安恒信息：深入浅出数据库安全审计

2013-10-22 10:30:40 eNet硅谷动力　点击量：评论 (0)

数据库安全现状　　大学数据库原理教科书中，数据库是这样被解释的：数据库是计算机应用系统中的一种专门管理数据库资源的系统。数据具有多种形式，如文字数码符号图形图象以及声音。数据库系统立足于数

资源消耗，严重影响数据库性能；另一方面审计信息的真实性、完整性也无法保证。

　　其他诸如应用程序修改、数据源触发器、统一认证系统授权等等方式，均只能记录有限的信息，更加无法提供细料度的数据库操作审计。

　　数据库审计

　　数据库审计概念

　　审计，英文称之为“audit”，检查、验证目标的准确性和完整性，用以防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则。

　　审计概念最早用于财务系统，主要是获取金融体系和金融记录的公司或企业的财务报表的相关信息。随着科技信息技术的发展，大部份的企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的同时，财务审计也带动了通用信息系统的审计。审计已开始包括信息技术审计。

　　信息技术审计，是一个信息技术（ IT ）基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。

　　数据库审计作为信息安全审计的重要组成部分，同时也是数据库管理系统安全性重要的一部分。通过审计功能，凡是与数据库安全性相关的操作均可被记录下来。只要检测审计记录，系统安全员便可掌握数据库被使用状况。例如，检查库中实体的存取模式，监测指定用户的行为。审计系统可以跟踪用户的全部操作，这也使审计系统具有一种威慑力，提醒用户安全使用数据库。

数据库审计立法

　　《萨班斯-奥克斯利法案（2002 Sarbanes-Oxley Act）》的第302条款和第404条款中，强调通过内部控制加强公司治理，包括加强与财务报表相关的IT系统内部控制，其中，IT系统内部控制就是面向具体的业务，它是紧密围绕信息安全审计这一核心的。

　　《企业内部控制规范--基本规范的内部审计机制》，中国的萨班斯法案，提出健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。企业应当加强内部审计工作，在企业内部形成有权必有责、用权受监督的良好氛围。

　　ISO7498《信息处理系统开放系统互连——基本参考模型》第二部分安全体系结构在“安全服务与安全机制的一般描述”中指出安全审计跟踪提供了一种不可忽视的安全机制，它的潜在价值在于经事后的安全审计得以检测和调查安全的漏洞。安全审计就是对系统的记录与行为进行独立的品评考查，目的是测试系统的控制是否恰当，保证与既定策略和操作堆积的协调一致，有助于作出损害评估，以及对在控制、策略与规程中指明的改变作出评价。安全审计要求在安全审计跟踪中记录有关安全的信息，分析和报告从安全审计跟踪中得来的信息。这种日志记录或记录被认为是一种安全机制并在本条中予以描述，而把分析和报告视为一种安全管理功能。

　　《计算机信息系统安全等级保护数据库管理技术要求》是计算机信息系统安全等级保护技术要求系列标准之一，详细说明了计算机信息系统为实现GB17859所提出的安全等级保护要求对数据库管理系统的安全技术要求，以及确保这些安全技术所实现的安全功能达到其应有的安全性而采取的保证措施。其在 “数据库安全审计”中明确要求：

　　数据库管理系统的安全审计应建立独立的安全审计系统；定义与数据库安全相关的审计事件；设置专门的安全审计员；设置专门用于存储数据库系统审计数据的安全审计库；提供适用于数据库系统的安全审计设置、分析和查阅的工具。

　　明御数据库审计与风险控制系统

明御数据库审计与风险控制系统是杭州安恒信息技术有限公司结合多年数据库安全的理论和实践经验积累的基础上，结合各类法令法规对数据库审计的要求，自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库审计产品。以独立硬件审计的工作模式，灵活的审计策略配置，解决企业核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁，满足各类法令法规对数据库审计的要求，广泛适用于“政府、金融、运营商、公安、能源、税