当前数据库安全现状及其安全审计
当前数据库安全现状及其安全审计
大学数据库原理教科书中,数据库是这样被解释的:数据库是计算机应用系统中的一种专门管理数据库资源的系统。数据具有多种形式,如文字/数码/符号/图形/图象以及声音。
数据库安全现状
数据库系统立足于数据本身的管理,将所有的数据保存于数据库中,进行科学地组织,借助于数据库管理系统,并以此为中介,与各种应用程序或应用系统接口,使之能方便地使用并管理数据库中的数据,如数据查询/添加/删除/修改等。
数据库无所不在。海量的数据信息因为数据库的产生而变得更加容易管理和使用。政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业等行业,纷纷建立起各自的数据库应用系统,以便随时对数据库中海量的数据进行管理和使用,国家/社会的发展带入信息时代。同时,随着互联网的发展,数据库作为网络的重要应用,在网站建设和网络营销中发挥着重要的作用,包括信息收集/信息查询及搜索/产品或业务管理/新闻发布/BBS论坛等等。
然而,信息技术是一把双刃剑,为社会的进步和发展带来遍历的同时,也带来了许多的安全隐患。对数据库而言,其存在的安全隐患存在更加难以估计的风险值,数据库安全事件曾出不穷:
某系统开发工程师通过互联网入侵移动中心数据库,盗取冲值卡
某医院数据库系统遭到非法入侵,导致上万名患者私隐信息被盗取
某网游公司内部数据库管理人员通过违规修改数据库数据盗窃网游点卡
黑客利用SQL注入攻击,入侵某防病毒软件数据库中心,窃取大量机密信息,导致该防病毒软件公司严重损失
某证券交易所内部数据库造黑客股民入侵,盗窃证券交易内部报告
……
数据库安全面临内部恶意操作以及外部恶意入侵两大夹击。如何有效保护数据库信息成为当前信息安全界最为关注的课题。
数据库安全分析
三大安全风险
数据库是任何商业和公共安全中最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战,概括起来主要表现在以下三个层面:
管理层面:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。
技术层面:现有的数据库内部操作不明,无法通过外部的任何安全工具(比如:防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。
审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的真实性。
伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意入侵导致机密信息窃取泄漏,但事后却无法有效追溯和审计。
传统数据库安全方案缺陷
传统的审计方案,或多或少存在一些缺陷,主要表现在以下两个方面。
传统网络安全方案:依靠传统的网络防火墙及入侵保护系统(IPS),在网络中检查并实施数据库访问控制策略。但是网络防火墙只能实现对IP地址、端口及协议的访问控制,无法识别特定用户的具体数据库活动(比如:某个用户使用数据库客户端删除某张数据库表);
而 IPS虽然可以依赖特征库有限阻止数据库软件已知漏洞的攻击,但他同样无法判别具体的数据库用户活动,更谈不上细粒度的审计。因此,无论是防火墙,还是 IPS都不能解决数据库特权滥用等问题。
基于日志收集方案:需要数据库软件本身开启审计功能,通过采集数据库系统日志信息的方法形成审计报告,这样的审计方案受限于数据库的审计日志功能和访问控制功能,在审计深度、审计响应的实时性方面都难以获得很好的审计效果。
同时,开启数据库审计功能,一方面会增加数据库服务器的资源消耗,严重影响数据库性能;另一方面审计信息的真实性、完整性也无法保证。
其他诸如应用程序修改、数据源触发器、统一认证系统授权等等方式,均只能记录有限的信息,更加无法提供细料度的数据库操作审计。
数据库审计
数据库审计概念
审计,英文称之为“audit”,检查、验证目标的准确性和完整性,用以防止虚假数据和欺骗行为,以及是否符合既定的标准、标竿和其它审计原则。
审计概念最早用于财务系统,主要是获取金融体系和金融记录的公司或企业的财务报表的相关信息。随着科技信息技术的发展,大部份的企业、机构和组织的财务系统都运行在信息系统上面,所以信息手段成为财务审计的一种技术的同时,财务审计也带动了通用信息系统的审计。审计已开始包括信息技术审计。
信息技术审计,是一个信息技术( IT )基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。
数据库审计作为信息安全审计的重要组成部分,同时也是数据库管理系统安全性重要的一部分。通过审计功能,凡是与数据库安全性相关的操作均可被记录下来。只要检测审计记录,系统安全员便可掌握数据库被使用状况。
例如,检查库中实体的存取模式,监测指定用户的行为。审计系统可以跟踪用户的全部操作,这也使审计系统具有一种威慑力,提醒用户安全使用数据库。
数据库审计立法
《萨班斯-奥克斯利法案(2002 Sarbanes-Oxley Act)》的第302条款和第404条款中,强调通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,其中,IT 系统内部控制就是面向具体的业务,它是紧密围绕信息安全审计这一核心的。
《企业内部控制规范--基本规范的内部审计机制》,中国的萨班斯法案,提出健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。企业应当加强内部审计工作,在企业内部形成有权必有责、用权受监督的良好氛围。
ISO7498《信息处理系统开放系统互连——基本参考模型》第二部分安全体系结构在“安全服务与安全机制的一般描述”中指出安全审计跟踪提供了一种不可忽视的安全机制,它的潜在价值在于经事后的安全审计得以检测和调查安全的漏洞。
安全审计就是对系统的记录与行为进行独立的品评考查, 目的是测试系统的控制是否恰当, 保证与既定策略和操作堆积的协调一致, 有助于作出损害评估, 以及对在控制、策略与规程中指明的改变作出评价.安全审计要求在安全审计跟踪中记录有关安全的信息,
分析和报告从安全审计跟踪中得来的信息。这种日志记录或记录被认为是一种安全机制并在本条中予以描述, 而把分析和报告视为一种安全管理功能。
《计算机信息系统安全等级保护数据库管理技术要求》是计算机信息系统安全等级保护技术要求系列标准之一,详细说明了计算机信息系统为实现GB17859所提出的安全等级保护要求对数据库管理系统的安全技术要求,以及确保这些安全技术所实现的安全功能达到其应有的安全性而采取的保证措施。
其在“数据库安全审计”中明确要求:数据库管理系统的安全审计应建立独立的安全审计系统;定义与数据库安全相关的审计事件;设置专门的安全审计员;设置专门用于存储
数据库系统审计数据的安全审计库;提供适用于数据库系统的安全审计设置、分析和查阅的工具。
明御数据库审计与风险控制系统
明御数据库审计与风险控制系统是杭州安恒信息技术有限公司结合多年数据库安全的理论和实践经验积累的基础上,结合各类法令法规对数据库审计的要求,自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库审计产品。
以独立硬件审计的工作模式,灵活的审计策略配置,解决企业核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁,满足各类法令法规对数据库审计的要求,广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业”等所有使用数据库的各个行业。
支持Oracle、MS-SQL Server、DB2、Sybase、Informix等业界主流数据库,提升数据库运行监控的透明度,降低人工审计成本,真正实现数据库运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。
主要功能
明御数据库审计与风险控制系统主要的功能模块包括“静态审计、实时监控与风险控制、动态审计(全方位、细粒度)、审计报表、安全事件回放、综合管理”。
数据库静态审计代替繁琐的手工检查,预防安全事件的发生。明御TM数据库审计与风险控制系统依托其权威性的数据库安全规则库,自动完成对几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等等静态审计,通过静态审计,可以为后续的动态防护与审计的安全策略设置提供有力的依据。
实时监控与风险控制:明御数据库审计与风险控制系统可保护业界主流的数据库系统,防止受到特权滥用、已知漏洞攻击、人为失误等等的侵害。当用户与数据库进行交互时,可自动根据预设置的风险控制策略,结合对数据库活动的实时监控信息,进行特征检测及审计规则检测,任何尝试的攻击或违反审计规则的操作都会被检测到并实时阻断或告警。
数据库动态审计:明御数据库审计与风险控制系统基于“数据捕获→应用层数据分析→监控、审计和响应”的模式提供各项安全功能,使得它的审计功能大大优于基于日志收集的审计系统,通过收集一系列极其丰富的审计数据,结合细粒度的审计规则、以满足对敏感信息的特殊保护需求。
数据库动态审计可以彻底摆脱数据库的黑匣子状态,提供4W(who/when/where/what)审计数据。通过实时监测并智能地分析、还原各种数据库操作,解析数据库的登录、注销、插入、删除、存储过程的执行等操作,还原SQL操作语句;跟踪数据库访问过程中的所有细节,包括用户名、数据库操作类型、所访问的数据库表名、字段名、操作执行结果、数据库操作的内容取值等。
审计报表:明御数据库审计与风险控制系统内嵌功能强大的报表模块,除了按安全经验、行业需求分类的预定义固定格式报表外,管理员还可以利用报表自定义功能生成定制化的报告。报告模块同时支持Word、Excel、PowerPoint、Pdf格式的数据导出。
安全事件回放允许安全管理员提取历史数据,对过去某一时段的事件进行回放,真实展现当时的完整操作过程,便于分析和追溯系统安全问题。
综合管理:明御数据库审计与风险控制系统提供WEB-base的管理页面,数据库安全管理员在不需要安装任何客户端软件的情况下,基于标准的浏览器即可完成对
DAS-DBAuditor 的相关配置管理,主要包括“审计对象管理、系统管理、用户管理、功能配置、风险查询”等。
审计特点
独立审计模式:作为一个网络安全设备,明御数据库审计与风险控制系统审计数据通过网络完全独立地采集,这使得数据库维护或开发小组,安全审计小组的工作进行适当的分离。审计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于
DAS-DBAuditor自带的存储空间中,避免了数据库特权用户或恶意入侵数据库服务器用户,干扰审计信息的公正性。
灵活的动态审计规则:明御数据库审计与风险控制系统使用审计引擎对所有的数据库活动、数据库服务器远程操作进行实时的、动态的审计。
全方位、细粒度审计分析:实时监控来自各个层面的所有数据库活动,包括SQL操作、ftp操作、telnet操作;提供对潜在危险活动(如:DDL类操作、DML类操作)的重要审计优化视图;精细到表、字段、记录内容的细粒度审计策略,实现对敏感信息的精细监控。
零风险部署:明御数据库审计与风险控制系统可在不改变现有的网络体系结构(包括:路由器、防火墙、应用层负载均衡设备、应用服务器等)的情况下快速部署。
完备的自身安全:
物理保护:关键部件采用冗余配置(如:冗余电源、内置硬盘RAID等)。
掉电保护:设备掉电(如电源被不慎碰掉)时,网络流量将会直接贯通。
系统故障保护:内置监测模块准实时地监测设备自身的健康状况。
不间断的管理保护:在进行策略配置情况下,能保持网络的连接和保护。
不丢包:基于硬件加速的接口卡,在高速环境下实现100%数据包捕获。
冗余部署:在具备冗余体系结构的环境中,支持Active-Active或Active-Standby 部署配置。
5-企业案例-网络安全审计系统(数据库审计)解决方案
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
审计工作开展情况总结
XX公司上半年审计工作情况总结 2012年上半年,在集团公司审计部的正确领导下,XX公司认真贯彻落实上级审计工作会议精神,严格按照《XXXX绩效考核管理办法》要求,积极协助配合各级审计部门和会计事务所开展审计业务工作,为维护财经纪律,促进廉政建设,保障公司健康发展等方面,发挥了积极作用。本着实事求是的精神、客观分析的态度,现对公司上半年审计工作总结如下: 一、基础建设工作开展情况 上半年,XX公司认真落实集团公司审计部的指示精神,结合我公司的实际,在做好审计工作的同时,积极配合其他各项工作的开展。坚持“完善自我、提高认识”的原则,努力完善审计制度,健全审计机构,配备审计人员。 1、参与制定公司内部控制制度的建立和完善,使我单位的管理制度更加健全和完善,规范了经济行为,使审计工作进一步走向法制化、制度化和规范化。 2、进一步明确了审计工作人员的职责和权限,使内审工作的内部监督职能得到进一步的体现,可以更好的为领导提供政策依据。 3、加强审计队伍建设,专门配备兼职审计人员1名(本科),审计人员具备助理会计师资格,为我公司审计队伍增添了新活力。 二、审计业务工作开展情况 为进一步搞好内审工作,按照集团公司审计部提出的“积极稳妥、量力而行、提高质量、防范风险”原则,稳步推进审计工作深入开展。
1、开展决算审计2项,通过对2011年度XX公司的财务预决算和工会经费决算情况进行审计,提出了相关的意见和建议,进一步规范了我公司财务预决算的编制和管理工作。 2、开展资金管理审计1项,2012年4月份,积极配合XX股份公司财务部对我公司资金管理情况进行季度检查,审计结果表明XX公司在库存现金保管、货币资金收支核算,日记账登记、票据管理、财务印鉴和网银密钥的管理上基本符合会计制度的相关规定,货币资金管理的相关制度及资金部门安全防范设施的配备也比较健全。多年来,XX公司财务工作严格依照国家财经纪律和公司财务管理制度开展工作,无重大差错及处罚情况发生。 3、开展对低值易耗品的审计工作,召开了低值易耗品工作会议,此会邀请纪检、财务等人员参加,会后完善了XXXXX的制度,建立了《XXXXX购买管理办法》及xxxxx台账,加强了程序监督。 4、积极开展对外联系,经常性的和集团公司审计部以及外部审计单位彼此相互学习、相互交流。 三、全面预算工作开展情况 今年是我公司开展全面预算管理的第X年,结合集团公司下达的任务和考核指标,我公司制定了完整的全面预算管理体系,全面落实了集团公司对全面预算管理的要求,完善了预算管理的流程框架,进一步加强了预算管理编制工作和预算执行分析与控制。认真执行预算执行分析报告制度,保证预算管理工作的时效性、严谨性。在工作中努力推动全面预算管理与管理型财务相结合,努力把管理、控
数据库安全审计解决方案
一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题,企业常常要面对一下问题: 数据库被恶意访问、攻击甚至数据偷窃,而企业无法及时发现、追踪并阻截这些恶意的行为。 数据库遭受恶意访问、攻击后,不能追踪到足够的证据。 不了解数据使用者对数据库访问的细节,从而无法保证数据安全,特别是敏感数据的管理。 来自内部的威胁:特权用户随意修改配置、改变或盗取数据,没有明确职责分工。 针对数据库、应用系统日志的审计只能做事后分析,周期长,且无法进行持续性审计。 审计缺乏规范性,无法有效成为公司的安全管理规范且满足外部审计需求。 人工审计面对海量数据,无法满足可见性,造成审计不完整。 权责未完全区分开,导致审计效果问题。 二、企业数据管理综合解决方案 提供的一组集成模块,使用一个统一的控制台和后端数据存储,管理整个数据库的安全与合规周期。通过,现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库,又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越,而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零,无需对数据库作任何变更,甚至不依赖本地数据库日志或审计工具。 三、通过管理数据安全 发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置,然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策
略。 评估加固漏洞、配置和行为评估,锁定与追踪 的数据库安全评估功能会扫描整个数据库架构,查找漏洞,并使用实时和历史数据提供持续的数据库安全状态评估。它预先配置了一个综合测试库,建立在特定平台漏洞和业界最佳实践案例的基础之上,可以通过的订阅服务得到定期更新。也可以自定义测试,以满足特定的要求。评估模块还会标记与合规相关的漏洞,如遵从和法规提供非法访问和数据表的行为。 监控¥执行—可视性,监控和执行各项策略,主动实时安全通过定制细粒化的实时策略来防止特权用户进行非法或可疑的行 为,同时抵挡欺诈用户或外来者的攻击。 审计报表—细粒度审计追踪,合规工作流自动化 创建一个覆盖所有数据库活动的连续、详细的追踪记录,并实时的语境分析和过滤,从而实现主动控制,生成需要的具体信息。生成的结果报表使所有数据库活动详细可见。 四、数据库安全审计解决方案的突出特点和优势: .可以同时支持监控管理多种数据库()的各种版本; .同时支持多种企业级应用()、应用服务器中间件服务器();.非入侵式部署,不影响网络、数据库服务器现有运行方式及状况,对用户、网络、服务器透明,不在数据库内安装,不需要数据库建立用户;.具有实时阻断非法访问,抵御攻击能力; .可以实现从用户、应用服务器到数据库的全程跟踪即可记录; .可以实现全方位准确监控(来自网络的访问和本地登录访问); .具备分布式部署和分层架构能力,支持企业级不同地域、多种数据库的应用; .部署容易简单; .独特跟踪下钻()功能,追查问题可以一步步到最底层; .多行业、众多客户成功应用案例的证明; .对、、等法律遵从性的良好支持; .国际著名审计公司的认同、认可; .第三方国际著名咨询评测机构的认可和赞赏; .支持多种异构操作系统; .记录的日志不可更改,完全符合法律要求;
网络安全审计系统需求分析复习过程
网络安全审计系统需 求分析
安全审计系统需求分析 关键字:行为监控,内容审计 摘要:系统集内容审计与行为监控为一体,以旁路的方式部署在网络中,实时采集网络数据,并按照指定策略对数据进行过滤,然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能,以及后期取证功能。 需求背景 按等级进行计算机信息系统安全保护的相关单位或部门,往往需要对流经部门与外界接点的数据实施内容审计与行为监控的,以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况,提高单位或部门的工作效率。 所涉及的单位类型有政府、军队机关的网络管理部门,公安、保密、司法等国家授权的网络安全监察部门,金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心,大中型企业网络管理中心等。 一、实现的效果和目的 a. 对用户的网络行为监控、网络传输内容审计(如员工是否在工作时间上网冲浪、聊天,是否访问不健康网站,是否通过网络泄漏了公司的机密信息,是否通过网络传播了反动言论等)。 b. 掌握网络使用情况(用途、流量),提高工作效率。 c. 网络传输信息的实时采集、海量存储。
d. 网络传输信息的统计分析。 e. 网络行为后期取证。 f. 对网络潜在威胁者予以威慑。 二、典型的系统组成 安全审计系统由三部分组成:审计引擎、数据中心、管理中心。 图1 :典型的单点部署 审计引擎(硬件):审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析,并把分析后的数据流发送给数据中心。 数据中心(软件):对审计引擎传送过来的数据流进行存储;按照用户的指令对数据进行还原、解码、解压缩,并可进行关键字查询审计、统计分析。 管理中心(软件):提供WEB形式的管理界面,可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用。
某区经济责任审计工作的现状及对策【可编辑版】
某区经济责任审计工作的现状及对策 某区经济责任审计工作的现状及对策 我区经济责任审计工作的现状及对策 99年5月中办国办印发了关于经济责任审计《两个暂行规定》,201X年6月又转发了中纪委等部门《关于认真贯彻落实中办发(1999)20号文件切实做好经济责任审计工作的意见》。201X年国家审计署又制发了《两个暂行规定》的《实施细则》,201X年6月1日修改后的新《审计法》第二十五条增加了对单位负责人经济责任履行情况进行审计监督的内容,使领导干部任期经济责任审计进一步得以规范化和制度化,并上升至法制化。根据中办国办两个《暂行规定》和全国审计工作会议精神,我局经济责任审计工作依据审计署提出的“积极稳妥,量力而行,提高质量,防范风险”的指导方针,在上级审计机关和区委、区政府的领导下,自1999年起全面积极的开展了区级政府所属部门领导干部及乡镇党委政府领导干部经济责任审计。 一、经济责任审计工作开展的基本情况近年来,审计机关共对50个单位,53名领导干部(党委领导领导干部5 名,政府领导干部13 名,部门领导干部35名)进行了经济责任审计,其中: 离任审计40人;任中审计13人。被审计领导干部中平调17人,晋升6人,免职14人,移交纪委2人,审计期间司法机关立案1人。经济责任审计揭示的问题使广大干部从中有所警示,有所教育,从源头上治理和预防腐败发挥了一定的积极作用。 二、经济责任审计工作的主要特点一是严格按照纪检、人事组织部门委托和审计署5号、6号令进行经济责任审计,推行经济责任审计
审前公告制度,将经济责任审计的内容、举报方式等向审计对象所在单位张榜公布,自觉接受被审单位干部职工的监督,增强审计透明度。审计进场时邀请纪检、监察、组织等部门的人员共同参加,对被审单位起到一定的威慑作用,形成整体联动的有利工作氛围;二是按照“少而精,突出重点”的工作思路,在近两年的工作中尽可能做到量力而行,合理确定审计对象,明确审计范围,一般以任期后三年为限,如有重大问题再向以前年度延伸审计,对群众关心的热点难点问题和举报线索进行重点审计;三是规范操作行为,严格审计程序,严把审计质量关,将审计风险贯穿于审计工作的全过程,所有经济责任审计项目从审计实施方案、审计取证到审计报告全部实行三级复核制,即审计组长、专职复核部门、分管领导三级复核;四是不断充实和加强经济责任审计队伍建设,坚持业务理论学习常抓不懈,送干部外出参加审计署和省审计厅举办的业务培训和交流研讨,鼓励干部利用业余时间参加学历教育,职业资格考试,审计人员业务素质的提高为工作质量和工作效率的提高起到了积极的促进作用;五是不断积极探索和实践新的审计方法,走出“就帐查帐”的审计老路子,将帐面审计与召开座谈会、个别谈话、走访调查结合起来,既查帐面情况,又注意了解其他情况,在保证审计质量的前提下,尽可能地把财政同级审计、财务收支审计、行业审计、专项审计与经济责任审计相结合进行,使审计一审多用,一审多果,减少审计成本,提高审计效率,缓解审计任务重与审计力量相对不足的矛盾。 三、经济责任审计工作面临的问题和困难 1.审计权限、审计手段的局限性。审计主要是通过被审计单位提供的资料发现和查证问题,而有些违法违纪问题不一定就在所提供资
当前数据库安全现状及其安全审计
当前数据库安全现状及其安全审计 大学数据库原理教科书中,数据库是这样被解释的:数据库是计算机应用系统中的一种专门管理数据库资源的系统。数据具有多种形式,如文字/数码/符号/图形/图象以及声音。 数据库安全现状 数据库系统立足于数据本身的管理,将所有的数据保存于数据库中,进行科学地组织,借助于数据库管理系统,并以此为中介,与各种应用程序或应用系统接口,使之能方便地使用并管理数据库中的数据,如数据查询/添加/删除/修改等。 数据库无所不在。海量的数据信息因为数据库的产生而变得更加容易管理和使用。政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业等行业,纷纷建立起各自的数据库应用系统,以便随时对数据库中海量的数据进行管理和使用,国家/社会的发展带入信息时代。同时,随着互联网的发展,数据库作为网络的重要应用,在网站建设和网络营销中发挥着重要的作用,包括信息收集/信息查询及搜索/产品或业务管理/新闻发布/BBS论坛等等。 然而,信息技术是一把双刃剑,为社会的进步和发展带来遍历的同时,也带来了许多的安全隐患。对数据库而言,其存在的安全隐患存在更加难以估计的风险值,数据库安全事件曾出不穷: 某系统开发工程师通过互联网入侵移动中心数据库,盗取冲值卡 某医院数据库系统遭到非法入侵,导致上万名患者私隐信息被盗取 某网游公司内部数据库管理人员通过违规修改数据库数据盗窃网游点卡 黑客利用SQL注入攻击,入侵某防病毒软件数据库中心,窃取大量机密信息,导致该防病毒软件公司严重损失 某证券交易所内部数据库造黑客股民入侵,盗窃证券交易内部报告 …… 数据库安全面临内部恶意操作以及外部恶意入侵两大夹击。如何有效保护数据库信息成为当前信息安全界最为关注的课题。 数据库安全分析 三大安全风险
数据库安全审计建设立项申请报告
数据库安全审计建设立项申请报告 1数据库系统安全隐患分析 我单位的信息系统中关键数据库服务器群中的数据服务器存储着大量涉密、重要数据信息。用户数据服务器通过数据库管理系统实现对信息资源的存储管理。我单位信息系统网络系统用户数量众多,用户相互差别较大,对数据库涉密信息、重要业务信息的访问频繁。用户对数据库的任何恶意修改或误操作,都关系我单位信息系统业务数据信息的可用性、完整性与机密性,目前数据库安全隐患集中在: ●信息存储加密:数据的安全性; ●系统认证:口令强度不够,过期账号,登录攻击等; ●系统授权:账号权限,登录时间超时等; ●系统完整性:特洛伊木马,审核配置,补丁和修正程序等; 2建立数据库安全审计体系的必要性 2.1数据安全保护形势严峻 随着信息技术的不断发展,数字信息逐渐成为一种重要资产,尤其是在过去的20多年里,作为信息的主要载体——数据库,其相关应用在数量和重要性方面都取得了巨大的增长。几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高,各种数据信息都成为了关系组织生存的重要资产。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾,网络技术使得数字信息的泄漏和篡改变得更加容易,而防范则更加困难。 更为严重的是,所有信息泄漏事件中,源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元
的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。 因此,近两年来,大多数企事业单位和政府机关纷纷把关注的目光投向信息系统数据的安全问题,尤其是内部网络的管理和防护。 2.2现有数据安全防护体系存在不足 现在较为普遍的做法是在原有网络安全防护(防火墙、IDS、UTM等传统安全设备)的基础上,采用上网行为管理类、终端管理类等具备较强防止内部信息外泄功能的产品,筑起了一道由内向外的安全防线,典型的安全防护体系如下图所示: 图:数据库安全防线的缺失 从这幅典型的网络拓扑图中,我们不难看出,安全防护体系中缺失的正是对服务器区的防护,对数据库的防护,对内部PC访问业务系统的防护! 尽管可能使用的数据库系统是Oracal、MS SQL是国际大品牌的产品,其本身有非常强的安全性,但依然可能存在诸多隐患: 1)对数据库访问的特权都有管理不当的问题。开发者、移动员工和外部顾
面向业务的信息系统的安全审计系统
面向业务的信息系统的安全审计系统 近些年来,IT系统发展很快,企业对IT系统的依赖程度也越来越高,就一个网络信息系统而言,我们不仅需要考虑一些传统的安全问题,比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫 等,但是,随着信息化程度的提高,各类业务系统也变得日益复杂,对业务系统的防护也变得越来越重要,非传统领域的安全治理也变得越来越重要。根据最新的统计资料,给企业造成的严重攻击中70%是来自于组织中的内部人员,因此,针对业务系统的信息安全治理成为一道难题,审计应运而生。 一、为什么需要面向业务的信息安全审计? 面向业务的信息安全审计系统,顾名思义,是对用户业务的安全审计,与用户的各项应用业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和分析用户的网络业务中所存在的脆弱点和风险。 我们不妨先看两个鲜活的案例。不久前,中国青年报报道,上海一电脑高手,方某今年25岁,学的是计算机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。 程某31岁,是X公司资深软件研发工程师,从2005年2月,他由A
地运营商系统进入B地运营商的业务系统--充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,非法获利380万。 通过上述两个案例,我们不难发现,内部人员,包括内部员工或者提供第三方IT支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统能够带给我们的价值。 二、如何理解面向业务的信息安全审计? 信息安全审计与信息安全管理密切相关,信息安全审计的主要依据为信息安全管理相关的标准,例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。因此,面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。 根据国外的经验,如在美国的《萨班斯-奥克斯利法案
浅谈内部审计工作的作用、现状与对策
浅谈内部审计工作的作用、现状与对策 内部审计作为加强对领导班子和领导干部监督的重要手段,为地税事业的健康发展提供了有力保障,在构建地税系统惩防体系中发挥了重要作用,但在实际工作中,内部审计工作也存在一些不足之处,因此我们要不断增强做好内审工作的责任感、紧迫感和使命感,认真履行审计监督职责,总结经验,乘势而上,为建设和谐健康发展的地税而努力。 一、内审工作职能日趋重要,审计作用越发明显 (一)有力地促进惩防体系的制度保证和责任机制建设。通过内部审计,帮助查漏补缺,及早发现制度和管理上的薄弱环节,及时采取有效措施,堵住“蝼蚁之穴”,防止“溃堤之灾”,在制度和管理上确保干部少出问题、不出问题,强化了领导干部履行“一岗两责”的意识,促进了内部管理。 (二)有力地促进惩防体系的监督制约和预警机制建设。通过内部审计,实行主动和有效的监督,经常监督检查领导干部执行政治纪律、组织纪律、经济纪律和群众工作纪律的情况,把领导干部权力行使置于广大干部职工的监督之下,及早做好了事前防范和预警工作。 (三)有力促进惩防体系的惩治和教育机制建设。通过内部审计,发现并查处违法违纪行为,起到了“以身边事教育身边人”的作用,增强了大家的自律意识,规范了大家的行为。 二、内审工作发展中的不足 (一)思想认识和重视程度不够。主要是存在“两怕”现象:怕
麻烦,有部分同志认为,政府审计部门每年进行了审计,系统内部每年都进行综合执法检查、党风廉政建设责任制巡视检查和财务收支检查,有什么问题和不足已能够说清和解决,再进行内部审计或领导干部任期经济责任审计,属重复工作,太麻烦,也没有太大必要;怕得罪人,部分内审人员对做好内部审计工作信心不足、责任心不强,认为被审计对象都涉及领导干部,怕得罪人,倒不如你好我好大家好,当个好好先生算了。 (二)内审人员的整体素质偏低。由于内部审计涉及面广和政策性强,因此,决定了内部审计工作责任大和要求高,而目前懂财会知识、税收业务、内部规章和纪检监察的内审人员还比较缺乏。 (三)内部审计工作不够规范。内审职能上,部门之间责任不清、主次不分和业务交叉。在人员配备上,专职人员较少,在内审质量上,还存在深浅不一,甚至浮于表面的现象,这在一定程度上影响了内审工作的健康发展。 三、推动内审工作发展的几点思考 (一)认清形势,树立正确的审计监督理念 中纪委向党的十七大的工作报告指出“加强监督、关口前移,是有效预防腐败的关键。要在强化监督上下功夫,重点加强对领导干部特别是主要领导干部的监督,加强对人财物管理使用、关键岗位的监督”。为此,结合到我们地税部门,要确保各级领导干部依法决策、民主决策、科学决策和正确行使人民赋予的权力,就必须加大监督力度,就必须发挥审计监督作用,就必须树立正确的审计监督理念。首先,完
数据库安全审计解决实施方案
数据库安全审计解决方案
————————————————————————————————作者:————————————————————————————————日期: 2
一、数据库安全审计需求概述 数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。 而面对数据库的安全问题,企业常常要面对一下问题: ?数据库被恶意访问、攻击甚至数据偷窃,而企业无法及时发现、追踪并阻截这些恶意的行为。 ?数据库遭受恶意访问、攻击后,不能追踪到足够的证据。 ?不了解数据使用者对数据库访问的细节,从而无法保证数据安全,特别是敏感数据的管理。 ?来自内部的威胁:特权用户随意修改配置、改变或盗取数据,没有明确职责分工。 ?针对数据库、应用系统日志的审计只能做事后分析,周期长,且无法进行持续性审计。 ?审计缺乏规范性,无法有效成为公司的安全管理规范且满足外部审计需求。 ?人工审计面对海量数据,无法满足100%可见性,造成审计不完整。?DBA权责未完全区分开,导致审计效果问题。 二、Guardium企业数据管理综合解决方案 InfoSphere Guardium提供的一组集成模块,使用一个统一的控制台和后端数据存储,管理整个数据库的安全与合规周期。通过Guardium,IBM 现在提供一种直接解决数据库安全性和遵从性问题的自动、有效且高效的方法。可扩展企业安全平台既能实时保护数据库,又能自动化所有合规审计流程。这套方案不仅在解决问题方面表现卓越,而且在避免消极影响方面同样表现出色。它对数据库性能的影响几乎为零,无需对数据库作任何变更,甚至不依赖本地数据库日志或审计工具。 三、通过Guardium管理数据安全 ?发现、分类并且自动寻找、分类和保护敏感信息 使用数据库自动搜寻和信息分类功能来识别机密数据的存储位置,然后使用定制的分类标签来自动执行适用于特定级别的敏感信息的安全策
网络安全审计系统的实现方法
网络安全审计系统的实现方法 司法信息安全方向王立鹏1 传统安全审计系统的历史 传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中,其审计的重点也是本主机的用户行为和系统调用。在随后的20年间,其他的各个操作系统也有了自己的安全审计工具,如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。 2 常用安全措施的不足和基于网络的安全审计系统的出现 近几年来,随着开放系统Internet的飞速发展和电子商务的口益普及,网络安全和信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。 2.1防火墙技术的不足 防火墙技术是发展时间最长,也是当今防止网络人侵行为的最主要手段之一,主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离,控制外部对受保护网络的访问,它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术,但是由于防火墙技术自身存在的一些缺陷,使其越来越难以完全满足当前网络安全防护的要求。 包过滤型防火墙如只实现了粗粒度的访问控制,一般只是基于IP地址和服务端口,对网络数据包中其他内容的检查极少,再加上其规则的配置和管理极其复杂,要求管理员对网络安全攻击有较深人的了解,因此在黑客猖撅的开放Internet系统中显得越来越难以使用。 而代理网关防火墙虽然可以将内部用户和外界隔离开来,从外部只能看到代理服务器而看不到内部任何资源,但它没有从根本上改变包过滤技术的缺陷,而且在对应用的支持和速度方面也不能令人满意 2.2入侵检测技术的不足 人侵检测技术是防火墙技术的合理补充,能够对各种黑客人侵行为进行识别,扩展了网络管理员的安全管理能力。一般来说,人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。 目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。 基于主机的IDS来源于系统的审计日志,它和传统基于主机的审计系统一样一般只能检测发生在本主机上面的人侵行为。 基于网络的IDS系统对网络中的数据包进行监测,对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性…准实时性),它能在出现攻击的时候发出警告,让管理人员在在第一时间了解到攻击行为的发生,并作出相应措施,以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要,因此决定了其采用的数据分析算法不能过于复杂,也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析,所以现在大
数据库审计系统_技术白皮书V1.0
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
我国审计行业现状及问题
企业研究Business research 总第390期 第24期2011年12月 一、行业审计工作的重要性 (一)行业审计工作可以提高企业生存价值首先,针对任何一个行业来说,审计工作存在的本质都是为了提高企业的生存价值,减少及预防企业中不必要的损失。审计工作的成本要远远小于可能发生的经济损失价值,这样来看,企业的未来存在率就相应提高了,这种直接的方式是提高企业效率及经济 效益的最好途径。 另外,行业中的审计工作可以作为震慑企业提高自律能力的最有效办法,也就是说,不管审计工作人员是否在审计过程中查出问题,此行为已经给企业内部的管理层及员工们敲响了警钟,使得管理人员们能够时刻意识到在不断接受审计及监督的过程中,要坚决保持自律的态度,决不允许玩忽职守,尤其是在企业财务账目上要明确、清晰,减少模糊账目,这种审计工作又叫作间接的监督工作。 (二)行业审计工作可以提高企业内部管理质量 随着科学技术的发展,目前行业与行业之间开始了多元化的发展,企业之间逐步趋向复杂化,部门与部门之间的权责关系也比较繁琐。因此,造成了行业之间的强大竞争力,企业之间的争夺市 场战,部门之间的争夺利益战。为了扩大自己的市场占有力, 每个行业都会将经济效益放在首位,而忽略了管理绩效及服务质量等。这就需要行业审计人员将审计工作落实到实处,以定期考核为目的约束企业的管理层,加强企业内部管理,彻底改变过去的以效益创造效益的模式,而是将优化的管理理念发挥出来,以创新的企业文化来促进经济效益的不断提高。 二、我国审计行业现状(一)审计人才业务素质有待提高目前,我国审计人员大多数是从会计岗位挑选出来的,他们基本上都是会计专业毕业,但是专业技能较差,没有足够的工作经验,审计知识接触较少,没有很深入的了解其职能。由于审计人员需要较高的知识水平,知识结构比较丰富,这就给我国的审计人员带来了相当严峻的考验。面对目前金融危机的形式,很多审计人员无所适从,在还未经过专业培训的时候就已经上岗,自身业务能力不强,审计技术方法和处理问题的灵活性较差,甚至有些审计人员只凭借以往案例的经验轻易下判断、做结论,造成了行业审计的一大漏洞。 (二)审计人员的工作依赖性较强 审计人员肩负的职责是将自身的专业知识运用到评估及判断过 程中,而目前很多审计人员没有做到客观的、 现实的完成审计工作,他们依赖于国家的法律政策及政府的有关规定,他们没有真实的根据数学计算来完成审计工作,在工作当中玩忽职守,托关系,找后门,掩盖了真实的财务信息及企业经营模式,完全打破了审计工作独立性的原 则。结果造成了很多企业的财政收支不明确, 税务缴纳投机取巧,经营模式混乱等一系列问题,严重干扰了市场经济的发展。 (三)审计违规处罚条例不够完善由于审计人员的共同包庇,现实中出现了很多审计违规案例,但是面对这些案例,国家的出发条例并不完善,大多数的处罚规定都是重于行政,轻于民事,也就是说,对违反审计规定的责任人一 般采取逐出行业的惩罚,而忽略了民事赔偿等处罚办法,在责任追 究制度上也没有明确的规定,这就给行业责任人及审计人员带来了工作上的漏洞,使得审计工作无法有效的开展下去,无法针对相关规定有的放矢,结果造成了审计工作的形式化。 三、我国行业审计工作改进意见(一)努力提高行业审计人员的职能认识为了社会的稳定,市场经济的稳步发展,企业之间的合理竞争,首先应该加强的是审计人员的职能认识,从最根本的问题出发,打破传统观念,消除审计偏见,要求每一位审计人员都要将职责作为基础,从宏观角度考虑行业及市场的动态变化,时刻以大局为重。从表面上来看,审计人员不是直接给市场带来机遇,给企业带来效益的关键,但是审计工作可以为企业的经营起到监督的作用,它可以有力的监督企业管理与经营活动,改善不良的制度和策略,加强防范意识,提高企业领导干部的自律性,这从长远来看是已经在根本上牢固了企业根基,为企业各方面效益提供了最大的支持。 (二)努力提高行业审计人员的专业素质首先,审计人员应该明确自身肩负的责任,自觉遵守职业行为准则,高标准要求自己,诚实守信,恪尽职守;其次,审计人员要有相应的专业能力,在工作中熟练操作审计模型及软件,扎实掌握审计工作的流程及技术方法,在工作中要有独立思考的能力,要有创 新意识,面对新问题、 新挑战要敢于接受及积极解决;最后,企业要经常对审计人员进行再培训教育工作,不断完善审计人员的财务、税务、管理知识,不断鼓励审计人员学习企业的文化理念,经营理念,全面提高审计人员的综合素质。 (三)努力提高各地区、各行业审计工作的积极性由于我国各地经济发展不平衡,地区的差异较大,因此地方审计机关应做好各地的审计工作,同时要加强对各个行业审计部门的监督工作。只有这样,才可以准确有力的掌握各个地区的财政实际情况,以便及时发现风险与漏洞,并且可以减轻审计的工作压力,便于国家全面的了解各地各行业的市场状况。 (四)努力提高行业审计的独立性及权威性审计工作是一项极其敏感的工作,它的职能是坚决杜绝一切行业及企业内部的财务及管理等的违规操作,这就需要企业内部回避运用有利害关系的个人充当审计人员,从人员配置上就开始稳固审计的权威性,加大审计人员的自信心,以鼓励为主,领导为辅的原则开展工作,将审计工作的有效性及权威性充分的发挥出来。 参考文献: [1]中国注册会计师协会.审计[M ].北京:经济科学出版社,2009:87-91. [2]谭亚平.浅议注册会计师职业道德规范[J ].中国注册会计师,2007(3):23-24. [3]张冬梅.现代审计职业道德建设问题初探[J ].会计之友,2007(8):27-28. 我国审计行业现状及问题分析 褚秋亭 (青岛市审计局山东青岛266071) 摘 要:近几年来,随着全球范围内金融危机、次贷危机的不断滋生,各个行业的管理层也开始越来越重视审计工作。本文从 审计行业中存在的问题入手,探讨了审计人员应该如何提高对审计工作的认识,提高自身的专业素质,完善审计制度,扩大企业内部审计的范围。用更优化的手段解决审计行业中的诸多问题,使企业经营模式得到改善,经营效益得到提高。关键词:审计行业;金融危机;专业素质 89··
数据库内部安全审计
数据库内部安全审计 一、背景 在信息系统的整体安全中,数据库往往是最吸引攻击者的目标,许多网络攻击的根本目的就是获取存放在数据库中的重要信息。传统的数据库安全保障方法一定程度上提高了数据库系统的安全性,但是它们大多是被动的安全技术,以预防为主,无法有效地制止入侵行为,特别是对于数据库用户( 如数据库管理员等) 的权限滥用等内部攻击常常是无能为力的。 内部威胁问题具体表现为: (1)非故意的授权用户攻击,即用户不小心访问到了通常不访问的敏感信息,严重的是无意间将其错误地修改或者删除了; (2)盗取了正常用户信息的攻击者对数据库进行操作,他们拥有合法的访问权限,对数据库数据进行肆意的盗窃和破坏; (3)心怀不轨的内部工作人员对数据库的恶意攻击。 据统计,数据库安全问题近80%来自数据库系统内部,即数据库系统授权用户没有按照自身授权进行数据操作,而是跨越权限篡改或破坏数据。根据2013年Verizon的数据泄露调查报告:所有数据泄露事件中76%源自授权用户对敏感数据的访问;在47000多件安全事故中,69%的攻击来自于内部人员。京东发生的大型数据泄露事件造成5O亿条公民信息流出,导致用户损失数百万元,罪魁祸首就是内部工作人员。内部原因造成的数据库损失发生率和影响度都远远超过人们的想象。 由于此类安全问题发生在系统集团内部,因此,对数据库的危害极大,并且传统的入侵检测方法和数据库安全规则都不能有效防御这些问题,即使一些防火墙软硬件也无法实时检测内部入侵。因此,针对数据库系统中用户异常行为检测研究就显得尤为重要。 据统计,传统的数据安全模型是上个世纪 70 年代提出的,并且得到较好发展。到目前为止,在数据库上实现的安全策略基本上没有变化,仍旧为访问控制、用户认证、审计和加密存储。安全审计的任务是对用户已经完成的行为,给予回追式的分析,并对该行为的结果给出最终评价。这些安全机制在数据库管理上取得了较好成绩,但是面对高素质攻击人员、多样化攻击手段和复杂的网络环境,这些安全机制将无法实时监测入侵行为,保护数据库与数据的安全。基于异常的入侵检测是入侵检测研究领域中的一个重要课题,并取得了一定的研究成果。但是,这些研究成果主要针对操作系统和计算机网络,针对数据库系统的研究成果则相对较少。 以访问控制为例,虽然访问控制能够保证只有拥有相关权限的用户才可以访问数据,这也是防止数据泄露的第一道屏障,但是访问控制有一定的限制:如果采用严格的机制,访问控制的规则可能表达不够充分,在动态的环境中访问控制的规则可能需要频繁地更新,这些
数据库审计系统白皮书
360数据库审计系统产品白皮书
目录 1.产品概述 (3) 2.产品特点 (3) 2.1专业的数据库审计 (3) 2.2业务操作实时回放 (3) 2.3事件精准定位 (4) 2.4事件关联分析 (4) 2.5访问工具监控 (4) 2.6黑白名单审计 (5) 2.7变量审计 (5) 2.8关注字段值提取 (5) 2.9丰富完善的报表报告 (5) 3.产品价值 (5) 3.1未知数据库资产发现 (5) 3.2敏感数据信息管理 (6) 3.3数据库安全事件预警 (6) 3.4数据库安全事件追溯 (6) 3.5辅助用户数据库访问策略制定 (6) 3.6满足用户合规需求 (6) 4.主要功能 (6)
1.产品概述 360数据库审计系统是针对网络访问数据库的操作行为进行细粒度分析的安全设备,它可提供实时监控、违规响应、历史行为回溯等操作分析功能,是满 足数据库风险管理和内控要求、提升内部安全监管,保障数据库安全的有效手段。 2.产品特点 2.1专业的数据库审计 360数据库审计系统能够对业务网络中的各种数据库进行全方位的安全审计,具体包括: 1)数据访问审计:记录所有对保护数据的访问信息,包括文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息 2)数据变更审计:统计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作等等,防止外部和内部人员非法篡改重要的业务数据 3)用户操作审计:统计和查询所有用户的登录成功和失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可用于事故和故障的追踪和诊断 4)违规访问行为审计:记录和发现用户违规访问。支持设定用户黑白名单,以及定义复杂的合规规则,支持告警 2.2业务操作实时回放 360数据库审计系统产品能对访问数据库操作进行实时、详细的监控和审计,包括各种登录命令、数据操作指令、网络操作指令,并审计操作结果,支持过程回放,真实地展现用户的操作。
数据库安全性习题解答和解析学习资料
数据库安全性习题解 答和解析
第九章数据库安全性习题解答和解析 1.1.什么是数据库的安全性? 答:数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 2.2.数据库安全性和计算机系统的安全性有什么关系? 答:安全性问题不是数据库系统所独有的,所有计算机系统都有这个问题。只是在数据库系统中大量数据集中存放,而且为许多最终用户直接共享,从而使安全性问题更为突出。 系统安全保护措施是否有效是数据库系统的主要指标之一。数据库的安全性和计算机系统的安全性,包括操作系统、网络系统的安全性是紧密联系、相互支持的。 3.试述可信计算机系统评测标准的情况,试述TDI/TCSEC标准的基本内容。 答:各个国家在计算机安全技术方面都建立了一套可信标准。目前各国引用或制定的一系列安全标准中,最重要的是美国国防部(DoD)正式颁布的《DoD 可信计算机系统评估标准》(Trusted Computer System Evaluation Criteria,简称 TCSEC,又称桔皮书)。(详细介绍参见《概论》9.1.2)。 TDI/TCSEC标准是将TCSEC扩展到数据库管理系统,即《可信计算机系统评估标准关于可信数据库系统的解释》(Trusted Database Interpretation 简称TDI, 又称紫皮书)。在TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准。 TDI与TCSEC一样,从安全策略、责任、保证和文档四个方面来描述安全性级别划分的指标。每个方面又细分为若干项。这些指标的具体内容,参见《概论》9.1.2。 4.试述TCSEC(TDI)将系统安全级别划分为4组7个等级的基本内容。 答:根据计算机系统对安全性各项指标的支持情况,TCSEC(TDI)将系统划分为四组(division)7个等级,依次是D、C(C1,C2)、B(B1,B2,B3)、A(A1),按系统可靠或可信程度逐渐增高。