數(shù)據(jù)庫審計(jì)是一把雙刃劍

數(shù)據(jù)庫審計(jì)包括觀察數(shù)據(jù)庫以了解數(shù)據(jù)庫用戶的行為。例如，數(shù)據(jù)庫管理員和顧問通常為了安全目的進(jìn)行審計(jì)，以確保那些沒有權(quán)限訪問信息的用戶不能訪問它。同時，數(shù)據(jù)庫審計(jì)還是上市公司披露自身真實(shí)信息的必要環(huán)節(jié)。美國《薩班斯（SOX）法案》的實(shí)施，給上市公司在IT方面帶來的最大影響之一就是數(shù)據(jù)庫審計(jì)。

[[65770]]

信息技術(shù)審計(jì)，是一個信息技術(shù)（ IT ）基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計(jì)是一個通過收集和評價(jià)審計(jì)證據(jù)，對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。

數(shù)據(jù)庫審計(jì)作為信息安全審計(jì)的重要組成部分，同時也是數(shù)據(jù)庫管理系統(tǒng)安全性重要的一部分。通過審計(jì)功能，凡是與數(shù)據(jù)庫安全性相關(guān)的操作均可被記錄下來。只要檢測審計(jì)記錄，系統(tǒng)安全員便可掌握數(shù)據(jù)庫被使用狀況。

例如，檢查庫中實(shí)體的存取模式，監(jiān)測指定用戶的行為。審計(jì)系統(tǒng)可以跟蹤用戶的全部操作，這也使審計(jì)系統(tǒng)具有一種威懾力，提醒用戶安全使用數(shù)據(jù)庫。數(shù)據(jù)庫審計(jì)既可以記錄公司組織內(nèi)外部被訪問的真實(shí)狀況，在公司機(jī)密遭到泄露或者破壞的時候，提供有效的法律依據(jù)。同時，為了公司對外披露信息的真實(shí)性，數(shù)據(jù)庫審計(jì)已經(jīng)成為監(jiān)督企業(yè)日常信息真實(shí)性的手段。

從上面來看，作為一種信息安全防護(hù)手段，數(shù)據(jù)庫審計(jì)具有其受用戶喜愛的一面，但是作為一種外界強(qiáng)制企業(yè)披露信息環(huán)節(jié)的時候，我想大部分企業(yè)是不樂意的。無論你是樂意不樂意，如果企業(yè)想在美國上市，還是要遵行美國的薩班斯法案，也就是要有這么一種讓外界信得過的數(shù)據(jù)庫審計(jì)技術(shù)，才能順利通過這一關(guān)口。

企業(yè)部署數(shù)據(jù)庫審計(jì)系統(tǒng)勢在必行

從功能上來說，數(shù)據(jù)庫審計(jì)可以實(shí)時監(jiān)測并智能地分析、還原各種數(shù)據(jù)庫操作。根據(jù)規(guī)則設(shè)定及時阻斷違規(guī)操作，保護(hù)重要的數(shù)據(jù)庫表和視圖。實(shí)現(xiàn)對數(shù)據(jù)庫系統(tǒng)漏洞、登錄帳號、登錄工具和數(shù)據(jù)操作過程的跟蹤，發(fā)現(xiàn)對數(shù)據(jù)庫系統(tǒng)的異常使用。支持對登錄用戶、數(shù)據(jù)庫表名、字段名及關(guān)鍵字等內(nèi)容進(jìn)行多種條件組合的規(guī)則設(shè)定，形成靈活的審計(jì)策略。提供包括記錄、報(bào)警、中斷和向網(wǎng)管系統(tǒng)報(bào)警等多種響應(yīng)措施。具備強(qiáng)大的查詢統(tǒng)計(jì)功能，可生成專業(yè)化的報(bào)表。

可以看到，數(shù)據(jù)庫審計(jì)主要還是用來保護(hù)企業(yè)的數(shù)據(jù)安全。無論是從自身數(shù)據(jù)安全的角度考慮，還是從企業(yè)長遠(yuǎn)正規(guī)發(fā)展來看，數(shù)據(jù)庫審計(jì)都是一個不可或缺的環(huán)節(jié)?？剂恳环N數(shù)據(jù)庫審計(jì)手段的要求有很多，比較重要的有性能、精細(xì)程度、系統(tǒng)影響和權(quán)限控制等。

作為一種輔助的手段，無論采取哪種部署方式，數(shù)據(jù)庫審計(jì)都不能對原有的系統(tǒng)造成性能的明顯影響。在精細(xì)化這方面，可以說越精細(xì)越好，在保證自身運(yùn)轉(zhuǎn)性能的基礎(chǔ)上，能夠記錄的細(xì)節(jié)越多，越能夠給用戶帶來便利。而在缺陷控制方面，這套系統(tǒng)需要有合理、有效的權(quán)限控制，保證正確的人訪問合適的數(shù)據(jù)，無權(quán)限的人不能訪問數(shù)據(jù)。

數(shù)據(jù)庫審計(jì)系統(tǒng)的部署方式有以下幾種，按照審計(jì)對象可以分為主機(jī)監(jiān)聽、網(wǎng)絡(luò)監(jiān)聽和組合部署三種方式。從結(jié)構(gòu)上分，有集中部署、分布式部署和混合部署這三種方式，還有一種部署是多路部署方式。通過記錄數(shù)據(jù)審計(jì)行為，嚴(yán)防舞弊、違規(guī)操作、財(cái)務(wù)欺詐等行為，因此數(shù)據(jù)的保存和管理是保證審計(jì)結(jié)果準(zhǔn)確可靠的基石。

編輯點(diǎn)評：

近來，世界知名的網(wǎng)絡(luò)筆記應(yīng)用Evernote發(fā)生數(shù)據(jù)庫泄露，導(dǎo)致所有用戶的密碼需要重置?；叵虢鼉赡辏@種現(xiàn)象頻發(fā)，國內(nèi)國外都出現(xiàn)了幾次大規(guī)模的數(shù)據(jù)庫賬戶泄露事件。賬戶是用戶信息的重要入口，保護(hù)用戶賬戶數(shù)據(jù)庫安全是一個企業(yè)的責(zé)任。企業(yè)只有部署合理的數(shù)據(jù)庫審計(jì)系統(tǒng)，才能更加強(qiáng)力的防止數(shù)據(jù)庫泄露，同時，在發(fā)生數(shù)據(jù)泄露的時候能夠通過審計(jì)系統(tǒng)找到元兇。