* 也隐含地选择了它。

select cust_id from accounts where balance < 10000;

进行审计。即使用户没有明确指定列 BALANCE，where 子句也隐含地选择了它。

select cust_id from accounts;

不进行审计。用户没有选择列 BALANCE。

select count(*) from accounts;

不进行审计。用户没有明确或隐含地选择列 BALANCE。

表 2:数据字典视图 DBA_AUDIT_POLICIES 中重要的列 OBJECT_SCHEMA

对其定义了 FGA 策略的表或视图的所有者

OBJECT_NAME

表或视图的名称

POLICY_NAME

策略的名称 — 例如，ACCOUNTS_ACCESS

POLICY_TEXT

在添加策略时指定的审计条件 — 例如，BALANCE >= 11000

POLICY_COLUMN

审计列 — 例如，BALANCE

ENABLED

如果启用则为 YES，否则为 NO PF_SCHEMA

拥有策略处理器模块的模式（如果存在）

PF_PACKAGE

处理器模块的程序包名称（如果存在）

PF_FUNCTION

处理器模块的过程名称（如果存在）

表 3:DBA_FGA_AUDIT_TRAIL 视图中重要的列 SESSION_ID

审计会话标识符；与 V$SESSION 视图中的会话标识符不同

TIMESTAMP

审计记录生成时的时间标记

DB_USER

发出查询的数据库用户

OS_USER

操作系统用户

USERHOST

用户连接的机器的主机名

CLIENT_ID

客户标识符（如果由对打包过程 dbms_session.set_identifier 的调用所设置）

EXT_NAME

外部认证的客户名称，如 LDAP 用户

OBJECT_SCHEMA

对该表的访问触发了审计的表所有者

OBJECT_NAME

对该表的 SELECT 操作触发了审计的表名称

POLICY_NAME

触发审计的策略名称（如果对表定义了多个策略，则每个策略将插入一条记录。在此情况下，该列显示哪些行是由哪个策略插入的。)

SCN

记录了审计的 Oracle 系统更改号

SQL_TEXT

由用户提交的 SQL 语句

SQL_BIND

由 SQL 语句使用的绑定变量（如果存在）