审计特权用户 普通的安全性和审计是被动的作法,而一个全面的审计方法是要求实时报告试图绕过安全性检查的行为。记住,明智的公司会关闭所有后门数据访问(如,ODBC),并在应用层强化数据访问。然而,我们仍然必须创建一个告警机制来监视所有层次的数据访问活动,不管是恶意的还是正常的。例如,一个Oracle DBA通常需要查看数据库信息,这是他们管理的职责部分,而Federal法案规定这种数据访问必须进行与应用层相同的跟踪。
“特权用户”访问问题表示的是一个严重的安全暴露。因为审计方案必须审计Systems Administrators和Oracle DBA的访问,这些员工必须不能有任何审计机制的……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
审计特权用户
普通的安全性和审计是被动的作法,而一个全面的审计方法是要求实时报告试图绕过安全性检查的行为。记住,明智的公司会关闭所有后门数据访问(如,ODBC),并在应用层强化数据访问。然而,我们仍然必须创建一个告警机制来监视所有层次的数据访问活动,不管是恶意的还是正常的。例如,一个Oracle DBA通常需要查看数据库信息,这是他们管理的职责部分,而Federal法案规定这种数据访问必须进行与应用层相同的跟踪。
“特权用户”访问问题表示的是一个严重的安全暴露。因为审计方案必须审计Systems Administrators和Oracle DBA的访问,这些员工必须不能有任何审计机制的控制或职责。
这种分离的职责是非常重要的,因为给予任何负责维护服务器和数据库的人员管辖权力都被认为是不正当行为。许多情况下,有不满情绪的员工可能会查看保密信息作为个人用途,并且有时会使用一些方法来在他们离职后暴露这些信息。
有一些专业的Oracle审计工具可以审计DBA和其它特权用户,但是它们可能很昂贵且很难管理。
Oracle安全和政府规定
Oracle部门属于一些Federal隐私法案规定范围,如HIPAA要求雇佣一个独立于SA和DBA员工之外的全职员工来控制Oracle安全分析师的审计。
Oracle安全分析师必须具有每个单位唯一的技术、应用和管理技能。例如,大型医疗公司通常会雇佣一名Medical Informatacist作为SPA,通常是一名经过高级培训的Medical Doctor (MD),具有应用设计、系统架构、系统管理和数据管理的技能。财务机构会雇佣一名有丰富技术背景的Certified Public Accountant (CPA)。
总之,审计收集、加强和报告必须一个单独的IT实体负责,仅仅负责管理所有数据隐私审计。任何应用层的外部访问都必须向安全管理员发送警报,不管是恶意或是常规DBA职责部分。
这是一个糟糕的讨论,但是现在你不能信任任何人,并且Oracle管理员必须解决允许他们特权Oralce员工拥有完全访问关系他们业务生存的数据的权限所带来的问题。
在2009年IOUG安全性调查是显示,Oracle部门要么正在安装复杂的安全性工具来审计他们的特权员工,要么使用背景检查或信任的远程DBA支持提供商来进行适当的保护,以免受内部数据库安全威胁的攻击。
作者
翻译
TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。
相关推荐
-
Notre Dame对云端SQL Server性能基准的探索实践
确立SQL Server的性能基准,对于云端迁移来说是至关重要的第一步,一位来自于University of Notre Dame 的DBA表示,他正在试图通过数据库监控软件,找出SQL server的性能基准。
-
DBA必须掌握的数据库恢复管理技术
如果没有备份副本,数据库管理员就无法还原数据库,所以DBA在恢复之前倾向于考虑备份是合乎逻辑的。 但是,对我来说,这种逻辑一直是错误的。
-
DBA也要和领导抢饭碗?
数据库架构师Ziaul Mannan 认为,DBA有成为高管的潜在可能,而这种潜力在过去往往被忽视,他还将证明DBA技能到领导力的转变是可行的。
-
Oracle备份和恢复简史
这些年来,Oracle数据库备份和恢复方式已经发生了重大变化,特别是在Recovery Manager(RMAN)功能有了进一步改善之后。