Oracle AVDF安裝
1.HIS中OracleAVDF的應用實驗
接下來,我們通過配置來展示下Oracle AVDF對HIS的一個應用案例,首先在完成前面的基礎配置後,再次以審計人員身份登錄AuditVault Server後可以看到整個界面都主控制台界面都有明顯的變化。如下圖示:主控標簽欄裡出現了“報告”和“策略”的標簽,下方劃分了最近生成的告警信息、按預警排名的前5個受保護目標、最近失敗的登錄、證明操作四個部分,這基本將目前生產環境概況展示出來了。還可以從報告中獲取關於防火牆預警和審計更為詳細的報告。但是這都需要審計人員事先定義好審計和防火牆的策略。
Oracle AVDF 主控制台界面界面
可以看到在主控台“策略”標簽下,策略的分類中有審計設置和防火牆策略兩項。策略的設置操作較為簡單,但所有策略的都需要針對具體的應用來制定,但這往往又是一件復雜的事。因此這裡僅對審計和防火牆的策略假設兩個簡單的需求來進行設置:
1、對HIS中的門診費用記錄表的插入操作進行審計;
2、防火牆對zl_Parameters_Update的調用操作進行攔截。
1.1. 審計配置
針對上面假設的兩個小需求,首先選擇“策略”標簽下的“審計設置”菜單。然後再受保護目標列表中選擇需要實現該需要的目標。選擇後會自動跳轉到與該目標審計設置相關的頁面,頁面會顯列出當前該目標審計設置的一個概況,比如是否對sys用戶進行審計、對多少語句或對像正在進行審計等。當然具體的信息還需要進行了具體的分類中去查看。
配置針對門診費用記錄表的審計(一)
當前審計設置概覽頁面。由於我們是要對門診用費記錄表的插入操作進行審計,所以這裡選擇“Object”這個類別。當然根據需求的不同,在這裡可以選擇對語句的審計、權限審計或者細粒度的審計等。
配置針對門診費用記錄表的審計(二)
在對像(Object)審計設置頁面,點擊“創建”,然後填寫需要審計的對像信息,完成後保存。根據需求,這裡需要審計的對像是類型是表,對像名稱是ZLHIS.門診費用記錄,需要審計的操作是Insert。
配置針對門診費用記錄表的審計(三)
創建完成後在對像(Object)審計設置頁面就會出現該審計策略。通過右側的功能按鈕可以設置是否啟用該頁面中選中的策略。
配置針對門診費用記錄表的審計(四)
這樣一條針對門診費用記錄表插入操作的審計策略就設置完成。其它類型的審計策略設置過程與此類似,只是在審計信息填寫時會有差異。
1.2. 防火牆配置
接下來設置防火牆對存儲過程調用攔截的策略。選擇“防火牆策略”菜單,點擊創建策略。這裡需要確定應用數據庫的類型,該策略的名稱等信息。有人這裡可能會有些疑問,怎麼就這樣創建策略?策略知道我要攔截的存儲過程是哪一個嗎?可能沒有接觸過防火牆的的人在這裡都會有類似這樣的疑問,其實在防火牆策略的下面還有一個叫做規則(rule)的概念,真正起作用的正是策略中所定義的那些規則。
配置針對zl_Parameters_Update過程的防火牆(一)
確定創建策略後會自動跳轉到定義規則的頁面。由於我們的需求是攔截zl_Parameters_Update這個存儲過程,所以在規則定義的頁面需要選擇設置SQL分析的規則。因為此前已使用ZLHIS程序連接目標數據庫作過了些操作,防火牆已將我們程序中的常用SQL記錄下來。這裡在主報表中找出需要攔截的SQL語句,然後選擇右側的設置策略,在彈出的設置控制策略的對話框中指定阻止該SQL語句以及日志記錄級別和威脅嚴重性等信息。
配置針對zl_Parameters_Update過程的防火牆(二)
設置控制策略。設定操作為阻止(block),日志記錄為一次,威脅嚴重性為中等。這裡僅是針對前面的需要來制定的規則,所以要求我們在實際制定規則的時候一定要先弄清楚應用的需求。規則設定完成後,還需要在策略定義主控界面的右側將剛才定義的策略進行發布。
配置針對zl_Parameters_Update過程的防火牆(三)
上述步驟都完成了就可以將所定義的策略應用於安全目標。此時在防火牆策略主菜單下面可以看到當前已定義了哪些策略,以及哪些策略已經應用於安全目標數據庫了(部署時間欄中狀態為NO的即為新定義還沒有應用的,反之狀態Yes的為已應用的)。
配置針對zl_Parameters_Update過程的防火牆(四)
跳轉到“受保護目標”標簽下的“目標”菜單頁面,選擇需要應用防火牆策略進行保護的目標,在防火牆策略欄選擇上面剛才定義的那條策略並保存。同時,在該頁面中還能對審計策略、存儲過程審計、用戶授權等進行設置。
配置針對zl_Parameters_Update過程的防火牆(五)
最後,在所有的策略、規則都已定義並指定應用之後,接下來看一看作為每一個審計者最關心的內容——報告。部署Oracle Audit Vault and Database Firewall的初衷就是為了保護安全目標,對潛在的安全威脅進行預警,以現實有效的規避安全風險。
在Oracle Audit Vault and DatabaseFirewall中已經預先內置了相當數量的各種報告,基本已能夠滿足大部分審計工作的需要。並且OracleAudit Vault and Database Firewall還支持自定義報告,可以通過修改其提供的報告模板以實現一些特殊的需求。以下為報告主控台頁面截圖:
Oracle AVDF主按界面(六)
其中根據需求的不同報告的格式、內容、展現形式等都比較多,本文中也無法去一一列舉。
1.3. 效果展示
以下僅以前文中為滿足假設需求所設置的兩個策略生成的報告截圖為例。為了產生數據,我們需要首先運行ZLHIS應用程序來觸發對門診費用記錄表進行插入和調用zl_Parameters_Update這個存儲過程的操作。
因為是假設的需求,所以先在ZLHSI程序的門診收費模塊中進行參數設置,該操作確定時就會調用zl_Parameters_Update存儲過程。
ZLHIS軟件操作(一)
隨後需要實現對門診費用記錄表插入的操作,所以接下來模擬一筆門診收費的操作,該操作將會對門診費用記錄表插入數據。
ZLHIS軟件操作(二)
完成上面的操作後,我們就可以到報告中去查看對應的報表。如下圖示:
Oracle AVDF報告查閱(一)
點擊審計報告報表最左側的空白頁圖標還能得到更加詳細的信息,包括操作來自於哪個客戶端、操作系統進程ID、SQL語句綁定變量值等內容。
Oracle AVDF報告查閱(二)
防火牆策略對zl_Parameters_Update存儲過程調用攔截的報告。
Oracle AVDF報告查閱(三)
此外,除了使用浏覽器在線查看各種報告還可以指定以PDF或XLS格式生成離線的報告。下圖為生成的XLS格式的報告。
Oracle AVDF報告查閱(四)
Oracle AuditVault and Database Firewall的安裝、配置以及部署應用較以往所使用的Oracle其它產品來講可能略微顯得復雜了一些。 但是對於此產品的應用來講,更重要的應該還是理清業務的需求,哪些操作需要審計、哪些需要阻止、哪些只是警告,等等。不管如何復雜,安裝配置都是固定的步驟而已,使用次數多了也就熟悉了,而業務的需求卻是變化萬千。只有清晰的理解了業務的需求,制定出良好的策略才能使Oracle Audit Vault and Database Firewall更好的實現預期的保護目標。
