数据库审计系统技术白皮书(doc 28页)

数据库审计系统技术白皮书(doc 28页)

数据库审计系统技术白皮书

目录

1前言 (1)

2数据库审计的重要性 (2)

2.1满足合规性要求

2

2.2降低安全性风险

4

2.2.1数据完整性安全

4

2.2.2内部人员权限滥用

5

2.2.3授权人员的非法操作

5

2.2.4维护人员非法操作

5

2.2.5技术风险

5

2.3监测可用性风险

6

2.4避免审计风险

6

4.6强大的分析能力

错误!未定义书签。

4.7全面的信息分析能力

错误!未定义书签。

4.8快速响应预警机制

错误!未定义书签。

4.9多角度的展现能力

错误!未定义书签。

5产品优势 (19)

5.1权能关联模型

错误!未定义书签。

5.2不影响业务系统的可用性

错误!未定义书签。

5.3满足合规性要求，促进IT审计

20

5.4促进落实规章制度监督管理机制

21

5.5贯彻执行权限管理原则（防止权限滥用）

错误!未定义书签。

5.6提供多角度、多方位、精确的审计

错误!未定义书签。

5.7定制化合规报表集，满足审计需求

错误!未定义书签。

6产品典型应用环境 (22)

6.1单级部署应用

22

6.2多路负载均衡部署应用

22

6.3多个监测审计点应用方法

23

6.4多级分布式架构

24

7典型用户 (25)

8产品资质 (26)

1 前言

今天，几乎所有行业的用户业务都是建立在信息系统基础之上的。IT与业务的融合给用户带来了效率提升和持续竞争力，正如信息系统具有潜在的投资回报一样，信息系统同样具有潜在的风险，信息系统任何细微的变故，都有可能导致业务流程完全失效，信息系统在给电子政务、电子商务带来了高效和便捷的优越性同时，同样给外部和内部利用信息系统犯罪带来了容易性和隐蔽性。

政府、行业和企业几乎所有的业务活动都是以信息系统作为支撑平台的，而信息系统又是以数据库系统作为核心，业务核心数据的处理与存储都是由数据库系统管理的。因此，数据库系统应作为信息系统安全性中最重要的重点加以保护，随着信息化技术的快速发展，数据库应用范围越来越广，数据库系统承载着本单位、本部门的各种业务数据，诸如财政账务数据、生产数据、人员档案数据等等，毫无疑问，如何保证这些重要数据信息的完整性和真实性已逐渐成为用户关注信息安全的主要内容之一。

信息安全管理体系ISMS明确了安全组织体系是基本安全管理措施中的重要一环。内部组织管理中，职责分离是有效减少偶然或故意的未授权访问、误用和滥用的有效方法。可现实中，企业真正完全实现职责分离的却屈指可数。信息化建设的不断发展衍生了系统管理员、网络管理员、数据库管理员、安全管理员、系统分析员、系统程序员、应用程序员、数据录入员、计算机操作员等等岗位的职责分工。可企业信息划建设队伍的壮大却很难覆盖所有的岗位，企业信息人员身兼数职也就司空见惯了。为了避免未完全达到职责分离的现实情况给企业的信息系统带来的风险隐患，信息审计作为职责分工补偿成为了重要的完善企业内部控制的基本措施。而数据库审计能大大降低企业信息数据所存在的风险。

2 数据库审计的重要性

企业最核心、最重要、最有价值，同时也是最敏感的信息存储库——数据库，很容易受到外部攻击者利用Web 应用程序实施的攻击以及内部员工利用更直接的权限进行的违规操作。客户记录、财务报表以及患者数据都存在风险。

因此，对于数据的安全管理和操作风险已经引起政府、行业和企业高层管理者的高度重视。

在安全风险管理方面，企业和政府部门随着信息化建设的不断发展促使信息价值不断提升。随着业务和IT融合不断地深入和数据共享需求的不断扩展，数据库安全面临着管理、技术和审计的多方面风险。

图1-1 数据库安全风险

2.1 满足合规性要求

目前, “公司治理”(Corporate Governance)问题因上市公司频频“惊曝黑幕”而成为全球性的话题。前几年在美国出现的安然、世通、施乐等粉饰业绩，

导致企业崩溃的案件，英国出现的巴林银行违规交易导致破产的事件，日本出现的雪印食品公司舞弊案件，中国出现的蓝田股份和银广厦的利润神话破灭事件，特别是今年的美国次级房贷引发的华尔街金融危机，进而引发了百年老店雷曼兄弟公司的破产，充分暴露了金融监管和企业风险控制的失控，使公司治理成为企业高层议事日程中最重要和迫切的任务之一。在信息环境下，作为“公司治理”最重要组成部分之一——IT治理，在企业中扮演着越来越重要的角色。“如何通过IT审计对IT治理环境进行有效的控制，确保IT治理与企业战略目标相符”成为了企业及其监管部门最关心的问题之一。

“萨班斯法案”是2002年美国国会通过的《上市公司会计改革与投资者保护法案》。其中最为严格的第404条款规定，在信息管理方面，萨班斯法案强调了三个核心内容：即信息的完整性，信息的保密性和要求信息能够在适当的时间以适当的格式被访问；明确规定了包括对信息保护、信息准确跟踪、信息长期保存的要求。萨班斯法案出台后，法国和日本也都先后出台了类似的新法规强化监管。

随着中国本土企业全球化扩张步伐的加快，国内公司遵循的许多规范正在逐步与国际接轨，如在美上市的中资企业需遵循SOX法案（上市公司会计改革与投资者保护法案）；同时随着国家等级化保护基本要求、以及行业风险管理和内控指引的出台，用户合规审计需求日益凸显，政府、电信、金融、大型企业等都纷纷制定相关的规范，成为安全审计发展的重要促进因素。

在中国，由于治理主体的明晰和到位，作为企业管理基础提升的企业治理已经成为现实问题。推进企业治理, 建立规范、高效的现代企业制度，使企业运行的每个环节都处于规范和可控制状态，达到“透明、控制和效率”的治理效果，正是中国国有企业改革和上市公司治理所要努力的方向。

此外，电子商务的风险对交易双方都构成威胁。破坏者可以来自企业外部也可以来自内部。所面临的风险包括数据的失窃、毁坏、截取、改动、延误或传输路径的改变以及伪造信息。这些风险会破坏正常的交易秩序，给交易双方带来巨大的损失。

财政部、证监会、审计署、银监会、保监会五部委发布的《企业内部控制