42-Oracle 23 ai 安全新特性(Audit统一审计)

原创 已于 2025-06-16 18:57:14 修改 · 1k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #数据库 #oracle #database #sql

于 2025-06-16 18:56:41 首次发布

小伙伴们业务和安全运维中需要数据库审计都是由哪些模块来实现的,专门的第三方产品吗?在医疗领域防统方等业务场景和数据库的审计集合很是紧密。

在Oracle逐个版本的演进中,Oracle 23ai 的审计特性在安全领域的重大革新,延续传统审计仅支持可用,新的完全使用统一审计功能,维度更多,策略灵活。

一、Oracle审计技术架构演进

  1. 标准审计(9i-19c)​
  • 原理​:基于语句、权限、对象三层监控:
    • 语句审计​:跟踪特定SQL类型(如AUDIT TABLE监控所有DDL)
    • 权限审计​:记录系统权限使用(如AUDIT DELETE ANY TABLE)
    • 对象审计​:针对特定对象操作(如AUDIT INSERT ON hr.employees)
  • 存储​:记录存于SYS.AUD$表或操作系统文件(由AUDIT_TRAIL=DB/OS控制)
    • 审计记录可存于数据库表​(如SYS.AUD$或12c+的UNIFIED_AUDIT_TRAIL)或操作系统文件​(路径由AUDIT_FILE_DEST参数指定)
    • 支持扩展记录(AUDIT_TRAIL=DB_EXTENDED可捕获完整的SQL文本及绑定变量)
  1. 细粒度审计(FGA,9i+)​
  • 行级监控​:通过DBMS_FGA.ADD_POLICY定义基于内容的审计策略(如监控salary > 10000的查询)
  • 局限​:仅支持SELECT语句,DML操作无法覆盖
  1. 统一审计(12c+)​
  • 架构革新​:合并标准审计与FGA,策略统一管理,通过策略化配置(如CREATE AUDIT POLICY)实现集中管理,显著提升效率:
CREATE AUDIT POLICY policy_name ACTIONS SELECT ON hr.employees;

--Audit policy created.
  • 性能优化​:审计日志集中存储在UNIFIED_AUDIT_TRAIL视图,查询效率提升
  • Oracle强烈建议12.2及以上版本用户立即迁移至统一审计。

、技术特点

1. 精准可控
  • 可限定审计范围:按用户(BY user)、操作结果(WHENEVER SUCCESSFUL/NOT SUCCESSFUL)或频率(BY ACCESS/SESSION)精细化控制
  • ​特权操作强制审计​:启用AUDIT_SYS_OPERATIONS=TRUE后,所有SYS及SYSDBA操作必被记录(存于OS文件,防篡改)
​2. ​低侵入高兼容
  • 审计策略独立于应用逻辑,无论用户通过程序或工具(如SQL*Plus)访问,行为均被捕获
  • 符合C2级安全标准及GDPR、PCI DSS等法规要求,直接支撑合规审计
3. ​性能可调优
  • 支持审计表分区、定期清理日志,避免存储膨胀
  • 敏感操作聚焦(如列级或FGA策略)减少冗余日志,平衡安全与性能

三、23ai全新审计架构

1. 传统审计彻底弃用
  • 删除默认传统审计配置
  • 以下参数被废弃(设置时触发ORA-32004/ORA-32006警告):
  • AUDIT_TRAIL, AUDIT_SYS_OPERATIONS, AUDIT_FILE_DEST, AUDIT_SYSLOG_LEVEL
2. 强制统一审计模式
  • 取消uniaud_on/uniaud_off选项,统一审计始终启用
  • 预定义策略默认激活​:
    • - ORA_SECURECONFIG(安全配置变更)
    • - ORA_LOGIN_LOGOUT(登录登出)
    • - ORA_DV_SCHEMA_CHANGES(字典敏感列访问)
    • - ORA_DV_DEFAULT_PROTECTION(数据库保险箱变更)
    • - ORA$DICTIONARY_SENS_COL_ACCESS(字典敏感列访问)

四、Oracle 23ai核心新特性

1. ​列级精准审计
  • 原理​:仅监控指定敏感列的操作(如salary更新)
-- 创建策略审计sal、ename列的SELECT操作
CREATE AUDIT POLICY employee_pii_access ACTIONS SELECT(sal, ename) ON scott.emp;
-- 追加审计sal列的UPDATE操作
ALTER AUDIT POLICY employee_pii_access ADD ACTIONS UPDATE(sal) ON scott.emp;
-- 审计empid列的INDEX操作
CREATE AUDIT POLICY employee_pii_access1 ACTIONS INDEX(empid) ON scott.emp;
--以上为示例
CREATE AUDIT POLICY emp_salary_policy
  ACTIONS UPDATE(salary), SELECT(salary) ON hr.employees;
--Audit policy created.
  -- 仅审计薪资字段
AUDIT POLICY emp_salary_policy;
--Audit succeeded.

-- 1. 创建测试表(SYSDBA)
CREATE TABLE employees (
    id      NUMBER PRIMARY KEY,
    name    VARCHAR2(50),
    salary  NUMBER
);
INSERT INTO employees VALUES (1, 'Alice', 10000);

-- 2. 创建审计策略(SYSDBA)
CREATE AUDIT POLICY audit_salary 
  ACTIONS SELECT(salary) ON employees;  -- 仅监控 salary 查询
AUDIT POLICY audit_salary;

-- 3. 模拟用户查询
SELECT salary FROM employees WHERE id=1;  -- 被审计
SELECT name FROM employees WHERE id=1;    -- 不被审计

-- 4. 查看审计记录
SELECT event_timestamp, dbusername, sql_text 
FROM unified_audit_trail 
WHERE object_name='EMPLOYEES';
2. ​区块链表集成
  • 原理​:
    • 通过CREATE BLOCKCHAIN TABLE创建防篡改表,每行生成SHA-256哈希链
  • 场景​:金融交易日志、医疗存证等司法取证场景
CREATE BLOCKCHAIN TABLE audit_logs (
  log_id      NUMBER GENERATED ALWAYS AS IDENTITY,
  action      VARCHAR2(50),
  user_name   VARCHAR2(30)
)
NO DROP UNTIL 30 DAYS IDLE
NO DELETE UNTIL 16 DAYS AFTER INSERT  -- 添加此行,保留期最少16天
HASHING USING "SHA2_512" VERSION "v1";  -- 指定哈希算法可以有不同的版本(必填)
--Table created.
INSERT INTO audit_logs (action, user_name) VALUES ('SALARY_UPDATE', 'ADMIN');
COMMIT;
--
INSERT INTO audit_logs (action, user_name) VALUES ('SALARY_UPDATE', 'ADMIN');
1 row created.
SYS@FREE> COMMIT;
Commit complete.

五、统一审计策略检查 

SELECT POLICY_NAME, AUDIT_CONDITION, OBJECT_NAME 
FROM audit_unified_policies 
WHERE OBJECT_TYPE = 'Table'; 

-- 检查已启用的表级策略

、传统审计的兼容性与过渡

  • 升级兼容性​23ai保留现有传统审计配置,继续生成审计记录,但禁止新增或修改传统审计设置(仅允许删除)。
  • 迁移强制要求
    • 禁用所有传统审计设置:执行 NOAUDIT 命令
    • 关闭传统审计参数:
AUDIT_TRAIL = None
AUDIT_SYS_OPERATIONS = False

 FGA策略处理​细粒度审计(FGA)策略自动迁移,审计记录将输出至统一审计线索。

、迁移操作指南

  1. 基础场景
  • 启用核心预定义策略:ORA_SECURECONFIG + ORA_LOGIN_LOGOUT
  • 关闭传统审计参数
迁移价值​:通过统一审计实现精细化管控(如列级操作追踪),同时降低传统审计的维护成本。预定义策略的强制启用大幅提升基础安全水位。
远方1609
关注
Oracle数据库安全漏洞扫描与修复
2502_91592937的博客
05-08 1455
本文旨在为数据库管理员和安全专业人员提供一套完整的Oracle数据库安全漏洞扫描与修复方案。内容涵盖从漏洞发现到修复验证的全过程,包括自动化扫描工具使用、手动检查方法、补丁管理策略以及安全加固措施。文章首先介绍Oracle数据库安全的基本概念,然后深入探讨漏洞扫描技术,接着详细讲解漏洞修复方法,最后提供实际应用案例和工具推荐。CVE:通用漏洞披露(Common Vulnerabilities and Exposures),标准化的漏洞标识系统CVSS。
答题记录-ORACLE
打工之路,一路生花
12-12 1419
答题记录-ORACLE
Oracle Database 23ai新特性:DB_DEVELOPER_ROLE角色
听雪楼主
07-04 723
Oracle Database 23ai 开始,新角色“DB_DEVELOPER_ROLE”允许管理员快速分配开发人员为 Oracle 数据库设计、构建和部署应用程序所需的所有必要权限。
ORACLE 23AI新特性,看数据库可能前进的方向
weixin_43549321的博客
05-10 1747
我想大约整个思路是非常清楚的。数据库产品要很通用,要使用面广的化,它把自己设计的比较复杂可能是必然的。但是这种负责永远是对开发者透明的。
Oracle 23ai RAC安装部署文档
最新发布
Leon-Ning Liu的博客
10-11 718
Oracle 23ai RAC安装部署
Oracle 12c 统一审计(Unified Auditing)--基础篇
cuidengxing7090的博客
10-24 1213
Oracle 12c 统一审计(Unified Auditing) 版权声明:本文为博主原创文章,转载请注明出处,谢谢。http://blog.youkuaiyun.com/lukeunique 本章主要针对统一审计...
Oracle Database In-Memory 23ai 新特性
In-Memory Computing Technology
03-26 1631
本文参考文档第4章Data Analytics中的In-Memory部分。
Oracle 23ai 中的重要新特性 VECTOR 数据类型
zxrhhm的博客
07-11 1922
Oracle 23ai 中的 VECTOR 数据类型是 Oracle 数据库AI 领域的一个重要新特性
23-Oracle 23 ai 区块链表(Blockchain Table)
远方的专栏
06-10 406
小伙伴有没有在金融强合规的领域中遇见,必须要保持数据不可变,管理员都无法修改和留痕的要求。比如医疗的电子病历中,影像检查检验结果不可篡改行的,药品追溯过程中数据只可插入无法删除的特性需求;登录日志、修改日志和日常操作业务的日志,不允许任何动作(包含管理员)进行修改的强合规要求。医疗行业和有些加密算法的行业是不是可以省掉物理的KEY,节约人工和偶尔忘带key的苦恼。不过对于DBA来说是不是又要有如果修改,徒增N多人工审批流程。便利性和安全性总是那么来回拉扯。
如何在Oracle数据库中创建和管理审计策略
zgt_certificate的博客
07-30 618
audit_syspriv_pol1策略仅在成功时进行审计,对audit_objpriv_pol2策略仅在失败时进行审计,对auditpol5策略在joe用户成功操作时进行审计。此审计策略在会话级别进行评估,即在当前会话中,如果会话用户为JIM,则会记录对hr.employees表的RENAME操作和对hr.jobs表的ALTER操作。创建细粒度审计策略audit_emps_salary,条件为department_id=10,并审计SALARY和COMMISSION_PCT列的操作。
深入理解数据库安全审计实施方法
zgt_certificate的博客
07-30 944
通过上述详细举例,DBA可以有效地监控和管理数据库中的用户账户、角色和权限、对象操作、应用程序上下文值、数据导出和导入、实际应用安全性、数据库金库安全功能、标签安全策略、恢复管理器以及直接路径加载数据的活动,确保数据库安全性和完整性。DBA需要配置数据库用户的权限和角色,以确保只有经过授权的用户才能访问和操作数据库。记录对数据库对象(如表、视图、索引)的创建、修改和删除操作是确保数据库完整性的关键。通过上述步骤,DBA可以有效地管理和维护数据库安全性和审计功能,确保数据的机密性、完整性和可用性。
ORACLE12C 开启统一审计
11-20
unified auditing ,oracle 12c 以后开启归档的方法。包括了开启,关闭,rman,DML审计
聊聊 Oracle 23 ai 新特性、相关更改和停用功能
JiekeXu的博客
05-14 2124
作者 | JiekeXu来源 |公众号 JiekeXu DBA之路(ID: JiekeXu_IT)如需转载请联系授权 |(个人微信 ID:JiekeXu_DBA)大家好,我是 JiekeXu,江湖人称“强哥”,荣获 Oracle ACE 称号,墨天轮 MVP,墨天轮年度“墨力之星”,拥有 Oracle 11g OCP/OCM 认证,MySQL 5.7/8.0 OCP 认证以及 PCA、PCT...
Oracle Database 23ai新特性:增加聚合函数对INTERVAL数据类型支持
听雪楼主
07-06 1099
​ 随着OracleDatabase 23ai 的发布,增加了AVG以及SUM函数对INTERVAL数据类型的支持,它们可以作为聚合函数或者分析函数使用。
Oracle Database 23ai 新特性: UPDATE 和 DELETE 语句的直接联接
安呀智数据坊的博客
01-06 1536
Oracle Database 23c 的 UPDATE 和 DELETE 语句直接联接新特性,代表了关系型数据库技术的一个重要进步。它不仅简化了开发者的日常工作,还为高效管理和优化大规模数据处理提供了强有力的支持。随着越来越多的企业采用这一新技术,我们有理由相信,这将大大促进数据库应用的发展和创新。
Oracle 23ai新特性:表值构造函数
安呀智数据坊的博客
01-12 1142
表值构造器是一种 SQL 构造,它允许你在查询中创建一个临时的、匿名的表结构,并填充具体的数据行。这使得你可以像操作常规表一样对这些数据进行查询、连接和其他操作,而无需预先创建物理表或视图。测试数据生成:快速创建小规模的数据集用于调试或演示。复杂查询构建:作为子查询的一部分,提供中间结果集。参数化输入:为存储过程或函数传递表格形式的参数。Oracle 23c 引入的表值构造器特性为 SQL 开发者提供了一种强大而灵活的新工具,能够显著简化数据操作和查询构建。
Oracle审计篇——统一审计
Hehuyi_In的博客
09-15 7349
一、 统一审计作用 统一审计跟踪从各种来源捕获审计信息。通过统一审计,您可以从以下来源捕获审计记录: 来自统一审计策略和AUDIT设置中的审计记录(包括sys的审计记录) 来自DBMS_FGA的细粒度审计记录 Oracle Database Real Application Security审计记录 Oracle Recovery Manager审计记录 Oracle Database...
Oracle12.2c统一审计(unified auditing)
LawssssCat的博客
05-22 448
Oracle12.2c统一审计(unified auditing)六问 https://www.cnblogs.com/yaoyangding/p/13379093.html
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值