【正文】 對(duì)信息系統(tǒng)中的網(wǎng)絡(luò)操作及業(yè)務(wù)系統(tǒng)操作進(jìn)行審計(jì)記錄，以便及時(shí)發(fā)現(xiàn)可疑行為及違規(guī)操作，采取相應(yīng)的措施。財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)五部委發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》等都要求對(duì)信息系統(tǒng)做好審計(jì)工作，保證信息系統(tǒng)的安全控制、權(quán)限設(shè)置、正確性、連貫性、完整性、可審計(jì)性和及時(shí)性等內(nèi)容。所面臨的風(fēng)險(xiǎn)包括數(shù)據(jù)的失竊、毀壞、截取、改動(dòng)、延誤或傳輸路徑的改變以及偽造信息。此外，電子商務(wù)的風(fēng)險(xiǎn)對(duì)交易雙方都構(gòu)成威脅。在中國(guó)，由于治理主體的明晰和到位，作為企業(yè)管理基礎(chǔ)提升的企業(yè)治理已經(jīng)成為現(xiàn)實(shí)問(wèn)題。薩班斯法案出臺(tái)后，法國(guó)和日本也都先后出臺(tái)了類似的新法規(guī)強(qiáng)化監(jiān)管?！八_班斯法案”是2002年美國(guó)國(guó)會(huì)通過(guò)的《上市公司會(huì)計(jì)改革與投資者保護(hù)法案》。在信息環(huán)境下，作為“公司治理”最重要組成部分之一——IT治理，在企業(yè)中扮演著越來(lái)越重要的角色。圖11 數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn) 滿足合規(guī)性要求目前, “公司治理”(Corporate Governance)問(wèn)題因上市公司頻頻“驚曝黑幕”而成為全球性的話題。 在安全風(fēng)險(xiǎn)管理方面，企業(yè)和政府部門(mén)隨著信息化建設(shè)的不斷發(fā)展促使信息價(jià)值不斷提升?？蛻粲涗?、財(cái)務(wù)報(bào)表以及患者數(shù)據(jù)都存在風(fēng)險(xiǎn)。而數(shù)據(jù)庫(kù)審計(jì)能大大降低企業(yè)信息數(shù)據(jù)所存在的風(fēng)險(xiǎn)。可企業(yè)信息劃建設(shè)隊(duì)伍的壯大卻很難覆蓋所有的崗位，企業(yè)信息人員身兼數(shù)職也就司空見(jiàn)慣了?？涩F(xiàn)實(shí)中，企業(yè)真正完全實(shí)現(xiàn)職責(zé)分離的卻屈指可數(shù)。信息安全管理體系ISMS明確了安全組織體系是基本安全管理措施中的重要一環(huán)。政府、行業(yè)和企業(yè)幾乎所有的業(yè)務(wù)活動(dòng)都是以信息系統(tǒng)作為支撐平臺(tái)的，而信息系統(tǒng)又是以數(shù)據(jù)庫(kù)系統(tǒng)作為核心，業(yè)務(wù)核心數(shù)據(jù)的處理與存儲(chǔ)都是由數(shù)據(jù)庫(kù)系統(tǒng)管理的。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)技術(shù)白皮書(shū)26 / 29目錄1 前言 12 數(shù)據(jù)庫(kù)審計(jì)的重要性 2 滿足合規(guī)性要求 2 降低安全性風(fēng)險(xiǎn) 4 數(shù)據(jù)完整性安全 4 內(nèi)部人員權(quán)限濫用 5 授權(quán)人員的非法操作 5 維護(hù)人員非法操作 5 技術(shù)風(fēng)險(xiǎn) 5 監(jiān)測(cè)可用性風(fēng)險(xiǎn) 6 避免審計(jì)風(fēng)險(xiǎn) 6 彌補(bǔ)傳統(tǒng)安全技術(shù)的盲點(diǎn) 7 傳統(tǒng)安全設(shè)備的盲點(diǎn) 7 數(shù)據(jù)庫(kù)自身日志審計(jì)的缺陷與危害 83 慧眼數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)簡(jiǎn)介 9 慧眼數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)介紹 9 慧眼數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)體系架構(gòu) 94 產(chǎn)品功能特點(diǎn) 11 防止管理員權(quán)限濫用 11 降低維護(hù)人員的安全隱患 12 保護(hù)重要數(shù)據(jù)安全 12 保障業(yè)務(wù)連續(xù)性 12 優(yōu)秀的處理性能 13 強(qiáng)大的分析能力 13 全面的信息分析能力 13 快速響應(yīng)預(yù)警機(jī)制 13 多角度的展現(xiàn)能力 145 產(chǎn)品優(yōu)勢(shì) 15 權(quán)能關(guān)聯(lián)模型 15 不影響業(yè)務(wù)系統(tǒng)的可用性 15 滿足合規(guī)性要求，促進(jìn)IT審計(jì) 15 促進(jìn)落實(shí)規(guī)章制度監(jiān)督管理機(jī)制 15 貫徹執(zhí)行權(quán)限管理原則（防止權(quán)限濫用） 16 提供多角度、多方位、精確的審計(jì) 16 定制化合規(guī)報(bào)表集，滿足審計(jì)需求 166 產(chǎn)品典型應(yīng)用環(huán)境 17 單級(jí)部署應(yīng)用 17 多路負(fù)載均衡部署應(yīng)用 17 多個(gè)監(jiān)測(cè)審計(jì)點(diǎn)應(yīng)用方法 18 多級(jí)分布式架構(gòu) 197 典型用戶 208 產(chǎn)品資質(zhì) 211 前言今天，幾乎所有行業(yè)的用戶業(yè)務(wù)都是建立在信息系統(tǒng)基礎(chǔ)之上的。IT與業(yè)務(wù)的融合給用戶帶來(lái)了效率提升和持續(xù)競(jìng)爭(zhēng)力，正如信息系統(tǒng)具有潛在的投資回報(bào)一樣，信息系統(tǒng)同樣具有潛在的風(fēng)險(xiǎn)，信息系統(tǒng)任何細(xì)微的變故，都有可能導(dǎo)致業(yè)務(wù)流程完全失效，信息系統(tǒng)在給電子政務(wù)、電子商務(wù)帶來(lái)了高效和便捷的優(yōu)越性同時(shí)，同樣給外部和內(nèi)部利用信息系統(tǒng)犯罪帶來(lái)了容易性和隱蔽性。因此，數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)作為信息系統(tǒng)安全性中最重要的重點(diǎn)加以保護(hù)，隨著信息化技術(shù)的快速發(fā)展，數(shù)據(jù)庫(kù)應(yīng)用范圍越來(lái)越廣，數(shù)據(jù)庫(kù)系統(tǒng)承載著本單位、本部門(mén)的各種業(yè)務(wù)數(shù)據(jù)，諸如財(cái)政賬務(wù)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、人員檔案數(shù)據(jù)等等，毫無(wú)疑問(wèn)，如何保證這些重要數(shù)據(jù)信息的完整性和真實(shí)性已逐漸成為用戶關(guān)注信息安全的主要內(nèi)容之一。內(nèi)部組織管理中，職責(zé)分離是有效減少偶然或故意的未授權(quán)訪問(wèn)、誤用和濫用的有效方法。信息化建設(shè)的不斷發(fā)展衍生了系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、安全管理員、系統(tǒng)分析員、系統(tǒng)程序員、應(yīng)用程序員、數(shù)據(jù)錄入員、計(jì)算機(jī)操作員等等崗位的職責(zé)分工。為了避免未完全達(dá)到職責(zé)分離的現(xiàn)實(shí)情況給企業(yè)的信息系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)隱患，信息審計(jì)作為職責(zé)分工補(bǔ)償成為了重要的完善企業(yè)內(nèi)部控制的基本措施。2 數(shù)據(jù)庫(kù)審計(jì)的重要性企業(yè)最核心、最重要、最有價(jià)值，同時(shí)也是最敏感的信息存儲(chǔ)庫(kù)——數(shù)據(jù)庫(kù)，很容易受到外部攻擊者利用 Web 應(yīng)用程序?qū)嵤┑墓粢约皟?nèi)部員工利用更直接的權(quán)限進(jìn)行的違規(guī)操作。因此，對(duì)于數(shù)據(jù)的安全管理和操作風(fēng)險(xiǎn)已經(jīng)引起政府、行業(yè)和企業(yè)高層管理者的高度重視。隨著業(yè)務(wù)和IT融合不斷地深入和數(shù)據(jù)共享需求的不斷擴(kuò)