Ⅰ 資料庫審計法規要求有哪些
法規控制在一些領域起了關鍵性的作用,例如在業務變更、業務流程驗證、系統故障、人為違規操作等方面。因為資料庫作為各項資產或者業務的核心,所以資料庫審計在各類標准法規中非常重要。
《薩班斯法案》強調加強與財務報表相關的IT系統內部控制,其中,IT系統內部控制是緊密圍繞信息安全審計這一核心的。
巴賽爾新資本協定(Basel II)要求全球銀行必須做好風險控管(risk management),而這項「金融作業風險」的防範正需要業務信息安全審計為依託。
《企業內部控制具體規范》明確要求計算機信息系統應採取權責分配及職責分工、建立訪問安全策略等審計措施以加強提高信息系統的可靠性、穩定性、安全性及數據的完整性和准確性。
《等級保護資料庫管理技術要求》 第四章「資料庫管理系統安全技術要求」中第四節「資料庫安全審計」中明確提出資料庫管理系統的安全審計應:建立獨立的安全審計系統;定義與資料庫安全相關的審計事件;設置專門的安全審計員;設置專門用於存儲資料庫系統審計數據的安全審計庫;提供適用於資料庫系統的安全審計設置、分析和查閱的工具。
《ISO15408-2 安全功能要求》明確要求資料庫安全審計應包括:識別、記錄、存儲和分析 那些與安全相關活動(即由TSP 控制的活動)有關的信息;檢查審計記錄結果可用來判斷發生了哪些安全相關活動以及哪個用戶要對這些活動負責。
Ⅱ 大數據信息安全技術有哪些
資料庫的安全性是指保護資料庫以防止不合法的使用所造成的數據泄露、更改或破壞。
安全性問題不是資料庫系統所獨有的,所有計算機系統都有這個問題。只是在資料庫系統中大量數據集中存放,而且為許多最終用戶直接共享,從而使安全性問題更為突出。 系統安全保護措施是否有效是資料庫系統的主要指標之一。 資料庫的安全性和計算機系統的安全性,包括操作系統、網路系統的安全性是緊密聯系、相互支持的。
實現資料庫安全性控制的常用方法和技術有:
(1)用戶標識和鑒別:該方法由系統提供一定的方式讓用戶標識自己咱勺名字或身份。每次用戶要求進入系統時,由系統進行核對,通過鑒定後才提供系統的使用權。
(2)存取控制:通過用戶許可權定義和合法權檢查確保只有合法許可權的用戶訪問資料庫,所有未被授權的人員無法存取數據。例如C2級中的自主存取控制(I)AC),Bl級中的強制存取控制(M.AC)。
(3)視圖機制:為不同的用戶定義視圖,通過視圖機制把要保密的數據對無權存取的用戶隱藏起來,從而自動地對數據提供一定程度的安全保護。
(4)審計:建立審計日誌,把用戶對資料庫的所有操作自動記錄下來放人審計日誌中,DBA可以利用審計跟蹤的信息,重現導致資料庫現有狀況的一系列事件,找出非法存取數據的人、時間和內容等。