数据库审计系统

1.法令法规的要求 

1.计算机信息系统安全等级保护要求 

《计算机信息系统安全等级保护数据库管理技术要求》是计算机信息系统安全等级保护技术要求系列标准之一，详细说明了计算机信息系统为实现GB17859所提出的安全等级保护要求对数据库管理系统的安全技术要求，以及确保这些安全技术所实现的安全功能达到其应有的安全性而采取的保证措施。 

《计算机信息系统安全等级保护数据库管理技术要求》第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出： 

数据库管理系统的安全审计应： 

a) 建立独立的安全审计系统 

b) 定义与数据库安全相关的审计事件 

c) 设置专门的安全审计员 

d) 设置专门用于存储数据库系统审计数据的安全审计库 

e) 提供适用于数据库系统的安全审计设置、分析和查阅的工具 

2. 企业内部控制规范--基本规范的内部审计机制 

第二十六条：健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。企业应当加强内部审计工作，在企业内部形成有权必有责、用权受监督的良好氛围。 

3. 商业银行内部控制指引——计算机信息系统的内部控制 

4. 支付卡行业数据安全标准——要求和安全评估程序（2008） 

5. 电子银行安全评估指引（2007） 

6.电子银行业务管理办法（2008） 

7.期货公司信息技术管理指引 

8.《萨班斯SOX法案》 

2.DAS数据库审计功能和特点 

(1).最全的数据库类型支持 

DAS-DBAuditor支持目前市场上绝大部分的数据库类型，如Oracle、MS SQL server、DB2、Sybase、MySQL、Informix、Oscar等。 

(2).独立审计模式 

作为一个网络安全设备，DAS-DBAuditor审计数据通过网络完全独立地采集，这使得数据库维护或开发小组，安全审计小组的工作进行适当的分离。而且，审计工作不影响数据库的性能、稳定性或日常管理流程。 

审计结果独立存储于DAS-DBAuditor自带的存储空间中，避免了数据库特权用户或恶意入侵数据库服务器用户，干扰审计信息的沈阳小程序定制

(3).灵活的动态审计规则 

DAS-DBAuditor使用审计引擎对所有的数据库活动、数据库服务器远程操作进行实时的、动态的审计。 

(4).全方位、细粒度审计分析 

完整性：独一无二的三层审计，可针对应用层、中间层、数据层各层次进行关联审计； 

全方位：实时监控来自各个层面的所有数据库活动，包括SQL操作、ftp操作、telnet操作； 

细粒度：细粒度的审计规则、精准化的行为回溯、全方位的风险控制： 

敏感信息审计：精细到表、字段、记录内容的细粒度审计策略，实现对敏感信息的精细监控； 

重要审计：提供对潜在危险活动（如：DDL类操作、DML类操作）的重要审计优化视图； 

有效性：独有专利技术实现对数据库安全的各类风险（攻击风险、管理风险）的有效控制；灵活的、可自定义的审计规则满足了各类内控和外审的需求（有效控制误操作、越权操作、恶意操作等违规行为） 

公正性：基于独立监控审计的工作模式，实现了数据库管理与审计的分离，保证了审计结果的真实性、完整性、公正性； 

(5).合规的职责分离 

SOX法案或者专业职责标准(如PCI)中明确提出对工作人员进行职责分离，系统设置了权限角色分离，如系统管理员负责设备的运行设置；规则配置员负责相关数据库操作规则的设定；审计员负责查看相关审计记录及规则违反情况；日志员负责查看整体设备的操作日志及规则的修改情况等。 

 1/2    1 2 下一页 尾页