《数据库审计系统应用实务》:
4.1 审计范围
审计范围应覆盖到所有数据库用户,主要包括:
4.1.1 超级管理员用户
4.1.1.1 审计对象描述
数据库自身默认的最高权限用户,Oracle中的SYS,System用户,Mysql中的Root用户,SQLsever中的SA用户。超级管理员负责对DBA权限用户的新建和授权,在权限范围内对本人登录密码进行设置和修改。超级管理员用户不得擅自创建DBA管理员用户、修改所创建的DBA管理员用户的基本信息,不得创建除DBA管理员用户以外的其他用户。超级管理员用户不得直接访问业务系统数据库的业务信息表。超级管理员用户不得进行一般业务运维操作。
4.1.1.2 策略配置要求
应对超级管理员的操作行为进行审计,对超级管理员不在授信终端IP登录和操作的行为,所执行SQL语句中包含新建/修改/删除用户操作、授权操作的行为配置审计策略(风险告警类别为数据库异常操作)。
4.1.2 DBA权限用户
4.1.2.1 审计对象描述
数据库中具有DBA权限的数据库用户。DBA用户用于对数据库的运维管理操作,负责对普通用户的新建和授权。DBA用户不得擅自创建数据库用户、修改所创建用户的基本信息。DBA用户不得直接访问业务系统数据库的业务信息表。
4.1.2.2 策略配置要求
应对DBA权限用户的操作行为进行审计,对DBA所执行SQL语句中包含新建/修改/删除用户操作、授权操作、导入导出操作、新建/修改/删除数据库、修改数据库参数、启停数据库、闪回数据库、查询数据库中配置的DBlink用户名密码、查询业务表等行为配置审计策略[风险告警类别为核心表数据篡改、数据库危险操作(delete或drop操作)、数据泄露风险]。
4.1.3 普通运维用户
4.1.3.1 审计对象描述
用于普通运维操作的用户。普通运维用户和DBA用户不得赋予同一用户权限。普通运维用户在数据库中执行已经通过审批数据运维操作。普通运维用户不得越权访问和操作授权范围外的数据,不得在超过工作票范围进行数据修改和导入导出工作。
4.1.3.2 策略配置要求
应对普通运维用户的操作行为进行审计,对普通运维用户登录数据库的终端IP,执行数据操作影响行数超过10万,所执行的SQL语句中包含删除表(DROPTABLE)、清空表(TRUNCATE)、导入(EXP)/导出(IMP)等高危命令配置审计策略[风险告警类别为数据库异常操作、数据库危险操作(delete或drop操作)、数据泄露风险]。
4.1.4 数据传输用户
4.1.4.1 审计对象描述
用于数据同步的用户,如OGG用户GoldenGate。不得使用数据传输用户进行数据查询和维护工作。
4.1.4.2 策略配置要求
应对数据传输用户通过第三方工具或数据库客户端、在非数据传输服务器IP,登陆和操作数据库行为配置审计策略,特别对该类型用户的增删改操作应触发异常告警(风险告警类别为数据库异常操作)。
4.1.5 接口用户
4.1.5.1 审计对象描述
用于与其他数据库或应用交互的用户,如用于报送指标的用户:I6000。不得越权使用接口用户进行数据查询和维护工作。
4.1.5.2 策略配置要求
应对接口用户通过第三方工具或数据库客户端、在非接口服务器IP,登录和读写数据库行为配置审计策略,特别对该类型用户的增删改操作应触发异常告警[风险告警类别为数据库危险操作(delete或drop操作)]。
4.1.6 业务应用用户
4.1.6.1 审计对象描述
配置在业务应用中间件的数据库用户。不得越权使用业务应用用户进行数据查询和维护工作。
4.1.6.2 策略配置要求
应对业务用户通过第三方工具或数据库客户端、在非应用服务器IP,登录和读写数据库行为配置审计策略(风险告警类别为数据库异常操作)。
……
展开
