Audit Database

Giảng viên: Trần Thị Kim Chi

1


Nội dùng
 Giới thiệu về Audit Database
 Các hoạt động của Auditi
 Database Auditing Models

 Application Data Auditing
 Additing trong SQL
 Auditing trong Oracle

2


Giới thiệu Audit
 giám sát(Audit): giám sát và ghi lại những hoạt động

đã và đang xảy trong hệ thống một cách có chọn lọc.
 Audit = Ai làm gì với dữ liệu nào khi nào và bằng
cách nào (Who did what to which data when and
how)
 Trách nhiệm giải trình,
gọi tắt là giải trình
(Accountability): trách nhiệm tìm ra và chứng minh
nguồn gốc các hoạt động xảy ra trong hệ thống.
 Hoạt động giám sát nhằm phục vụ cho hoạt động giải

trình

3


Giới thiệu Audit Database
 Audit/auditing: quá trình kiểm tra và xác nhận các

tài liệu, dữ liệu, quy trình, thủ tục, hệ thống
 Nhật lý giám sát (Audit log): tài liệu có chứa tất cả
các hoạt động đang được giám sát được sắp xếp
theo thứ tự thời gian
 Mục tiêu giám sát: thiết lập các quy tắc kinh doanh,
điều khiển hệ thống, các quy định của chính phủ,
hoặc các chính sách bảo mật

4


Giới thiệu Audit Database
 Data audit: giám sát lịch sử những thay đổi dữ liệu

được lưu trữ trong tập tin nhật ký hoặc các bảng
(table) của cơ sở dữ liệu.
 Database auditing: giám sát lịch sử của các hoạt
động cơ sở dữ liệu
 Internal auditing: kiểm tra các hoạt động được thực
hiện bởi các nhân viên của tổ chức giám sát bên
trong hệ thống
 External auditing: : kiểm tra các hoạt động được

thực hiện bởi các nhân viên của tổ chức giám sát
bên ngoài hệ thống
5


Tại sao phải Audit Database
 Trách nhiệm giải trình từ những hành động xảy ra

lên các dữ liệu (schema, bảng, dòng, …)
 Kiểm tra hành động đáng ngờ (suspiciousactivity)


Ví dụ xóa dữ liệu từ một bảng

 Thông báo nếu có người dùng không được ủy quyền

nhưng lại thao tác trên dữ liệu mà đòi hỏi phải có đủ
quyền truy cập (truy cập vượt quyền)

6


Tại sao phải Audit Database
 Giám sát và ghi lại các hoạt động xảy ra nhằm phát








hiện các vấn đề trong quá trình định quyền và điều
khiển truy cập
Thống kê tình hình truy xuất tài nguyên để có biện
pháp cải thiện hiệu suất
Ví dụ: dựa vào các trường, bảng thường hay được
truy cập
Chọn cách đánh chỉ mục thích hợp để tăng hiệu suất.
giám sát để thỏa các yêu cầu chính sách pháp lý
(compliance): thể hiện trách nhiệm với dữ liệu của
khách hàng
7


Các chính sách(Compliances)
 Các chính sách đưa ra các quy định cần phải tuân

thủ và các hướng dẫn cần thiết khi giám sát
 Một số chính sách:




Health Insurance Portability and Accountability Act
(HIPAA)
Sarbanes-Oxley Act
Graham-Leach-Bliley Act (GLBA)

 Các chính sách thường không mô tả công nghệ cần


thực thi
 Cần xác định yêu cầu và lựa chọn công nghệ
8


Khi nào và giám sát những gì?
 Khi nào nên giám sát?
 giám sát tại mọi thời điểm từ khi hệ thống bắt đầu hoạt
động
 giám sát những gì?
 Việc giám sát có thể làm giảm hiệu suất của hệ thống
 Chỉ nên giám sát những gì cần thiết

9


Khi nào và giám sát những gì?
 Trong chính sách Sarbanes-Oxley, phần 404 có đưa

ra những hoạt động cần phải giám sát:











Hoạt động của những người dùng có quyền
Đăng nhập và đăng xuất
Những thay đổi trong các application trigger và data
trigger
Thay đổi quyền và mô tả thông tin của người dùng
Cấu trúc dữ liệu bị thay đổi
Các truy cập đọc và ghi trên những dữ liệu nhạy cảm
Những lỗi và ngoại lệ
Nguồn gốc của những hoạt động truy cập dữ liệu
Thời gian, tên chương trình, kích thước dữ liệu, câu
10
lệnh…


Nội dùng
 Giới thiệu về Audit Database
 Các hoạt động của Auditi
 Database Auditing Models

 Application Data Auditing
 Additing trong SQL
 Auditing trong Oracle

11


Các hoạt động của Audit
 Đánh giá hiệu quả và đầy đủ của các thành phần

được giám sát

 Xác định và xem lại độ tin cậy và tính toàn vẹn của
các thành phần được giám sát
 Đảm bảo tổ chức tuân thủ chính sách, thủ tục, quy
định, pháp luật, và các tiêu chuẩn của chính phủ và
ngành công nghiệp
 Lập kế hoạch, chính sách và thủ tục thực hiện giám
sát

12


Các hoạt động của Audit
 Lưu lại tất cả các thay đổi cho các thành phần được






giám sát
Cập nhật những thông tin đã audit và các quy định
giám sát mới
Cung cấp tất cả các chi tiết giám sát cho tất cả nhân
viên công ty tham gia vào việc giám sát
Xuất bản hướng dẫn và thủ tục giám sát
Các hoạt động như liên lạc giữa các công ty và các
nhóm giám sát bên ngoài

13



Các hoạt động của Audit
 Hoạt động như một nhà tư vấn cho các kiến trúc sư,






nhà phát triển, và các nhà phân tích kinh doanh
Tổ chức và thực hiện giám sát nội bộ
Đảm bảo tất cả các mục trong hợp đồng được đáp
ứng bởi các tổ chức được giám sát
Xác định các loại giám sát sẽ được sử dụng
Xác định các vấn đề an ninh phải được giải quyết
Tư vấn cho Vụ Pháp chế

14


Auditing Environment
 Ví dụ giám sát:
 giám sát tài chính
 kiểm tra bảo mật
 giám sát cũng đo lường sự phù hợp với các quy định

và luật pháp của chính phủ
 giám sát diễn ra trong một môi trường:




Môi trường giám sát
Môi trường cơ sở dữ liệu giám sát

15


Auditing Environment
Các thành phần:
 Mục tiêu: một giám sát
mà không có một tập hợp
các mục tiêu là vô dụng
 Procedure-Thủ tục: thực
thi theo các bước hướng
dẫn và nhiệm vụ
 People: giám sát viên,
nhân viên, nhà quản lý
 Các đơn vị được giám
sát: người, tài liệu, quy
trình, hệ thống
16


Auditing Environment
 Môi trường giám sát cơ sở dữ liệu khác với môi

trường giám sát chung
 Các biện pháp an ninh là không thể tách rời

17



Auditing Process-Qui trình Audit
 Đảm bảo chất lượng (QA):
 Đảm bảo hệ thống là không lỗi và hoạt động theo

thông số kỹ thuật của nó
 Quá trình giám sát: đảm bảo rằng hệ thống đang
làm việc và tuân thủ các chính sách, quy định và
pháp luật

18


Auditing Process-Qui trình Audit
 Thực hiện giám sát: quan sát nếu có suy giảm hiệu

suất hoạt động vào những thời điểm khác nhau
 giám sát quá trình dòng chảy:



Vòng đời phát triển hệ thống
Quá trình giám sát:




Hiểu được mục tiêu
Rà soát, xác minh và xác nhận hệ thống

Dẫn chứng kết quả

19


Auditing Process-Qui trình Audit

20


Auditing Process-Qui trình Audit

21


Quy trình giám sát
 Quy trình giám sát do NIST đưa ra

22


Auditing Objectives
 Cho phép giải trình những hành động hiện tại tham gia vào một








schema, bảng, dòng riêng biệt, hay một nội dùng cụ thể nào đó.
Ngăn cản user khỏi hành động không thích hợp dựa trên trách
nhiệm phải giải trình đó.
Điều tra các hoạt động đáng ngờ. Ví dụ, nếu một user không
được phép đang xóa dữ liệu từ một bảng nào đó thì người quản
trị bảo mật sẽ ghi lại tất cả những kết nối CDSL và tất cả những
hành động xóa các dòng từ bảng trong CSDL dù thành công hay
không thành công.
Thông báo cho người giám sát rằng có user bất hợp phát đang
thao tác hay xóa dữ liệu hay user có nhiều quyền hệ thống hơn
sự cho phép.
Giám sát và thu thập dữ liệu về các hoạt động CSDL cụ thể. Ví
dụ, người quản trị CSDL có thể thu thập thống kê về thông tin các
bảng đang được update, hay bao nhiêu users cùng trung cập vào
23
thời điểm cực đỉnh.


Auditing Objectives
10 mục tiêu giám sát cơ sở dữ liệu:
 Data integrity
 Application users and roles
 Data confidentiality
 Access control
 Data changes
 Data structure changes
 Database or application availability
 Change control
 Physical access
 Auditing reports


24


Các vấn đề với giám sát
 giám sát là công cụ, không phải là mục tiêu
 Nên sử dụng kết hợp giữa giám sát bên trong và







giám sát bên ngoài
Lưu trữ và bảo mật thông tin audit log
Tự động hóa và giám sát hoạt động giám sát
Kích thước của các audit log lớn, cần sử dụng các
công cụ kho dữ liệu (data warehouse) và khai phá dữ
liệu (data mining) để quản lý và phân tích dữ liệu
audit log
Vấn đề tính riêng tư trong audit log
25