1. 什么是数据库的审计功能,为什么要提供审计功能
数据库审计的功能有很多以及为什么要审计功能,我说几点重要的:
1、合规性审计
数据库审计系统能否满足国家数据安全相关法律法规以及各行业监管的“合规性要求”,是各单位风控部门关注的重点。近几年,针对个人隐私和敏感数据保护的要求不断提高,包括金融、教育、医疗、政务等等以及互联网在内的各个行业纷纷加强了对个人信息保护的关注和投入力度,一系列面向个人信息保护的法律、规范和要求也相继推出。在此背景下,数据库审计系统需要根据“合规性要求”,形成具有针对性的监测与审计报告,帮助各单位全面了解合规风险与合规状况。
2、风险监控
数据库审计系统的“风险监控能力”,是各单位安全部门关注的重点,包括是否存在对数据资产的攻击、口令猜测、数据泄露、第三方违规操作、不明访问来源等安全风险。因此,系统需要支持更加全面、灵活的策略规则配置,准确的规则触发与及时告警的能力,从而在第一时间发现并解决风险问题,避免事件规模及危害的进一步扩大。此外,数据库审计系统应具备自动化、智能化的学习能力,通过对重要数据资产访问来源和访问行为等的“学习”,建立起访问来源和访问行为的基线,并以此作为进一步发现异常访问和异常行为的基础。
3、系统检测
数据库审计系统的“系统监测能力”,是企业运维部门关注的重点,包括数据资产是否存在异常访问、失败访问或异常操作,以及数据访问详情和系统性能等运维管理问题。因此,需要通过审计系统的监测告警能力,及时发现系统风险或异常运行状况,从而进一步规范运维过程、提升运维效率。
纯属个人意见,希望采纳~安华金和的数据库审计不错,推荐你咨询下他们。你可以采纳我的建议,不懂的可以继续追问哦
2. 掌握sql语言对开展审计信息化有何作用
直接针对数据库而不是针对系统进行操作。这样审计的时候就能规避系统逻辑直接访问数据库查看数据层面上是否有作假。关联的表是否能对得上,是否有直接对数据库的刻意删除记录信息等了。
3. 对数据库进行审计有必要吗
当然有了,合规性需求,国家对政府和金融、互联网等行业机构、企业的信息系统有相关要求,必须符合所在行业的规范及标准。为此,并出台了一系列法律法规,其中对应信息系统安全等级保护相关配套标准,等保二级以上对安全审计均提出了明确要求——审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。数据库审计产品因部署简单,且不会对系统造成过多影响,成为满足合规性要求的首选办法。
数据泄露事件越来越多,近些年,因数据库被入侵造成的信息泄露事件层出不穷,对国家、社会和个人均造成了严重的损失及恶劣影响,数据库用户信息泄露问题愈演愈烈,迫使政府部门和企业单位重视并展开一系列与数据库安全加固有关的行动。在此过程中,客户不仅会考虑事后的数据库审计,同时也会考虑数据库防火墙、数据库加密等事前、事中主动防御手段。
自身安全需要,当各单位的IT建设达到一定的成熟度和认知度,日常业务运作持续融入信息化建设,对核心数据安全防护日益增长的需求会促使管理者主动、有意识开展相关数据安全建设;同时,出于对自身商业信誉、社会名誉的维护与提升,管理者也需要促主动开展数据安全防护工作,在这一过程中,数据库审计产品只是构成完整体系的一环。
数据库审计产品目前是数据安全全线产品中成熟度最高的产品,安华金和作为国内安全领域的领头羊,更看重产品的实用性,做的不错。
4. 掌握sql语言对开展审计信息化有何作用
掌握SQL你可以按照个人需要,快速从原始数据中筛选需要的数据。这还和个人的SQL水平有关
祝好运,望采纳
5. 数据库审计法规要求有哪些
法规控制在一些领域起了关键性的作用,例如在业务变更、业务流程验证、系统故障、人为违规操作等方面。因为数据库作为各项资产或者业务的核心,所以数据库审计在各类标准法规中非常重要。
《萨班斯法案》强调加强与财务报表相关的IT系统内部控制,其中,IT系统内部控制是紧密围绕信息安全审计这一核心的。
巴赛尔新资本协定(Basel II)要求全球银行必须做好风险控管(risk management),而这项“金融作业风险”的防范正需要业务信息安全审计为依托。
《企业内部控制具体规范》明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性。
《等级保护数据库管理技术要求》 第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应:建立独立的安全审计系统;定义与数据库安全相关的审计事件;设置专门的安全审计员;设置专门用于存储数据库系统审计数据的安全审计库;提供适用于数据库系统的安全审计设置、分析和查阅的工具。
《ISO15408-2 安全功能要求》明确要求数据库安全审计应包括:识别、记录、存储和分析 那些与安全相关活动(即由TSP 控制的活动)有关的信息;检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。
6. 如何自动化完成SQL审核
sql审核主要完成两方面的目的.
1、避免性能太差的sql进入生产系统,导致整体性能降低
2、检查开发设计的索引是否合理,是否需要添加索引
第一点是SQL审核最核心的地方,避免乱七八糟的sql影响线上性能,甚至导致线上系统崩溃.
第二点是属于建模的范畴,要解决建模的最好办法是DBA参与项目前期审核,由DBA建模,如果DBA人力资源不足,那么就定期由DBA对开发人员进行培训.然后发现建模太烂的就扣KPI.
现在很多公司都是人肉来完成SQL审核的,人肉审核对dba的要求较高,需要懂一些代码,另外是费时费力,毕竟一般公司几十个开发,对应一个DBA,而且DBA还要干很多其他的事情.
如何将DBA从人肉SQL审核中解放出来呢?
思路其实很简单:
1、获取程序要执行的SQL
2、对要执行的SQL做分析,可以加各种分析条件来判断这个SQL是否可以自动审核通过,未通过审核的需要人工处理.
3、配合后期的慢查询日志分析系统完成长期的监控.
开源的解决方案主要有淘宝丹臣sqlautoreview系统.可以在github上搜索到.
但是这个系统主要是基于java sqlmapfile.xml解决自动创建索引的问题,对源数据有要求,并且是通过解析SQL结构来假设SQL的执行计划,不是特别准确,并且不能够很好的区分新sql还是老sql.
所以产生了一个新的方案:
1、为所有的执行过的sql产生一个figerprint
2、基于慢查询提供的数据,加上explain 提供的数据来判断这个sql的性能是否可接受,或者可优化.
3、自动审核通过性能可接受的部分,给DBA展示性能较差的sql,然后进行优化.
方案的优点在于:
基于用户真正执行的SQL,并且可以观察SQL执行频率.
基于MySQL真正的执行计划和执行结果,分析更准确.
每个SQL都有一个fingerprint,只需要增量处理新加的SQL,效率和性能提高.
基于Box anemometer二次开发,让慢查询和sql审核同平台,增加工具集成性,提高用户体验(DBA和开发人员)。
方案实施:
既然咱是DBA,肯定会有更DBA的思维方式.基于现有软件二次开发完成,减少开发成本,整合管理平台.
基于Box anemometer.安装Box anemometer
Box anemometer是一款B/S架构,图形化的MySQL慢查询分析工具.功能强大易用,设计简单直接.anemometer是基于pt-query-digest的二次封装得来.
核心处理流程:
mysql node–>计划任务通过pt-query-digest收集慢查询信息–>结果写入到数据库中–>anemometer按条件去展示慢查询的结果,并且提供了图形化和趋势分布图等功能.
所以anemometer已经帮我们完成了数据收集,包括每个sql的fingerprint信息,以及相关的信息,我们在测试环境,基于anemometer,将long_query_time设置为0,就可以收集到所以的SQL及相关信息.
在我们收集到所有SQL以后,我们就要来分析这个SQL是否可以自动审核通过.这里开始我们就要定制了.
定制内容如下:
一、
设置一个单独的datasources,可以命名为audit_sql.
这个datasources里面只放置开发环境或者测试环境的慢查询(你要做sql审核基于哪个环境),将此环境的long_query_time设置为0,接收所有的sql查询.
二、修改anemometer
ALTER TABLE `global_query_review` ADD audit_status VARCHAR(255) NOT
NULL DEFAULT ‘refuse’ comment ‘sql审计的状态 refuse未通过 pass审核通过’;
修改PHP代码.
在report模块的where条件中增加一个Ait Status的选项框,可以过滤audit_status的状态
在show_query模块中增加一个Audit Status的选项框,可以人工设置audit_status的状态
三、增加两个额外的脚本,准实时的分析audit_status为refuse的sql,如果sql的满足自动审核通过的条件,那么就设置audit_status为pass,表示自动审核通过.
自动审核未通过的sql,由DBA人工在anemometer上检索和处理.
这里就涉及到一个自动审核通过的算法:
算法分两种.
第一种是准实时,也就是可以几分钟或者一个小时运行一次,主要是根据每个sql的执行效率判断是否pass.
对应的脚本名字叫做:audit_sql.py
第二种是一天一次,弱化执行效率判断,增加一天执行的频率判断.
对应的脚本名字叫做:audit_sql_day.py
各家根据自己的实际情况调整或者优化这两个脚本.
至此,你已经可以让99%以上的代码自动审核通过了,审核不通过的代码你可以让开发自己来tracking也可以主动推给开发.
对于才搭建的环境,可能会有一些乱七八糟的sql,不过使用一段时间稳定以后,异常的sql指纹都有了,那么每天产生的sql指纹就比较少了,而这部分SQL指纹也就是程序员编写新的代码产生的.
7. 审计数据包括哪些内容
审计数据包括:
①原始数据:审计被审计单位抄录的原始数据,账面数据。
②强制数据:国家对有的资料下达的硬性指标数据,例如:国家在建设工程里边取费系数就是强制性数据。
③派生数据:审计将原始数据、强制数据相互验算得出的数据,例如;国家规定所得税税率是33%,您原来记取是按照30%,毛利额不变,用新的税率与毛利率相乘后得出的应交税金就变化了,这就叫“派生数据”。
④引用数据)为了使数据数据更有说服力,审计时就引用一些其他数据,例如:评价那么单位的绩效,就用同期数据、历史最好时期数据、世界先进水平数据比较,进一步评价单位是进步了、还是退不了,用”量’去说话。按审计的内容分类,可分为财政收支审计、财务收支审计和经济效益审计三类。财政收支审计是指国家审计机关对本级财政预算执行情况和下级政府财政预算的执行情
况和决算,以及预算外资金的管理和使用情况的真实性、合法性进行的审计监督。财务收支审计是对金融机构、企事业单位的财务收支及有关的经济活动的真实性、
合法性所进行的审计监督。以企业财务收支审计为例,审计内容主要有:企业制定的财务会计核算办法是否符合《企业财务通则》、《企业会计准则》以及国家财务
会计法现、制度的规定;对企业一定时期内的财务状况和经营成果进行综合性的审查并做出客观评价。经济效益审计,是对财政、财务收支及其有关经济活动的效益
进行监督的行为。审计机关对列入审计监督范围的所有单位和项目,都可以进行经济效益审计,其中以审计公共财政资金使用效益最为典型。目前,我国审计机关主
要开展财政收支审计和财务收支审计。随着我国经济增长方式由粗放型逐步向集约型转变和实现可持续发展战略的实施,人们越来越关注经济效益问题。审计机关对
财政收支和财务收支进行监督的同时,将根据客观需要逐步开展经济效益审计。国家审计的对象或客体,即哪些部门和单位必须接受审计。依据《宪法》和《审计法》规定,必须接受审计的部门和单位包括:国务院各部门、地方人民政府及其各部
门;国有的金融机构;国有企业和国有资产占控股地位或者主导地位的企业;国家事业组织;其他应当接受审计的部门和单位,以及上述部门和单位的有关人员。审
计的内容是这些部门和单位的财政收支和财务收支。接受审计监督的财政收支,是指依照《中华人民共和国预算法》和国家其他有关规定,纳入预算管理的收入和支
出,以及预算外资金的收入和支出。接受审计监督的财务收支,是指国有的金融机构、企业事业单位以及国家规定应当接受审计监督的其他各种资金的收入和支出。
财政、财务收支的划分不是截然对立的,在某些方面它们是重合或交叉的。
8. 为什么说数据库审计是是数据库安全行业的核心产品
推荐你与安华金和沟通下,我先简单说下我的想法,数据库审计产品是目前安全产品较为成熟的产品,适用于政府、金融、能源、医疗、教育、企业、运营商等行业,应用场景也非常多,符合安全合规要求,安全合规是数据库审计的重要应用场景,也是目前很多用户选择数据库审计产品的重要原因。《网络安全法》第二十一条中,明确要求:“采取监测、记录网络运行状态、网络安全事件的技术措施,并留存网络日志不少于六个月”。另在等保2.0等国家规定中对于数据审计也有明确的要求。目前市面上大多数据库审计产品一般都可以满足国家法律法规和行业政策的要求。
实时掌握数据库运行状况,也有一些数据库审计产品可以提供实时的数据库运行状态监控:例如针对数据库访问流量、并发吞吐量、解析语句量、语句归类模板量、SQL语句的响应速度进行专项的界面分析;可针对失败SQL语句、语句量执行最多、语句访问最慢的语句进行发现和排列,提供专业的性能诊断分析,帮助用户了解数据库的运行状况并及时优化数据库性能。
及时发现各类数据操作违规事件或攻击事件,这是数据库审计产品的一个重要应用场景:提供数据库风险告警能力,产品可以基于灵活的策略配置设置风险规则,对于外部发起的数据库漏洞攻击、恶意的SQL注入行为、非法的业务登录、高危的SQL操作和批量的数据下载,提供实时的风险告警。告警方式一般包括企业微信、短信、邮件、SNMP、Syslog等。
数据违规事件溯源,这是数据库审计产品的一个基本应用场景:基于精确数据库协议分析、完全SQL解析、参数化匹配等技术,对数据库访问行为进行周期性对比,帮助用户快速定位异常点和异常行为,通过提供全量的数据库行为记录、全局检索能力,可以深度关联并展示会话和语句详情,根据访问来源实现数据库的关联查询和关联分析,使数据库的访问行为有效定位到具体业务工作人员,帮助用户追溯风险来源。所以说审计产品是数据安全必不可少的一款溯源产品。安华金和数据库审计产品,是一款基于数据库通讯协议分析和SQL解析技术的产品,网络也查得到的。
9. SQL Server在审计工作中的应用
1、熟悉该单位所使用的财务软件的数据库结构,例如:金蝶、用友等
2、本身具备强大的SQL语句功底,可以使用SQL语句对其财务表内的数据进行汇总统计
3、依据财务常识与审计中对各个财务科目的数据进行比对,发现其中问题,然后再追朔其具体帐目的单据
4、不同种类的企业,在其财务流中,均会不同程度存在违法违纪问题,只要在审计过程中仔细认真核对其数据即可,另外,也要对其数据与财务凭证做细致对比
愿你成功!
10. 为什么要用数据库审计
2019年5月13日,网络安全等级保护技术2.0版本(简称等保2.0)正式公开发布,在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖,为落实信息系统安全工作提供了方向和依据。其中,主管单位明确要求在金融、电力、广电、医疗、教育等行业,从业机构的信息系统要开展等级保护工作;信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。等级保护测评分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理十个层面,变被动防御为主动防御,全面提升网络安全防护能力。