转：企业IT管理必备的数据库审计基础知识

jwqqiqi

数据的不准确、不真实、不一致、重复杂乱等就会影响企业的健康。于是数据审计登上了历史舞台，数据是由信息系统中的数据库进行生成、保存和管理。
　    一、几个概念
     1、什么是审计：信息系统审计来源于传统的财务审计，因此审计是独立于被审计单位的机构和人员，对被审计单位的财政、财务收支及其有关的经济活动的真实、合法和效益进行检查、评价、公证的一种监督活动。
     2、什么是信息系统审计：信息系统审计又叫IT审计，也称IT监查，是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。
     3、什么是数据库：数据库（Database）是按照数据结构来组织、存储和管理数据的仓库。一般是由数据库管理软件来实现的，比如常见的数据库管理软件有Oracle、MySQL、Microsoft SQL Sever、DB2、Sybase等。
     4、什么是数据库审计：数据库审计至今并没有一个非常标准公开的定义，通常我们可以理解为针对数据库所执行的为达到审计目标的一系列检查、分析和测试活动。
     二、数据库审计的目的
     从大的方面讲，现在数据库审计的目的主要有两个，一个目的是合规，第二个目的是避免或减少风险。
     出于合规目的的审计，比如需要满足萨班斯要求的海外上市公司，每年都要随着信息系统审计一起对数据库执行审计。并为财务出具证实其财务数据是真实准确的报告，并附在财务审计报告中。另外在香港上市的公司也会有相关要求，对信息系统中的数据进行验证。
     第二种就是出于自身避免或减少风险的目的执行审计。常见的风险主要来自于以下几个方面：第一个就是如数据的不真实、不准确、不一致等等，我们可以称之为数据风险，它对财务数据、生产数据、业务数据等的真实性、准确性产生影响，最终影响企业的声誉和经营决策。第二种就是数据库本身的中断、死机、中病毒等，我们可以称之为数据库风险，它对业务、生产效率产生影响。第三种是利用数据库的权限职责执行舞弊、违规等操作，给企业带来某些财务损失的影响，我们称为违规风险，比如法国兴业银行倒闭案，就是交易员隐瞒了对交易数据的操作引发，与第一种目的不同之处，在于这种合规还包括了对公司规定的合规。通过实施数据库审计可以提前发现上述风险并采取必要的措施，将损失降低到最小或者避免损失发生。
     比较常见的信息系统审计，是基于数据安全需要的审计，涵盖在基于风险的审计当中。
     现在也有客户提出了一些比较新的审计需求，比如数据一致性审计、数据有效性审计等。
     三、数据库审计方法
    针对审计目的的不同，有多种审计方法可以使用：
     日志分析：通过分析数据库系统业务数据交易、操作日志，可以发现违规风险；通过分析数据库系统自身的系统日志、事件日志、巡检日志可以提前发现病毒、黑客攻击、系统故障等数据库风险。
     风险分析：风险分析是比较通用、广泛的一种分析方法，涵盖了日志分析方法。主要是通过一套风险分析理论方法，比较全面的分析数据库管理、技术方面存在哪些风险，并针对与这些风险进行审计。
     数据核对：也叫数据验证，主要是针对数据风险而言的，采用的方法也比较多，如重新计算、倒推法、比对法、程序分析、重新执行等，这是比较耗时、耗力的方法。比较少的单位采取这种方法，但是这是非常有价值的方法。因为数据库最终是为数据服务的，数据不准、有问题只有两种情况下才能知道，验算之后或者使用过程中。
     数据流分析：该分析方法通过利用数据的数据的生命周期，从数据的需求分析、创建、审批、变更、权限分配、更新、删除、流转等，分析数据存在的风险，验证数据控制措施的有效。
     测试：通过设置关键测试点，验证数据库对数据的管理过程是否有效，是否得到必要的控制。常见的测试方法有有效性测试、实质性测试、穿行测试等。
     数据库审计的方法很多，也有很多是借鉴了其它专业的方法，同时这些方法之间有些也有重叠的内容。具体的审计方法要根据具体的审计需求确定。
    四、审计工具
     除了我们可以采用手工的方法执行数据库审计外，我们也可以借助一些工具提高审计效率。
     市面上常见的数据库审计工具都是针对与数据操作行为、数据库管理行为、安全的审计工具，主要的品牌有汉邦、复旦光华、国都兴业、三零鹰眼、帕拉迪、启明星辰、绿盟、思福迪、网御神州等。这些产品主要功能有：
     · 支持Ms SQL、Oracle、DB2、Sybase、MySQL等主流的数据库管理系统；
     · 支持对标准SQL语句的审计；
     · 可以审计登陆的用户、源IP、目的IP，更深入的可以记录用户的操作等；
     · 支持语句和内容的还原；
     · 支持数据库流量的统计、超限报警等功能；
     · 可以根据预定规则阻断SQL语句的数据墙功能；
     · 安装方式有桥接、旁路、网关模式，有些可以安装主机代理（Agent），实现对主机数据的审计；
     · 都具备直观、简洁的报表生成功能。
     通过上述的功能描述，我们不难看出，这些工具只实现了数据库审计的部分功能，而像ACL、IDEA等这样专业的财务审计工具又无法满足信息系统审计的需要，因此很长一段时间是需要财务审计工具、数据库审计工具和手工审计才能完成一个比较全面数据库审计项目。
    五、小结
     数据库审计对于审计行业来说，还是比较新的审计需求，而且不同的厂家、不同的事务所、不同的客户对数据库审计的认知也是多种多样，存在一定的分歧，无论如何，至少客户开始认识到数据库审计的价值了，这是一个非常好的现象。

jwqqiqi

“数据库审计工具和手工审计才能完成一个比较全面数据库审计”比较有意思，有点像我们帕拉迪产品的理念哟。手工审计也需要工具和证据支撑。DbXpert，提供一切网络证据；DbXpert，实用性工具，管理员助手，螺旋策略适应。工具不应该是在出事情的时候用，应该天天用，时时用。我们帕拉迪的DbXpert，就是一个Watcher，超级Watcher。

jwqqiqi

欢迎关注新浪微博：帕拉迪网络科技