Audit Database
Giảng viên: Trần Thị Kim Chi
1
Nội dùng
Giới thiệu về Audit Database
Các hoạt động của Auditi
Database Auditing Models
Application Data Auditing
Additing trong SQL
Auditing trong Oracle
2
Giới thiệu Audit
giám sát(Audit): giám sát và ghi lại những hoạt động
đã và đang xảy trong hệ thống một cách có chọn lọc.
Audit = Ai làm gì với dữ liệu nào khi nào và bằng
cách nào (Who did what to which data when and
how)
Trách nhiệm giải trình,
gọi tắt là giải trình
(Accountability): trách nhiệm tìm ra và chứng minh
nguồn gốc các hoạt động xảy ra trong hệ thống.
Hoạt động giám sát nhằm phục vụ cho hoạt động giải
trình
3
Giới thiệu Audit Database
Audit/auditing: quá trình kiểm tra và xác nhận các
tài liệu, dữ liệu, quy trình, thủ tục, hệ thống
Nhật lý giám sát (Audit log): tài liệu có chứa tất cả
các hoạt động đang được giám sát được sắp xếp
theo thứ tự thời gian
Mục tiêu giám sát: thiết lập các quy tắc kinh doanh,
điều khiển hệ thống, các quy định của chính phủ,
hoặc các chính sách bảo mật
4
Giới thiệu Audit Database
Data audit: giám sát lịch sử những thay đổi dữ liệu
được lưu trữ trong tập tin nhật ký hoặc các bảng
(table) của cơ sở dữ liệu.
Database auditing: giám sát lịch sử của các hoạt
động cơ sở dữ liệu
Internal auditing: kiểm tra các hoạt động được thực
hiện bởi các nhân viên của tổ chức giám sát bên
trong hệ thống
External auditing: : kiểm tra các hoạt động được
thực hiện bởi các nhân viên của tổ chức giám sát
bên ngoài hệ thống
5
Tại sao phải Audit Database
Trách nhiệm giải trình từ những hành động xảy ra
lên các dữ liệu (schema, bảng, dòng, …)
Kiểm tra hành động đáng ngờ (suspiciousactivity)
Ví dụ xóa dữ liệu từ một bảng
Thông báo nếu có người dùng không được ủy quyền
nhưng lại thao tác trên dữ liệu mà đòi hỏi phải có đủ
quyền truy cập (truy cập vượt quyền)
6
Tại sao phải Audit Database
Giám sát và ghi lại các hoạt động xảy ra nhằm phát
hiện các vấn đề trong quá trình định quyền và điều
khiển truy cập
Thống kê tình hình truy xuất tài nguyên để có biện
pháp cải thiện hiệu suất
Ví dụ: dựa vào các trường, bảng thường hay được
truy cập
Chọn cách đánh chỉ mục thích hợp để tăng hiệu suất.
giám sát để thỏa các yêu cầu chính sách pháp lý
(compliance): thể hiện trách nhiệm với dữ liệu của
khách hàng
7
Các chính sách(Compliances)
Các chính sách đưa ra các quy định cần phải tuân
thủ và các hướng dẫn cần thiết khi giám sát
Một số chính sách:
Health Insurance Portability and Accountability Act
(HIPAA)
Sarbanes-Oxley Act
Graham-Leach-Bliley Act (GLBA)
Các chính sách thường không mô tả công nghệ cần
thực thi
Cần xác định yêu cầu và lựa chọn công nghệ
8
Khi nào và giám sát những gì?
Khi nào nên giám sát?
giám sát tại mọi thời điểm từ khi hệ thống bắt đầu hoạt
động
giám sát những gì?
Việc giám sát có thể làm giảm hiệu suất của hệ thống
Chỉ nên giám sát những gì cần thiết
9
Khi nào và giám sát những gì?
Trong chính sách Sarbanes-Oxley, phần 404 có đưa
ra những hoạt động cần phải giám sát:
Hoạt động của những người dùng có quyền
Đăng nhập và đăng xuất
Những thay đổi trong các application trigger và data
trigger
Thay đổi quyền và mô tả thông tin của người dùng
Cấu trúc dữ liệu bị thay đổi
Các truy cập đọc và ghi trên những dữ liệu nhạy cảm
Những lỗi và ngoại lệ
Nguồn gốc của những hoạt động truy cập dữ liệu
Thời gian, tên chương trình, kích thước dữ liệu, câu
10
lệnh…
Nội dùng
Giới thiệu về Audit Database
Các hoạt động của Auditi
Database Auditing Models
Application Data Auditing
Additing trong SQL
Auditing trong Oracle
11
Các hoạt động của Audit
Đánh giá hiệu quả và đầy đủ của các thành phần
được giám sát
Xác định và xem lại độ tin cậy và tính toàn vẹn của
các thành phần được giám sát
Đảm bảo tổ chức tuân thủ chính sách, thủ tục, quy
định, pháp luật, và các tiêu chuẩn của chính phủ và
ngành công nghiệp
Lập kế hoạch, chính sách và thủ tục thực hiện giám
sát
12
Các hoạt động của Audit
Lưu lại tất cả các thay đổi cho các thành phần được
giám sát
Cập nhật những thông tin đã audit và các quy định
giám sát mới
Cung cấp tất cả các chi tiết giám sát cho tất cả nhân
viên công ty tham gia vào việc giám sát
Xuất bản hướng dẫn và thủ tục giám sát
Các hoạt động như liên lạc giữa các công ty và các
nhóm giám sát bên ngoài
13
Các hoạt động của Audit
Hoạt động như một nhà tư vấn cho các kiến trúc sư,
nhà phát triển, và các nhà phân tích kinh doanh
Tổ chức và thực hiện giám sát nội bộ
Đảm bảo tất cả các mục trong hợp đồng được đáp
ứng bởi các tổ chức được giám sát
Xác định các loại giám sát sẽ được sử dụng
Xác định các vấn đề an ninh phải được giải quyết
Tư vấn cho Vụ Pháp chế
14
Auditing Environment
Ví dụ giám sát:
giám sát tài chính
kiểm tra bảo mật
giám sát cũng đo lường sự phù hợp với các quy định
và luật pháp của chính phủ
giám sát diễn ra trong một môi trường:
Môi trường giám sát
Môi trường cơ sở dữ liệu giám sát
15
Auditing Environment
Các thành phần:
Mục tiêu: một giám sát
mà không có một tập hợp
các mục tiêu là vô dụng
Procedure-Thủ tục: thực
thi theo các bước hướng
dẫn và nhiệm vụ
People: giám sát viên,
nhân viên, nhà quản lý
Các đơn vị được giám
sát: người, tài liệu, quy
trình, hệ thống
16
Auditing Environment
Môi trường giám sát cơ sở dữ liệu khác với môi
trường giám sát chung
Các biện pháp an ninh là không thể tách rời
17
Auditing Process-Qui trình Audit
Đảm bảo chất lượng (QA):
Đảm bảo hệ thống là không lỗi và hoạt động theo
thông số kỹ thuật của nó
Quá trình giám sát: đảm bảo rằng hệ thống đang
làm việc và tuân thủ các chính sách, quy định và
pháp luật
18
Auditing Process-Qui trình Audit
Thực hiện giám sát: quan sát nếu có suy giảm hiệu
suất hoạt động vào những thời điểm khác nhau
giám sát quá trình dòng chảy:
Vòng đời phát triển hệ thống
Quá trình giám sát:
Hiểu được mục tiêu
Rà soát, xác minh và xác nhận hệ thống
Dẫn chứng kết quả
19
Auditing Process-Qui trình Audit
20
Auditing Process-Qui trình Audit
21
Quy trình giám sát
Quy trình giám sát do NIST đưa ra
22
Auditing Objectives
Cho phép giải trình những hành động hiện tại tham gia vào một
schema, bảng, dòng riêng biệt, hay một nội dùng cụ thể nào đó.
Ngăn cản user khỏi hành động không thích hợp dựa trên trách
nhiệm phải giải trình đó.
Điều tra các hoạt động đáng ngờ. Ví dụ, nếu một user không
được phép đang xóa dữ liệu từ một bảng nào đó thì người quản
trị bảo mật sẽ ghi lại tất cả những kết nối CDSL và tất cả những
hành động xóa các dòng từ bảng trong CSDL dù thành công hay
không thành công.
Thông báo cho người giám sát rằng có user bất hợp phát đang
thao tác hay xóa dữ liệu hay user có nhiều quyền hệ thống hơn
sự cho phép.
Giám sát và thu thập dữ liệu về các hoạt động CSDL cụ thể. Ví
dụ, người quản trị CSDL có thể thu thập thống kê về thông tin các
bảng đang được update, hay bao nhiêu users cùng trung cập vào
23
thời điểm cực đỉnh.
Auditing Objectives
10 mục tiêu giám sát cơ sở dữ liệu:
Data integrity
Application users and roles
Data confidentiality
Access control
Data changes
Data structure changes
Database or application availability
Change control
Physical access
Auditing reports
24
Các vấn đề với giám sát
giám sát là công cụ, không phải là mục tiêu
Nên sử dụng kết hợp giữa giám sát bên trong và
giám sát bên ngoài
Lưu trữ và bảo mật thông tin audit log
Tự động hóa và giám sát hoạt động giám sát
Kích thước của các audit log lớn, cần sử dụng các
công cụ kho dữ liệu (data warehouse) và khai phá dữ
liệu (data mining) để quản lý và phân tích dữ liệu
audit log
Vấn đề tính riêng tư trong audit log
25