企业IT管理必备 数据库审计基础介绍

本文讲的是企业IT管理必备 数据库审计基础介绍,随着信息化的深入和普及,各行各业对信息系统的依赖性越来越强,信息系统中的数据也逐渐成为了企业的生命。数据的不准确、不真实、不一致、重复杂乱等就会影响企业的健康。于是数据审计登上了历史舞台,数据是由信息系统中的数据库进行生成、保存和管理。

  一、几个概念

  1、什么是审计:信息系统审计来源于传统的财务审计,因此审计是独立于被审计单位的机构和人员,对被审计单位的财政、财务收支及其有关的经济活动的真实、合法和效益进行检查、评价、公证的一种监督活动。

  2、什么是信息系统审计:信息系统审计又叫IT审计,也称IT监查,是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。

  3、什么是数据库:数据库(Database)是按照数据结构来组织、存储和管理数据的仓库。一般是由数据库管理软件来实现的,比如常见的数据库管理软件有Oracle、MySQL、Microsoft SQL Sever、DB2、Sybase等。

  4、什么是数据库审计:数据库审计至今并没有一个非常标准公开的定义,通常我们可以理解为针对数据库所执行的为达到审计目标的一系列检查、分析和测试活动。

  二、数据库审计的目的

  从大的方面讲,现在数据库审计的目的主要有两个,一个目的是合规,第二个目的是避免或减少风险。

  出于合规目的的审计,比如需要满足萨班斯要求的海外上市公司,每年都要随着信息系统审计一起对数据库执行审计。并为财务出具证实其财务数据是真实准确的报告,并附在财务审计报告中。另外在香港上市的公司也会有相关要求,对信息系统中的数据进行验证。

  第二种就是出于自身避免或减少风险的目的执行审计。常见的风险主要来自于以下几个方面:第一个就是如数据的不真实、不准确、不一致等等,我们可以称之为数据风险,它对财务数据、生产数据、业务数据等的真实性、准确性产生影响,最终影响企业的声誉和经营决策。第二种就是数据库本身的中断、死机、中病毒等,我们可以称之为数据库风险,它对业务、生产效率产生影响。第三种是利用数据库的权限职责执行舞弊、违规等操作,给企业带来某些财务损失的影响,我们称为违规风险,比如法国兴业银行倒闭案,就是交易员隐瞒了对交易数据的操作引发,与第一种目的不同之处,在于这种合规还包括了对公司规定的合规。通过实施数据库审计可以提前发现上述风险并采取必要的措施,将损失降低到最小或者避免损失发生。

  比较常见的信息系统审计,是基于数据安全需要的审计,涵盖在基于风险的审计当中。

  现在也有客户提出了一些比较新的审计需求,比如数据一致性审计、数据有效性审计等。

  三、数据库审计方法

  针对审计目的的不同,有多种审计方法可以使用:

  日志分析:通过分析数据库系统业务数据交易、操作日志,可以发现违规风险;通过分析数据库系统自身的系统日志、事件日志、巡检日志可以提前发现病毒、黑客攻击、系统故障等数据库风险。

  风险分析:风险分析是比较通用、广泛的一种分析方法,涵盖了日志分析方法。主要是通过一套风险分析理论方法,比较全面的分析数据库管理、技术方面存在哪些风险,并针对与这些风险进行审计。

  数据核对:也叫数据验证,主要是针对数据风险而言的,采用的方法也比较多,如重新计算、倒推法、比对法、程序分析、重新执行等,这是比较耗时、耗力的方法。比较少的单位采取这种方法,但是这是非常有价值的方法。因为数据库最终是为数据服务的,数据不准、有问题只有两种情况下才能知道,验算之后或者使用过程中。

  数据流分析:该分析方法通过利用数据的数据的生命周期,从数据的需求分析、创建、审批、变更、权限分配、更新、删除、流转等,分析数据存在的风险,验证数据控制措施的有效。

  测试:通过设置关键测试点,验证数据库对数据的管理过程是否有效,是否得到必要的控制。常见的测试方法有有效性测试、实质性测试、穿行测试等。

  数据库审计的方法很多,也有很多是借鉴了其它专业的方法,同时这些方法之间有些也有重叠的内容。具体的审计方法要根据具体的审计需求确定。

  四、审计工具

  除了我们可以采用手工的方法执行数据库审计外,我们也可以借助一些工具提高审计效率。

  市面上常见的数据库审计工具都是针对与数据操作行为、数据库管理行为、安全的审计工具,主要的品牌有汉邦、复旦光华、国都兴业、三零鹰眼、帕拉迪、启明星辰、绿盟、思福迪、网御神州等。这些产品主要功能有:

  · 支持Ms SQL、Oracle、DB2、Sybase、MySQL等主流的数据库管理系统;
· 支持对标准SQL语句的审计;
· 可以审计登陆的用户、源IP、目的IP,更深入的可以记录用户的操作等;
· 支持语句和内容的还原;
· 支持数据库流量的统计、超限报警等功能;
· 可以根据预定规则阻断SQL语句的数据墙功能;
· 安装方式有桥接、旁路、网关模式,有些可以安装主机代理(Agent),实现对主机数据的审计;
· 都具备直观、简洁的报表生成功能。

  通过上述的功能描述,我们不难看出,这些工具只实现了数据库审计的部分功能,而像ACL、IDEA等这样专业的财务审计工具又无法满足信息系统审计的需要,因此很长一段时间是需要财务审计工具、数据库审计工具和手工审计才能完成一个比较全面数据库审计项目。

  五、小结

  数据库审计对于审计行业来说,还是比较新的审计需求,而且不同的厂家、不同的事务所、不同的客户对数据库审计的认知也是多种多样,存在一定的分歧,无论如何,至少客户开始认识到数据库审计的价值了,这是一个非常好的现象。

作者:白大龙

来源:it168网站

原文标题:企业IT管理必备 数据库审计基础介绍

时间: 2025-01-23 23:33:10

企业IT管理必备 数据库审计基础介绍的相关文章

企业产品管理的数据库设计问题!!

问题描述 现在需要设计一个产品管理的模块,但是我们厂生产的产品种类特别多而且不是每个产品的属性都是一样的.现在在数据库设计的时候遇到了很大问题,希望论坛里有人指教指教. 例如: 现在有3类(当然实际中最少也是300种)产品他们都有公用属性分别是"名称"."单价"."材质":还有一些自带的专有属性 a类:"重量=1kg"."高度=15cm"."颜色=黑色": b类:"重量=2.5

IT管理必备:数据库审计产品部署介绍

本文讲的是IT管理必备:数据库审计产品部署介绍,随着美国金融危机爆发引发的全球经济危机,让我们越来越深刻地认识到违规操作.疏于监管带来的危害,于是审计作为现在监管比较普遍.实用且成熟的专业迎来了又一次事业的高峰. 经历了几十年的传统审计,虽然成熟,但是一直都是采用手工的方式进行工作的.而信息化技术的出现以及大量的信息通过信息系统处理,使得通过人工审计的方式逐渐捉襟见肘,利用信息技术手段实现或辅助审计的呼声越来越高. 审计重要的是通过记录数据审计行为,严防舞弊.违规操作.财务欺诈等行为,因此数据的

有了防火墙、IPS、WAF 还需要数据库审计?

本文讲的是 有了防火墙.IPS.WAF 还需要数据库审计?,"我们的网络安全系统中已经有了Web应用防火墙.网络防火墙和IPS,难道还需要数据库审计吗?"很多人有这样的疑问,网络中有层层防护,还不能保护数据库的安全吗?是的,因为不同的安全防护系统针对的关键风险不同. 防火墙 网络防火墙(Firewall)是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统,正如小区中的岗亭,人员.车辆进出都需要经过岗亭的检查,计算机流入流出的所有网络通信均要经过网络防火墙.网络防火墙对流经它

8Manage:从设计上实现企业一体化管理

每年的购物狂欢节,节节飙高的交易额总能让参与的商家和消费者都陷入疯狂之中,一个又一个的销售奇迹被创造出来.购物节的火把,从线上烧到线下,从电商到实体店纷纷加入促销大战,高涨的成交额也让不少企业越战越勇,如何在一场又一场的销售大战中更胜一筹?8Manage认为,企业在激烈的市场竞争中不仅仅依赖眼前的交易数额,更应拥有长远发展的目光,对内实现高效的企业管理,为未来良好的企业发展打下坚实的基础. 高效的企业管理,离不开好的企业管理系统,虽然管理软件已经被企业广泛应用,然而,在实际的管理过程中,企业的管

《数据库技术原理与应用教程(第2版)》——第2章 数据库的基础知识 2.1 数据库中的基本概念

第2章 数据库的基础知识 本章将介绍数据库的基础知识,包括基本概念.基本结构.应用平台及特点等.本章内容十分重要,它对全书具有提纲挈领的作用. 2.1 数据库中的基本概念 1.数据 (1)数据的概念 数据(data)是现实世界中客体在计算机中的抽象表示.具体地说,它是一种计算机内的有限个数的一组符号表示. 由于数据是一种抽象的符号表示,因此它缺少语义,在必要时须对它作出语义解释. (2)数据的性质分类 1)数据的持久性:从存储时间看,数据一般分为两部分,其中一部分与程序仅有短时间的交互关系,随着

上云过等保之数据库审计产品如何选购?

随着国家信息安全等级保护制度的全面实施,各行业在经营上云后都面临着等保合规的不同需求. 所以,随着日渐火热的数据库安全领域,数据库审计作为等保合规性中必不可少的重要环节,也是应用最为广泛,用户接受度最高的产品. 面对市面上各色各类的数据库审计产品,作为企业该如何选择? 本文将对目前数据库审计市场上的两类技术路线进行分析,从使用效果出发,浅析两者在各维度的审计效果上存在哪些差异,呈现产品真正能实现的功能和价值.希望能为广大用户在数据库审计产品的选型上提供参考依据. 概括来讲,两类数据库审计的技术路

细说堡垒机与数据库审计

随着企业规模不断发展壮大,为提升企业运行效率,降低运营成本,企业信息化系统也在日益壮大,运维问题也日趋复杂,企业核心数据资源的安全无法进行有效管控,为企业健康发展埋下隐患. 基于此原因,企业信息化建设需在满足业务运行的前提下,加强内控与安全审计力度,切实保障信息系统安全运行,满足企业内控管理的合规要求. 小编就信息安全内控与数据安全领域的两款明星产品"堡垒机"与"数据库审计系统"进行梳理归纳,希望能够对广大IT运维工程师进行产品选型提供帮助. 堡垒机 在了解堡垒机前

郭凡生:电子商务能帮企业解决管理问题

电子商务市场在进入第二季度以来多少显得有些冷清,不过这种暂时的平静即将又被打破,身为国内b2b领域的标志性人物,慧聪网CEO郭凡生在业界向以视角独特著称,曾多次在圈内引发激情碰撞,据悉,6月21日他将在泉州主持一场名为"管好我们的家族企业"的研讨会.家族企业和b2b电子商务,从字面上看似乎风马牛不相及,但实际上作为b2b市场中坚力量的国内中小企业,其组织结构大多都为家族式经营.管理. 现在中小企业已占国内企业总数的95%以上,其工业产值.实现利税分别占到60%.40%左右,并吸纳了75

专访NetIQ:企业身份管理的平衡艺术

本文讲的是 :  专访NetIQ:企业身份管理的平衡艺术  ,  [IT168评论]不可否认,云计算.移动化.社交化彻底颠覆了企业的IT基础架构,当企业兴高采烈的拥抱新技术新趋势时,其所受到的安全威胁也越来越复杂,受到攻击的范围越来越广.NetIQ身份管理部门高级解决方案战略家Travis Greene谈到,现在信息安全的重点已经转移到身份和访问管理,我们处在一个互联互通的世界里,用户通过移动设备或者绕过IT部门运用云服务获取信息,企业防火墙再也无法控制访问了. 从云计算的角度来说,用户可以享受