企业IT管理必备 数据库审计基础介绍

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:
本文讲的是 企业IT管理必备 数据库审计基础介绍, 随着 信息化 的深入和普及,各行各业对信息系统的依赖性越来越强,信息系统中的数据也逐渐成为了企业的生命。数据的不准确、不真实、不一致、重复杂乱等就会影响企业的健康。于是数据审计登上了历史舞台,数据是由信息系统中的数据库进行生成、保存和管理。

  一、几个概念

  1、什么是审计:信息系统审计来源于传统的财务审计,因此审计是独立于被审计单位的机构和人员,对被审计单位的财政、财务收支及其有关的经济活动的真实、合法和效益进行检查、评价、公证的一种监督活动。

  2、什么是信息系统审计:信息系统审计又叫IT审计,也称IT监查,是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。

  3、什么是数据库:数据库(Database)是按照数据结构来组织、存储和管理数据的仓库。一般是由数据库管理软件来实现的,比如常见的数据库管理软件有Oracle、MySQL、Microsoft SQL Sever、DB2、Sybase等。

  4、什么是数据库审计:数据库审计至今并没有一个非常标准公开的定义,通常我们可以理解为针对数据库所执行的为达到审计目标的一系列检查、分析和测试活动。

  二、数据库审计的目的

  从大的方面讲,现在数据库审计的目的主要有两个,一个目的是合规,第二个目的是避免或减少风险。

  出于合规目的的审计,比如需要满足萨班斯要求的海外上市公司,每年都要随着信息系统审计一起对数据库执行审计。并为财务出具证实其财务数据是真实准确的报告,并附在财务审计报告中。另外在香港上市的公司也会有相关要求,对信息系统中的数据进行验证。

  第二种就是出于自身避免或减少风险的目的执行审计。常见的风险主要来自于以下几个方面:第一个就是如数据的不真实、不准确、不一致等等,我们可以称之为数据风险,它对财务数据、生产数据、业务数据等的真实性、准确性产生影响,最终影响企业的声誉和经营决策。第二种就是数据库本身的中断、死机、中病毒等,我们可以称之为数据库风险,它对业务、生产效率产生影响。第三种是利用数据库的权限职责执行舞弊、违规等操作,给企业带来某些财务损失的影响,我们称为违规风险,比如法国兴业银行倒闭案,就是交易员隐瞒了对交易数据的操作引发,与第一种目的不同之处,在于这种合规还包括了对公司规定的合规。通过实施数据库审计可以提前发现上述风险并采取必要的措施,将损失降低到最小或者避免损失发生。

  比较常见的信息系统审计,是基于数据安全需要的审计,涵盖在基于风险的审计当中。

  现在也有客户提出了一些比较新的审计需求,比如数据一致性审计、数据有效性审计等。

  三、数据库审计方法

  针对审计目的的不同,有多种审计方法可以使用:

  日志分析:通过分析数据库系统业务数据交易、操作日志,可以发现违规风险;通过分析数据库系统自身的系统日志、事件日志、巡检日志可以提前发现病毒、黑客攻击、系统故障等数据库风险。

  风险分析:风险分析是比较通用、广泛的一种分析方法,涵盖了日志分析方法。主要是通过一套风险分析理论方法,比较全面的分析数据库管理、技术方面存在哪些风险,并针对与这些风险进行审计。

  数据核对:也叫数据验证,主要是针对数据风险而言的,采用的方法也比较多,如重新计算、倒推法、比对法、程序分析、重新执行等,这是比较耗时、耗力的方法。比较少的单位采取这种方法,但是这是非常有价值的方法。因为数据库最终是为数据服务的,数据不准、有问题只有两种情况下才能知道,验算之后或者使用过程中。

  数据流分析:该分析方法通过利用数据的数据的生命周期,从数据的需求分析、创建、审批、变更、权限分配、更新、删除、流转等,分析数据存在的风险,验证数据控制措施的有效。

  测试:通过设置关键测试点,验证数据库对数据的管理过程是否有效,是否得到必要的控制。常见的测试方法有有效性测试、实质性测试、穿行测试等。

  数据库审计的方法很多,也有很多是借鉴了其它专业的方法,同时这些方法之间有些也有重叠的内容。具体的审计方法要根据具体的审计需求确定。

  四、审计工具

  除了我们可以采用手工的方法执行数据库审计外,我们也可以借助一些工具提高审计效率。

  市面上常见的数据库审计工具都是针对与数据操作行为、数据库管理行为、安全的审计工具,主要的品牌有汉邦、复旦光华、国都兴业、三零鹰眼、帕拉迪、启明星辰、绿盟、思福迪、网御神州等。这些产品主要功能有:

  · 支持Ms SQL、Oracle、DB2、Sybase、MySQL等主流的数据库管理系统;
· 支持对标准SQL语句的审计;
· 可以审计登陆的用户、源IP、目的IP,更深入的可以记录用户的操作等;
· 支持语句和内容的还原;
· 支持数据库流量的统计、超限报警等功能;
· 可以根据预定规则阻断SQL语句的数据墙功能;
· 安装方式有桥接、旁路、网关模式,有些可以安装主机代理(Agent),实现对主机数据的审计;
· 都具备直观、简洁的报表生成功能。

  通过上述的功能描述,我们不难看出,这些工具只实现了数据库审计的部分功能,而像ACL、IDEA等这样专业的财务审计工具又无法满足信息系统审计的需要,因此很长一段时间是需要财务审计工具、数据库审计工具和手工审计才能完成一个比较全面数据库审计项目。

  五、小结

  数据库审计对于审计行业来说,还是比较新的审计需求,而且不同的厂家、不同的事务所、不同的客户对数据库审计的认知也是多种多样,存在一定的分歧,无论如何,至少客户开始认识到数据库审计的价值了,这是一个非常好的现象。


作者: 白大龙
来源:it168网站
原文标题:企业IT管理必备 数据库审计基础介绍
相关文章
|
28天前
|
安全 NoSQL 关系型数据库
阿里云数据库:助力企业数字化转型的强大引擎
阿里云数据库:助力企业数字化转型的强大引擎
|
4月前
|
SQL NoSQL Oracle
IT入门知识第四部分《数据库》(4/10)(二)
IT入门知识第四部分《数据库》(4/10)(二)
41 0
|
4月前
|
存储 SQL 关系型数据库
IT入门知识第四部分《数据库》(4/10)(一)
IT入门知识第四部分《数据库》(4/10)(一)
50 0
|
29天前
|
存储 NoSQL MongoDB
小川科技携手阿里云数据库MongoDB:数据赋能企业构建年轻娱乐生态
基于MongoDB灵活模式的特性,小川实现了功能的快速迭代和上线,而数据库侧无需任何更改
|
29天前
|
运维 NoSQL BI
简道云搭载阿里云MongoDB数据库,帮助数以万计企业重构业务系统
通过与MongoDB和阿里云团队的合作,让简道云少走了弯路,保障了线上服务的长期稳定运行,提高了吞吐效率,并相应降低了线上运行成本
|
1月前
|
NoSQL 关系型数据库 OLAP
如何选择最合适的数据库,帮助企业及个人业务更好的开展
如何选择最合适的数据库,帮助企业及个人业务更好的开展
|
6月前
|
安全 JavaScript Java
智慧图书管理|基于SprinBoot+vue的智慧图书管理系统(源码+数据库+文档)
智慧图书管理|基于SprinBoot+vue的智慧图书管理系统(源码+数据库+文档)
62 0
|
4月前
|
存储 运维 NoSQL
现代化企业管理中的数据库选择与优化策略
在当今信息化时代,企业管理越来越依赖于高效的数据库系统来支撑业务运作。本文探讨了在选择和优化数据库时需要考虑的关键因素,包括数据类型、访问模式以及性能需求。通过分析不同数据库系统的特性和优劣势,帮助企业在面对日益复杂的业务需求时,选择合适的数据库解决方案,提升管理效率和业务运行质量。
|
4月前
|
SQL 自然语言处理 网络协议
【Linux开发实战指南】基于TCP、进程数据结构与SQL数据库:构建在线云词典系统(含注册、登录、查询、历史记录管理功能及源码分享)
TCP(Transmission Control Protocol)连接是互联网上最常用的一种面向连接、可靠的、基于字节流的传输层通信协议。建立TCP连接需要经过著名的“三次握手”过程: 1. SYN(同步序列编号):客户端发送一个SYN包给服务器,并进入SYN_SEND状态,等待服务器确认。 2. SYN-ACK:服务器收到SYN包后,回应一个SYN-ACK(SYN+ACKnowledgment)包,告诉客户端其接收到了请求,并同意建立连接,此时服务器进入SYN_RECV状态。 3. ACK(确认字符):客户端收到服务器的SYN-ACK包后,发送一个ACK包给服务器,确认收到了服务器的确
190 1
|
5月前
|
NoSQL Redis 数据库
docker-compose 自动管理 数据库
docker-compose 自动管理 数据库
140 3