英语原文共 9 页,剩余内容已隐藏,支付完成后下载完整资料
审计数据库的技术和方法
Ioan RUS a
a “Petru Maior” University, Tirgu Mure s , Nicolae Iorga,no.1, Tirgu Mure s , 540088, Romania
摘要
本文旨在识别和展示帮助执行IT数据库审计的工具和技术。该研究总结了与国家和国际信息技术审计条例有关的问题。它强调了审计与其他方面的主要区别经济审计的形式(例如财务,内部或法定)。本文介绍了IT审计的主要组成部分,即数据中心审计,计算机网络审计,操作系统审计,Internet服务器审计,数据库审计,应用程序审计,外部访问流程IT审计(例如,无线电访问,来自移动设备的访问)。该研究的实际方面描述了数据库审计是IT审计过程的重要组成部分。提供了当前趋势,用于处理和存储关系中的数据具有数据存储中心,云处理和包含移动设备作为数据访问终端。作者做了一个介绍与数据库审计相关的数据库组件。数据库审计组件涉及:文件系统数据库,数据字典,数据库对象,数据库客户分析,数据保护和备份系统,安全性和数据保护数据库。本文的最后部分致力于为审计步骤准备一种新的实用方法和数据库审计中使用的技术手段。最后,作者强调了数据库审计对数据的重要性安全性以及开发新的技术审计方法的必要性,这些方法将与中国的快速发展达成共识信息技术。本文通过详细说明数据库审计相关方面,强调了此类审计的理论和实践方面。 我们发现,非计算机专家的用户在解释和使用IT审计报告时存在问题。
关键词:IT审计; 工具和技术; IT审计标准; 嵌入式计算系统; 数据中心; B/S架构;云计算; 信息技术。
1.简介
二十世纪的经济主要用于物质生产,实现这一目标所需的资本就是金钱。 现在,在二十一世纪,它的主要目的越来越明显活动是“智力生产”,即服务,研发,生产,营销,竞争等等,都将信息作为最宝贵的资产。
公司和个人的日常活动越来越多地受到电子信息处理的支配,互联网,内联网或组织的信息系统。任何信息的关键组成部分系统(Rus,2007)是:硬件资源,软件资源,人力资源和数据。最后一个组件是在实践中可以在两个方面找到:在信息意义上 - 分别作为逻辑概念结构在该数据意义上 - 作为信息测量的实际水平。 具体来说,将“人”视为作为信息的来源,他或她的特征是“年龄”,它在信息意义上是一种信息“45”表示其实际值。
经济活动的方向主要依赖于信息(即财务方面)交易,证券交易所报价,建立和谈判价格,拍卖等)同时进行受信息技术快速突变的刺激导致了发展和渗透的必要性实际上,信息系统在所有组织层面,而且在所有现在的社会和经济层面流程。审计这些更复杂的信息系统也成为控制这些系统的必要条件操作及其产生的影响。 应特别强调金融领域的活动和银行交易(Danescu,2007; Spatacean,2011)。
数据库审计必须为管理层提供有关操作和保护的相关要素组织内的数据。在本文中,我们将重点关注“数据库审计”,作为其中的一个独特组成部分信息审计,因为组织的数据变得越来越重要和脆弱。
2.问题制定
信息审计仅涉及信息系统的组成部分。 正因为如此,信息审计不能包含在其他类型的审计中。 信息审计寻求具体目标,具有特定程序并使用特定工具(Rus,2012)。 目标,程序,程序,组成部分和国际规则关于这个过程是由美国非营利协会ISACA(信息系统审计和控制)定义的协会)。 建立IT治理规则的美国标准称为COBIT(控制目标信息及相关技术)。 出于这个框架的目的,信息有七个重要的特征(http://www.isaca.org/Education/ COBIT- Education / Pages / default.aspx):
- 可用性 - 信息必须在决策过程中随时可用;
- 完整性 - 数据的内容和准确性必须符合规则和对组织的期望;
- 可比性 - 信息的逻辑结构及其具体价值必须反映出来它所表征的实际程序水平;
- 可靠性 - 信息必须与具体的决策过程相关提供服务;
- 效率 - 必须以最低的资源消耗提供信息;
- 有效性 - 信息必须相关,准确和及时地提供决策制造;
- 机密性 - 信息必须仅提供给他们想要的用户交付。
IT审计师还应考虑提供认证信息旨在增强投资者对财务报告流程的完整性和可靠性充满信心,从而减少利益冲突根据Spatacean(2011)的说法,股东和管理层之间。
欧洲标准,具体标准,即ISO 27000规定了以下三个特征:可用性,诚信和保密。 欧洲标准允许分析由其定义的其他分析特征核数师。
在数据库审计中用于国际规模的技术,阶段和技术方法是已知的,受监管和认证(Davis等,2011)。 在此,我们只能提到四项国际认证根据Rus和Danescu(2010年)的报告,由ISACA(信息系统审计和控制协会)提供,认证信息系统审计师(CISA) - 面向IT审计师; 认证信息安全经理(CISM) - 用于计算机安全经理; 获得企业IT治理(CGEIT)认证 - 面向IT专家系统治理; 获得风险和信息系统控制(CRISC)认证 - 适用于IT系统专家控制和风险。
在IT审计技术的背景下,我们提到了信息系统最重要的组成部分接受审计的是以下内容:
- 操作系统审计;
- Internet服务器(Web服务器)审计;
- 数据库审计;
- 数据中心和灾难恢复审计;
- 审计申请;
- 内部网络(LAN)审计;
- 外部网络(WLAN)和移动设备审计。
从技术角度来看,必须使用特定的技术手段对每个组件进行审核。技术一般来说,这意味用于IT审计的专用软件组件。 还有一些情况经过审核的软件组件可以是软件和硬件。 一个相关的例子是NAT(网络地址转换)用于从本地网络映射到Internet服务的IP的IP地址的功能供应商。 该功能可以由网络设备的硬件组件(由路由器)执行来自Internet服务器,但它也可以是安装在Internet服务器上的软件组件。
在本文中,我们讨论了审计数据库的问题,正是因为数据是一个非常重要的资本组织。 要审计的数据库中最重要的结构要素(Davis等,2011,第244页)如下:表存储一列或多列中的时间行; 存储程序;触发器;数据库实体质检的关系; 查看声明。
适用于数据库审计的技术遵循数据库审计过程中要采取的步骤,并说明必须如何进行每项分析。Chris Davis等人描述了21步检查表,解决这些问题的技术和实用方法。 (2011年),哈佛大学美国教授和美国主要公司的IT审计师。 本文描述了每个IT审计步骤的内容以及方法或实际方法。这些过程在我们为数据库审计中使用的仪表板(TBA_BD)设计的方法的表1中作为解释组件进行了描述。
从实施这些步骤的角度来看,在实践中,作为数据库或为数据库审计而设计的软件产品的功能,开发专用软件组件存在许多问题。我们列举了一些用于数据库审计的特定软件产品,没有任何特殊选择或层次结构选项:Croos-Platform Audit(http://www.enforcive.com/database-audit-software) - 用于审计具有多个数据库引擎的信息系统DB Audit and Security 360 v5.0.1.20(http://www.softtreetech.com) - 用于审计Oracle,SQL Server,DB2,Sybase和MySQL数据库服务器; Azure SQL数据库审计基础知识(http://azure.microsoft.com/en-us/documentation/ articles / sql-database-auditing-get-started /) - 用于审计功能,数据访问,数据库方案和子方案更改; Idera的SQL合规性管理器和ApexSQL Tools的ApexSQL Audit - 用于审核SQL Server数据库(http://sqlmag.com/sql-server/database-auditing-and-compliance-products),等等。
我们发现的问题是,特定软件产品的审计报告提供的结果并不统一,并且通常具有不同的含义或含义。 作为信息系统行为的分析师,我们发现,针对这些审计报告的组织的管理者很难评估审计结果。 在大多数情况下,由于审计报告的结果,它们没有一定的价值观来确定其自身信息系统的性能,功能和危险。 审计报告具有特定的IT领域元素,这是一项高度技术性的功能,专为IT专业人员而非管理人员和IT审计人员设计。
在这种情况下,我们发现的主要问题是,需要设计一个比较独立的数据库审计结果测量工具。我们同意这是本研究的主要目标。
3.解决问题
在设计用于开发数据库审计结果的比较独立测量工具的解决方案时,我们设定了以下假设:
- 根据COBIT标准(如上所列)的信息的七个特征是重要的IT审计最终分析的要素;
- 根据COBIT标准(上面列出的)信息的七个特征有所不同审计报告最终评估的重要程度。
- 这些过程需要在数据库审计过程中进行验证(例如,中列出的21个步骤)第2段和用于实际数据库审计)是各个方面的实际测量数据库审计;
- 设计的测量方法必须能够概括,易于应用并且非常清晰决策者。
基于这些假设,我们考虑采用平衡分数表(TSP)(“平衡计分卡”)(Kaplan和Norton(2014)作为研究目的。我们为每个评估过程定义了5到5级评估等级 如下:1 - 不正确; 2 - 相应; 3 - 中; 4 - 高; 5 - 非常高。等级应基于每个数据库审计过程自动获得的IT审计报告以及信息特征的接近程度。 因此,我们获得了表1中的表,我们将其命名为记分板数据库审计(TBA_BD)。
基于这些假设,我们考虑采用平衡分数表(TSP)(“平衡计分卡”)(Kaplan和Norton(2014)作为研究目的。我们为每个评估过程定义了5到5级的评估等级 如下:1 - 不正确; 2 - 相应; 3 - 中; 4 - 高; 5 - 非常高。等级应基于为每个数据库审计过程自动获得的IT审计报告以及与信息特征的接近程度有关的 因此,我们获得了表1中的表,我们将其命名为记分板数据库审计(TBA_BD)。
我们设计的记分板数据库审计(TBA TBD)方法具有以下结构元素(假设行由“i”表示,列由“j”表示)
- 这些线条反映了审计过程,“n”(i = 1,21);
- 列中列出了根据COBIT标准(j = 1,7)的信息“m”的基本特征;
- 对于每个信息特征,给出重要性权重(p j);
- 对于表的每个单元格,从1到5给出等级,考虑与每个被审计特征(N i,j)相关的每个被审计过程。 这些是通过各种既定的标准排序方法确定的(Briggs等人(2003);
表1 - 记分牌数据库审计(TBA TBD)
|
信息的特征 |
|||||||||
|
可用性 |
廉正性 |
可比性 |
可靠性 |
效率 |
有效性 |
保密性 |
最终评分 |
||
|
百分比% |
Pj |
||||||||
|
1.验证数据库是否正在运行供应商继续支持的数据库软件版本 |
X |
||||||||
|
2.确保根据您的数据库策略安装了所有已批准的修补程序 |
X |
||||||||
|
3.确定标准构建基准是否具有足够的安全设置 |
X |
||||||||
|
4.确保正确限制对操作系统的访问 |
X |
||||||||
|
5.确保正确限制对安装数据库的目录的权限以及数据库文件本身的权限。 |
X |
||||||||
|
6.确保正确限制数据库使用的注册表项的权限 全文共7311字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[2754] |
|||||||||
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
