数据库安全审计系统的介绍

信息安全审计概述

美国国防部1985年发布了可信计算机安全评估准则（TCSEC），计算机系统的安全可信性分为4大类：D、C、B和A。A为最高一类，C分为两个子类，B分为3个子类，共有7级。

中华人民共和国国家军用标准按处理的信息等级和采取的相应措施，将计算机系统的安全分为4等8级，分别为：

D等：最小保护。

C等：自主保护。

C1级：自主安全保护。

C2级：可控制访问保护。

B等：强制保护。

B1级：有标号的安全保护。

B2级：结构化保护。

B3级：安全域。

A等：验证保护。

A1级：验证设计。

超A1级。

中华人民共和国国家标准规定了计算机系统安全保护能力的5个等级，分别为：

第一级：用户自主保护级。

第二级：系统审计保护级。

第三级：安全标记保护级。

第四级：结构化保护级。

第五级：访问验证保护级。

安全审计是指将主体对客体访问和使用的情况进行记录和审查，以保证安全规则被正确执行，并帮助分析安全事故产生的原因。

安全审计是信息安全保障系统中的一个重要组成部分，具体包括两方面的内容：

采用网络监控与入侵防范系统，识别网络各种违规 *** 作与攻击行为，即时响应并进行阻断。

对信息内容和业务流程的审计，可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。

安全审计系统的作用如下：

对潜在的攻击者起到震慑作用。

对已经发生的系统破坏行为提供追纠证据。

提供日志便于及时发现入侵行为和系统漏洞。

提供日志便于发现系统性能不足之处。

网络安全审计的具体内容有：

监控网络内部的用户活动。

侦查系统中存在的潜在威胁。

对日常运行状况的统计和分析。

对突发案件和异常事件的事后分析。

辅助侦破和取证。

CC标准将安全审计功能分为6个部分，分别为：

安全审计自动响应功能。

安全审计自动生成功能。

安全审计分析功能。

安全审计浏览功能。

安全审计事件选择功能。

安全审计事件存储功能。

建立安全审计系统

安全审计系统的主体建设方案有：

利用入侵检测预警系统实现网络与主机信息检测审计。

对重要应用系统运行情况的审计。

基于网络旁路监控方式安全审计。

安全审计系统S_Audit简介

S_Audit网络安全审计系统是国内复旦光华公司自主知识产权的产品，它在设计上采用了分步式审计和多层次审计相结合的方案。

S_Audit系统由审计中心、审计控制台和审计Agent组成。

审计中心是对整个审计系统的数据进行集中存储和管理，并进行应急响应的专有软件，它基于数据库平台，采用数据库方式进行审计数据管理和系统控制，并在无人看守的情况下长期运行。

审计控制台是提供给管理员用于对审计数据进行查阅，对审计系统进行规则设置，实现报警功能的界面软件。

审计Agent将报警数据和需要记录的数据自动报送到审计中心，并由审计中心进行统一的调度管理。

评估安全威胁的方法主要有以下4种：

（1）查阅。查阅一些以网络安全为主题的信息资源，包括书籍、技术论文、报刊文章、新闻组以及邮件列表等。

（2）实验。获知入侵者进入系统的困难性的一种方法是进行自我攻击。

（3）调查。安全调查所获得的统计数据可以提供给管理者一些有用信息以便做出决断。

（4）测量。对潜在的威胁进行测量，通常使用陷阱。

通常使用一些陷阱可以有效地对威胁做出真实的评估而没有将个人和组织暴露的危险，使用陷阱主要有3个方面的好处：

（1）陷阱提供了真实世界的信息。如果通过适当的设计，入侵者会完全意识不到陷阱的存在。

（2）精心设计的陷阱能够安全地提供一些测量手段。

（3）陷阱能够用于延缓将来的攻击。

一个陷阱主要有3个组成部分，分别是诱饵、触发机关以及圈套。一个好的陷阱应该具备以下特征：

（1）良好的隐蔽性。网络陷阱对于入侵者来说，必须是不可见的。陷阱对外暴露的部分只有诱饵，只需要确保诱饵的特性不会暴露陷阱的存在。例如，可以使用SCSI分析器、网络协议分析器和日志信息。

（2）有吸引力的诱饵。诱饵的选择必须与环境相适应，例如，可以把冠以敏感信息的文件或文件夹作为诱饵。

（3）准确的触发机关。一个好的陷阱应该捕获入侵者而不应该捕获无辜者，触发机关的设置应该使失误率降到最低。设计时必须考虑由于失误所引起的信用问题，这是非常重要的。

（4）强有力的圈套。一个有效的陷阱必须有足够的能力来抵抗入侵者，这一点是设计好陷阱最为困难的事情。好的陷阱通常具有保留证据的能力。

不包括；

自然事件风险和人为事件风险

软件系统风险和软件过程风险

项目管理风险和应用风险

功能风险和效率风险

信息安全审计的主要对象是用户、主机和节点。

信息安全审计， 揭示信息安全风险的最佳手段， 改进信息安全现状的有效途径，满足信息安全合规要求的有力武器。根据预先确定的审计依据（信息安全法规、标准及用户自己的规章制度等）。

在规定的审计范围内，通过文件审核、记录检查、技术测试、现场访谈等活动，获得审计证据，并对其进行客观的评价，以确定被审计对象满足审计依据的程度。

信息安全审计适用于各种类型、各种规模的组织，特别是对IT依赖度高的组织，如金融、电力、航空航天、军工、物流、电子商务、政府部门等。

各个行业和部门可以单独实施信息安全审计，也可以将信息安全审计作为其它审计与信息安全相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。

内容

信息系统安全性审计主要包括数据安全， *** 作系统安全，数据库系统安全，网络安全，设备安全，环境安全等方面。 *** 作系统介于硬件和其他软件之间，是所有软件运行的基础，因此 *** 作系统的安全性决定了整个软件系统的安全状。

而环境安全，设备安全属于硬件安全。数据库系统是管理信息系统最重要的支撑软件，数据库系统是否安全直接影响企业数据（特别是财务数据）的真实性和安全性。

内部控制审计的程序与方法

主要有四个步骤。

1、了解企业的内部控制情况，并做出相应的记录。这是内部控制制度审计的第一步，其主要目的是通过一定手段，了解被审计单位已经建立的内部控制制度及执行的情况，并做出记录、描述。审计人员应考虑被审计单位经营规模及业务复杂程度、数据处理系统类型及复杂程度、审计重要性、相关内部控制类型、相关内部控制汜录方式、固有风险的评估结果等因素，对内部控制的程序、控制环境、会计系统采取有效的方法进行审计，主要方法包括：（1）查阅前期审计报告或审计工作底稿；（2）询问被审计单位有关人员，并查阅相关内部控制文件；（3）检查内部控制生成的文件和记录； （4）观察被审计单位的业务活动和内部控制的运行情况：（5）选择若干具有代表性的交易和事项进行“穿行测试”。通过查阅复核以前的审汁情况，可以了解以前审计时所发现的问题产生的原因以及是否已得到纠正和改进，通过查阅相关规章制度、方针及政策等文件，查看组织机构系统图，和相关人员交谈对内部控制获得足够的了解，以便进行程序设计和制定运用方案。

2、初步评价内部控制的健全性。确认内部控制风险，确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制风险和内部控制的可依赖程度做出初步评价。初步评价实际上就是评价企业会计与内部控制在防止或发现和纠正错弊中的有效性的过程，通常出现以下情况之一时，应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平：（1）企业内部控制失效；（2）难以对内部控制的有效性做出评价；（3）不拟进行符合性测试。对某项会计报表认定而言，如果同时出现以下情况，则不应评价其控制风险处于高水平。（1）相关内部控制可能防止或发现和纠正重大错弊，（2）拟进行符合性测试。

3、实施符合性测试程序，证实有关内部控制的设计和执行的效果。

通过对内部控制进行初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试确定一个前提。审计人员只对那些准备信赖的内部控制执行符合测试，并且只有当信赖内部控制而减少的实质性测试的工作量大于符合性测试的工作量时，符合性测试才是必要和经济的。符合性测试是为了确定内部控制制度的设计和执行是否有效而实施的审计程序。其基本对象包括控制设计测试和控制执行测试，控制设计测试是测试被审计单位控制政策和程序是否设计合理、适当，能否防止或发现和纠正特定会计报表认定的重大错报或漏报：控制执行测试是测试被审计单位的控制政策和程序是否实际发挥作用。被审计单位的控制设计的再好，还必须靠有效的执行来发挥作用。

内部控制符合性测试常用的方法主要有四种：（1）询问法，审计人员为厂了解被审计单位各项业务 *** 作是否符合控制要求，而向有关人员询问某些内部控制和业务执行情况。例如，审计人员通过询问计算机管理人员，就可以知道未经授权的人员是否接触计算机文件、（2）观察法。审计人员亲临被审计单位的卜作现场，实地观察有关人员的实际厂作情况，以确定既定控制措施是否得到严格执行。如审计人员亲门到现场观察材料验收和入库情况，就可知道材料是否严格验收，并及时入库，库存材料是否有序摆放，是否安全存放。（3）证据检查法。审计人员抽取一定数量的账表、凭证等书面证据和其他有关证据，检查是否认真执行相关控制制度，以判断内部控制是否得到有效贯彻执行。如检查货款的支付是否有相关责任人和经办人的批准和签字，来判断实际工作中是否执行了批准控制程序。（4）重复执行法。审计人员就某项内部控制制度来按照被审计单位的业务程序全部或部分重做一次，以验证既定的控制措施是否被贯彻执行。

4、评价内部控制的强弱，评价控制风险，确定在内部控制薄弱的领域扩展审计程序，制定实质性审计方案。

通过以上步骤，审计人员会发现被审计单位内部控制制度是否建立、健全，哪些方面还存在薄弱环节，哪些内部控制制度得到了有效执行，哪些内部控制虽然建立但没有执行或执行不力，哪些内部控制是有效的，哪些内部控制是无效的。同时，就要对被审计单位的内部控制风险估计水平充分利用专业判断进行调整并做出综合评价，然后利用评价结果制定出实质性审计方案。综合评价的主要内容有：（1）内部控制有效实施，评价控制风险为低，规划仅对各项账户余额和交易进行有限的实质性测试。（2）重新调整内部控制的可依赖程度，制定出实质性审计諪审计人员在经过内部控制测试后，若发现部分内部控制没有得到有效执行，就应对内部控制风险估计水平和可靠性重新进行调整。适当扩大实质性审计的范围。（3）针对内部控制的缺陷，确定实质性测试的时间、范围和程序。通过符合性测试，审计人员根据所掌握具体缺陷和不足，制定下一步实质性审计方案，其范围应涵盖在初步评价和符合性测试中发现的存在缺陷的内部控制内容。（4）就内部控制缺陷，向被审计单位管理当局提出改进建议。审计人员对在审计中发现的内部控制问题进行汇总、整理，分析问题产生的原因和可能带来的后果，提出有效的改进措施，以管理建议书的方式，反映给被审计单位管理部门

噪声数据随着经济和信息技术的不断发展，许多企业开始引入了ERP等系统，这些系统使得企业的众多活动数据可以实时记录，形成了大量有关企业经营管理的数据仓库。从这些海量数据中获取有用的审计数据是目前计算机审计的一个应用。接下来我为你带来基于大数据审计的信息安全日志分析法，希望对你有帮助。

大数据信息安全日志审计分析方法

1．海量数据采集。

大数据采集过程的主要特点和挑战是并发数高，因此采集数据量较大时，分析平台的接收性能也将面临较大挑战。大数据审计平台可采用大数据收集技术对各种类型的数据进行统一采集，使用一定的压缩及加密算法，在保证用户数据隐私性及完整性的前提下，可以进行带宽控制。

2．数据预处理。

在大数据环境下对采集到的海量数据进行有效分析，需要对各种数据进行分类，并按照一定的标准进行归一化，且对数据进行一些简单的清洗和预处理工作。对于海量数据的预处理，大数据审计平台采用新的技术架构，使用基于大数据集群的分布式计算框架，同时结合基于大数据集群的复杂事件处理流程作为实时规则分析引擎，从而能够高效并行地运行多种规则，并能够实时检测异常事件。

3．统计及分析。

按照数据分析的实时性，分为实时数据分析和离线数据分析。大数据平台在数据预处理时使用的分布式计算框架Storm就非常适合对海量数据进行实时的统计计算，并能够快速反馈统计结果。Storm框架利用严格且高效的事件处理流程保证运算时数据的准确性，并提供多种实时统计接口以使用。

4．数据挖掘。

数据挖掘是在没有明确假设的前提下去挖掘信息、发现知识，所以它所得到的信息具有未知、有效、实用三个特征。与传统统计及分析过程不同的是，大数据环境下的数据挖掘一般没有预先设定好的主题，主要是在现有数据上面进行基于各种算法的计算，从而起到预测的效果，并进一步实现一些高级别数据分析的需求。

大数据分析信息安全日志的解决方案

统一日志审计与安全大数据分析平台能够实时不间断地将用户网络中来自不同厂商的安全设备、网络设备、主机、 *** 作系统、数据库系统、用户业务系统的日志和警报等信息汇集到管理中心，实现全网综合安全审计；同时借助大数据分析和挖掘技术，通过各种模型场景发现各种网络行为、用户异常访问和 *** 作行为。

1．系统平台架构。

以国内某大数据安全分析系统为例，其架构包括大数据采集平台、未知威胁感知系统、分布式实时计算系统(Storm)、复杂事件处理引擎(Esper)、Hadoop平台、分布式文件系统(HDFS)、分布式列数据库(Hbase)、分布式并行计算框架(Map／Reduce、Spark)、数据仓库(Hive)、分布式全文搜索引擎(ElasticSearch)、科学计算系统(Euler)。这些技术能够解决用户对海量事件的采集、处理、分析、挖掘和存储的需求。

如图1所示，系统能够实时地对采集到的不同类型的信息进行归一化和实时关联分析，通过统一的控制台界面进行实时、可视化的呈现，协助安全管理人员迅速准确地识别安全事件，提高工作效率。

2．实现功能。

系统能够实现的功能包括：审计范围覆盖网络环境中的全部网络设备、安全设备、服务器、数据库、中间件、应用系统，覆盖200多种设备和应用中的上万类日志，快速支持用户业务系统日志审计；系统收集企业和组织中的所有安全日志和告警信息，通过归一化和智能日志关联分析引擎，协助用户准确、快速地识别安全事故；通过系统的'安全事件并及时做出安全响应 *** 作，为用户的网络环境安全提供保障；通过已经审计到的各种审计对象日志，重建一段时间内可疑的事件序列，分析路径，帮助安全分析人员快速发现源；整个Hadoop的体系结构主要通过分布式文件系统(HDFS)来实现对分布式存储的底层支持。

3．应用场景。

上述系统可解决传统日志审计无法实现的日志关联分析和智能定位功能。如在企业的网络系统中，大范围分布的网络设备、安全设备、服务器等实时产生的日志量非常大，要从其中提取想要的信息非常困难，而要从设备之间的关联来判断设备故障也将是一大难点。例如，某企业定位某设备与周围直连设备的日志消息相关联起来判断该设备是否存在异常或故障，如对于其中一台核心交换机SW1，与之直连的所有设备如果相继报接口down的日志，则可定位该设备SWl为故障设备，此时应及时做出响应。而传统数据难以通过周围设备的关联告警来定位该故障，大数据审计平台则是最好的解决方法。

大数据分析方法可以利用实体关联分析、地理空间分析和数据统计分析等技术来分析实体之间的关系，并利用相关的结构化和非结构化的信息来检测非法活动。对于集中存储起来的海量信息，可以让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。

以上就是关于数据库安全审计系统的介绍全部的内容，包括:数据库安全审计系统的介绍、信息安全的相关技术、信息安全的威胁不包括什么等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！