24周年

财税实务 高薪就业 学历教育
APP下载
APP下载新用户扫码下载
立享专属优惠

安卓版本:8.7.50 苹果版本:8.7.50

开发者:北京正保会计科技有限公司

应用涉及权限:查看权限>

APP隐私政策:查看政策>

HD版本上线:点击下载>

计算机审计应注重数据库安全

来源: 陈勇 编辑: 2009/09/03 17:29:56  字体:

  着“金审工程”的不断深入推进,各级审计机关信息化进程不断加快,计算机审计已成为最基本的审计工作方式,广大审计人员在工作中不断接触、利用各种数据库的同时,应注重数据库的安全性。

  数据库的安全性主要是指保护数据库,防止由于非法使用数据库造成数据泄露、更改或破坏。这涉及许多方面的问题,如软硬件控制、口令保密、操作系统安全、机房安全以及社会伦理道德等。数据库的安全保护措施是否有效,是数据库系统的主要性能指标之一。

  一、数据安全的层次

  在数据库系统中,数据的安全被划分为三个层次:存储安全、管理安全和网络安全。

  1、数据的存储安全

  存储设备和存储介质的损坏是数据安全面临的主要威胁之一,自然灾害也是造成数据丢失的重要方面。存储设备、介质的质量、使用时间等,都可能造成存储设备和介质失效,导致数据丢失。

  2、数据的管理安全

  单位内部人员操作的失误,人为窃取、破坏是数据安全面临的又一个主要威胁。数据的操作失误主要是用户拥有合法的数据操作权限,主观上不存在恶意的访问,只是因为在操作过程中由于误操作给数据库造成破坏或泄露。

  3、数据的网络安全

  当前,基于网络的数据库系统(C/S,B/S数据库)的应用日益广泛。由于数据库暴露在公共网络中,不可避免地遭到来自于网络的攻击。数据库系统必须建立完善的网络安全策略,防止黑客对数据的窃取、篡改、伪造和破坏。

  在威胁数据安全的因素中,数据存储安全是最基本的,数据的网络安全是最高层次的,三个层次之间相互联系、相互支撑,共同构成数据库的安全体系。

  二、数据库的安全机制

  数据库管理系统常用的安全措施主要包括用户标识和鉴别、存取控制、审计及数据库加密等。

  1、用户标识和鉴别

  任何数据库用户要访问数据库时,都要先声明自己的用户标识。系统首先检查该用户标识是否存在。若不存在,就拒绝此用户进入系统;但即使存在,系统还要进一步核实该用户是否确实是具有此用户标识的用户,只有通过核实的用户才能进入系统。主要的鉴别方法有口令、个人特征、磁卡等。

  2、存取控制

  对于通过鉴别的合法用户,系统根据其存取权限定义对他的各种操作请求进行控制,确保他只执行合法的操作。这就是存取控制。主要分为自主存取控制(DAC)和强制存取控制(MAC),它们共同构成了数据库系统的安全机制。系统首先进行DAC检查,对通过DAC检查允许存取的数据对象,再由系统自动进行MAC检查,只有通过MAC检查的数据对象才能被存取。

  3、审计

  审计功能是数据库安全性方面的重要组成部分,它是一种监视措施,把用户对数据库的所有操作都自动记录下来,放入审计日志。事后,数据库管理员可利用审计日志的记录,重现导致数据库现状的一系列事件,找出非法存取数据的人、时间和内容等。同时,审计也有助于发现系统安全方面的漏洞和弱点,在未产生问题时分析有无潜在的问题。

  4、数据库加密

  对于特别重要和高度敏感的数据,例如军事数据、商业秘密、国家机密等,除以上所提及的安全措施外,必须考虑到各种非法存取或破坏数据的可能性,在这种情况下,可以采用数据库加密技术,以密码形式存储和传输数据。即使非法存取者进入了系统,窃取了数据,没有密钥也不能对数据进行解密。因此,数据加密是防止数据库中数据在存储和传输中失密的有效手段。

  三、数据库安全性的管理策略

  (一)、对用户的管理

  在数据库管理系统中,通常对用户分为以下几个级别:

  1、系统管理员:负责整个系统的安全,其权限最高,管理整个网络资源、数据库资源及文件服务器资源等。

  2、数据库管理员:负责数据库的安全,主要管理数据库资源。

  3、开发人员:在安全授权下使用各种资源,可以在本地工作站及开发所涉及的数据、文件、设备等拥有最高的权限。

  4、用户:在安全授权下使用指定的资源,对本地工作站拥有一定的权限,可使用本地的一部分资源。

  通过对以上四类人员的合理管理实现对资源的有效控制,杜绝对数据的非法操作。

  (二)、对密钥的管理

  密钥的管理对于加密的数据库的安全起着决定性的作用,主要包括生成密钥所需的特征,让需要使用密钥的特定系统事先知道密钥,保护密钥不被泄露或替换。主要的管理方法有:密钥的建立、密钥的备份和恢复、密钥的替换和更新、密钥的吊销以及密钥的期满和终止等。

  审计工作中连接、采集、使用的各种数据库中涉及到国家、单位和个人的大量数据,其中很多数据可能是非常关键的、机密的或者涉及个人隐私。因此,审计人员必须要对数据库的安全性有所了解,掌握基本的安全机制和安全管理策略,严格保证数据的安全。

责任编辑:冠

实务学习指南

回到顶部
折叠
网站地图

Copyright © 2000 - www.chinaacc.com All Rights Reserved. 北京正保会计科技有限公司 版权所有

京B2-20200959 京ICP备20012371号-7 出版物经营许可证 京公网安备 11010802044457号