第一篇：GUARDIUM數(shù)據(jù)庫安全審計解決方案特點和優(yōu)勢

GUARDIUM數(shù)據(jù)庫安全審計解決方案的突出特點和優(yōu)勢：

1.可以同時支持監(jiān)控管理多種數(shù)據(jù)庫（ORACLE/SYBASE/INFORMIX/DB2/SQL SERVER/TERADATA/MYSQL）的各種版本；

2.同時支持多種企業(yè)級應(yīng)用（ORACLE E-BUSINESS

SUITE/PEOPLESOFT/SIEBEL/JD EDWARDS/SAP/BUSINESS OBJECTS）、應(yīng)用服務(wù)器/中間件服務(wù)器（WEBSPHERE/WEBLOGIC/TUXEDO/ORACLE APPLICATION

SERVER/JBOSS/.NET/APACHE/TOMCAT/MQ & etc）；

3.非入侵式部署，不影響網(wǎng)絡(luò)、數(shù)據(jù)庫服務(wù)器現(xiàn)有運行方式及狀況，對用戶、網(wǎng)絡(luò)、服務(wù)器透明，不在數(shù)據(jù)庫內(nèi)安裝，不需要數(shù)據(jù)庫建立用戶；

4.具有實時阻斷非法訪問，抵御攻擊能力；

5.可以實現(xiàn)從用戶、應(yīng)用服務(wù)器到數(shù)據(jù)庫的全程跟蹤即可記錄；

6.可以實現(xiàn)全方位準(zhǔn)確監(jiān)控（來自網(wǎng)絡(luò)的訪問和本地登錄訪問）；

7.具備分布式部署和分層架構(gòu)能力，支持企業(yè)級不同地域、多種數(shù)據(jù)庫的應(yīng)用；

8.部署容易簡單；

9.獨特跟蹤下鉆（Drill Down）功能，追查問題可以一步步到最底層；

10.多行業(yè)、眾多客戶成功應(yīng)用案例的證明；

11.對SOX、PCI、DATA PRIVACY等法律遵從性的良好支持；

12.國際著名審計公司的認(rèn)同、認(rèn)可；

13.第三方國際著名咨詢評測機構(gòu)的認(rèn)可和贊賞；

14.支持多種異構(gòu)操作系統(tǒng)；

15.記錄的日志不可更改，完全符合法律要求；

16.不依賴于數(shù)據(jù)庫的日志；

17.對數(shù)據(jù)庫服務(wù)器性能影響極低（<5%），大大優(yōu)于數(shù)據(jù)庫本身的審計產(chǎn)品；

18.細(xì)粒度5W記錄，監(jiān)控記錄的內(nèi)容可定制；

19.可自定義輸出各種靈活的報表格式；

20.支持IBM大型機（Z-TAP，Z-GATE）；

21.具備集中化管理、日志匯總、關(guān)聯(lián)審計分析能力；

22.自學(xué)習(xí)能力模型，根據(jù)過去的訪問習(xí)慣自動實現(xiàn)對異常訪問的阻斷；

23.自動完成內(nèi)部審計流程、報表等工作，自動化程度高。

第二篇：當(dāng)前數(shù)據(jù)庫安全現(xiàn)狀及其安全審計

當(dāng)前數(shù)據(jù)庫安全現(xiàn)狀及其安全審計

大學(xué)數(shù)據(jù)庫原理教科書中，數(shù)據(jù)庫是這樣被解釋的：數(shù)據(jù)庫是計算機應(yīng)用系統(tǒng)中的一種專門管理數(shù)據(jù)庫資源的系統(tǒng)。數(shù)據(jù)具有多種形式，如文字/數(shù)碼/符號/圖形/圖象以及聲音。

數(shù)據(jù)庫安全現(xiàn)狀

數(shù)據(jù)庫系統(tǒng)立足于數(shù)據(jù)本身的管理，將所有的數(shù)據(jù)保存于數(shù)據(jù)庫中，進(jìn)行科學(xué)地組織，借助于數(shù)據(jù)庫管理系統(tǒng)，并以此為中介，與各種應(yīng)用程序或應(yīng)用系統(tǒng)接口，使之能方便地使用并管理數(shù)據(jù)庫中的數(shù)據(jù)，如數(shù)據(jù)查詢/添加/刪除/修改等。

數(shù)據(jù)庫無所不在。海量的數(shù)據(jù)信息因為數(shù)據(jù)庫的產(chǎn)生而變得更加容易管理和使用。政府、金融、運營商、公安、能源、稅務(wù)、工商、社保、交通、衛(wèi)生、教育、電子商務(wù)及企業(yè)等行業(yè)，紛紛建立起各自的數(shù)據(jù)庫應(yīng)用系統(tǒng)，以便隨時對數(shù)據(jù)庫中海量的數(shù)據(jù)進(jìn)行管理和使用，國家/社會的發(fā)展帶入信息時代。同時，隨著互聯(lián)網(wǎng)的發(fā)展，數(shù)據(jù)庫作為網(wǎng)絡(luò)的重要應(yīng)用，在網(wǎng)站建設(shè)和網(wǎng)絡(luò)營銷中發(fā)揮著重要的作用，包括信息收集/信息查詢及搜索/產(chǎn)品或業(yè)務(wù)管理/新聞發(fā)布/BBS論壇等等。

然而，信息技術(shù)是一把雙刃劍，為社會的進(jìn)步和發(fā)展帶來遍歷的同時，也帶來了許多的安全隱患。對數(shù)據(jù)庫而言，其存在的安全隱患存在更加難以估計的風(fēng)險值，數(shù)據(jù)庫安全事件曾出不窮：

某系統(tǒng)開發(fā)工程師通過互聯(lián)網(wǎng)入侵移動中心數(shù)據(jù)庫，盜取沖值卡

某醫(yī)院數(shù)據(jù)庫系統(tǒng)遭到非法入侵，導(dǎo)致上萬名患者私隱信息被盜取

某網(wǎng)游公司內(nèi)部數(shù)據(jù)庫管理人員通過違規(guī)修改數(shù)據(jù)庫數(shù)據(jù)盜竊網(wǎng)游點卡

黑客利用SQL注入攻擊，入侵某防病毒軟件數(shù)據(jù)庫中心，竊取大量機密信息，導(dǎo)致該防病毒軟件公司嚴(yán)重?fù)p失

某證券交易所內(nèi)部數(shù)據(jù)庫造黑客股民入侵，盜竊證券交易內(nèi)部報告

??

數(shù)據(jù)庫安全面臨內(nèi)部惡意操作以及外部惡意入侵兩大夾擊。如何有效保護(hù)數(shù)據(jù)庫信息成為當(dāng)前信息安全界最為關(guān)注的課題。

數(shù)據(jù)庫安全分析

三大安全風(fēng)險

數(shù)據(jù)庫是任何商業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的商業(yè)伙伴和客戶信息，這些信息需要被保護(hù)起來，以防止競爭者和其他非法者獲取?；ヂ?lián)網(wǎng)的急速發(fā)展使得企業(yè)數(shù)據(jù)庫信息的價值及可訪問性得到了提升，同時，也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)，概括起來主要表現(xiàn)在以下三個層面：

管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時，無法追溯并定位真實的操作者。

技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明，無法通過外部的任何安全工具(比如：防火墻、IDS、IPS等)來阻止內(nèi)部用戶的惡意操作、濫用資源和泄露企業(yè)機密信息等行為。

審計層面：現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計方法，存在諸多的弊端,比如:數(shù)據(jù)庫審計功能的開啟會影響數(shù)據(jù)庫本身的性能、數(shù)據(jù)庫日志文件本身存在被篡改的風(fēng)險，難于體現(xiàn)審計信息的真實性。

伴隨著數(shù)據(jù)庫信息價值以及可訪問性提升，使得數(shù)據(jù)庫面對來自內(nèi)部和外部的安全風(fēng)險大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機密信息竊取泄漏，但事后卻無法有效追溯和審計。

傳統(tǒng)數(shù)據(jù)庫安全方案缺陷

傳統(tǒng)的審計方案，或多或少存在一些缺陷，主要表現(xiàn)在以下兩個方面。

傳統(tǒng)網(wǎng)絡(luò)安全方案：依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護(hù)系統(tǒng)(IPS)，在網(wǎng)絡(luò)中檢查并實施數(shù)據(jù)庫訪問控制策略。但是網(wǎng)絡(luò)防火墻只能實現(xiàn)對IP地址、端口及協(xié)議的訪問控制，無法識別特定用戶的具體數(shù)據(jù)庫活動(比如：某個用戶使用數(shù)據(jù)庫客戶端刪除某張數(shù)據(jù)庫表);

而 IPS雖然可以依賴特征庫有限阻止數(shù)據(jù)庫軟件已知漏洞的攻擊，但他同樣無法判別具體的數(shù)據(jù)庫用戶活動，更談不上細(xì)粒度的審計。因此，無論是防火墻，還是 IPS都不能解決數(shù)據(jù)庫特權(quán)濫用等問題。

基于日志收集方案：需要數(shù)據(jù)庫軟件本身開啟審計功能，通過采集數(shù)據(jù)庫系統(tǒng)日志信息的方法形成審計報告，這樣的審計方案受限于數(shù)據(jù)庫的審計日志功能和訪問控制功能，在審計深度、審計響應(yīng)的實時性方面都難以獲得很好的審計效果。

同時，開啟數(shù)據(jù)庫審計功能，一方面會增加數(shù)據(jù)庫服務(wù)器的資源消耗，嚴(yán)重影響數(shù)據(jù)庫性能;另一方面審計信息的真實性、完整性也無法保證。

其他諸如應(yīng)用程序修改、數(shù)據(jù)源觸發(fā)器、統(tǒng)一認(rèn)證系統(tǒng)授權(quán)等等方式，均只能記錄有限的信息，更加無法提供細(xì)料度的數(shù)據(jù)庫操作審計。

數(shù)據(jù)庫審計

數(shù)據(jù)庫審計概念

審計，英文稱之為“audit”，檢查、驗證目標(biāo)的準(zhǔn)確性和完整性，用以防止虛假數(shù)據(jù)和欺騙行為，以及是否符合既定的標(biāo)準(zhǔn)、標(biāo)竿和其它審計原則。

審計概念最早用于財務(wù)系統(tǒng)，主要是獲取金融體系和金融記錄的公司或企業(yè)的財務(wù)報表的相關(guān)信息。隨著科技信息技術(shù)的發(fā)展，大部份的企業(yè)、機構(gòu)和組織的財務(wù)系統(tǒng)都運行在信息系統(tǒng)上面，所以信息手段成為財務(wù)審計的一種技術(shù)的同時，財務(wù)審計也帶動了通用信息系統(tǒng)的審計。審計已開始包括信息技術(shù)審計。

信息技術(shù)審計，是一個信息技術(shù)(IT)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。

數(shù)據(jù)庫審計作為信息安全審計的重要組成部分，同時也是數(shù)據(jù)庫管理系統(tǒng)安全性重要的一部分。通過審計功能，凡是與數(shù)據(jù)庫安全性相關(guān)的操作均可被記錄下來。只要檢測審計記錄，系統(tǒng)安全員便可掌握數(shù)據(jù)庫被使用狀況。

例如，檢查庫中實體的存取模式，監(jiān)測指定用戶的行為。審計系統(tǒng)可以跟蹤用戶的全部操作，這也使審計系統(tǒng)具有一種威懾力，提醒用戶安全使用數(shù)據(jù)庫。

數(shù)據(jù)庫審計立法

《薩班斯-奧克斯利法案(2002 Sarbanes-Oxley Act)》的第302條款和第404條款中，強調(diào)通過內(nèi)部控制加強公司治理，包括加強與財務(wù)報表相關(guān)的IT系統(tǒng)內(nèi)部控制，其中，IT系統(tǒng)內(nèi)部控制就是面向具體的業(yè)務(wù)，它是緊密圍繞信息安全審計這一核心的。

《企業(yè)內(nèi)部控制規(guī)范--基本規(guī)范的內(nèi)部審計機制》，中國的薩班斯法案，提出健全內(nèi)部審計機構(gòu)、加強內(nèi)部審計監(jiān)督是營造守法、公平、正直的內(nèi)部環(huán)境的重要保證。企業(yè)應(yīng)當(dāng)加強內(nèi)部審計工作，在企業(yè)內(nèi)部形成有權(quán)必有責(zé)、用權(quán)受監(jiān)督的良好氛圍。

ISO7498《信息處理系統(tǒng)開放系統(tǒng)互連——基本參考模型》第二部分安全體系結(jié)構(gòu)在“安全服務(wù)與安全機制的一般描述”中指出安全審計跟蹤提供了一種不可忽視的安全機制，它的潛在價值在于經(jīng)事后的安全審計得以檢測和調(diào)查安全的漏洞。

安全審計就是對系統(tǒng)的記錄與行為進(jìn)行獨立的品評考查, 目的是測試系統(tǒng)的控制是否恰當(dāng), 保證與既定策略和操作堆積的協(xié)調(diào)一致, 有助于作出損害評估, 以及對在控制、策略與規(guī)程中指明的改變作出評價.安全審計要求在安全審計跟蹤中記錄有關(guān)安全的信息, 分析和報告從安全審計跟蹤中得來的信息。這種日志記錄或記錄被認(rèn)為是一種安全機制并在本條中予以描述, 而把分析和報告視為一種安全管理功能。

《計算機信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理技術(shù)要求》是計算機信息系統(tǒng)安全等級保護(hù)技術(shù)要求系列標(biāo)準(zhǔn)之一，詳細(xì)說明了計算機信息系統(tǒng)為實現(xiàn)GB17859所提出的安全等級保護(hù)要求對數(shù)據(jù)庫管理系統(tǒng)的安全技術(shù)要求，以及確保這些安全技術(shù)所實現(xiàn)的安全功能達(dá)到其應(yīng)有的安全性而采取的保證措施。

其在 “數(shù)據(jù)庫安全審計”中明確要求：數(shù)據(jù)庫管理系統(tǒng)的安全審計應(yīng)建立獨立的安全審計系統(tǒng);定義與數(shù)據(jù)庫安全相關(guān)的審計事件;設(shè)置專門的安全審計員;設(shè)置專門用于存儲數(shù)據(jù)庫系統(tǒng)審計數(shù)據(jù)的安全審計庫;提供適用于數(shù)據(jù)庫系統(tǒng)的安全審計設(shè)置、分析和查閱的工具。

明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)

明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)是杭州安恒信息技術(shù)有限公司結(jié)合多年數(shù)據(jù)庫安全的理論和實踐經(jīng)驗積累的基礎(chǔ)上，結(jié)合各類法令法規(guī)對數(shù)據(jù)庫審計的要求，自主研發(fā)完成的業(yè)界首創(chuàng)細(xì)粒度審計、精準(zhǔn)化行為回溯、全方位風(fēng)險控制的數(shù)據(jù)庫審計產(chǎn)品。

以獨立硬件審計的工作模式，靈活的審計策略配置，解決企業(yè)核心數(shù)據(jù)庫面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅，滿足各類法令法規(guī)對數(shù)據(jù)庫審計的要求，廣泛適用于“政府、金融、運營商、公安、能源、稅務(wù)、工商、社保、交通、衛(wèi)生、教育、電子商務(wù)及企業(yè)”等所有使用數(shù)據(jù)庫的各個行業(yè)。

支持Oracle、MS-SQL Server、DB2、Sybase、Informix等業(yè)界主流數(shù)據(jù)庫，提升數(shù)據(jù)庫運行監(jiān)控的透明度，降低人工審計成本，真正實現(xiàn)數(shù)據(jù)庫運行可視化、日常操作可監(jiān)控、危險操作可控制、所有行為可審計、安全事件可追溯。

主要功能

明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)主要的功能模塊包括“靜態(tài)審計、實時監(jiān)控與風(fēng)險控制、動態(tài)審計(全方位、細(xì)粒度)、審計報表、安全事件回放、綜合管理”。

數(shù)據(jù)庫靜態(tài)審計代替繁瑣的手工檢查,預(yù)防安全事件的發(fā)生。明御TM數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)依托其權(quán)威性的數(shù)據(jù)庫安全規(guī)則庫，自動完成對幾百種不當(dāng)?shù)臄?shù)據(jù)庫不安全配置、潛在弱點、數(shù)據(jù)庫用戶弱口令、數(shù)據(jù)庫軟件補丁、數(shù)據(jù)庫潛藏木馬等等靜態(tài)審計，通過靜態(tài)審計，可以為后續(xù)的動態(tài)防護(hù)與審計的安全策略設(shè)置提供有力的依據(jù)。

實時監(jiān)控與風(fēng)險控制：明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)可保護(hù)業(yè)界主流的數(shù)據(jù)庫系統(tǒng)，防止受到特權(quán)濫用、已知漏洞攻擊、人為失誤等等的侵害。當(dāng)用戶與數(shù)據(jù)庫進(jìn)行交互時，可自動根據(jù)預(yù)設(shè)置的風(fēng)險控制策略，結(jié)合對數(shù)據(jù)庫活動的實時監(jiān)控信息，進(jìn)行特征檢測及審計規(guī)則檢測，任何嘗試的攻擊或違反審計規(guī)則的操作都會被檢測到并實時阻斷或告警。

數(shù)據(jù)庫動態(tài)審計：明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)基于“數(shù)據(jù)捕獲→應(yīng)用層數(shù)據(jù)分析→監(jiān)控、審計和響應(yīng)” 的模式提供各項安全功能，使得它的審計功能大大優(yōu)于基于日志收集的審計系統(tǒng)，通過收集一系列極其豐富的審計數(shù)據(jù)，結(jié)合細(xì)粒度的審計規(guī)則、以滿足對敏感信息的特殊保護(hù)需求。

數(shù)據(jù)庫動態(tài)審計可以徹底擺脫數(shù)據(jù)庫的黑匣子狀態(tài)，提供4W(who/when/where/what)審計數(shù)據(jù)。通過實時監(jiān)測并智能地分析、還原各種數(shù)據(jù)庫操作，解析數(shù)據(jù)庫的登錄、注銷、插入、刪除、存儲過程的執(zhí)行等操作，還原SQL操作語句;跟蹤數(shù)據(jù)庫訪問過程中的所有細(xì)節(jié)，包括用戶名、數(shù)據(jù)庫操作類型、所訪問的數(shù)據(jù)庫表名、字段名、操作執(zhí)行結(jié)果、數(shù)據(jù)庫操作的內(nèi)容取值等。

審計報表：明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)內(nèi)嵌功能強大的報表模塊，除了按安全經(jīng)驗、行業(yè)需求分類的預(yù)定義固定格式報表外，管理員還可以利用報表自定義功能生成定制化的報告。報告模塊同時支持Word、Excel、PowerPoint、Pdf格式的數(shù)據(jù)導(dǎo)出。

安全事件回放允許安全管理員提取歷史數(shù)據(jù)，對過去某一時段的事件進(jìn)行回放，真實展現(xiàn)當(dāng)時的完整操作過程，便于分析和追溯系統(tǒng)安全問題。

綜合管理：明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)提供WEB-base的管理頁面，數(shù)據(jù)庫安全管理員在不需要安裝任何客戶端軟件的情況下，基于標(biāo)準(zhǔn)的瀏覽器即可完成對DAS-DBAuditor 的相關(guān)配置管理，主要包括“審計對象管理、系統(tǒng)管理、用戶管理、功能配置、風(fēng)險查詢”等。

審計特點

獨立審計模式：作為一個網(wǎng)絡(luò)安全設(shè)備，明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)審計數(shù)據(jù)通過網(wǎng)絡(luò)完全獨立地采集，這使得數(shù)據(jù)庫維護(hù)或開發(fā)小組，安全審計小組的工作進(jìn)行適當(dāng)?shù)姆蛛x。審計工作不影響數(shù)據(jù)庫的性能、穩(wěn)定性或日常管理流程。審計結(jié)果獨立存儲于DAS-DBAuditor自帶的存儲空間中，避免了數(shù)據(jù)庫特權(quán)用戶或惡意入侵?jǐn)?shù)據(jù)庫服務(wù)器用戶，干擾審計信息的公正性。

靈活的動態(tài)審計規(guī)則：明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)使用審計引擎對所有的數(shù)據(jù)庫活動、數(shù)據(jù)庫服務(wù)器遠(yuǎn)程操作進(jìn)行實時的、動態(tài)的審計。

全方位、細(xì)粒度審計分析：實時監(jiān)控來自各個層面的所有數(shù)據(jù)庫活動，包括SQL操作、ftp操作、telnet操作;提供對潛在危險活動(如：DDL類操作、DML類操作)的重要審計優(yōu)化視圖;精細(xì)到表、字段、記錄內(nèi)容的細(xì)粒度審計策略，實現(xiàn)對敏感信息的精細(xì)監(jiān)控。

零風(fēng)險部署：明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)可在不改變現(xiàn)有的網(wǎng)絡(luò)體系結(jié)構(gòu)(包括：路由器、防火墻、應(yīng)用層負(fù)載均衡設(shè)備、應(yīng)用服務(wù)器等)的情況下快速部署。

完備的自身安全：

物理保護(hù):關(guān)鍵部件采用冗余配置(如：冗余電源、內(nèi)置硬盤RAID等)。

掉電保護(hù)：設(shè)備掉電(如電源被不慎碰掉)時，網(wǎng)絡(luò)流量將會直接貫通。

系統(tǒng)故障保護(hù)：內(nèi)置監(jiān)測模塊準(zhǔn)實時地監(jiān)測設(shè)備自身的健康狀況。

不間斷的管理保護(hù)：在進(jìn)行策略配置情況下，能保持網(wǎng)絡(luò)的連接和保護(hù)。

不丟包：基于硬件加速的接口卡，在高速環(huán)境下實現(xiàn)100%數(shù)據(jù)包捕獲。

冗余部署：在具備冗余體系結(jié)構(gòu)的環(huán)境中，支持Active-Active或Active-Standby部署配置。

第三篇：數(shù)據(jù)庫審計系統(tǒng)

數(shù)據(jù)庫審計系統(tǒng)

概述

近幾年來隨著計算機在政府審計,社會審計等外部審計工作中的逐步應(yīng)用。審計組織,審計手段和審計管理等也正在發(fā)生著重大變革。特別是“政府金審工程”實施以來,已碩果累累:在審計組織方式上,從審計現(xiàn)場的單機審計,發(fā)展到審計現(xiàn)場的局域網(wǎng)審計,以及目前正在試點實施的遠(yuǎn)程聯(lián)網(wǎng)審計;由對被審計單位電子數(shù)據(jù)實施分散審計發(fā)展到對電子數(shù)據(jù)實施集中審計。在審計手段上,從利用計算機檢索,關(guān)聯(lián),計算等功能對電子數(shù)據(jù)進(jìn)行分析,發(fā)展到利用計算機技術(shù)將審計人員的經(jīng)驗,技巧,方法智能化,進(jìn)而利用分析性測試等先進(jìn)審計方法系統(tǒng)分析電子數(shù)據(jù)。在審計的客體上,從單純審計電子數(shù)據(jù),發(fā)展到既審計電子數(shù)據(jù),又對與財政財務(wù)收支相關(guān)或與固定資產(chǎn)投資建設(shè)項目相關(guān)的數(shù)據(jù)信息等的合規(guī)性,經(jīng)濟(jì)性實施審計監(jiān)督。在計算機運用的范圍上,實現(xiàn)了從利用計算機實施審計到運用計算機管理審計項目的跨越。

數(shù)據(jù)庫審計子系統(tǒng)的網(wǎng)絡(luò)審計功能通過對數(shù)據(jù)包中數(shù)據(jù)操作語法的分析，可以知道對數(shù)據(jù)庫中的某個表、某個字段進(jìn)行了什么操作，并可對違規(guī)的操作產(chǎn)生報警事件。

數(shù)據(jù)庫審計系統(tǒng)功能

數(shù)據(jù)庫審計系統(tǒng)采用網(wǎng)絡(luò)傳感器組件，對特定的連接數(shù)據(jù)包（數(shù)據(jù)庫遠(yuǎn)程連接）進(jìn)行分析，從數(shù)據(jù)庫訪問操作入手，對抓到的數(shù)據(jù)包進(jìn)行語法分析，從而審計對數(shù)據(jù)庫中的哪些數(shù)據(jù)進(jìn)行操作，可以對特定的數(shù)據(jù)操作制定規(guī)則，產(chǎn)生報警事件。

由于數(shù)據(jù)庫系統(tǒng)的種類比較多，所以數(shù)據(jù)庫審計從網(wǎng)絡(luò)方面入手，監(jiān)控數(shù)據(jù)庫的操作。可以審計所有的遠(yuǎn)程數(shù)據(jù)庫操作，通過旁路技術(shù)實現(xiàn)審計。如下圖所示：

問題與挑戰(zhàn)

在E系統(tǒng)和S系統(tǒng)中,業(yè)務(wù)數(shù)據(jù)存儲的審計是。所以,我們在分析了審計管理項目的要求之后,建議。

1,數(shù)據(jù)的分級管理審計管理,主要由數(shù)據(jù)文檔構(gòu)成,其間的計算部分非常少。把數(shù)據(jù)根據(jù)不同的類別,不同的需要,不同的時間分別管理好,就是本系統(tǒng)的主要目的。

2,數(shù)據(jù)的輸入,查詢,修改

我們知道,一個系統(tǒng)的使用方便與否,直接關(guān)系到系統(tǒng)的質(zhì)量及使用價值。因此,在考慮系統(tǒng)的使用方便性方面,本系統(tǒng)也作了很大的努力。

第二,所有標(biāo)準(zhǔn)的名稱,代碼都預(yù)先輸入,設(shè)置等,這即可以減少輸入的困難,也避免了出錯。

第三,外部文件輸入時,采用選擇與直接拖入兩種方式,選擇方式,主要針對單個文件進(jìn)行處理,而直接拖入方式,則可以對一組文件進(jìn)行處理,一次可以處理多達(dá)數(shù)十個文件。而且,這兩種方式,都不需要用戶輸入文件名,而是直接從外部文件的系統(tǒng)名稱直接獲取。這樣,不僅快速,也更準(zhǔn)確,安全。

第四,CS與BS的工作方式。利用傳統(tǒng)的CS計算機程序語言,在CS模式下,完成本系統(tǒng)的主要工作,特別是對于內(nèi)部人員來說,這種方式具有安全與快速的特性,同時也便于各種基本數(shù)據(jù)的輸入與修改,對數(shù)據(jù)的追加,修改置于防火墻的保護(hù)之內(nèi)。但CS方式的缺點,也是明顯的,不可忽視的:就是,它需要對相關(guān)的計算機安裝必要的程序及控件。為了便于查詢,特別是相關(guān)領(lǐng)導(dǎo),他們只需要看數(shù)據(jù),報表,或僅僅對數(shù)據(jù)作極為少量的修改,如確認(rèn)等,我們對這樣的用戶,提供了BS格式的訪問方式,也即標(biāo)準(zhǔn)的互聯(lián)網(wǎng)訪問方式。這樣,即可以不安裝相關(guān)控件,也可以不受地域的限制,顯得十分的方便與快捷。

建議

建議購買一套適合專利局兩大系統(tǒng)業(yè)務(wù)的數(shù)據(jù)庫審計系統(tǒng)

第四篇：醫(yī)院數(shù)據(jù)庫備份解決方案

1醫(yī)院數(shù)據(jù)庫備份解決方案提出的背景

隨著電子化進(jìn)程的飛速發(fā)展和信息技術(shù)的廣泛應(yīng)用，數(shù)據(jù)越來越成為企業(yè)、事業(yè)單位日常運作中不可缺少的部分和領(lǐng)導(dǎo)決策的依據(jù)。但是，計算機的使用有時也會造成隱患，那就是計算機數(shù)據(jù)非常容易丟失和遭到破壞。有專業(yè)機構(gòu)的研究數(shù)據(jù)表明：丟失300MB的數(shù)據(jù)對于市場營銷部門意味著13萬元人民幣的損失，對財務(wù)部門意味著16萬的損失，對工程部門來說損失可達(dá)80萬。而丟失的關(guān)鍵數(shù)據(jù)如果15d內(nèi)仍得不到恢復(fù)，企業(yè)就有可能被淘汰出局。

隨著計算機系統(tǒng)越來越成為企業(yè)不可或缺的數(shù)據(jù)載體，如何利用數(shù)據(jù)備份來保證數(shù)據(jù)安全也成為我們迫切需要研究的一個課題。數(shù)據(jù)遭到破壞，有可能是人為的因素。也可能是由于各種不可預(yù)測的因素，主要包括以下幾個方面：①計算機硬件故障。計算機是一個機器，其硬件是整個系統(tǒng)的基礎(chǔ)。由于使用不當(dāng)或者計算機產(chǎn)品質(zhì)量不佳、配件老化等原因，計算機的硬件可能被損壞而不能使用。例如，硬盤的磁道損壞。②計算機軟件系統(tǒng)的不穩(wěn)定。由于用戶使用不當(dāng)或者系統(tǒng)的可靠性不穩(wěn)定等原因，計算機軟件系統(tǒng)有可能癱瘓，無法使用。③誤操作。這是人為的事故，不可能完全避免。例如，在使用DELETE語句的時候，不小心刪除了有用的數(shù)據(jù)。④破壞性病毒。病毒是系統(tǒng)可能遭到破壞的一個非常重要的原因。隨著信息技術(shù)的發(fā)展，各種病毒也隨之泛濫?，F(xiàn)在，病毒不僅僅能破壞軟件系統(tǒng)，還可能破壞計算機的硬件系統(tǒng)，例如當(dāng)前流行的每月26日發(fā)作的CIH病毒，就是一個典型的破壞計算機硬件系統(tǒng)的病毒。⑤自然災(zāi)害，例如大火、洪水、地震等。這是一種人力無法抗拒的原因。

2醫(yī)院數(shù)據(jù)庫備份與恢復(fù)的重要性與必要性

摩根斯坦利作為一家大型投資銀行，當(dāng)紐約世貿(mào)中心許多大公司的商務(wù)數(shù)據(jù)一瞬間“灰飛煙滅”時，該中心最大的主顧之一摩根斯坦利卻在災(zāi)后的第二天就恢復(fù)了正常工作狀態(tài)。危機時刻，摩根斯坦利花費巨資添置的遠(yuǎn)程數(shù)據(jù)防災(zāi)系統(tǒng)忠實地工作到大樓倒塌前的最后一秒鐘，將重要的業(yè)務(wù)信息完好無損地傳送到了幾英里以外另一個辦事處。在這次大劫難中，摩根斯坦利幾年前就制定的數(shù)據(jù)安全戰(zhàn)略發(fā)揮了極大作用，將突發(fā)危機的不利影響下降到最低程度。

目前，國際上對電腦安全技術(shù)越來越重視，人們的安全意識越來越高，體現(xiàn)在電腦安全技術(shù)的應(yīng)用從個別的特殊行業(yè)發(fā)展到各行各業(yè)；從對電腦設(shè)備的重視發(fā)展到對核心數(shù)據(jù)安全的重視，這已經(jīng)是一個不可逆轉(zhuǎn)的趨勢。而醫(yī)院信息管理系統(tǒng)HIS（Hospital information System）應(yīng)用已經(jīng)非常廣泛，深入到醫(yī)院管理的各個環(huán)節(jié)：門診掛號、門診收費、門診擺藥、取藥、藥品出入庫、病人入院、住院醫(yī)囑信息、押金、結(jié)帳等等數(shù)據(jù)都存放在服務(wù)器的數(shù)據(jù)庫中，實時性要求非常高，而系統(tǒng)中的數(shù)據(jù)，更是核心中的核心，數(shù)據(jù)的安全性關(guān)系到整個系統(tǒng)能否正常的運行，最終關(guān)系到能否為患者提供正常的服務(wù)。在看病難、看病貴的當(dāng)下，顯得尤為重要。所以對整個系統(tǒng)的數(shù)據(jù)做好數(shù)據(jù)保護(hù)是至關(guān)重要的，是醫(yī)院保證提供正常服務(wù)的最后一道防線。所以，服務(wù)器的備份、數(shù)據(jù)庫的實時備份尤其必要和迫切。

服務(wù)器的硬件備份方案很多，而且已經(jīng)比較成熟，數(shù)據(jù)庫的熱備份軟件國外有幾種，國內(nèi)還剛剛起步。各大公司紛紛加入這個行列，筆者所知就有如EMC,賽門鐵克等都在做數(shù)據(jù)備份的解決方案，這些公司高端產(chǎn)品非常好，對一個大型企業(yè)來說可能這樣的投資是必要的，但對于我們中小企業(yè)來說，一定要考慮它的性價比，動輒十幾萬、幾十萬的投資，這于我們

中小醫(yī)院來說更是捉襟見肘。所以確定適合本院實情情況的備份方案顯得尤為重要。下面筆者結(jié)合工作實際，對我院現(xiàn)有的備份方案做如下介紹：

3服務(wù)器系統(tǒng)現(xiàn)狀

目前，我院信息管理系統(tǒng)即HIS。核心服務(wù)器1臺，型號：HP惠普PROU570,內(nèi)存2G，4個SCIS72.5G硬盤，雙CPU，做RAID0+1。操作系統(tǒng)：WINDOWS2000SERVER。數(shù)據(jù)庫：SQL2000SERVER。軟件開發(fā)商：廣州安易醫(yī)療軟件公司。應(yīng)用系統(tǒng)：HIS（醫(yī)院信息管理系統(tǒng)）包括門診管理系統(tǒng)：門診掛號，門診收費，門診藥房及病房管理系統(tǒng)（采用護(hù)士工作站模式），醫(yī)技管理系統(tǒng)，藥庫藥房系統(tǒng)，字典維護(hù)及綜合查詢。

4我院基要本狀況

我院是二級甲等醫(yī)院，日門診量1300人次左右，床位400張，年平均住院人次為5000人次左右，醫(yī)院各個業(yè)務(wù)流程對后臺數(shù)據(jù)庫的增加、修改多達(dá)上萬次。服務(wù)器要求24h連續(xù)不間斷工作，即365×12×24h。

5我院目前的備份與恢復(fù)的幾個層次

5.1用筆記本電腦解決雙機熱備問題：我們做了RAID0+1,但它只能解決硬盤的問題，并不能解決數(shù)據(jù)庫的問題。一般都考慮雙機熱備方案，但雙機熱備勢必要增加一臺服務(wù)器,增大投資，一般服務(wù)器都價格不菲。我院的HIS可分為病房和門診，病房的實時性并不是很高，即可容忍幾個小時，半天甚至于一天的延時，而門診的實時性非常高，即不能容忍延時，哪怕是半小時。針對門診的實時性，我們應(yīng)用了用筆記本電腦安裝門診各應(yīng)用程序包括門診掛號、門診收費等應(yīng)用程序，相當(dāng)于小服務(wù)器，數(shù)據(jù)庫和應(yīng)用程序和主服務(wù)器一致，每天下班前用應(yīng)用程序——系統(tǒng)管理員Adminsys將所有公共字典導(dǎo)出備用，確保所有字典都是最新字典包括收費項目和藥品字典。一但主服務(wù)器有問題，門診可用筆記本收費與劃價，藥房可根據(jù)處方拿藥，確保了門診的實時性。我院去年機房搬遷切斷光纖幾小時，門診就使用此種方法，保證了連續(xù)不間斷收費劃價與發(fā)藥，確保了門診病人不受影響。

5.2利用SQL數(shù)據(jù)庫的計劃作業(yè)進(jìn)行備份和異地備份與恢復(fù)：利用SQL數(shù)據(jù)庫的計劃作業(yè)進(jìn)行多個備份計劃，比如在工作量比較少的時候，每天夜里24點進(jìn)行備份，在凌晨3點時做異地備份計劃，即將備份文件儲存在局域網(wǎng)中的其它臺計算機的硬盤上。確保服務(wù)器硬盤壞掉時有一份脫機的備份數(shù)據(jù)。然后可利用SQL的還原功能進(jìn)行還原數(shù)據(jù)庫。它的優(yōu)點是可對整個數(shù)據(jù)庫進(jìn)行還原，且速度比較快。

5.3利用應(yīng)用數(shù)據(jù)庫的數(shù)據(jù)文件和日志文件直接用命令進(jìn)行備份與恢復(fù)：//恢復(fù)數(shù)據(jù)庫XXX代表數(shù)據(jù)庫名：EXEC sp_attach_db @dbname = N'xxx', @filename1 = N'c:＼Program Files＼Microsoft SQL Server＼MSSQL＼Data＼xxx.mdf',@filename2 = N'c:＼Program Files＼Microsoft SQL Server＼MSSQL＼Data＼xxx.ldf'GO//創(chuàng)建有戶IF NOT EXISTS(SELECT NAME FROM master..SYSLOGINS WHERE NAME='HIS')EXEC SP_ADDLOGINS 'HIS',MANAGER GO //恢復(fù)用戶使用權(quán)限exec dbo.sp_configure 'allow update','1'reconfigure with overridego update a set sid =(select sid from syslogins where name = 'His')from XXX sysusers a where name = 'His'update a set sid =(select sid from syslogins where name = 'His')from XXX sysusers a where name = 'His'goexec dbo.sp_configure 'allow update','0'reconfigure with override go

此種方法的優(yōu)點是恢復(fù)的速度比較快，簡單實用。缺點是對管理員要求比較高。

5.4利用應(yīng)用程序?qū)С鰧?dǎo)入進(jìn)行備份與恢復(fù)：利用應(yīng)用程序的系統(tǒng)管理員模塊Sysadmin中的導(dǎo)出功能，每天下班之前將所有數(shù)據(jù)導(dǎo)出。即導(dǎo)出所有的表（table）,需要時將表導(dǎo)回，它的優(yōu)點是比較靈活，可針對表進(jìn)行恢復(fù)，如果只是某一個表有問題，比如誤操作，誤刪除，只需要將前一天備份的表導(dǎo)回即可。當(dāng)我們LIS(檢驗信息系統(tǒng))剛投入使用時，檢驗人員對操作還不熟悉，誤將檢驗項目編碼搞亂，無法出檢驗報告，我們就是利用這個功能將檢驗字典導(dǎo)回，問題就迎刃而解。

總之，醫(yī)院信息管理系統(tǒng)中的數(shù)據(jù)備份和恢復(fù)非常重要。尤其現(xiàn)在醫(yī)患關(guān)系緊張、醫(yī)保物價部門對醫(yī)院的要求非常嚴(yán)格的情況下，數(shù)據(jù)一旦丟失，對醫(yī)院、社會都會造成無法估量的損失。這就要求我們的計算機管理人員做好充分的準(zhǔn)備，能夠及時進(jìn)行數(shù)據(jù)的備份，一旦數(shù)據(jù)庫出現(xiàn)故障，要能夠及時進(jìn)行恢復(fù)。

第五篇：基于數(shù)據(jù)庫安全審計的研究

基于數(shù)據(jù)庫安全審計的研究

來源：CIO時代網(wǎng)

Willie Sutton是十九世紀(jì)二十年代聞名一時的銀行大盜，當(dāng)他被問為什么搶劫銀行時曾說過一句經(jīng)典的話：“因為那是放錢的地方”。在當(dāng)今世界，所謂的“錢”就是信息，而一個公司最有價值的資產(chǎn)就存放在其數(shù)據(jù)庫中。因此，如果WillieSutton是一個黑客的話，他一定會把目標(biāo)瞄準(zhǔn)數(shù)據(jù)庫，因為那就是公司存放“錢”的地方。

數(shù)據(jù)庫顯然存放著最真實和最有價值的那部分資產(chǎn)：可能是知識產(chǎn)權(quán)(如可口可樂的配方)，也可能是價格和交易數(shù)據(jù)或者客戶信息。這些重要數(shù)據(jù)，一旦被人非法竊取篡改將帶來難以想象的嚴(yán)重后果。

下面是近年發(fā)生在我國的一起典型通過非法篡改數(shù)據(jù)庫牟利的案例。張某于2000年進(jìn)入某電信運營商分公司工作，擔(dān)任該公司綜合市場部計費及維護(hù)員。張某作為公司計費營帳系統(tǒng)的管理員，擁有該系統(tǒng)的工號和密碼，可以直接進(jìn)入該系統(tǒng)進(jìn)行查詢、調(diào)研和數(shù)據(jù)統(tǒng)計等工作。該計費營帳系統(tǒng)與充值卡數(shù)據(jù)系統(tǒng)分屬于不同的系統(tǒng)，但共用同一數(shù)據(jù)庫。按照該分公司對計費及維護(hù)員職責(zé)的規(guī)定，張某無權(quán)對公司計費營帳系統(tǒng)內(nèi)的充值卡數(shù)據(jù)進(jìn)行新生成或修改。2004年期間，張某在辦公室的電腦上用自己掌握的密碼，進(jìn)入了該分公司的充值卡數(shù)據(jù)系統(tǒng)，通過運行數(shù)據(jù)庫的操作語言修改了數(shù)據(jù)庫中的充值卡數(shù)據(jù)，將已充值使用過的每張面值為50元的7000張充值卡修改為未使用的狀態(tài)。其后，把充值卡的卡號、密碼等數(shù)據(jù)按面值七折的價格出售給他人，獲利20萬余元，造成該公司經(jīng)濟(jì)損失達(dá)29．25萬元。目前，國內(nèi)類似上述數(shù)據(jù)庫的重要數(shù)據(jù)被內(nèi)部員工非法篡改牟利問題已日益增多，數(shù)據(jù)庫信息安全面臨嚴(yán)峻挑戰(zhàn)，并已引起各單位高度重視，成為迫切需要解決的問題。其重要陛，不言而喻。威脅與風(fēng)險并存

由于單位數(shù)據(jù)庫系統(tǒng)用戶眾多，涉及數(shù)據(jù)庫管理員、內(nèi)部員工及合作方人員等，因此網(wǎng)絡(luò)管理更加復(fù)雜，單位數(shù)據(jù)庫面臨的主要安全威脅與風(fēng)險總結(jié)如下：

1．1數(shù)據(jù)庫賬戶和權(quán)限的濫用

表現(xiàn)一：缺少針對數(shù)據(jù)庫管理員監(jiān)控機制。數(shù)據(jù)庫管理員擁有數(shù)據(jù)庫系統(tǒng)管理、賬號管理、權(quán)限分配等系統(tǒng)最高權(quán)限。如果數(shù)據(jù)庫管理員利用工作之便，竊取、篡改、毀壞重要業(yè)務(wù)數(shù)據(jù)，對單位數(shù)據(jù)庫安全的打擊將是巨大的。國內(nèi)某著名網(wǎng)絡(luò)游戲廠商高管王某非法修改游戲服務(wù)器數(shù)據(jù)牟利就是一個很典型的例子，王某利用職務(wù)便利，非法修改網(wǎng)游數(shù)據(jù)庫服務(wù)器的游戲裝備數(shù)據(jù)，然后通過網(wǎng)站私下交易出售給其他玩家，非法獲利200余萬，給單位造成難以挽回的重大經(jīng)濟(jì)損失。

表現(xiàn)二：合法用戶權(quán)限濫用。數(shù)據(jù)庫系統(tǒng)的操作管理采用分權(quán)管理形式，包括多個賬號，如普通賬號、用于數(shù)據(jù)庫日常維護(hù)的臨時賬號；如果上述賬號權(quán)限被內(nèi)部人員或合作方人員用來竊取、惡意損毀數(shù)據(jù)庫的重要業(yè)務(wù)數(shù)據(jù)，在短時間內(nèi)管理者極難察覺發(fā)現(xiàn)數(shù)據(jù)被篡改或刪除，事后也難以追查取證，造成難以彌補的損失。

1．2數(shù)據(jù)庫自身日志審計的缺陷

表現(xiàn)一：難以實時監(jiān)測發(fā)現(xiàn)問題。數(shù)據(jù)庫系統(tǒng)自身的14志審計功能可以記錄各種數(shù)據(jù)庫系統(tǒng)修改、權(quán)限使用等日志信息，并不能幫助管理者及時發(fā)現(xiàn)定位問題；同時由于不能實時監(jiān)測報警，因此在數(shù)據(jù)庫異常安全事件發(fā)生時，無法第一時間報告給管理者，導(dǎo)致管理者不能及時采取有效措施。表現(xiàn)二：影響數(shù)據(jù)庫服務(wù)器運行與性能。數(shù)據(jù)庫61身日志審計也會t與用了大量的硬盤空問，降低數(shù)據(jù)庫服務(wù)的性能，甚至可能影響正常應(yīng)用的順利進(jìn)行，同時面對成千上萬條日志記錄，很少有數(shù)據(jù)庫管理員為了尋找?guī)讞l有用的項目，去查看數(shù)千的審計日志條目，因此如何篩選出有用信息也是客觀存在的問題。安全需求緊迫

根據(jù)對單位數(shù)據(jù)庫系統(tǒng)的威脅與風(fēng)險分析，單位的數(shù)據(jù)庫安全需求主要集中在以下方面：一是，全面監(jiān)測數(shù)據(jù)庫超級賬戶、臨時賬戶等重要賬戶的數(shù)據(jù)庫操作。

二是，實時監(jiān)測數(shù)據(jù)庫操作行為，發(fā)現(xiàn)非法違規(guī)操作能及時告警響應(yīng)。

三是，詳細(xì)記錄數(shù)據(jù)庫操作信息，并提供豐富的審計信息查詢方式和報表，方便安全事件定位分析，事后追查取證。同時根據(jù)美國國防部TCSEC／TDI標(biāo)準(zhǔn)中關(guān)于安全策略的要求，數(shù)據(jù)庫審計是數(shù)據(jù)庫系統(tǒng)達(dá)到c2級以上安全級別必不可少的一項。

因此需要單位網(wǎng)絡(luò)中部署專業(yè)的數(shù)據(jù)庫安全審計系統(tǒng)，可有效監(jiān)控數(shù)據(jù)庫訪問行為，準(zhǔn)確掌握數(shù)據(jù)庫系統(tǒng)的安全狀態(tài)，及時發(fā)現(xiàn)違反數(shù)據(jù)庫安全策略的事件并實時告警、記錄，同時進(jìn)行安全事件定位分析，事后追查取證，保障單位數(shù)據(jù)庫安全。數(shù)據(jù)庫安全審計系統(tǒng)介紹

數(shù)據(jù)庫安全審計系統(tǒng)是通過對網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別，實時監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫的所有訪問操作，發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為，及時報警響應(yīng)操作還原，實現(xiàn)數(shù)據(jù)庫安全事件的準(zhǔn)確跟蹤定位，保障數(shù)據(jù)庫系統(tǒng)安全。

數(shù)據(jù)庫安全審計系統(tǒng)模型包括兩個部分：一是審計數(shù)據(jù)采集器，用于采集審計數(shù)據(jù)，并存儲為審計日志；二是審計數(shù)據(jù)分析器，負(fù)責(zé)分析審計數(shù)據(jù)采集器發(fā)送的數(shù)據(jù)；審計數(shù)據(jù)字典則是數(shù)據(jù)庫審計規(guī)則庫。

數(shù)據(jù)庫安全審計系統(tǒng)首先收集來自用戶的事件，當(dāng)用戶進(jìn)行數(shù)據(jù)庫訪問操作時，采集器根據(jù)審計數(shù)據(jù)字典，判斷其數(shù)據(jù)庫訪問行為是否為審計事件，當(dāng)數(shù)據(jù)庫訪問事件滿足審汁報警記錄條件時，分析器則向管理人員發(fā)送報警信息并把用戶對數(shù)據(jù)庫的所有操作自動記錄下來，存放在審計日志中。

審計日志記錄的內(nèi)容一般包括：用戶名稱，操作時問，操作類型(如修改、查詢、刪除)，操作所涉及到相關(guān)數(shù)據(jù)(如表、視圖等)等。利用這些信息，可以進(jìn)一步找出非法存取修改數(shù)據(jù)庫的人員及其修改時問和修改內(nèi)容等。同時管理人員也可以通過手工查詢分析審計信息，并形成數(shù)據(jù)庫審計報告。審計報告通常包括用戶名稱、時問、具體數(shù)據(jù)庫操作(包括采用什么命令}方問哪些數(shù)據(jù)庫表、字段)等。

當(dāng)發(fā)現(xiàn)新數(shù)據(jù)庫訪問具有潛在危害性，而審計數(shù)據(jù)字典未制定的對應(yīng)審計規(guī)則，管理人員可以在審計數(shù)據(jù)字典中更新審計規(guī)則。在安全審汁模型中，數(shù)據(jù)庫審計日志信息起著非常關(guān)鍵的作用，它記錄了各種類型的數(shù)據(jù)庫訪問事件，為管理人員提供了事后審汁的依據(jù)，同時幫助管理人員實時掌握數(shù)據(jù)庫操作事件的動態(tài)。基本標(biāo)準(zhǔn)評價

是否能夠很好地幫助管理者完成對數(shù)據(jù)庫訪問行為的監(jiān)測是數(shù)據(jù)庫安全審計系統(tǒng)的基本標(biāo)準(zhǔn)。一個完善的數(shù)據(jù)庫安全審計系統(tǒng)應(yīng)該從幾個方面評價：

一是，具有全面豐富的數(shù)據(jù)庫審計類型。

二是，具有細(xì)粒度的數(shù)據(jù)庫操作內(nèi)容審計。

三是，能準(zhǔn)確及時的違規(guī)操作告警響應(yīng)。

四是，可以全面詳細(xì)的審計信息，豐富可定制的報表分析系統(tǒng)。

五是，自身的安全性高，不易遭受攻擊。

由此可見，能通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別，實時監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)庫的所有訪問操作，同時支持自定義內(nèi)容關(guān)鍵字庫，實現(xiàn)數(shù)據(jù)庫操作的內(nèi)容監(jiān)測識別，發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作行為，并及時報警響應(yīng)、全過程操作還原，從而實現(xiàn)安全事件的準(zhǔn)確全程跟蹤定位和全面保障數(shù)據(jù)庫系統(tǒng)安全的數(shù)據(jù)庫安全審計系統(tǒng)，才是一款合適的產(chǎn)品。數(shù)據(jù)庫安全審計特性分析

5．1全面的審計類型

系統(tǒng)應(yīng)覆蓋ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等主流數(shù)據(jù)庫系統(tǒng)。

5．2靈活的審計策略

系統(tǒng)應(yīng)支持基于內(nèi)容關(guān)鍵字、IP地址、用戶／用戶組、時間、數(shù)據(jù)庫類型、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等多種組合數(shù)據(jù)庫審計策略，從而全面監(jiān)測發(fā)現(xiàn)各種非法操作及合法用戶的違規(guī)操作。

5．3數(shù)據(jù)庫操作信息還原

系統(tǒng)應(yīng)實時審計用戶對數(shù)據(jù)庫系統(tǒng)所有操作(如：插入、刪除、更新、用戶自定義操作等)，并完全還原SQL操作命令包括源IP地址、目的IP地址、訪問時間、用戶名、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表和字段名等，實現(xiàn)安全事件準(zhǔn)確全程跟蹤定位，為事后追查取證提供有力支持。

5．4多種業(yè)務(wù)運維操作審計

系統(tǒng)需要支持對TELNET．FTP等操作的命令級審計和全過程記錄。

5．4．1審計信息管理

5．4．1．1系統(tǒng)需支持?jǐn)?shù)據(jù)庫審計事件信息的備份、恢復(fù)、清除、歸并等功能；日志信息應(yīng)能保存到SQL Server、Oracle等大型數(shù)據(jù)庫中。

5．4．1．2系統(tǒng)需提供詳細(xì)的綜合分析報表、自定義等多種類型報表模板，支持生成：日、周、月、季度、綜合報表。報表應(yīng)支持MS Word、Html、JPG等格式導(dǎo)出。

5．4．2豐富的管理能力

5．4．2．1為不影響數(shù)據(jù)庫系統(tǒng)自身運行與性能，系統(tǒng)需采用旁路監(jiān)聽部署模式。

5．4．2．2系統(tǒng)需支持多種響應(yīng)方式，包括發(fā)送郵件、安全中心顯示、日志數(shù)據(jù)庫記錄、打印機輸出、運行用戶自定義命令、TCPKiller等方式及時報警響應(yīng)。

5．4．3高可靠的自身安全性

系統(tǒng)需具有安全、可靠、高效的硬件運行平臺；采用強加密的S SL加密傳輸告警日志與控制命令，避免可能存在的嗅探行為，保證數(shù)據(jù)傳輸?shù)陌踩?。典型部署及效?/p>

通過在單位內(nèi)網(wǎng)核心交換機上旁路部署安全審計系統(tǒng)網(wǎng)絡(luò)引擎，實時審計所有用戶對數(shù)據(jù)庫服務(wù)器的操作。在單位的網(wǎng)絡(luò)管理區(qū)部署1臺服務(wù)器作為安全審計系統(tǒng)的安全中心，管理安全審計系統(tǒng)網(wǎng)絡(luò)引擎，并具有系統(tǒng)監(jiān)控和審計日志管理功能。

通過部署安全審計系統(tǒng)將幫助單位實現(xiàn)：

實時監(jiān)控數(shù)據(jù)庫各種賬戶(如超級管理員、臨時賬戶等)的數(shù)據(jù)庫操作行為，準(zhǔn)確發(fā)現(xiàn)各種非法、違規(guī)操作，并及時告警響應(yīng)處理，降低數(shù)據(jù)庫安全風(fēng)險，保護(hù)單位數(shù)據(jù)庫資產(chǎn)安全；全面記錄還原數(shù)據(jù)庫操作信息，提供豐富的審計信息查詢方式和報表，方便安全事件定位分析，事后追查取證。

因此，通過在單位網(wǎng)絡(luò)中部署安全審計系統(tǒng)，可有效監(jiān)控數(shù)據(jù)庫訪問行為，準(zhǔn)確掌握數(shù)據(jù)庫系統(tǒng)的安全狀態(tài)，及時發(fā)現(xiàn)違反數(shù)據(jù)庫安全策略的事件并實時告警、記錄，保障單位數(shù)據(jù)庫安全。