|
以下的文章主要向大家講述的是安恒信息專家解析數(shù)據(jù)庫安全審計�,大學(xué)數(shù)據(jù)庫教科書中���,數(shù)據(jù)庫的概念就是這樣的被解釋的:數(shù)據(jù)庫作為計算機應(yīng)用系統(tǒng)中的一種專門管理數(shù)據(jù)庫資源的系統(tǒng)。
數(shù)據(jù)庫安全現(xiàn)狀
大學(xué)數(shù)據(jù)庫原理教科書中����,數(shù)據(jù)庫是這樣被解釋的:數(shù)據(jù)庫是計算機應(yīng)用系統(tǒng)中的一種專門管理數(shù)據(jù)庫資源的系統(tǒng)。數(shù)據(jù)具有多種形式��,如文字/數(shù)碼 /符號/圖形/圖象以及聲音����。數(shù)據(jù)庫系統(tǒng)立足于數(shù)據(jù)本身的管理,將所有的數(shù)據(jù)保存于數(shù)據(jù)庫中��,進(jìn)行科學(xué)地組織���,借助于數(shù)據(jù)庫管理系統(tǒng)�,并以此為中介,與各種應(yīng)用程序或應(yīng)用系統(tǒng)接口�,使之能方便地使用并管理數(shù)據(jù)庫中的數(shù)據(jù),如數(shù)據(jù)查詢/添加/刪除/修改等�。
數(shù)據(jù)庫無所不在。海量的數(shù)據(jù)信息因為數(shù)據(jù)庫的產(chǎn)生而變得更加容易管理和使用�。政府��、金融����、運營商、公安��、能源�����、稅務(wù)����、工商、社保�、交通、衛(wèi)生�、教育、電子商務(wù)及企業(yè)等行業(yè),紛紛建立起各自的數(shù)據(jù)庫應(yīng)用系統(tǒng)��,以便隨時對數(shù)據(jù)庫中海量的數(shù)據(jù)進(jìn)行管理和使用��,國家/社會的發(fā)展帶入信息時代��。同時�����,隨著互聯(lián)網(wǎng)的發(fā)展�,數(shù)據(jù)庫作為網(wǎng)絡(luò)的重要應(yīng)用,在網(wǎng)站建設(shè)和網(wǎng)絡(luò)營銷中發(fā)揮著重要的作用����,包括信息收集/信息查詢及搜索/產(chǎn)品或業(yè)務(wù)管理/新聞發(fā)布/BBS論壇等等。
然而��,信息技術(shù)是一把雙刃劍��,為社會的進(jìn)步和發(fā)展帶來遍歷的同時��,也帶來了許多的安全隱患��。對數(shù)據(jù)庫而言�����,其存在的安全隱患存在更加難以估計的風(fēng)險值,數(shù)據(jù)庫安全事件曾出不窮:
某系統(tǒng)開發(fā)工程師通過互聯(lián)網(wǎng)入侵移動中心數(shù)據(jù)庫����,盜取沖值卡
某醫(yī)院數(shù)據(jù)庫系統(tǒng)遭到非法入侵,導(dǎo)致上萬名患者私隱信息被盜取
某網(wǎng)游公司內(nèi)部數(shù)據(jù)庫管理人員通過違規(guī)修改數(shù)據(jù)庫數(shù)據(jù)盜竊網(wǎng)游點卡
黑客利用SQL注入攻擊�,入侵某防病毒軟件數(shù)據(jù)庫中心,竊取大量機密信息����,導(dǎo)致該防病毒軟件公司嚴(yán)重?fù)p失
某證券交易所內(nèi)部數(shù)據(jù)庫造黑客股民入侵�����,盜竊證券交易內(nèi)部報告
……
數(shù)據(jù)庫安全面臨內(nèi)部惡意操作以及外部惡意入侵兩大夾擊�����。如何有效保護(hù)數(shù)據(jù)庫信息成為當(dāng)前信息安全界最為關(guān)注的課題����。
三大安全風(fēng)險
數(shù)據(jù)庫是任何商業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn),通常都保存著重要的商業(yè)伙伴和客戶信息��,這些信息需要被保護(hù)起來,以防止競爭者和其他非法者獲取�。互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)數(shù)據(jù)庫信息的價值及可訪問性得到了提升��,同時�,也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn),概括起來主要表現(xiàn)在以下三個層面:
管理層面:主要表現(xiàn)為人員的職責(zé)�����、流程有待完善���,內(nèi)部員工的日常操作有待規(guī)范����,第三方維護(hù)人員的操作監(jiān)控失效等等�,致使安全事件發(fā)生時,無法追溯并定位真實的操作者����。
技術(shù)層面:現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明,無法通過外部的任何安全工具(比如:防火墻�、IDS、IPS等)來阻止內(nèi)部用戶的惡意操作�����、濫用資源和泄露企業(yè)機密信息等行為。
審計層面:現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計方法����,存在諸多的弊端,比如:數(shù)據(jù)庫審計功能的開啟會影響數(shù)據(jù)庫本身的性能、數(shù)據(jù)庫日志文件本身存在被篡改的風(fēng)險�����,難于體現(xiàn)審計信息的真實性����。
伴隨著數(shù)據(jù)庫信息價值以及可訪問性提升�����,使得數(shù)據(jù)庫面對來自內(nèi)部和外部的安全風(fēng)險大大增加�����,如違規(guī)越權(quán)操作����、惡意入侵導(dǎo)致機密信息竊取泄漏����,但事后卻無法有效追溯和審計����。
三大安全風(fēng)險
傳統(tǒng)的審計方案,或多或少存在一些缺陷��,主要表現(xiàn)在以下兩個方面��。
傳統(tǒng)網(wǎng)絡(luò)安全方案:依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護(hù)系統(tǒng)(IPS)����,在網(wǎng)絡(luò)中檢查并實施數(shù)據(jù)庫訪問控制策略。但 是網(wǎng)絡(luò)防火墻只能實現(xiàn)對IP地址��、端口及協(xié)議的訪問控制�����,無法識別特定用戶的具體數(shù)據(jù)庫活動(比如:某個用戶使用數(shù)據(jù)庫客戶端刪除某張數(shù)據(jù)庫表);而 IPS雖然可以依賴特征庫有限阻止數(shù)據(jù)庫軟件已知漏洞的攻擊�,但他同樣無法判別具體的數(shù)據(jù)庫用戶活動,更談不上細(xì)粒度的審計���。因此���,無論是防火墻�����,還是 IPS都不能解決數(shù)據(jù)庫特權(quán)濫用等問題�����。
基于日志收集方案:需要數(shù)據(jù)庫軟件本身開啟審計功能�,通過采集數(shù)據(jù)庫系統(tǒng)日志信息的方法形成審計報告�����,這樣的審計方案受限于數(shù)據(jù)庫的審計日志功能和訪問控制功能�����,在審計深度�����、審計響應(yīng)的實時性方面都難以獲得很好的審計效果�����。同時���,開啟數(shù)據(jù)庫審計功能�����,一方面會增加數(shù)據(jù)庫服務(wù)器的資源消耗��,嚴(yán)重影響數(shù)據(jù)庫性能;另一方面審計信息的真實性����、完整性也無法保證��。
其他諸如應(yīng)用程序修改��、數(shù)據(jù)源觸發(fā)器��、統(tǒng)一認(rèn)證系統(tǒng)授權(quán)等等方式��,均只能記錄有限的信息���,更加無法提供細(xì)料度的數(shù)據(jù)庫操作審計�����。
數(shù)據(jù)庫審計
數(shù)據(jù)庫審計概念
審計�����,英文稱之為“audit”�,檢查、驗證目標(biāo)的準(zhǔn)確性和完整性���,用以防止虛假數(shù)據(jù)和欺騙行為����,以及是否符合既定的標(biāo)準(zhǔn)�、標(biāo)竿和其它審計原則。
審計概念最早用于財務(wù)系統(tǒng)�,主要是獲取金融體系和金融記錄的公司或企業(yè)的財務(wù)報表的相關(guān)信息。隨著科技信息技術(shù)的發(fā)展����,大部份的企業(yè)、機構(gòu)和組織的財務(wù)系統(tǒng)都運行在信息系統(tǒng)上面���,所以信息手段成為財務(wù)審計的一種技術(shù)的同時,財務(wù)審計也帶動了通用信息系統(tǒng)的審計�。審計已開始包括信息技術(shù)審計�����。
信息技術(shù)審計��,是一個信息技術(shù)( IT )基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查�。信息系統(tǒng)審計是一個通過收集和評價審計證據(jù)��,對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全�����、維護(hù)數(shù)據(jù)的完整����、使被審計單位的目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程�����。
數(shù)據(jù)庫審計作為信息安全審計的重要組成部分�����,同時也是數(shù)據(jù)庫管理系統(tǒng)安全性重要的一部分。通過審計功能��,凡是與數(shù)據(jù)庫安全性相關(guān)的操作均可被記錄下來��。只要檢測審計記錄�����,系統(tǒng)安全員便可掌握數(shù)據(jù)庫被使用狀況�����。例如��,檢查庫中實體的存取模式����,監(jiān)測指定用戶的行為。審計系統(tǒng)可以跟蹤用戶的全部操作�����,這也使審計系統(tǒng)具有一種威懾力����,提醒用戶安全使用數(shù)據(jù)庫�����。
數(shù)據(jù)庫審計立法
《薩班斯-奧克斯利法案(2002 Sarbanes-Oxley Act)》的第302條款和第404條款中,強調(diào)通過內(nèi)部控制加強公司治理�,包括加強與財務(wù)報表相關(guān)的IT系統(tǒng)內(nèi)部控制,其中�,IT系統(tǒng)內(nèi)部控制就是面向具體的業(yè)務(wù),它是緊密圍繞信息安全審計這一核心的����。
《企業(yè)內(nèi)部控制規(guī)范--基本規(guī)范的內(nèi)部審計機制》,中國的薩班斯法案�����,提出健全內(nèi)部審計機構(gòu)����、加強內(nèi)部審計監(jiān)督是營造守法、公平�、正直的內(nèi)部環(huán)境的重要保證。企業(yè)應(yīng)當(dāng)加強內(nèi)部審計工作�����,在企業(yè)內(nèi)部形成有權(quán)必有責(zé)、用權(quán)受監(jiān)督的良好氛圍���。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
