# 安全管理与审计工具
#
# 1. DM管理工具
– DM管理控制台：图形化管理工具，用于配置安全设置和审计规则
– DIsql：命令行工具，用于执行安全相关的SQL语句
– DM安全管理工具：专门用于安全管理的工具
#
# 2. 认证工具
– 密码管理工具：用于管理用户密码
– 多因素认证工具：用于配置多因素认证
– LDAP集成工具：用于与LDAP目录服务集成
#
# 3. 权限管理工具
– 角色管理工具：用于管理数据库角色
– 权限分析工具：用于分析用户权限
– 权限审计工具：用于审计权限变更
#
# 4. 加密工具
– 数据传输加密工具：用于配置SSL/TLS
– 数据存储加密工具：用于配置透明数据加密
– 密钥管理工具：用于管理加密密钥 学习交流加群风哥QQ113257174
#
# 5. 审计工具
– DM审计管理工具：用于配置和管理审计规则
– 审计分析工具：用于分析审计数据
– 审计报告工具：用于生成审计报告
#
# 6. 监控工具
– Prometheus + Grafana：用于监控数据库安全状态
– Zabbix：用于监控数据库安全事件
– DM自带监控工具：用于监控数据库安全状态
#
# 7. 第三方工具
– 安全扫描工具：用于扫描数据库安全漏洞
– 入侵检测工具：用于检测数据库入侵
– 合规性检查工具：用于检查数据库合规性

# 用户认证管理实施
#
# 1. 配置密码策略
##
# 查看当前密码策略
$ disql SYSDBA/SYSDBA
SQL> select * from v$parameter where name like ‘%PWD%’;
##
# 修改密码策略
SQL> alter system set ‘PWD_POLICY’ = 3 scope=spfile;
— 3：密码复杂度要求（包含大小写字母、数字、特殊字符）
SQL> alter system set ‘PWD_MIN_LEN’ = 8 scope=spfile;
— 密码最小长度为8
SQL> alter system set ‘PWD_EXPIRE_TIME’ = 90 scope=spfile;
— 密码有效期为90天
SQL> alter system set ‘PWD_MAX_FAIL_TIMES’ = 5 scope=spfile;
— 密码最大失败次数为5次
SQL> alter system set ‘PWD_LOCK_TIME’ = 1 scope=spfile;
— 密码锁定时间为1天
##
# 重启实例使参数生效
$ /dm/app/bin/DmServicefgedudb restart
#
# 2. 创建用户
##
# 创建用户
SQL> create user fgedu identified by “Fgedu123” default tablespace fgedutbs temporary tablespace temp;
##
# 查看用户状态
SQL> select username, account_status, expiry_date from dba_users where username = ‘FGEDU’; 更多视频教程www.fgedu.net.cn
#
# 3. 管理用户状态
##
# 锁定用户
SQL> alter user fgedu account lock;
##
# 解锁用户
SQL> alter user fgedu account unlock;
##
# 重置密码
SQL> alter user fgedu identified by “Fgedu456”;
##
# 密码过期处理
SQL> alter user fgedu password expire;
#
# 4. 配置多因素认证（如支持）
##
# 查看多因素认证配置
SQL> select * from v$parameter where name like ‘%MFA%’;
##
# 启用多因素认证
SQL> alter system set ‘MFA_ENABLE’ = 1 scope=spfile;

# 权限管理实施
#
# 1. 角色管理
##
# 创建角色
SQL> create role fgedu_role;
##
# 授予角色权限
SQL> grant create table, create view, create procedure to fgedu_role;
##
# 将角色授予用户
SQL> grant fgedu_role to fgedu;
##
# 查看角色权限
SQL> select * from dba_sys_privs where grantee = ‘FGEDU_ROLE’;
##
# 查看用户角色
SQL> select * from dba_role_privs where grantee = ‘FGEDU’;
#
# 2. 用户权限管理
##
# 授予用户系统权限
SQL> grant create session, create table to fgedu;
##
# 授予用户对象权限
SQL> grant select, insert, update, delete on fgedu.t_user to fgedu;
##
# 查看用户系统权限
SQL> select * from dba_sys_privs where grantee = ‘FGEDU’;
##
# 查看用户对象权限
SQL> select * from dba_tab_privs where grantee = ‘FGEDU’;
##
# 回收用户权限
SQL> revoke delete on fgedu.t_user from fgedu; 更多学习教程公众号风哥教程itpux_com
#
# 3. 权限审计
##
# 启用权限审计
SQL> alter system set ‘AUDIT_SYS_OPER’ = 1 scope=spfile;
SQL> alter system set ‘AUDIT_DDL’ = 1 scope=spfile;
SQL> alter system set ‘AUDIT_DML’ = 1 scope=spfile;
##
# 重启实例使参数生效
$ /dm/app/bin/DmServicefgedudb restart
##
# 查看审计配置
SQL> select * from v$parameter where name like ‘%AUDIT%’;

# 数据加密实施
#
# 1. 数据传输加密
##
# 生成SSL证书
$ openssl genrsa -out server.key 2048
$ openssl req -new -key server.key -out server.csr
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
##
# 配置SSL
$ vi /dm/app/conf/dm.ini
SSL_PATH = /dm/app/ssl
SSL_CA = server.crt
SSL_CERT = server.crt
SSL_KEY = server.key
##
# 启用SSL
SQL> alter system set ‘SSL_ENABLE’ = 1 scope=spfile;
##
# 重启实例使参数生效
$ /dm/app/bin/DmServicefgedudb restart
#
# 2. 数据存储加密
##
# 启用透明数据加密 from DB视频:www.itpux.com
SQL> alter system set ‘ENCRYPT’ = 1 scope=spfile;
##
# 重启实例使参数生效
$ /dm/app/bin/DmServicefgedudb restart
##
# 创建加密表空间
SQL> create tablespace fgedu_encrypt_tbs datafile ‘/dm/fgdata/fgedudb/fgedu_encrypt_tbs01.dbf’ size 10G encryption using ‘AES_256’ identified by “Encrypt123”;
##
# 创建加密表
SQL> create table fgedu.t_encrypt (id int, name varchar(50)) tablespace fgedu_encrypt_tbs encryption using ‘AES_256’ identified by “Encrypt123”;
##
# 查看加密配置
SQL> select * from v$parameter where name = ‘ENCRYPT’;
SQL> select tablespace_name, encryption from dba_tablespaces where tablespace_name = ‘FGEDU_ENCRYPT_TBS’;

# 网络安全实施
#
# 1. 配置网络访问控制
##
# 配置监听地址
$ vi /dm/app/conf/dm.ini
PORT_NUM = 5236
SVR_LOGIN_MODE = 2
##
# 配置防火墙
$ firewall-cmd –zone=public –add-port=5236/tcp –permanent
$ firewall-cmd –reload
##
# 配置IP白名单
$ vi /dm/app/conf/dm.ini
FILTER_IP = 192.168.1.0/24
#
# 2. 启用网络加密
##
# 启用SSL
SQL> alter system set ‘SSL_ENABLE’ = 1 scope=spfile;
##
# 重启实例使参数生效
$ /dm/app/bin/DmServicefgedudb restart
#
# 3. 网络安全监控
##
# 监控网络连接
$ netstat -tuln | grep 5236
##
# 监控网络流量
$ iftop -i eth0
##
# 配置网络告警
– 在监控系统中配置网络连接异常告警
– 在监控系统中配置网络流量异常告警

# 审计配置
#
# 1. 启用审计
##
# 查看当前审计配置
$ disql SYSDBA/SYSDBA
SQL> select * from v$parameter where name like ‘%AUDIT%’;
##
# 启用审计
SQL> alter system set ‘AUDIT_TRAIL’ = 1 scope=spfile;
— 1：启用审计，将审计记录存储在数据库中
SQL> alter system set ‘AUDIT_DIR’ = ‘/dm/audit’ scope=spfile;
— 设置审计文件存储目录
##
# 重启实例使参数生效
$ /dm/app/bin/DmServicefgedudb restart
#
# 2. 配置审计规则
##
# 启用系统操作审计
SQL> alter system set ‘AUDIT_SYS_OPER’ = 1 scope=spfile;
##
# 启用DDL操作审计
SQL> alter system set ‘AUDIT_DDL’ = 1 scope=spfile;
##
# 启用DML操作审计
SQL> alter system set ‘AUDIT_DML’ = 1 scope=spfile;
##
# 重启实例使参数生效
$ /dm/app/bin/DmServicefgedudb restart
#
# 3. 配置审计策略
##
# 创建审计策略
SQL> create audit policy fgedu_audit_policy;
##
# 添加审计规则
SQL> audit select, insert, update, delete on fgedu.t_user by fgedu;
##
# 查看审计策略
SQL> select * from dba_audit_policies;
##
# 查看审计规则
SQL> select * from dba_audit_rules;

# 审计数据管理
#
# 1. 查看审计记录
##
# 查看系统审计记录
SQL> select * from sysaudit.sys_audit order by audit_time desc;
##
# 查看会话审计记录
SQL> select * from sysaudit.sys_audit_session order by audit_time desc;
##
# 查看对象审计记录
SQL> select * from sysaudit.sys_audit_object order by audit_time desc;
#
# 2. 审计数据清理
##
# 清理过期审计数据
SQL> delete from sysaudit.sys_audit where audit_time < sysdate - 90; SQL> commit;
##
# 配置审计数据自动清理
$ vi /dm/app/conf/dm.ini
AUDIT_CLEAN_INTERVAL = 1440
AUDIT_CLEAN_THRESHOLD = 1000000
#
# 3. 审计数据备份
##
# 导出审计数据
$ /dm/app/bin/dexp SYSDBA/SYSDBA file=/dm/backup/audit.dmp tables=sysaudit.sys_audit,sysaudit.sys_audit_session,sysaudit.sys_audit_object
##
# 导入审计数据
$ /dm/app/bin/dimp SYSDBA/SYSDBA file=/dm/backup/audit.dmp tables=sysaudit.sys_audit,sysaudit.sys_audit_session,sysaudit.sys_audit_object

# 审计分析
#
# 1. 审计数据查询
##
# 查询登录失败记录
SQL> select * from sysaudit.sys_audit_session where result = ‘FAILED’ order by audit_time desc;
##
# 查询权限变更记录
SQL> select * from sysaudit.sys_audit where audit_type = ‘GRANT’ or audit_type = ‘REVOKE’ order by audit_time desc;
##
# 查询数据修改记录
SQL> select * from sysaudit.sys_audit_object where obj_name = ‘T_USER’ and audit_type in (‘INSERT’, ‘UPDATE’, ‘DELETE’) order by audit_time desc;
#
# 2. 审计报告生成
##
# 生成审计报告脚本
#!/bin/bash
# audit_report.sh
# from:www.itpux.com.qq113257174.wx:itpux-com
# web: `http://www.fgedu.net.cn`
export DM_HOME=/dm/app
export PATH=$PATH:$DM_HOME/bin
DATE=$(date +%Y%m%d)
OUTPUT_DIR=/dm/audit/report
mkdir -p $OUTPUT_DIR
disql SYSDBA/SYSDBA << EOF spool $OUTPUT_DIR/audit_report_$DATE.txt select '=== 登录失败记录 ===' from dual; select audit_time, user_name, client_ip, result from sysaudit.sys_audit_session where result = 'FAILED' order by audit_time desc; select '=== 权限变更记录 ===' from dual; select audit_time, user_name, audit_type, obj_name from sysaudit.sys_audit where audit_type = 'GRANT' or audit_type = 'REVOKE' order by audit_time desc; select '=== 数据修改记录 ===' from dual; select audit_time, user_name, audit_type, obj_name from sysaudit.sys_audit_object where audit_type in ('INSERT', 'UPDATE', 'DELETE') order by audit_time desc; spool off EOF echo "审计报告已生成：$OUTPUT_DIR/audit_report_$DATE.txt" # # 3. 审计监控 ## # 配置审计监控告警 - 在监控系统中配置登录失败告警 - 在监控系统中配置权限变更告警 - 在监控系统中配置异常操作告警 ## # 实时审计监控 - 使用DM审计管理工具进行实时监控 - 使用监控系统进行实时监控 - 配置审计告警邮件通知

# 安全管理与审计最佳实践
#
# 1. 安全管理最佳实践
##
# 1.1 用户认证
– 使用强密码策略
– 定期更换密码
– 启用密码复杂度检查
– 限制登录失败次数
– 锁定长时间未使用的账户
##
# 1.2 权限管理
– 实施最小权限原则
– 使用角色管理权限
– 定期审查用户权限
– 及时回收不必要的权限
– 限制特权用户数量
##
# 1.3 数据加密
– 启用数据传输加密
– 对敏感数据实施存储加密
– 安全管理加密密钥
– 定期更换加密密钥
##
# 1.4 网络安全
– 配置网络访问控制
– 启用网络加密
– 监控网络连接
– 限制数据库端口访问
– 使用防火墙保护数据库服务器
##
# 1.5 安全监控
– 部署安全监控系统
– 配置安全告警
– 定期安全检查
– 及时响应安全事件
#
# 2. 审计最佳实践
##
# 2.1 审计配置
– 合理配置审计范围
– 重点审计敏感操作
– 平衡审计开销与安全需求
– 定期审查审计配置
##
# 2.2 审计数据管理
– 合理存储审计数据
– 定期清理过期审计数据
– 备份审计数据
– 保护审计数据的完整性
##
# 2.3 审计分析
– 定期分析审计数据
– 关注异常操作
– 生成审计报告
– 利用审计数据优化安全策略
##
# 2.4 审计监控
– 实时监控审计事件
– 配置审计告警
– 及时响应审计告警
– 建立审计事件处理流程
#
# 3. 安全事件响应
##
# 3.1 事件检测
– 监控安全告警
– 分析审计数据
– 识别安全事件
##
# 3.2 事件响应
– 启动安全事件响应流程
– 隔离受影响的系统
– 收集证据
– 处理安全事件
##
# 3.3 事件恢复
– 恢复系统正常运行
– 修复安全漏洞
– 加强安全措施
##
# 3.4 事件分析
– 分析安全事件原因
– 总结经验教训
– 更新安全策略

#
# 安全管理案例
##
# 场景描述
某企业需要加强DM数据库的安全管理，防止未授权访问和数据泄露。
##
# 实施步骤
# 1. 安全评估
#
# 检查当前安全配置
$ disql SYSDBA/SYSDBA
SQL> select * from v$parameter where name like ‘%PWD%’ or name like ‘%AUDIT%’ or name like ‘%SSL%’;
#
# 检查用户权限
SQL> select username, account_status from dba_users;
SQL> select grantee, privilege from dba_sys_privs where grantee not in (‘SYS’, ‘SYSTEM’, ‘SYSDBA’);
# 2. 安全加固
#
# 配置密码策略
SQL> alter system set ‘PWD_POLICY’ = 3 scope=spfile;
SQL> alter system set ‘PWD_MIN_LEN’ = 8 scope=spfile;
SQL> alter system set ‘PWD_EXPIRE_TIME’ = 90 scope=spfile;
SQL> alter system set ‘PWD_MAX_FAIL_TIMES’ = 5 scope=spfile;
SQL> alter system set ‘PWD_LOCK_TIME’ = 1 scope=spfile;
#
# 启用审计
SQL> alter system set ‘AUDIT_TRAIL’ = 1 scope=spfile;
SQL> alter system set ‘AUDIT_SYS_OPER’ = 1 scope=spfile;
SQL> alter system set ‘AUDIT_DDL’ = 1 scope=spfile;
SQL> alter system set ‘AUDIT_DML’ = 1 scope=spfile;
#
# 启用SSL
SQL> alter system set ‘SSL_ENABLE’ = 1 scope=spfile;
#
# 重启实例使参数生效
$ /dm/app/bin/DmServicefgedudb restart
# 3. 权限管理
#
# 创建角色
SQL> create role fgedu_read;
SQL> create role fgedu_write;
#
# 授予角色权限
SQL> grant create session, select any table to fgedu_read;
SQL> grant create session, select any table, insert any table, update any table, delete any table to fgedu_write;
#
# 创建用户并授予角色
SQL> create user fgedu_read_user identified by “Read123”;
SQL> create user fgedu_write_user identified by “Write123”;
SQL> grant fgedu_read to fgedu_read_user;
SQL> grant fgedu_write to fgedu_write_user;
# 4. 安全监控
#
# 配置监控系统
– 部署Prometheus + Grafana
– 配置数据库安全监控面板
– 配置安全告警
#
# 定期安全检查
– 每周检查用户权限
– 每月检查安全配置
– 每季度进行安全评估
# 5. 安全培训
#
# 对运维人员进行安全培训
– 数据库安全管理知识
– 安全事件处理流程
– 安全最佳实践
#
# 对开发人员进行安全培训
– SQL注入防护
– 安全编码规范
– 数据保护措施
# 6. 效果评估
#
# 安全配置检查
– 密码策略是否生效
– 审计是否正常工作
– SSL是否启用
#
# 权限管理检查
– 用户权限是否符合最小权限原则
– 角色管理是否合理
– 权限变更是否被审计
#
# 安全监控检查
– 监控系统是否正常运行
– 告警是否及时触发
– 安全事件是否被及时处理
#
# 培训效果评估
– 运维人员安全意识是否提高
– 开发人员安全编码能力是否提升
– 安全事件数量是否减少

#
# 审计案例
##
# 场景描述
某企业需要实施DM数据库审计，满足合规性要求，监控数据库操作。
##
# 实施步骤
# 1. 审计规划
#
# 确定审计目标
– 满足SOX合规性要求
– 监控数据库敏感操作
– 提供审计证据
#
# 确定审计范围
– 系统操作审计
– DDL操作审计
– DML操作审计
– 登录审计
#
# 确定审计存储
– 审计数据存储在数据库中
– 定期清理过期审计数据
– 备份审计数据
# 2. 审计配置
#
# 启用审计
$ disql SYSDBA/SYSDBA
SQL> alter system set ‘AUDIT_TRAIL’ = 1 scope=spfile;
SQL> alter system set ‘AUDIT_DIR’ = ‘/dm/audit’ scope=spfile;
#
# 配置审计规则
SQL> alter system set ‘AUDIT_SYS_OPER’ = 1 scope=spfile;
SQL> alter system set ‘AUDIT_DDL’ = 1 scope=spfile;
SQL> alter system set ‘AUDIT_DML’ = 1 scope=spfile;
#
# 重启实例使参数生效
$ /dm/app/bin/DmServicefgedudb restart
#
# 创建审计策略
SQL> create audit policy fgedu_audit_policy;
SQL> audit select, insert, update, delete on fgedu.t_user by fgedu;
# 3. 审计数据管理
#
# 查看审计记录
SQL> select * from sysaudit.sys_audit order by audit_time desc;
SQL> select * from sysaudit.sys_audit_session order by audit_time desc;
SQL> select * from sysaudit.sys_audit_object order by audit_time desc;
#
# 清理过期审计数据
SQL> delete from sysaudit.sys_audit where audit_time < sysdate - 90; SQL> delete from sysaudit.sys_audit_session where audit_time < sysdate - 90; SQL> delete from sysaudit.sys_audit_object where audit_time < sysdate - 90; SQL> commit;
#
# 备份审计数据
$ /dm/app/bin/dexp SYSDBA/SYSDBA file=/dm/backup/audit.dmp tables=sysaudit.sys_audit,sysaudit.sys_audit_session,sysaudit.sys_audit_object
# 4. 审计分析
#
# 生成审计报告
$ sh /dm/scripts/audit_report.sh
#
# 分析审计数据
– 检查登录失败记录
– 检查权限变更记录
– 检查数据修改记录
– 识别异常操作
#
# 配置审计监控
– 在Grafana中配置审计监控面板
– 配置审计告警
– 定期审查审计报告
# 5. 合规性检查
#
# SOX合规性检查
– 审计是否覆盖所有关键操作
– 审计数据是否完整
– 审计数据是否可追溯
#
# 内部审计检查
– 审计配置是否合理
– 审计数据是否安全存储
– 审计分析是否及时
# 6. 效果评估
#
# 审计功能检查
– 审计是否正常工作
– 审计数据是否完整
– 审计告警是否及时
#
# 合规性检查
– 是否满足SOX合规性要求
– 是否满足内部审计要求
– 是否满足行业法规要求
#
# 安全效果检查
– 异常操作是否被及时发现
– 安全事件是否被及时处理
– 安全漏洞是否被及时修复

#
# 安全事件处理案例
##
# 场景描述
某企业的DM数据库出现异常登录尝试，需要及时处理安全事件。
##
# 处理步骤
# 1. 事件检测
#
# 监控系统告警
– 登录失败次数超过阈值
– 来自异常IP的登录尝试
#
# 审计数据分析
$ disql SYSDBA/SYSDBA
SQL> select * from sysaudit.sys_audit_session where result = ‘FAILED’ and audit_time > sysdate – 1 order by audit_time desc;
— 输出结果
AUDIT_TIME USER_NAME CLIENT_IP RESULT
—————— ———- ————- ——
2025-04-09 10:00:00 SYS 192.168.1.100 FAILED
2025-04-09 10:00:01 SYS 192.168.1.100 FAILED
2025-04-09 10:00:02 SYS 192.168.1.100 FAILED
2025-04-09 10:00:03 SYS 192.168.1.100 FAILED
2025-04-09 10:00:04 SYS 192.168.1.100 FAILED
# 2. 事件响应
#
# 隔离受影响的系统
– 暂时禁止来自异常IP的访问
$ iptables -A INPUT -s 192.168.1.100 -j DROP
#
# 收集证据
– 保存审计日志
– 保存系统日志
– 保存网络日志
#
# 处理安全事件
– 锁定被尝试登录的账户
SQL> alter user SYS account lock;
– 检查数据库是否被入侵
SQL> select * from v$session;
SQL> select * from v$process;
# 3. 事件恢复
#
# 恢复系统正常运行
– 解锁账户
SQL> alter user SYS account unlock;
– 重置密码
SQL> alter user SYS identified by “NewPassword123”;
– 移除IP限制
$ iptables -D INPUT -s 192.168.1.100 -j DROP
#
# 加强安全措施
– 配置登录失败锁定
SQL> alter system set ‘PWD_MAX_FAIL_TIMES’ = 3 scope=spfile;
– 配置IP白名单
SQL> alter system set ‘FILTER_IP’ = ‘192.168.1.0/24’ scope=spfile;
– 重启实例使参数生效
$ /dm/app/bin/DmServicefgedudb restart
# 4. 事件分析
#
# 分析安全事件原因
– 登录尝试来自内部网络IP 192.168.1.100
– 尝试使用SYS账户登录
– 可能是内部人员误操作或恶意尝试
#
# 总结经验教训
– 加强账户管理
– 加强网络访问控制
– 加强安全监控
#
# 更新安全策略
– 修订密码策略
– 修订网络安全策略
– 修订安全监控策略
# 5. 事件报告
#
# 编写安全事件报告
– 事件发生时间和地点
– 事件描述和影响
– 事件处理过程
– 事件原因分析
– 预防措施建议
#
# 提交安全事件报告
– 提交给安全管理部门
– 提交给管理层
– 存档备案
# 6. 后续跟进
#
# 监控系统状态
– 监控异常登录尝试
– 监控数据库操作
– 监控系统资源使用情况
#
# 定期安全检查
– 检查账户安全
– 检查网络安全
– 检查系统安全
#
# 安全培训
– 对员工进行安全意识培训
– 对运维人员进行安全技能培训
– 对开发人员进行安全编码培训