24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.30 蘋果版本:8.7.30

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

計算機審計應(yīng)注重數(shù)據(jù)庫安全

來源: 陳勇 編輯: 2009/09/03 17:29:56  字體:

  著“金審工程”的不斷深入推進,各級審計機關(guān)信息化進程不斷加快,計算機審計已成為最基本的審計工作方式,廣大審計人員在工作中不斷接觸、利用各種數(shù)據(jù)庫的同時,應(yīng)注重數(shù)據(jù)庫的安全性。

  數(shù)據(jù)庫的安全性主要是指保護數(shù)據(jù)庫,防止由于非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。這涉及許多方面的問題,如軟硬件控制、口令保密、操作系統(tǒng)安全、機房安全以及社會倫理道德等。數(shù)據(jù)庫的安全保護措施是否有效,是數(shù)據(jù)庫系統(tǒng)的主要性能指標(biāo)之一。

  一、數(shù)據(jù)安全的層次

  在數(shù)據(jù)庫系統(tǒng)中,數(shù)據(jù)的安全被劃分為三個層次:存儲安全、管理安全和網(wǎng)絡(luò)安全。

  1、數(shù)據(jù)的存儲安全

  存儲設(shè)備和存儲介質(zhì)的損壞是數(shù)據(jù)安全面臨的主要威脅之一,自然災(zāi)害也是造成數(shù)據(jù)丟失的重要方面。存儲設(shè)備、介質(zhì)的質(zhì)量、使用時間等,都可能造成存儲設(shè)備和介質(zhì)失效,導(dǎo)致數(shù)據(jù)丟失。

  2、數(shù)據(jù)的管理安全

  單位內(nèi)部人員操作的失誤,人為竊取、破壞是數(shù)據(jù)安全面臨的又一個主要威脅。數(shù)據(jù)的操作失誤主要是用戶擁有合法的數(shù)據(jù)操作權(quán)限,主觀上不存在惡意的訪問,只是因為在操作過程中由于誤操作給數(shù)據(jù)庫造成破壞或泄露。

  3、數(shù)據(jù)的網(wǎng)絡(luò)安全

  當(dāng)前,基于網(wǎng)絡(luò)的數(shù)據(jù)庫系統(tǒng)(C/S,B/S數(shù)據(jù)庫)的應(yīng)用日益廣泛。由于數(shù)據(jù)庫暴露在公共網(wǎng)絡(luò)中,不可避免地遭到來自于網(wǎng)絡(luò)的攻擊。數(shù)據(jù)庫系統(tǒng)必須建立完善的網(wǎng)絡(luò)安全策略,防止黑客對數(shù)據(jù)的竊取、篡改、偽造和破壞。

  在威脅數(shù)據(jù)安全的因素中,數(shù)據(jù)存儲安全是最基本的,數(shù)據(jù)的網(wǎng)絡(luò)安全是最高層次的,三個層次之間相互聯(lián)系、相互支撐,共同構(gòu)成數(shù)據(jù)庫的安全體系。

  二、數(shù)據(jù)庫的安全機制

  數(shù)據(jù)庫管理系統(tǒng)常用的安全措施主要包括用戶標(biāo)識和鑒別、存取控制、審計及數(shù)據(jù)庫加密等。

  1、用戶標(biāo)識和鑒別

  任何數(shù)據(jù)庫用戶要訪問數(shù)據(jù)庫時,都要先聲明自己的用戶標(biāo)識。系統(tǒng)首先檢查該用戶標(biāo)識是否存在。若不存在,就拒絕此用戶進入系統(tǒng);但即使存在,系統(tǒng)還要進一步核實該用戶是否確實是具有此用戶標(biāo)識的用戶,只有通過核實的用戶才能進入系統(tǒng)。主要的鑒別方法有口令、個人特征、磁卡等。

  2、存取控制

  對于通過鑒別的合法用戶,系統(tǒng)根據(jù)其存取權(quán)限定義對他的各種操作請求進行控制,確保他只執(zhí)行合法的操作。這就是存取控制。主要分為自主存取控制(DAC)和強制存取控制(MAC),它們共同構(gòu)成了數(shù)據(jù)庫系統(tǒng)的安全機制。系統(tǒng)首先進行DAC檢查,對通過DAC檢查允許存取的數(shù)據(jù)對象,再由系統(tǒng)自動進行MAC檢查,只有通過MAC檢查的數(shù)據(jù)對象才能被存取。

  3、審計

  審計功能是數(shù)據(jù)庫安全性方面的重要組成部分,它是一種監(jiān)視措施,把用戶對數(shù)據(jù)庫的所有操作都自動記錄下來,放入審計日志。事后,數(shù)據(jù)庫管理員可利用審計日志的記錄,重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)狀的一系列事件,找出非法存取數(shù)據(jù)的人、時間和內(nèi)容等。同時,審計也有助于發(fā)現(xiàn)系統(tǒng)安全方面的漏洞和弱點,在未產(chǎn)生問題時分析有無潛在的問題。

  4、數(shù)據(jù)庫加密

  對于特別重要和高度敏感的數(shù)據(jù),例如軍事數(shù)據(jù)、商業(yè)秘密、國家機密等,除以上所提及的安全措施外,必須考慮到各種非法存取或破壞數(shù)據(jù)的可能性,在這種情況下,可以采用數(shù)據(jù)庫加密技術(shù),以密碼形式存儲和傳輸數(shù)據(jù)。即使非法存取者進入了系統(tǒng),竊取了數(shù)據(jù),沒有密鑰也不能對數(shù)據(jù)進行解密。因此,數(shù)據(jù)加密是防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段。

  三、數(shù)據(jù)庫安全性的管理策略

  (一)、對用戶的管理

  在數(shù)據(jù)庫管理系統(tǒng)中,通常對用戶分為以下幾個級別:

  1、系統(tǒng)管理員:負(fù)責(zé)整個系統(tǒng)的安全,其權(quán)限最高,管理整個網(wǎng)絡(luò)資源、數(shù)據(jù)庫資源及文件服務(wù)器資源等。

  2、數(shù)據(jù)庫管理員:負(fù)責(zé)數(shù)據(jù)庫的安全,主要管理數(shù)據(jù)庫資源。

  3、開發(fā)人員:在安全授權(quán)下使用各種資源,可以在本地工作站及開發(fā)所涉及的數(shù)據(jù)、文件、設(shè)備等擁有最高的權(quán)限。

  4、用戶:在安全授權(quán)下使用指定的資源,對本地工作站擁有一定的權(quán)限,可使用本地的一部分資源。

  通過對以上四類人員的合理管理實現(xiàn)對資源的有效控制,杜絕對數(shù)據(jù)的非法操作。

  (二)、對密鑰的管理

  密鑰的管理對于加密的數(shù)據(jù)庫的安全起著決定性的作用,主要包括生成密鑰所需的特征,讓需要使用密鑰的特定系統(tǒng)事先知道密鑰,保護密鑰不被泄露或替換。主要的管理方法有:密鑰的建立、密鑰的備份和恢復(fù)、密鑰的替換和更新、密鑰的吊銷以及密鑰的期滿和終止等。

  審計工作中連接、采集、使用的各種數(shù)據(jù)庫中涉及到國家、單位和個人的大量數(shù)據(jù),其中很多數(shù)據(jù)可能是非常關(guān)鍵的、機密的或者涉及個人隱私。因此,審計人員必須要對數(shù)據(jù)庫的安全性有所了解,掌握基本的安全機制和安全管理策略,嚴(yán)格保證數(shù)據(jù)的安全。

責(zé)任編輯:冠

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.jnjuyue.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號