企业IT管理必备 数据库审计基础介绍
一、几个概念
1、什么是审计:信息系统审计来源于传统的财务审计,因此审计是独立于被审计单位的机构和人员,对被审计单位的财政、财务收支及其有关的经济活动的真实、合法和效益进行检查、评价、公证的一种监督活动。
2、什么是信息系统审计:信息系统审计又叫IT审计,也称IT监查,是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。
3、什么是数据库:数据库(Database)是按照数据结构来组织、存储和管理数据的仓库。一般是由数据库管理软件来实现的,比如常见的数据库管理软件有Oracle、MySQL、Microsoft SQL Sever、DB2、Sybase等。
4、什么是数据库审计:数据库审计至今并没有一个非常标准公开的定义,通常我们可以理解为针对数据库所执行的为达到审计目标的一系列检查、分析和测试活动。
二、数据库审计的目的
从大的方面讲,现在数据库审计的目的主要有两个,一个目的是合规,第二个目的是避免或减少风险。
出于合规目的的审计,比如需要满足萨班斯要求的海外上市公司,每年都要随着信息系统审计一起对数据库执行审计。并为财务出具证实其财务数据是真实准确的报告,并附在财务审计报告中。另外在香港上市的公司也会有相关要求,对信息系统中的数据进行验证。
第二种就是出于自身避免或减少风险的目的执行审计。常见的风险主要来自于以下几个方面:第一个就是如数据的不真实、不准确、不一致等等,我们可以称之为数据风险,它对财务数据、生产数据、业务数据等的真实性、准确性产生影响,最终影响企业的声誉和经营决策。第二种就是数据库本身的中断、死机、中病毒等,我们可以称之为数据库风险,它对业务、生产效率产生影响。第三种是利用数据库的权限职责执行舞弊、违规等操作,给企业带来某些财务损失的影响,我们称为违规风险,比如法国兴业银行倒闭案,就是交易员隐瞒了对交易数据的操作引发,与第一种目的不同之处,在于这种合规还包括了对公司规定的合规。通过实施数据库审计可以提前发现上述风险并采取必要的措施,将损失降低到最小或者避免损失发生。
比较常见的信息系统审计,是基于数据安全需要的审计,涵盖在基于风险的审计当中。
现在也有客户提出了一些比较新的审计需求,比如数据一致性审计、数据有效性审计等。
三、数据库审计方法
针对审计目的的不同,有多种审计方法可以使用:
日志分析:通过分析数据库系统业务数据交易、操作日志,可以发现违规风险;通过分析数据库系统自身的系统日志、事件日志、巡检日志可以提前发现病毒、黑客攻击、系统故障等数据库风险。
风险分析:风险分析是比较通用、广泛的一种分析方法,涵盖了日志分析方法。主要是通过一套风险分析理论方法,比较全面的分析数据库管理、技术方面存在哪些风险,并针对与这些风险进行审计。
数据核对:也叫数据验证,主要是针对数据风险而言的,采用的方法也比较多,如重新计算、倒推法、比对法、程序分析、重新执行等,这是比较耗时、耗力的方法。比较少的单位采取这种方法,但是这是非常有价值的方法。因为数据库最终是为数据服务的,数据不准、有问题只有两种情况下才能知道,验算之后或者使用过程中。
数据流分析:该分析方法通过利用数据的数据的生命周期,从数据的需求分析、创建、审批、变更、权限分配、更新、删除、流转等,分析数据存在的风险,验证数据控制措施的有效。
测试:通过设置关键测试点,验证数据库对数据的管理过程是否有效,是否得到必要的控制。常见的测试方法有有效性测试、实质性测试、穿行测试等。
数据库审计的方法很多,也有很多是借鉴了其它专业的方法,同时这些方法之间有些也有重叠的内容。具体的审计方法要根据具体的审计需求确定。
四、审计工具
除了我们可以采用手工的方法执行数据库审计外,我们也可以借助一些工具提高审计效率。
市面上常见的数据库审计工具都是针对与数据操作行为、数据库管理行为、安全的审计工具,主要的品牌有汉邦、复旦光华、国都兴业、三零鹰眼、帕拉迪、启明星辰、绿盟、思福迪、网御神州等。这些产品主要功能有:
· 支持Ms SQL、Oracle、DB2、Sybase、MySQL等主流的数据库管理系统;
· 支持对标准SQL语句的审计;
· 可以审计登陆的用户、源IP、目的IP,更深入的可以记录用户的操作等;
· 支持语句和内容的还原;
· 支持数据库流量的统计、超限报警等功能;
· 可以根据预定规则阻断SQL语句的数据墙功能;
· 安装方式有桥接、旁路、网关模式,有些可以安装主机代理(Agent),实现对主机数据的审计;
· 都具备直观、简洁的报表生成功能。
通过上述的功能描述,我们不难看出,这些工具只实现了数据库审计的部分功能,而像ACL、IDEA等这样专业的财务审计工具又无法满足信息系统审计的需要,因此很长一段时间是需要财务审计工具、数据库审计工具和手工审计才能完成一个比较全面数据库审计项目。
五、小结
数据库审计对于审计行业来说,还是比较新的审计需求,而且不同的厂家、不同的事务所、不同的客户对数据库审计的认知也是多种多样,存在一定的分歧,无论如何,至少客户开始认识到数据库审计的价值了,这是一个非常好的现象。
作者:白大龙 来源:it168网站 原文标题:企业IT管理必备 数据库审计基础介绍阿里云数据库审计简介和购买流程 如大家所知,如果你的项目要过等保三级或者以上,则必须要有数据库审计,否则你是无法过等保的。在满足等保2.0‘安全审计’相关要求的同时,智能解析数据库通信流量,细粒度审计数据库访问行为,通过对数据库全量行为的审计溯源、危险攻击的实时告警、风险语句的智能预警,提供敏感的数据库资产最安全的监控保障。
数据库治理的探索与实践 本文是 MSE 即将推出的一个数据库治理能力的预告,我们从应用的视角出发整理抽象了我们在访问、使用数据库时场景的一些稳定性治理、性能优化、提效等方面的实战经验,对于每一个后端应用来说,数据库无疑是重中之重,我们希望通过我们的数据库治理能力,可以帮助到大家更好地使用数据库服务。
通用数据库审计K8s部署实践 通用数据库审计是日志服务提供的一种轻量级、低成本数据库安全方案,在之前的文章《自建数据库没有审计方案?试试这套轻量级低成本方案》中介绍了通过部署Logtail和Packetbeat在应用服务器或者数据库服务器上的方法抓取数据库操作行为流量,从而实现数据库审计数据的采集。日志服务提供了开箱即用的审计报表和告警配置。 随着云原生技术的成熟,越来越多的应用部署在云原生环境,云原生环境的动态及灵活性给抓包工具带来了一些困难,本文主要介绍在K8s环境下如何部署这套轻量级、低成本审计方案。
数据库审计数据采集方案调研 在互联网,云计算,大数据快速发展的背景下,数据的规模也有了前所未有的增长,数据库在企业数据中几乎占有着核心地位。同时SQL注入,敏感操作,不规范使用等问题也一直伴随着数据库的使用,数据库安全也一直的数据库管理的重要工作,主要包括数据库漏扫,数据库加密,数据库防火墙,数据库脱敏,数据库安全审计等领域,本文将从数据库审计角度来介绍数据库审计的概念及审计数据的采集方案。
数据库三层架构审计解密【数据库审计】 所谓三层体系结构,是在客户端与数据库之间加入了一个“中间层”,也叫组件层。三层架构隔离出两块区域,客户端到组件层之间称为应用层区域,组件层到数据库之间称为数据库层区域。
【数据库审计】旁路式与植入式数据库审计技术有何差别 本文将对目前数据库审计市场上的两类技术路线进行分析,从使用效果出发,浅析两者在各维度的审计效果上存在哪些差异,呈现产品真正能实现的功能和价值。希望能为广大用户在数据库审计产品的选型上提供参考依据。
阿里云DMS发布数据库网关服务: 打通网络限制 开启数据库统一管理的万能钥匙 DMS正式推出“数据库网关”服务,让您可安全、0成本地将本地数据库或其它云端数据库(包含本地IDC自建、其他云数据库、其他云服务器上自建的数据库)接入阿里云DMS,帮助用户打通云上云下资源,使用一套工具即可轻松实现数据库统一管理。