奇智科技oracle数据库运维操作审计解决方案

Oracle数据库运维操作审计解决方案杭州奇智信息科技有限公司第1页目录第1章Oracle数据库运维操作现状..................................21.1直接登录到数据库服务器上，执行命令行（如sqlplus）.........21.2通过加密的web进行操作（比如enterprisemanager）..........31.3使用客户端工具的数据库访问（如PL/SQL,Toad等）.............3第2章数据库操作审计方案.........................................42.1直接登录到数据库服务器使用命令行的操作审计.................42.2通过web进行的操作审计.....................................42.3使用客户端工具的操作审计...................................5第2页第1章Oracle数据库运维操作现状目前，用户对oracle数据库的运维操作有三种：1.1直接登录到数据库服务器上，执行命令行（如sqlplus）第3页1.2通过加密的web进行操作（比如enterprisemanager）1.3使用客户端工具的数据库访问（如PL/SQL,Toad等）第4页第2章数据库操作审计方案针对三种不同的oracle数据库运维操作，奇智科技提供了完整的解决方案，帮助用户降低数据库运维操作过程中所存在的风险：2.1直接登录到数据库服务器使用命令行的操作审计对于直接登录到数据库服务器上的命令行操作，shterm能够记录操作者所有的sql语句和输出结果，并且能够在输入输出内容中进行文本搜索：（图为shterm对操作者通过命令行进行数据库操作的审计示例）2.2通过web进行的操作审计对于使用https/http的web操作，shterm可以记录所有的操作过程，包括键盘的输入内容和鼠标的点击（左右键，单双击），其中键盘的输入可以进行文本搜索：第5页（图为shterm对图形操作过程的审计示例）2.3使用客户端工具的操作审计目前国内针对这个问题主要是旁路解析，通过流量捕获和协议解析来实现，但是存在三个无法避免的问题：1．流量捕获，肯定会丢数据包，数据包的丢失导致无法正确提取SQL操作会话；2．协议解析不完整，目前国内数据库协议基本只能实现到60-70%（通常是通过搜索TNSheader区的SQL语句来作为审计输出。可以捕获部分的数据库操作。但是TNS的data区还有一些非文本的命令表达形式，而且不同的命令后续数据续数据结构不同，也会在一个TCP包里封装多个命令。一旦涉及到绑定变量，函数等语句基本无法完整解析），无法实现100%协议解析；3．无法解析ssh，https直接登录到数据库服务器操作和加密的web配置操作；第6页目前在运营商、金融等高端行业，用户是这样来解决使用数据库客户端工具进行数据库运维的操作：1．数据库客户端一定要集中管理，不允许随意在笔记本/台式机等操作终端上安装客户端程序，客户端程序必须统一安装在1台/几台指定的windows服务器上；2．操作者必须通过Shterm登陆到指定的Windows服务器上，然后在这台服务器上打开客户端程序进行操作；3．Shterm完整的记录所有的图形操作过程，并且可以实时监控所有的数据库操作，如果发现操作有风险，可以随时阻断；4．Shterm把各种sql输入语句以文本的方式展现，并能够进行关键词搜索；第7页5．Shterm把搜索出来的SQL语句根据时间和执行该操作的图形会话关联起来进行上下文回放（单独的sql语句并不能帮助用户进行问题确认，必须知道sql语句的上下文语义才能准确的判断出操作行为），既能看到每一条SQL操作指令，又能根据当时执行指令的时间定位到当时指令相关操作过程，真正方便用户进行快速排查问题；第8页