淺析數(shù)據(jù)庫(kù)審計(jì)在企業(yè)中的合理應(yīng)用

摘 要：目前，絕大多數(shù)企業(yè)的信息系統(tǒng)都只是采取了一些比較簡(jiǎn)單的安全防護(hù)措施來(lái)保護(hù)數(shù)據(jù)庫(kù)信息的安全性，對(duì)于一些網(wǎng)絡(luò)病毒、電腦黑客來(lái)說(shuō)這些防護(hù)很容易就會(huì)被攻破。然而我們要確定數(shù)據(jù)的安全性，應(yīng)當(dāng)在發(fā)生攻擊后，我們要了解系統(tǒng)是怎樣遭到攻擊的，更要有回復(fù)數(shù)據(jù)的能力；另外要了解我們的信息系統(tǒng)存在的漏洞在哪里；怎么能夠使系統(tǒng)受到攻擊就有所回應(yīng)，并將攻擊者的信息保存下來(lái)等。數(shù)據(jù)庫(kù)安全審計(jì)技術(shù)就是在這樣的需求下被提出的。本文首先闡述了數(shù)據(jù)庫(kù)存在的風(fēng)險(xiǎn)，然后提出企業(yè)對(duì)合規(guī)性的要求，提出針對(duì)數(shù)據(jù)庫(kù)的防護(hù)手段。

關(guān)鍵詞：數(shù)據(jù)庫(kù)安全；數(shù)據(jù)庫(kù)安全審計(jì)技術(shù)；安全防護(hù)措施

中圖分類(lèi)號(hào)：TP311.13

目前，絕大多數(shù)行業(yè)的用戶業(yè)務(wù)都是建立在信息系統(tǒng)基礎(chǔ)之上。業(yè)務(wù)的信息化使企業(yè)效率提升和持續(xù)競(jìng)爭(zhēng)力，任何的事情都存在兩面性，信息系統(tǒng)在給企業(yè)帶來(lái)利益的同時(shí)，存在著企業(yè)核心信息泄露、系統(tǒng)出現(xiàn)問(wèn)題的風(fēng)險(xiǎn)，信息系統(tǒng)如若出現(xiàn)任何變故，都可能會(huì)使相關(guān)業(yè)務(wù)流程完全失效，信息系統(tǒng)給我們帶來(lái)便捷和高效的優(yōu)越性的同時(shí)也給企業(yè)外部和企業(yè)內(nèi)部人員利用信息系統(tǒng)犯罪帶來(lái)了極大的容易性和隱蔽性。

數(shù)據(jù)庫(kù)系統(tǒng)的出現(xiàn)使信息系統(tǒng)從以加工數(shù)據(jù)的程序?yàn)橹行霓D(zhuǎn)向圍繞共享的數(shù)據(jù)庫(kù)為中心，既便于數(shù)據(jù)的集中管理，又有利于應(yīng)用程序的研制和維護(hù)，提高了數(shù)據(jù)的利用率和相容率，提高了決策的可靠性。數(shù)據(jù)庫(kù)系統(tǒng)更應(yīng)該作為信息系統(tǒng)安全性中最重要的重點(diǎn)予以保護(hù)。數(shù)據(jù)庫(kù)系統(tǒng)承載著企業(yè)單位、企業(yè)部門(mén)的各種人員信息、業(yè)務(wù)信息等數(shù)據(jù)，諸如業(yè)務(wù)報(bào)表數(shù)據(jù)、員工信息數(shù)據(jù)、銷(xiāo)售產(chǎn)品數(shù)據(jù)、產(chǎn)品類(lèi)型數(shù)據(jù)等等，這些數(shù)據(jù)企業(yè)的核心數(shù)據(jù)，我們?cè)谛畔r(shí)代最主要的就是要確保這些重要信息的完整性、真實(shí)性和安全性。

信息安全管理體系ISMS明確的組織體系，是安全管理的一個(gè)重要組成部分的基本安全措施。內(nèi)部的組織管理，職責(zé)分離是有效地減少意外或故意非法訪問(wèn)、誤用和濫用的有效方法，但極少數(shù)的企業(yè)現(xiàn)實(shí)真正分離。信息化建設(shè)衍生的計(jì)算機(jī)操作員、數(shù)據(jù)錄入員、應(yīng)用程序員、系統(tǒng)程序員、系統(tǒng)分析員、安全管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員等崗位的不斷發(fā)展，但企業(yè)的行列信息化建設(shè)和擴(kuò)張計(jì)劃都難以涵蓋所有的位置，企業(yè)信息員身兼數(shù)職也司空見(jiàn)慣。

為了避免沒(méi)有完全實(shí)現(xiàn)職責(zé)分離的企業(yè)信息系統(tǒng)帶來(lái)的潛在風(fēng)險(xiǎn)，信息審計(jì)作為補(bǔ)償責(zé)任分工已成為一個(gè)重要的基本措施，提高內(nèi)部控制和數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)大大降低了現(xiàn)有的企業(yè)信息風(fēng)險(xiǎn)。

1 數(shù)據(jù)庫(kù)存在的風(fēng)險(xiǎn)

企業(yè)最具有價(jià)值、最具有重要、最具有核心，同時(shí)也是最敏感的信息資源庫(kù)存——數(shù)據(jù)庫(kù)，很容易受到攻擊者利用Web應(yīng)用程序?qū)崿F(xiàn)用更直接地訪問(wèn)違規(guī)操作外部攻擊和內(nèi)部員工，從而直接或間接地導(dǎo)致了企業(yè)的核心業(yè)務(wù)、客戶資料、財(cái)務(wù)報(bào)表、人事檔案、以及生產(chǎn)數(shù)據(jù)等有安全性有一定風(fēng)險(xiǎn)的。因此，對(duì)于操作風(fēng)險(xiǎn)和數(shù)據(jù)安全管理已經(jīng)引起了政府、行業(yè)和企業(yè)高層管理人員的重視。

在安全性方面的風(fēng)險(xiǎn)管理，與企業(yè)和政府信息化建設(shè)的不斷發(fā)展提示信息價(jià)值不斷提升。隨著業(yè)務(wù)與IT不斷融合和數(shù)據(jù)共享擴(kuò)展的需求，數(shù)據(jù)庫(kù)安全面臨著管理、技術(shù)、以及審計(jì)風(fēng)險(xiǎn)的許多方面。在考慮這些風(fēng)險(xiǎn)，企業(yè)需要一個(gè)數(shù)據(jù)可以刪除漏洞、定位、確認(rèn)用戶訪問(wèn)，監(jiān)控、安全數(shù)據(jù)庫(kù)活動(dòng)的策略，而且還可以減少在數(shù)據(jù)庫(kù)級(jí)別的風(fēng)險(xiǎn)。

2 企業(yè)合規(guī)性需求

在中國(guó)，由于治理機(jī)構(gòu)清晰和到位，作為企業(yè)管理的基礎(chǔ)提升公司治理已成為一個(gè)現(xiàn)實(shí)問(wèn)題。在推進(jìn)企業(yè)管理、建立規(guī)范、高效的現(xiàn)代企業(yè)制度，使規(guī)范各個(gè)環(huán)節(jié)的企業(yè)經(jīng)營(yíng)處于受控狀態(tài)，實(shí)現(xiàn)“透明、控制和效率”，從而實(shí)現(xiàn)中國(guó)國(guó)有企業(yè)改革和上市公司所期望的方向發(fā)展。

金融、證券及期貨事務(wù)監(jiān)察委員會(huì)、審計(jì)署、中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)、保險(xiǎn)監(jiān)督管理委員會(huì)頒發(fā)五部委“企業(yè)內(nèi)部控制基本規(guī)范”等要求，以保證信息系統(tǒng)的審計(jì)工作，以確保信息系統(tǒng)的安全性控制、權(quán)限設(shè)置、可審計(jì)性、完整性、連貫性、正確性和及時(shí)性等。

信息系統(tǒng)中的網(wǎng)絡(luò)操作及業(yè)務(wù)系統(tǒng)操作通過(guò)數(shù)據(jù)庫(kù)審計(jì)實(shí)現(xiàn)審計(jì)記錄，便于及時(shí)發(fā)現(xiàn)違規(guī)操作及可疑行為，及時(shí)采取相應(yīng)的措施。通過(guò)數(shù)據(jù)庫(kù)安全審計(jì)，能夠?qū)Πl(fā)生的安全事件及時(shí)響應(yīng)，不斷跟蹤網(wǎng)絡(luò)操作和安全事件的變化，準(zhǔn)確了解信息系統(tǒng)的安全狀況，并根據(jù)依據(jù)變化進(jìn)行調(diào)整，確保保護(hù)重要業(yè)務(wù)數(shù)據(jù)的安全，滿足企事業(yè)單位的安全要求。

3 數(shù)據(jù)庫(kù)自身日志審計(jì)的缺陷及危害

數(shù)據(jù)庫(kù)服務(wù)器一般都具有自身的日志審計(jì)功能，可以分為多種類(lèi)型，如：SQL語(yǔ)句跟蹤，連接審計(jì)，C2審計(jì)等，可以把修改配置項(xiàng)設(shè)置為啟動(dòng)或關(guān)閉的狀態(tài)，但是日志審計(jì)功能存在以下自身缺陷和危害：

（1）非智能設(shè)計(jì)：日志審計(jì)功能只是簡(jiǎn)單的日志記錄，而不能靈活的配置，也不能幫助管理人員及時(shí)發(fā)現(xiàn)相關(guān)問(wèn)題，進(jìn)行快速定位問(wèn)題。

（2）無(wú)法監(jiān)測(cè)報(bào)警：數(shù)據(jù)庫(kù)自身的日志審計(jì)，沒(méi)有并監(jiān)測(cè)報(bào)警的功能，故無(wú)法第一時(shí)間將異常信息報(bào)告給數(shù)據(jù)庫(kù)管理者，只用于問(wèn)題查證。

（3）刪除日志記錄：日志審計(jì)的記錄會(huì)存放在一個(gè)指定的文件或一個(gè)表內(nèi)，所以如果是故意攻擊者或著擁有相應(yīng)權(quán)限的用戶有權(quán)利刪除日志文件，從而將記錄消除。

（4）影響數(shù)據(jù)庫(kù)服務(wù)器的資源和性能：設(shè)置開(kāi)啟的日志審計(jì)功能，出現(xiàn)日志無(wú)法寫(xiě)入的情況時(shí)，數(shù)據(jù)庫(kù)就會(huì)停止；有一部分日志審計(jì)功能運(yùn)行的同時(shí)會(huì)記錄大量信息占用大量的硬盤(pán)空間，最終導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)的性能大大，甚至影響數(shù)據(jù)庫(kù)服務(wù)的正常運(yùn)作。

4 針對(duì)數(shù)據(jù)庫(kù)的防護(hù)

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是集動(dòng)態(tài)基線保護(hù)技術(shù)、訪問(wèn)與反饋結(jié)果的雙向?qū)徲?jì)技術(shù)、主流數(shù)據(jù)庫(kù)與國(guó)產(chǎn)數(shù)據(jù)庫(kù)的專用協(xié)議解析分析技術(shù)、非法操作阻斷技術(shù)、中間件關(guān)聯(lián)審計(jì)技術(shù)、多報(bào)警響應(yīng)方式的先進(jìn)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品。

數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)主要是對(duì)數(shù)據(jù)庫(kù)服務(wù)器上的各種操作進(jìn)行旁路監(jiān)視和記錄，根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的分析，完成智能地、實(shí)時(shí)地解析對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各種操作、故意攻擊事件信息記入數(shù)據(jù)庫(kù)審計(jì)中方便以后以便對(duì)時(shí)間的查詢與分析，進(jìn)而完成操作目標(biāo)數(shù)據(jù)庫(kù)系統(tǒng)的監(jiān)控和審計(jì)效果。

提供全面的日志記錄、審核數(shù)據(jù)庫(kù)的SQL級(jí)別的操作、ftp，telnet等維護(hù)操作，恢復(fù)原來(lái)的SQL語(yǔ)句，并記錄各種相關(guān)的操作信息，如：數(shù)據(jù)庫(kù)服務(wù)器名、IP地址、MAC地址、端口號(hào)、用戶名、操作的結(jié)果、數(shù)據(jù)庫(kù)操作的日期、時(shí)間、原來(lái)的SQL語(yǔ)句。而網(wǎng)絡(luò)上的其他系統(tǒng)設(shè)備可以發(fā)送到接收syslog和SNMP日志信息和查詢，可以迅速幫助客戶了解網(wǎng)絡(luò)的運(yùn)行狀況給其它設(shè)備。

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)提供雙向?qū)徲?jì)功能。雙向?qū)徲?jì)是對(duì)數(shù)據(jù)庫(kù)客戶端的訪問(wèn)行為，以及數(shù)據(jù)庫(kù)的返回結(jié)果同時(shí)審計(jì)。相比單向?qū)徲?jì)，雙向?qū)徲?jì)功能更加全面，注重?cái)?shù)據(jù)庫(kù)返回結(jié)果的審計(jì)。

5 結(jié)束語(yǔ)

建立煙草企業(yè)數(shù)據(jù)庫(kù)審計(jì)體系是一個(gè)動(dòng)態(tài)的過(guò)程，要根據(jù)系統(tǒng)構(gòu)件和應(yīng)用的變化而循環(huán)遞進(jìn)的使用上述方法，完善系統(tǒng)安全，降低企業(yè)風(fēng)險(xiǎn)水平。

數(shù)據(jù)庫(kù)是許多應(yīng)用的核心，人們?cè)诤茉绲臅r(shí)候就廣泛重視它的安全性。數(shù)據(jù)庫(kù)安全審計(jì)技術(shù)是數(shù)據(jù)庫(kù)安全防護(hù)的重要手段之一，在國(guó)外數(shù)據(jù)庫(kù)安全審計(jì)技術(shù)方面具有相當(dāng)完整的產(chǎn)品，對(duì)于國(guó)內(nèi)來(lái)說(shuō)數(shù)據(jù)庫(kù)安全審計(jì)技術(shù)處于起步階段，相關(guān)技術(shù)人員在不斷的研究探索，也具有初步的也就成果。由于相關(guān)的論文文獻(xiàn)相當(dāng)少，也沒(méi)有針對(duì)數(shù)據(jù)庫(kù)安全審計(jì)技術(shù)進(jìn)行過(guò)深入研究，對(duì)于這方面知識(shí)的匱乏，使我們更有必要對(duì)數(shù)據(jù)庫(kù)安全審計(jì)技術(shù)進(jìn)行深入的開(kāi)發(fā)與研究，從而為數(shù)據(jù)庫(kù)安全性提供保障，降低企事業(yè)的風(fēng)險(xiǎn)性。

參考文獻(xiàn)：

[1]沈輝，張龍.基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測(cè)及分析[J].計(jì)算機(jī)科學(xué)，2012（S2）.

[2]馬俊，高建瓴，孫斌.WinPcap網(wǎng)絡(luò)艙聽(tīng)技術(shù)的研究與改進(jìn) 2007通信理論與技術(shù)新發(fā)展[A].第十二屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集（下冊(cè)）[C].北京郵電大學(xué)通信網(wǎng)絡(luò)綜合技術(shù)研究所，2007.

作者單位：河南中煙工業(yè)有限責(zé)任公司漯河卷煙廠，河南漯河 462000