审查
审查帮助您跟踪系统中未经授权的用户行为并阻止这种行为。针对那些具有高特权但却干坏事的管理员或者用户进行审查对保护您的系统十分有用。一个好的审查系统允许您只对那些您认为重要的事件进行过滤,因此您不会湮没在海量的信息中。所有数据库平台均在不同程度上提供审查功能。
SQL Server 2005以几种不同方式支持审查。它使用Windows安全日志、SQL Profiler、以及数据定义语言(DDL)触发器来提供审查功能。
Windows安全日志是Windows用于跟踪系统中对象的访问、权力的使用、成功或失败的帐户验证的最主要机制。除了由Windows安全日志提供的操作系统级别的审查,图13显示的SQL Profiler则提供了比Windows安全日志更详细级别的审查。
图13:SQL Profiler界面
SQL Profiler是用于审查SQL Server事件的强大工具。您可以使用图14中显示的Trace Properties对话框配置SQL Server事件。
图14:Properties对话框中包含了各种粒度的安全审查
SQL Server 2005提供了一个允许没有系统管理员权限的用户使用SQL Profiler的角色。这可以帮助开发人员和审查人员对系统进行监视而无须授予他们额外的权限。使用Windows安全日志和SQL Server Profiler可以满足您大部分的审查需求,此外您还可以使用数据定义语言(DDL)。
DDL是使用SQL语言中的CREATE、ALTER和DROP语句。SQL Server 2005提供了DDL触发器,因此您可以决定数据库中的对象是何时创建和删除的,借助SQL Server通知服务的强大集成您还可以接收相应的通知。SQL Profiler还为Microsoft SQL Server分析服务提供了新的审查功能以增强对OLAP数据的审查。
Oracle 10g提供了精细粒度的审查,允许您定义审查策略,可以对对象、权限、对象访问、SQL语句的类型等等进行审查。您还可以开启报警功能这样管理员可以在出现安全问题时迅速收到通知。Oracle 10g审查的初始配置比较困难,因为您必须首先使用 PL\SQL存储过程建立审查事件,然后再将事件添加到审查策略中。SQL Server 2005提供了可与Oracle一比高下的精细粒度的审查功能,但是更易于管理而且可以通过图形用户界面报告审查结果。
