安恒信息：深入淺出數據庫安全審計

2013-10-22 10:30:40 eNet硅谷動力　點擊量：評論 (0)

數據庫安全現狀　　大學數據庫原理教科書中，數據庫是這樣被解釋的：數據庫是計算機應用系統中的一種專門管理數據庫資源的系統。數據具有多種形式，如文字數碼符號圖形圖象以及聲音。數據庫系統立足于數

資源消耗，嚴重影響數據庫性能；另一方面審計信息的真實性、完整性也無法保證。

　　其他諸如應用程序修改、數據源觸發器、統一認證系統授權等等方式，均只能記錄有限的信息，更加無法提供細料度的數據庫操作審計。

　　數據庫審計

　　數據庫審計概念

　　審計，英文稱之為“audit”，檢查、驗證目標的準確性和完整性，用以防止虛假數據和欺騙行為，以及是否符合既定的標準、標竿和其它審計原則。

　　審計概念最早用于財務系統，主要是獲取金融體系和金融記錄的公司或企業的財務報表的相關信息。隨著科技信息技術的發展，大部份的企業、機構和組織的財務系統都運行在信息系統上面，所以信息手段成為財務審計的一種技術的同時，財務審計也帶動了通用信息系統的審計。審計已開始包括信息技術審計。

　　信息技術審計，是一個信息技術（ IT ）基礎設施控制范圍內的檢查。信息系統審計是一個通過收集和評價審計證據，對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。

　　數據庫審計作為信息安全審計的重要組成部分，同時也是數據庫管理系統安全性重要的一部分。通過審計功能，凡是與數據庫安全性相關的操作均可被記錄下來。只要檢測審計記錄，系統安全員便可掌握數據庫被使用狀況。例如，檢查庫中實體的存取模式，監測指定用戶的行為。審計系統可以跟蹤用戶的全部操作，這也使審計系統具有一種威懾力，提醒用戶安全使用數據庫。

數據庫審計立法

　　《薩班斯-奧克斯利法案（2002 Sarbanes-Oxley Act）》的第302條款和第404條款中，強調通過內部控制加強公司治理，包括加強與財務報表相關的IT系統內部控制，其中，IT系統內部控制就是面向具體的業務，它是緊密圍繞信息安全審計這一核心的。

　　《企業內部控制規范--基本規范的內部審計機制》，中國的薩班斯法案，提出健全內部審計機構、加強內部審計監督是營造守法、公平、正直的內部環境的重要保證。企業應當加強內部審計工作，在企業內部形成有權必有責、用權受監督的良好氛圍。

　　ISO7498《信息處理系統開放系統互連——基本參考模型》第二部分安全體系結構在“安全服務與安全機制的一般描述”中指出安全審計跟蹤提供了一種不可忽視的安全機制，它的潛在價值在于經事后的安全審計得以檢測和調查安全的漏洞。安全審計就是對系統的記錄與行為進行獨立的品評考查，目的是測試系統的控制是否恰當，保證與既定策略和操作堆積的協調一致，有助于作出損害評估，以及對在控制、策略與規程中指明的改變作出評價。安全審計要求在安全審計跟蹤中記錄有關安全的信息，分析和報告從安全審計跟蹤中得來的信息。這種日志記錄或記錄被認為是一種安全機制并在本條中予以描述，而把分析和報告視為一種安全管理功能。

　　《計算機信息系統安全等級保護數據庫管理技術要求》是計算機信息系統安全等級保護技術要求系列標準之一，詳細說明了計算機信息系統為實現GB17859所提出的安全等級保護要求對數據庫管理系統的安全技術要求，以及確保這些安全技術所實現的安全功能達到其應有的安全性而采取的保證措施。其在 “數據庫安全審計”中明確要求：

　　數據庫管理系統的安全審計應建立獨立的安全審計系統；定義與數據庫安全相關的審計事件；設置專門的安全審計員；設置專門用于存儲數據庫系統審計數據的安全審計庫；提供適用于數據庫系統的安全審計設置、分析和查閱的工具。

　　明御數據庫審計與風險控制系統

明御數據庫審計與風險控制系統是杭州安恒信息技術有限公司結合多年數據庫安全的理論和實踐經驗積累的基礎上，結合各類法令法規對數據庫審計的要求，自主研發完成的業界首創細粒度審計、精準化行為回溯、全方位風險控制的數據庫審計產品。以獨立硬件審計的工作模式，靈活的審計策略配置，解決企業核心數據庫面臨的“越權使用、權限濫用、權限盜用”等安全威脅，滿足各類法令法規對數據庫審計的要求，廣泛適用于“政府、金融、運營商、公安、能源、稅