安恒信息：深入淺出數(shù)據(jù)庫安全審計(jì)

2013-10-22 10:30:40 eNet硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

數(shù)據(jù)庫安全現(xiàn)狀　　大學(xué)數(shù)據(jù)庫原理教科書中，數(shù)據(jù)庫是這樣被解釋的：數(shù)據(jù)庫是計(jì)算機(jī)應(yīng)用系統(tǒng)中的一種專門管理數(shù)據(jù)庫資源的系統(tǒng)。數(shù)據(jù)具有多種形式，如文字數(shù)碼符號(hào) 圖形圖象以及聲音。數(shù)據(jù)庫系統(tǒng)立足于數(shù)

資源消耗，嚴(yán)重影響數(shù)據(jù)庫性能；另一方面審計(jì)信息的真實(shí)性、完整性也無法保證。

　　其他諸如應(yīng)用程序修改、數(shù)據(jù)源觸發(fā)器、統(tǒng)一認(rèn)證系統(tǒng)授權(quán)等等方式，均只能記錄有限的信息，更加無法提供細(xì)料度的數(shù)據(jù)庫操作審計(jì)。

　　數(shù)據(jù)庫審計(jì)

　　數(shù)據(jù)庫審計(jì)概念

　　審計(jì)，英文稱之為“audit”，檢查、驗(yàn)證目標(biāo)的準(zhǔn)確性和完整性，用以防止虛假數(shù)據(jù)和欺騙行為，以及是否符合既定的標(biāo)準(zhǔn)、標(biāo)竿和其它審計(jì)原則。

　　審計(jì)概念最早用于財(cái)務(wù)系統(tǒng)，主要是獲取金融體系和金融記錄的公司或企業(yè)的財(cái)務(wù)報(bào)表的相關(guān)信息。隨著科技信息技術(shù)的發(fā)展，大部份的企業(yè)、機(jī)構(gòu)和組織的財(cái)務(wù)系統(tǒng)都運(yùn)行在信息系統(tǒng)上面，所以信息手段成為財(cái)務(wù)審計(jì)的一種技術(shù)的同時(shí)，財(cái)務(wù)審計(jì)也帶動(dòng)了通用信息系統(tǒng)的審計(jì)。審計(jì)已開始包括信息技術(shù)審計(jì)。

　　信息技術(shù)審計(jì)，是一個(gè)信息技術(shù)（ IT ）基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計(jì)是一個(gè)通過收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。

　　數(shù)據(jù)庫審計(jì)作為信息安全審計(jì)的重要組成部分，同時(shí)也是數(shù)據(jù)庫管理系統(tǒng)安全性重要的一部分。通過審計(jì)功能，凡是與數(shù)據(jù)庫安全性相關(guān)的操作均可被記錄下來。只要檢測審計(jì)記錄，系統(tǒng)安全員便可掌握數(shù)據(jù)庫被使用狀況。例如，檢查庫中實(shí)體的存取模式，監(jiān)測指定用戶的行為。審計(jì)系統(tǒng)可以跟蹤用戶的全部操作，這也使審計(jì)系統(tǒng)具有一種威懾力，提醒用戶安全使用數(shù)據(jù)庫。

數(shù)據(jù)庫審計(jì)立法

　　《薩班斯-奧克斯利法案（2002 Sarbanes-Oxley Act）》的第302條款和第404條款中，強(qiáng)調(diào)通過內(nèi)部控制加強(qiáng)公司治理，包括加強(qiáng)與財(cái)務(wù)報(bào)表相關(guān)的IT系統(tǒng)內(nèi)部控制，其中，IT系統(tǒng)內(nèi)部控制就是面向具體的業(yè)務(wù)，它是緊密圍繞信息安全審計(jì)這一核心的。

　　《企業(yè)內(nèi)部控制規(guī)范--基本規(guī)范的內(nèi)部審計(jì)機(jī)制》，中國的薩班斯法案，提出健全內(nèi)部審計(jì)機(jī)構(gòu)、加強(qiáng)內(nèi)部審計(jì)監(jiān)督是營造守法、公平、正直的內(nèi)部環(huán)境的重要保證。企業(yè)應(yīng)當(dāng)加強(qiáng)內(nèi)部審計(jì)工作，在企業(yè)內(nèi)部形成有權(quán)必有責(zé)、用權(quán)受監(jiān)督的良好氛圍。

　　ISO7498《信息處理系統(tǒng)開放系統(tǒng)互連——基本參考模型》第二部分安全體系結(jié)構(gòu)在“安全服務(wù)與安全機(jī)制的一般描述”中指出安全審計(jì)跟蹤提供了一種不可忽視的安全機(jī)制，它的潛在價(jià)值在于經(jīng)事后的安全審計(jì)得以檢測和調(diào)查安全的漏洞。安全審計(jì)就是對(duì)系統(tǒng)的記錄與行為進(jìn)行獨(dú)立的品評(píng)考查，目的是測試系統(tǒng)的控制是否恰當(dāng)，保證與既定策略和操作堆積的協(xié)調(diào)一致，有助于作出損害評(píng)估，以及對(duì)在控制、策略與規(guī)程中指明的改變作出評(píng)價(jià)。安全審計(jì)要求在安全審計(jì)跟蹤中記錄有關(guān)安全的信息，分析和報(bào)告從安全審計(jì)跟蹤中得來的信息。這種日志記錄或記錄被認(rèn)為是一種安全機(jī)制并在本條中予以描述，而把分析和報(bào)告視為一種安全管理功能。

　　《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理技術(shù)要求》是計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求系列標(biāo)準(zhǔn)之一，詳細(xì)說明了計(jì)算機(jī)信息系統(tǒng)為實(shí)現(xiàn)GB17859所提出的安全等級(jí)保護(hù)要求對(duì)數(shù)據(jù)庫管理系統(tǒng)的安全技術(shù)要求，以及確保這些安全技術(shù)所實(shí)現(xiàn)的安全功能達(dá)到其應(yīng)有的安全性而采取的保證措施。其在 “數(shù)據(jù)庫安全審計(jì)”中明確要求：

　　數(shù)據(jù)庫管理系統(tǒng)的安全審計(jì)應(yīng)建立獨(dú)立的安全審計(jì)系統(tǒng)；定義與數(shù)據(jù)庫安全相關(guān)的審計(jì)事件；設(shè)置專門的安全審計(jì)員；設(shè)置專門用于存儲(chǔ)數(shù)據(jù)庫系統(tǒng)審計(jì)數(shù)據(jù)的安全審計(jì)庫；提供適用于數(shù)據(jù)庫系統(tǒng)的安全審計(jì)設(shè)置、分析和查閱的工具。

　　明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)

明御數(shù)據(jù)庫審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)是杭州安恒信息技術(shù)有限公司結(jié)合多年數(shù)據(jù)庫安全的理論和實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上，結(jié)合各類法令法規(guī)對(duì)數(shù)據(jù)庫審計(jì)的要求，自主研發(fā)完成的業(yè)界首創(chuàng)細(xì)粒度審計(jì)、精準(zhǔn)化行為回溯、全方位風(fēng)險(xiǎn)控制的數(shù)據(jù)庫審計(jì)產(chǎn)品。以獨(dú)立硬件審計(jì)的工作模式，靈活的審計(jì)策略配置，解決企業(yè)核心數(shù)據(jù)庫面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅，滿足各類法令法規(guī)對(duì)數(shù)據(jù)庫審計(jì)的要求，廣泛適用于“政府、金融、運(yùn)營商、公安、能源、稅

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊