Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
10
Copyright 2005, Oracle. All rights reserved.
Objetivos
Al finalizar esta leccin, debera estar capacitado para lo siguiente: Describir sus responsabilidades de DBA en cuanto a seguridad Aplicar el principio de privilegio ms bajo Activar la auditoria de base de datos estndar Especificar opciones de auditoria Revisar informacin de auditoria Mantener la pista de auditoria
10-2
> Requisitos Privilegio ms bajo Auditoria Basada en Valores Auditoria Detallada DBA
Legal:
Actualiza Seguridad.
Sarbanes-Oxley Act (SOX) Health Information Portability and Accountability Act (HIPAA) California Breach Law UK Data Protection Act
Auditoria
10-3
Separacin de Responsabilidades
Se deben compartir las responsabilidades de DBA El DBA y el Administrador del Sistema tienen que ser personas diferentes Responsabilidades separadas del operador y del DBA
10-4
10-5
Requisitos
>Privilegio ms bajo Auditoria Basada en Valores Auditoria Detallada DBA Actualiza Seguridad.
Instalacin solo del software necesario en la maquina. Activacin nicamente de los servicios necesarios en la maquina Otorgamiento de acceso al sistema operativo y a la base de datos nicamente a aquellos usuarios que lo necesitan Limitacin del acceso a la cuenta raz o de administrador. Limitacin del acceso a las cuentas SYSDBA y SYSOPER. Limitacin de la base de datos necesarios para que hagan su trabajo.
10-6 Copyright 2005, Oracle. All rights reserved.
Restricciones de los directorios a los que pueden acceder los usuarios. Limitaciones de usuarios con privilegios administrativos Restriccin de la autentificacin de la base de datos remota:
REMOTE_OS_AUTHENT=FALSE
10-7
Requisitos
Privilegio ms bajo >Auditoria Basada en Valores Auditoria Detallada DBA Actualiza Seguridad.
10-8
Database Audit
Server process
Genera pista De auditoria.
Revisar Informacin
options
De auditoria
Audit
Mantener pista
trail
4
10-9
De auditoria
L or XM OS ail dit tr au
Activacin de Auditoria
10-10
DBA_AUDIT_TRAIL
DBA_FGA_AUDIT_TRAIL
DBA_COMMON_AUDIT_TRAIL
10-11
10-12
Auditando sesiones
AUDIT session whenever not successful;
10-13
10-14
Requisitos
Privilegio ms bajo Auditoria >Basada en Valores Auditoria Detallada DBA Actualiza Seguridad.
Se arranca el disparador
10-15
Requisitos
Auditoria Detallada
Controla el acceso a datos segn el contenido Audita SELECT or INSERT,UPDATE,DELETE
Privilegio ms bajo Auditoria Basada en Valores >Auditoria Detallada DBA Actualiza Seguridad.
Se puede enlazar a una tabla o vista, a una o mas columnas Puede arrancar un procedimiento Se administra con el paquete DBMS_FGA
Policy: AUDIT_EMPS_SALARY SELECT name, salary FROM employees WHERE department_id = 10;
employees
10-16
Poltica de FGA
dbms_fga.add_policy object_schema => object_name => policy_name => audit_condition=> audit_column => handler_schema => handler_module => enable => statement_types=> ( 'hr', 'employees', 'audit_emps_salary', 'dept_id=10', 'salary', 'secure', 'log_emps_salary', TRUE, 'select' );
Define:
Criterios de auditoria Acciones de auditoria
10-17
UPDATE hr.employees SET salary = 10 WHERE commission_pct = 90; UPDATE hr.employees SET salary = 10 WHERE employee_id = 111;
10-18
Instrucciones de FGA
Para auditar todas las sentencias, utilice una condicin null. Los nombres de poltica deben ser nicos. La tabla o vista auditada ya debe existir cuando cree la poltica Si la sintaxis de la condicin de auditoria no es valida, se produce un error ORA-28112 cuando se accede al objeto auditado Si la columna auditada no existe en la tabla, no se audita ninguna fila. Si el manejador de eventos no existe, no se devuelve ningn error y el registro de auditoria se crea de todos modos.
Copyright 2005, Oracle. All rights reserved.
10-19
Auditoria de DBA
Los usuarios con privilegios SYSDBA o SYSOPER pueden conectarse cuando la base de datos este cerrada. La pista de auditoria se debe almacenar fuera de la base de datos. La conexin como SYSDBA o SYSOPER siempre se audita Puede activar la auditoria adicional de acciones de SYSDBA o SYSOPER con audit_sys_operations. Puede controlar la pista de auditoria con audit_file_dest. El default es:
$ORACLE_HOME/rdbms/audit (UNIX/Linux) Windows Event Log (Windows)
10-20
Se debe mantener la pista de auditoria. Siga estas recomendaciones: Revise y almacene los registros antiguos Evite los problemas de almacenamiento Evite la perdida de registros
10-21
Actualizaciones de seguridad
Oracle publica alertas de seguridad en la direccin Web de Oracle Tecnology Network en:
http://otn.oracle.com/deploy/security/alerts.htm
Los administradores y desarrolladores de la base de datos Oracle tambin pueden suscribirse para recibir notificaciones de las alertas de seguridad criticas a travs de correo electrnico haciendo clic en el enlace Suscribe to Oracle Critical Patch Update and Security alert notifications
10-22
Utilice el proceso de actualizacin de parches crticos Aplique todos los parches de seguridad y soluciones alternativas Pngase en contacto con el equipo de productos de seguridad de Oracle
10-23
Resumen
En esta leccin, debe haber aprendido lo siguiente: Describir sus responsabilidades de DBA en cuanto a seguridad Aplicar el principio de privilegios mas bajos Activar la auditoria de base de datos estndar Especificar opciones de auditoria Revisar informacin de auditoria Mantener la pista de auditoria
10-24
10-25