作为收费应用方面的数据库管理员(dba),公司首席信息官(cio)经常邀请我与sarbanes-oxley审查员开会讨论公司数据的安全与整合问题。简单地说,他希望我们通过适当的文件回答许多问题:如谁访问了我们的数据、如何批准访问权、以及我们如何对访问进行监控,以防止某些人入侵、登录数据或做他们不该做的事情。
我的cio与我了解了一些证明sarbanes-oxley法案遵守的商业解决方案。但是,我们决定应用sql server 2005内置工具来建立我们“自产的”审查系统。
server 2005新功能
在使用sql server 2005之前,我们应用数据操作语言(dml)触发器来了解数据库中何时会发生数据变化。我们可以指着审查日志说,这里有一个列表,列出了自上次审查以来我们发布的所有插入(insert)、更新(update)与删除(detele)语句,包括执行语句的时间、日期、个人或程序。
dml触发器是一个数据库引擎启动的专用存储程序,它在为数据变化建立审查索引方面有很大的作用。但是,dml触发器只有在数据发生变化时才会启动。在使用sql server 2005之前,我们没有较好的办法来追踪数据库服务器中的结构或安全变化。
sql server 2005支持数据定义语言(ddl)触发器。在发生服务器或数据库级事件时,这些触发器才会建立并启动。ddl触发器允许我们追踪数据库中的重要变化——有意的、无意的或恶意的改变。
追踪所有注册
下面是一个ddl触发器改善数据库监控能力的典型例子。在以前版本的sql server中,我们很难了解何时建立新注册、何时建立新数据库、或是何时给不同用户分配了新许可。
在sql server 2005中,追踪这样的安全变化要相对容易一些。为说明这一点,无论用户是谁,让我们设计了一个追踪服务器上所有行为的解决方案。我们将用ddl触发器事件ddl_login_events来建立审查索引。这个事件触发器将寻找服务器上的任何注册事件,包括所有的建立注册(create login)、修改注册(alter login)与删除注册(delete login)事件。
|||在sql server 2005中,通过运行create database ddltriggertest语句建立一个审查索引数据库,然后定义下列域:
idcol smallint identity(1,1) primary key,
xmlevent xml
databasename varchar(50)
systemuser varchar(50)
entrydate datetime default (getdate())注意表格中利用了xml数据类型,这是sql server 2005中新增的功能。顾名思义,它的作用是保存xml数据。
一旦表格做好准备追踪事件,就可以建立必要的触发器来监控这些事件。第一步,我们的解决方案寻找服务器上发生的注册事件,包括任何建立注册(create login)、修改注册(alter login)与删除注册(delete login)事件。运行以下脚本来建立触发器:
create trigger tr_security
on all server
for ddl_login_events
as
begin
?insert into ddltriggertest..
eventtabledata(xmlevent, databasename, systemuser)
?values (evendata(), db_name(), system_user)
end这段脚本建立一个触发器,宣称我们希望寻找服务器上发生的所有ddl注册事件。启动触发器所得到的信息将进入我们前面建立的ddltriggertest表格中。注意,我们使用三个函数将数据插入表格中。在此例中,eventdata函数将收集与注册有关的信息,因为它是for ddl_login_events语句指定的事件。system_user函数执行当前语句,返回注册。而且,如你所猜测的,db_name()函数返回执行当前语句的数据库的名称。由于建立一个注册是一个服务器级事件,我们的审查索引记录下发生在主数据库中的语句。
为测试新的触发器,我们必须在服务器上提出一个login事件。执行create login testlogin with password = '123456xxyybaz这样的命令,是建立一个新注册的最简单方法。
运行该语句后,如果我们查看信息窗口,就可看到信息(1行受影响)。由于我们安排好审查,所以此语句才会发生。当我们在服务器上运行create login语句时,ddl触发器被启动,一项记录插入到ddltriggertest数据库的eventtabledata表格中。
xml中有什么?
你可以在ddltriggertest表格中运行select查询来证明我们向表格中写入了记录。如果你习惯应用sql server 2000,那么xmlevent一栏中的数据可能对你来说有些陌生。在sql server management studio (ssms)中,点击xmlevent一栏中的链接即可查看它包含的xml数据。
xmlevent域由eventdata()函数从触发器中的insert语句中移植过来。在这种情况下,eventdata()函数返回与注册有关的xml数据,包括注册的时间与日期、服务器名称、用户id与机器系统id。
刚刚开始
ddl_login_event触发器只是有助于证明系统安全,你能够进行监控的60多个ddl事件中的一个。其它sarbanes-oxley审查感兴趣的事件包括:建立或终止其它数据库对象,如表格、程序、触发器、概念、函数等。
在本文中,我们的讨论仅限于服务器级事件。在以后的文章中,我将说明一个追踪数据库级事件的触发器。我还将向你展示那些触发器如何执行追踪事件以外的功能——实际上,它们可阻止你不想发生的未授权的事件在数据库中出现。
新闻热点
疑难解答
