安恒信息：深入淺出數(shù)據(jù)庫安全審計

2013-10-22 10:30:40 eNet硅谷動力　點擊量：評論 (0)

數(shù)據(jù)庫安全現(xiàn)狀　　大學(xué)數(shù)據(jù)庫原理教科書中，數(shù)據(jù)庫是這樣被解釋的：數(shù)據(jù)庫是計算機應(yīng)用系統(tǒng)中的一種專門管理數(shù)據(jù)庫資源的系統(tǒng)。數(shù)據(jù)具有多種形式，如文字數(shù)碼符號圖形圖象以及聲音。數(shù)據(jù)庫系統(tǒng)立足于數(shù)

資源消耗，嚴重影響數(shù)據(jù)庫性能；另一方面審計信息的真實性、完整性也無法保證。

　　其他諸如應(yīng)用程序修改、數(shù)據(jù)源觸發(fā)器、統(tǒng)一認證系統(tǒng)授權(quán)等等方式，均只能記錄有限的信息，更加無法提供細料度的數(shù)據(jù)庫操作審計。

　　數(shù)據(jù)庫審計

　　數(shù)據(jù)庫審計概念

　　審計，英文稱之為“audit”，檢查、驗證目標的準確性和完整性，用以防止虛假數(shù)據(jù)和欺騙行為，以及是否符合既定的標準、標竿和其它審計原則。

　　審計概念最早用于財務(wù)系統(tǒng)，主要是獲取金融體系和金融記錄的公司或企業(yè)的財務(wù)報表的相關(guān)信息。隨著科技信息技術(shù)的發(fā)展，大部份的企業(yè)、機構(gòu)和組織的財務(wù)系統(tǒng)都運行在信息系統(tǒng)上面，所以信息手段成為財務(wù)審計的一種技術(shù)的同時，財務(wù)審計也帶動了通用信息系統(tǒng)的審計。審計已開始包括信息技術(shù)審計。

　　信息技術(shù)審計，是一個信息技術(shù)（ IT ）基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。

　　數(shù)據(jù)庫審計作為信息安全審計的重要組成部分，同時也是數(shù)據(jù)庫管理系統(tǒng)安全性重要的一部分。通過審計功能，凡是與數(shù)據(jù)庫安全性相關(guān)的操作均可被記錄下來。只要檢測審計記錄，系統(tǒng)安全員便可掌握數(shù)據(jù)庫被使用狀況。例如，檢查庫中實體的存取模式，監(jiān)測指定用戶的行為。審計系統(tǒng)可以跟蹤用戶的全部操作，這也使審計系統(tǒng)具有一種威懾力，提醒用戶安全使用數(shù)據(jù)庫。

數(shù)據(jù)庫審計立法

　　《薩班斯-奧克斯利法案（2002 Sarbanes-Oxley Act）》的第302條款和第404條款中，強調(diào)通過內(nèi)部控制加強公司治理，包括加強與財務(wù)報表相關(guān)的IT系統(tǒng)內(nèi)部控制，其中，IT系統(tǒng)內(nèi)部控制就是面向具體的業(yè)務(wù)，它是緊密圍繞信息安全審計這一核心的。

　　《企業(yè)內(nèi)部控制規(guī)范--基本規(guī)范的內(nèi)部審計機制》，中國的薩班斯法案，提出健全內(nèi)部審計機構(gòu)、加強內(nèi)部審計監(jiān)督是營造守法、公平、正直的內(nèi)部環(huán)境的重要保證。企業(yè)應(yīng)當加強內(nèi)部審計工作，在企業(yè)內(nèi)部形成有權(quán)必有責、用權(quán)受監(jiān)督的良好氛圍。

　　ISO7498《信息處理系統(tǒng)開放系統(tǒng)互連——基本參考模型》第二部分安全體系結(jié)構(gòu)在“安全服務(wù)與安全機制的一般描述”中指出安全審計跟蹤提供了一種不可忽視的安全機制，它的潛在價值在于經(jīng)事后的安全審計得以檢測和調(diào)查安全的漏洞。安全審計就是對系統(tǒng)的記錄與行為進行獨立的品評考查，目的是測試系統(tǒng)的控制是否恰當，保證與既定策略和操作堆積的協(xié)調(diào)一致，有助于作出損害評估，以及對在控制、策略與規(guī)程中指明的改變作出評價。安全審計要求在安全審計跟蹤中記錄有關(guān)安全的信息，分析和報告從安全審計跟蹤中得來的信息。這種日志記錄或記錄被認為是一種安全機制并在本條中予以描述，而把分析和報告視為一種安全管理功能。

　　《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理技術(shù)要求》是計算機信息系統(tǒng)安全等級保護技術(shù)要求系列標準之一，詳細說明了計算機信息系統(tǒng)為實現(xiàn)GB17859所提出的安全等級保護要求對數(shù)據(jù)庫管理系統(tǒng)的安全技術(shù)要求，以及確保這些安全技術(shù)所實現(xiàn)的安全功能達到其應(yīng)有的安全性而采取的保證措施。其在 “數(shù)據(jù)庫安全審計”中明確要求：

　　數(shù)據(jù)庫管理系統(tǒng)的安全審計應(yīng)建立獨立的安全審計系統(tǒng)；定義與數(shù)據(jù)庫安全相關(guān)的審計事件；設(shè)置專門的安全審計員；設(shè)置專門用于存儲數(shù)據(jù)庫系統(tǒng)審計數(shù)據(jù)的安全審計庫；提供適用于數(shù)據(jù)庫系統(tǒng)的安全審計設(shè)置、分析和查閱的工具。

　　明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)

明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)是杭州安恒信息技術(shù)有限公司結(jié)合多年數(shù)據(jù)庫安全的理論和實踐經(jīng)驗積累的基礎(chǔ)上，結(jié)合各類法令法規(guī)對數(shù)據(jù)庫審計的要求，自主研發(fā)完成的業(yè)界首創(chuàng)細粒度審計、精準化行為回溯、全方位風(fēng)險控制的數(shù)據(jù)庫審計產(chǎn)品。以獨立硬件審計的工作模式，靈活的審計策略配置，解決企業(yè)核心數(shù)據(jù)庫面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅，滿足各類法令法規(guī)對數(shù)據(jù)庫審計的要求，廣泛適用于“政府、金融、運營商、公安、能源、稅