学文网数据库审计篇1
(1)本单位的基本情况,包括本单位组织结构、人员构成、经营业务范围规模、科研生产经营管理情况,单位在行业中的地位、优势、特色,以及取得的各种荣誉和奖励等。(2)本单位目前执行的各种法规制度和内控制度。(3)历年财务数据,包括会计科目余额汇总表、明细科目、全年每张凭证的明细内容;还可能包括基建账目的会计科目余额汇总表和序时账,以及固定资产计提折旧、大修理基金的汇总表,分摊到各个科研项目设备费的分摊明细数据和分摊依据说明;每年的管理费用分摊表及其明细表,以及对分摊依据进行说明,等等。(4)被审计项目的文件资料。(5)有关基础数据。如固定资产增减变动情况表、原材料出入库汇总表和入库单、领料单明细表、固定资产采购合同、进口设备结算单、施工合同、施工***、工程预结算书、设计变更、工程洽商及现场鉴证资料、单项工程质量评定材料、竣工验收文件,中介机构提供的工程结算审核报告、客户名录、招投标数据库、各类合同,等等。(6)接受外部检查的资料。如审计报告、审计意见书和专项审核报告等以及税务、财***、社保、环保、消防安全机构、质量体系、集团公司等对单位各项检查结果检查的结论性意见。(7)内部审计的资料。(8)所属子公司和附属单位的数据资料。总之,满足审计需要的数据,众多且庞杂。
二、建立和管理审计数据仓库
数据仓库的建设是以现有业务系统的积累为基础。数据仓库建设是一个工程,是一个过程。数据仓库建立不是一蹴而就的,一成不变的,需要平时不断地收集和整理。根据数据仓库的特点,数据内容是历史的、存档的、归纳的、计算的数据。在管理中需要注意以下几点:1.传统操作型数据库中的数据要抽取、净化和转换成“干净”数据后才能进入数据仓库。源数据可能有很多与审计无关的信息,经过净化和转换的数据才是审计有用的数据。2.数据仓库的数据特性是历史的、静态的、定时添加的,数据仓库内已经存在的数据不会改变,要定期持续对有关内容进行维护,产生的新数据要及时添加补充,单位若有新的规章制度也需添加进去。3.数据仓库里的数据和资料,一般可按年度来建立,跨年度的被审计项目数据就可以方便地从各个年度数据仓库中提取。4.数据仓库里的数据是有时效性的,而被审计项目往往跨越几个年度,不同时期所遵循实施的标准和管理规定也不尽相同。在数据仓库中要合理划分不同时间区段。5.遇审计项目内容的,只提供给有保密资质的外审人员,并签署保密协议;若外部审计单位没有审计资质,则需要删除数据仓库中的信息后转化为非密版本,即可按和非准备两套版本,根据不同需要提供不同的版本。6.建立数据仓库需要各个部门的大力沟通配合共同建设。建立数据仓库之后,审计部门将所有收集来的审计相关信息存放在一个唯一的地方——数据仓库。仓库中的数据按照一定的方式组织,从而使得审计信息容易存取并且有使用价值,从而大大提高审计效率。
三、数据分析应用于数据仓库
数据库审计篇2
【关键词】 电信;数据仓库;数据审计;内部安全
近年来,随着信息技术的大规模使用,国内电信企业信息安全问题凸显,移动充值卡破解、电信计费数据库清零等各类事件,使我们认识到,电信行业内业务系统的信息安全治理问题已经成为了当前的一道难题。从这个角度来看,本文对电信企业数据库审计以及内部安全问题进行研究具有一定的现实意义。
1电信企业数据库安全现状
电信行业的信息化提高了企业的工作效率,也提升了电信企业的服务质量。但是,由于当前电信企业的数据库普遍采用的是传统的安全防范技术,过分强调单个安全产品的重要性,比如对防火墙的性能以及功能过分的信赖,导致对其数据库信息安全缺乏一个系统、完整的解决方案。同时,由于我国的电信企业业务发展非常快,用户数量快速增长的同时也导致数据剧增, 在这个过程中,电信企业也面临着需要更多的数据访问的威胁、内部人员威胁、软件开发商等外部人员的威胁以及防火墙内部黑客攻击的威胁等等。这些威胁的客观存在在实践中也造成了不少的电信企业数据库安全事故。总之,电信企业数据库安全问题不容乐观。
2电信企业数据库审计与内部安全系统的设计
2.1电信企业数据库审计与内部安全系统所需实现的功能
根据电信行业的特殊性,以及当前我国电信企业在数据库审计以及内部安全方面的现状,我们认为,电信企业数据库审计与内部安全系统所需实现的功能有如下几个方面:(1)能够实时的进行审计,通过对电信企业的各项业务数据的实时收集,审理各业务系统的安全审计日志;(2)对数据库审计策略进行管理,如果电信企业数据库是Oracle数据库,则需要能实现对细粒度审计信息的收集;(3)监控多种数据平台,保证良好的扩展性;(4)支持多业务系统的审计日志统一管理,保障信息化系统数据的安全性与合规性;(5)对审计信息进行良好的展现与分析,并且实时观察电信企业核心业务的安全性。
2.2电信企业数据库审计与内部安全系统的架构设计
本次设计的电信企业数据库审计与内部安全系统的架构包括了四个核心部分,即审计数据源、审计信息的采集、审计信息的汇总以及分主题的展现,详情如下***所示:
***1电信企业数据库审计与内部安全系统的架构设计
2.3系统的实现
数据源部分,主要包括了与客户经营活动相关的各种数据,首先确保系统具有较强的可扩展性,使其能够支持各种数据源的接口,包括CRM数据系统、综合计费账务系统、综合结算系统、客户服务系统以及财务系统等。
数据采集部分,主要是采集如下几个方面的数据:(1)各类业务系统的数据库审计策略;(2)根据审计策略定时从需要监控和审计的业务系统中获取审计结果。
审计信息汇总部分,实际上就是一个数据仓库,通过将各类数据进行分析,建立自动数据处理机制,为数据库的审计以及内部监控信息的分析提供一个完整的、可靠地、统一的数据存储。
分类主体展现方面,实际上就是通过配合不同的数据分析应用,通过客户机或者浏览器的方式,对数据进行可视化的呈现,使得数据能够更好的被用户所接受和理解,实现数据库审计以及内部信息监控的价值,从而有效的提高决策准确性与决策的效率。要实现这些功能,实现要通过前端分析工具对数据仓库进行OLAP分析,由于其具有内置的开发空间,是一种所见即所得的开发方式,能够通过数据表、交叉表、曲线***等各种不同的形式或者组合形式来表现分析结果,对数据进行多维分析、趋势分析、意外分析、排名分析、比较分析、原因和影响分析以及What-If分析,从而实现数据库的审计和内部信息监管。
3结语
当前,电信行业内的业务信息系统的安全治理是电信企业面临的一道难题。这既有来自于电信企业外部的层出不穷的入侵和攻击,也有来自于电信企业内部的违规和泄漏。由于电信业务系统众多(如:OSS、BSS、MSS、销账、EIP、OCS、财务、营销支撑、计费结算等),数据库用户较多,涉及数据库管理员、内部员工、营业厅及合作方人员等,因此网络管理更加复杂文章对当前我国的电信企业数据库安全现状进行了大致的分析,信息技术的飞速发展和普及,改变了现代企业的经营方式,越来越多的企业在正常的生产经营过程中,已经离不开IT系统的支持。在此基础上针对电信企业的业务开展特点和现状,提出了电信企业数据库审计及内部信息安全系统的基本需求,构建了系统的基本架构,并且对主要功能模块的实现进行了大致的探讨。希望本文的研究对于改善我国的电信企业信息安全现状能够有一定的推动和促进作用。
参考文献
[1] 刘畅. 构建基于数据仓库的劳动力服务决策系统[J]. 现代计算机. 2003(09)
[2] 张摘月,王峰. 数据仓库技术在基层人民银行的应用研究[J]. 中国金融电脑. 2001(08)
[3] 朱义***,王乘. 应用在电力系统中的数据仓库及其设计[J]. 广西电力. 2003(03)
[4] 王姝华,仲华,吕明. 移动通信企业数据仓库系统设计初探[J]. 江苏通信技术. 2004(02)
数据库审计篇3
随着信息技术的飞速发展,数据库的应用愈加广泛,深入到各个领域,但随之面来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。
近年来,数据库被攻击和数据窃取事件层出不穷,导致严重的经济问题和社会问题。国内也出现企业级数据库服务器多次被攻击,给企业带来了经济和声誉上的损失等等。越来越多的大型企业意识到了数据库行为审计的重要性,现在采用***的数据库审计产品己经成为业界的趋势。
目前,南车戚墅堰机车有限公司的数据库管理主要面临以下挑战: 管理风险:主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范,第二方维护人员的操作监控失效等等,离职员工的后门,致使安全事件发生时,无法追溯并定位真实的操作者。
技术风险:数据库是一个庞大复杂的系统,安全漏洞如溢出、注入层出不穷,每一次的CPU都疲于奔命,面出于稳定性考虑,往往对补丁的跟进非常延后,目前的现实状况是很难通过外部的任何网络层安全设备来阻止应用层攻击的威胁。
审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能;数据库日志文件本身存在被篡改的风险、自己的日志审计也难以体现审计信息的有效性和权威性。此外,对于海量数据的挖掘和迅速定位也是任何审计系统必须面对和解决的核心问题之一。基于数据库安全和审计的重要性以及企业精细化管理的要求,公司计划使用第二方权威的数据库审计产品,对重要数据库服务器进行统一的审计和管理,满足企业信息化建设的需求。
1数据库审计系统应用目标
依据***相关根据及南车集团总部信息安全管理规范化的要求,结合南车戚墅堰机车有限公司实际的情况,在保证网络及业务的访问的安全性、连续性、稳定性的前提下,实现对指定数据库审计并记录所有的关键信息,保证数据库有效安全地访问。数据库审计设备用于公司重要数据库的安全审计,对重要数据的增删改查操作的全方位审计记录,同时也提供恶意攻击数据库的防护和监控手段,满足上市公司企业内控的要求。
2数据库审计系统部署
公司通过前期的详细调研和评估,选择了Imperva的数据库审计系统,保护公司核心系统运行的SQL或Oracle等数据库,对数据库操作进行统一监控和防护,及时发现异常行为。
数据库审计系统通过***的网络硬件设备,不消耗数据库服务器处理,内存或硬盘资源。单一的Secure Sphere网关足够满足多个数据库服务器的要求。系统提供丰富的借口和强大的处理能力,同时可以提供所有业务功能。
数据库安全监控网关,采用侦听模式的部署方式,简洁力-便,只需要通过交换机的端口镜像,将需要保护的服务器的流量导入到数据库安全保护网关引擎的业务接口即可,网关完全处于业务通道外,对现有系统影响最小。这种部署方式提供了完善的针对数据库的审计功能,实现了对非法的访问或违反策略的访问进行实时的告警。
3数据库审计系统的应用优势
数据库审计系统使用实时的Kernel方式来处理和分析SQL协议,尽可能减少硬盘的读写,采用将审计信息写入CSV文件的方式提高记录审计信息的速度,所有的流量都会经过检测,面不用写入到文件中。只有相应的安全时间和必要的审计信息才写到硬盘上,这样就极大地提高了处理效率。
数据库审计系统提供的适合数据库访问的高性能和特性网关,通过捕获、分析、审计实时的网络流量,并且可以审计来回的双向流量,发现高级权限操作和非法行为,提供实时告警和}实时阻拦,不影响数据库服务器本身性能,不对现有业务造成任何影响。
数据库审计系统可制定灵活的审计策略,可以给任意的数据库设定任意的审计策略。系统提供了很多任意颗粒度的细化面灵活的审计规则,包括JO数据库审计系统的安全策略和审计策略完全分开,可以使得设备灵活的对流量进行安全检测,同时进行灵活的审计记录。出于安全考虑,可以检测所有的流量不管是不是被审计的,同时可以让用户选择需要记录下来哪些数据库的访问作为审计信息,这两个过程完全是***和并行进行的,这样就在保证了系统对数据库进行全面的安全审查的同时,减少了需要审计和存储的数据库访问信息。 数据库审计系统提供了各种灵活的对常用软件和应用,如SAP, Oracle EBS or PeopleSoft特制的报告模板,面细粒度的灵活的报告设计结构,可以随意设置怎样生成报告和展现数据,并利用各种***形和列表方式展现数据。
4实际应用效果
戚墅堰公司的数据库审计系统目前建立了OA. ERP. PDM.e-HR四个数据库站点,应用了相应策略,建立了审计机制,并通过实时监测,定期出具审计报告。系统的投入应用,在公司内建立了一套数据应用系统的预警、危机防范和事故监控加固机制,使管理和访问人员能对数据库及相关服务器的各类操作进行完整记录和管理并在事故发生后依据相关信息对事故的起源进行可靠、准确的和快速的分析和判断,为数据库及相关系统的正常运行提供加固保障,实现了重要数据库操作都能有据可查、责任到人。
5下阶段的研究目标和方向
(1)扩大数据库审计应用的范围
在现有的几个列入数据库审计系统的重要数据库之外,逐步将公司其它各类应用系统数据库纳入到审计范围内,使得数据库审计范围达到基本全覆盖,得到充分地应用。
(2)加强监控和审计策略的制定
建立数据敏感表,加强对敏感数据访问的审计力度,加强数据库访问的安全策略的设定,丰富各类安全事件的报警机制,形成更加详尽全面的数据库审计报告。
数据库审计篇4
一、引言
中共中央办公厅、***办公厅印发的《2006━2020年国家信息化发展战略》中对信息化做了如下定义:信息化是指对信息技术进行充分利用,对信息资源进行大力开发,推动信息和知识的交流共享,加快经济增长,并促进经济和社会发展与转型的历史进程。在现代审计工作中,很多被审单位的信息网络化,更加凸显了审计信息化在审计工作中的重要地位,审计信息化是现代经济社会发展的必然要求和结果。而实行审计信息化的前提需要一个高度集成的信息管理平台,这一审计信息化管理平台包括预先设置在里面的审计方法和标准,以及以往的审计档案和电子数据等。它可以帮助审计工作人员实现对审计方法、审计标准、审计决策的***联网选择,以及审计证据的整理和审计程序的实施。
二、***府投资工程审计信息化现状
随着国家审计署“金审”工程的《现场审计实施系统》(AO)和《审计管理系统》(OA)系统的部署,审计工作应实现从审计手工账到审计电子账的转换,并做到无纸化办公,提高工作效能和审计质量。但在当前的审计工作中,审计信息化在被审单位的财务管理方面作用明显,而对于***府投资项目的建设管理、造价控制、投资绩效、预算执行等重要审计内容缺乏系统的方法。***府投资的工程项目具有投资额大、建设期长、参与单位众多的特点。在***府投资项目的实际审计工作中,被审计对象类型众多、形式多变、数据繁杂,传统的信息化审计没有针对特定***府投资项目的审计信息系统,进而导致审计工作周期过长和效率低下。据此提出建立***府投资工程审计信息数据库,来更好地提升审计作业水平并规避审计风险。
三、***府投资工程审计信息数据库内容构建
***府投资工程审计信息数据库包括六大版块,它们分别是造价联网审计数据库、财***联网审计资料库、利益相关方数据库、法律法规数据库、审计方法数据库以及年度审计档案数据库。在***府投资工程审计工作中,审计工作人员以***府投资工程审计信息数据库为工作平台,实现审计数据的共享和审计工作从静态到动态的转变,达到提高工作效率并节省大量工作时间的目的。
(一)造价联网审计数据库
计算机网络通信技术、存储系统以及造价软件的综合运用,使审计工作人员可以通过造价联网审计数据库进行数据的远程***查询和维护。利用数据库技术,将造价软件的工程定额数据库、实时更新的工料机的市场价格数据库以及利用造价软件审计的最终报表与造价联网审计数据库进行连接,这样审计人员可以直观系统地查询和筛选数据,审计分析设备和材料价格是否真实准确,以及是否存在变更单价、偷工减料、虚增工程量、高套定额等问题,并直接应用造价软件审核数据处理的结果,形成造价审计报表,替代传统的人工算量和对量,大幅度地提高工作效率。
(二)财***联网审计资料库
由于***府投资工程的特殊性,一般都需要***府***门的预算评价审核,作为审计单位,要做的就是预算执行审计。财***联网审计资料库为***府投资工程的预算执行审计提供了一个数据资源共享的平台。通过与财***预算评审中心的连接,实现了电子数据的传送和采集,并能够被财***联网审计资料库所保存,方便审计工作人员随时查阅被审单位信息和实时电子数据,并通过采集、处理和转换,最终成为审计电子数据,大大节省了审计人员对被审单位或投资项目的数据采集时间。通过财***联网审计平台,大量数据被存档,并形成财***审计数据资料库,审计工作人员可以在此基础上进行数据的宏观分析与对比,提高审计效能。
(三)利益相关方数据库
***府投资工程所涉及的利益相关单位有***府相关职能部门、建设单位、勘察单位、设计单位、监理单位、施工单位和招标单位等。利益相关方数据库主要是把与***府投资工程项目相关的各单位数据都集中连接在一起,审计工作人员可以在利益相关方数据库平台上全局把握被审工程各方面信息。比如,通过与设计单位的连接,可以审计分析设计概算是否合理、设计完善合理度是否引起工程频繁变更,进而影响造价;通过与招标单位的连接,可以审计分析招投标是否存在“明招暗定”、“围标”等现象。
(四)法律法规数据库
法制建设是审计工作开展和审计事业发展的前提和保障,依法审计是审计工作的基本原则。同时,审计“免***系统”功能的发挥与相关法律、法规的建设是密不可分的。在审计工作中,法律、法规往往是撰写审计报告的重要依据。法律法规数据库主要包括审计相关的法律法规、工程建设法律法规和其他规范性文件等。它的建立为审计工作提供了方便,审计工作人员可以随时查阅法规条文对审计出现的问题进行定性和评价,避免了审计过程中法律、法规适用不当、处理处罚不到位的问题。
(五)审计方法数据库
计算机审计方法和审计实例的综合运用构成了审计方法数据库,它主要包括审计方法模型构建和审计方法在实际中的应用案例。针对***府投资工程的审计,需要首先确定具体的审计事项,其次对被审计的问题进行描述,侧重对被审计数据的特征进行研究,依托于AO系统的审计方法,以采集的电子数据为基础,进行数据分析,建立审计方法模型。同时,应对审计方法模型进行实际测试审核与标识分类,避免审计方法的无效和重复构建的同时,也方便审计人员快速定位查询具体的审计方法。审计方法模型的构建具有一定的通用性和普遍性的特点,有利于不同类型***府投资工程信息化审计工作的顺利开展。
审计方法在实际的应用案例也收录在审计方法数据库中,在***府投资工程审计中把用到实际审计工作中的审计方法存储积累,进行审计资源整合,在以后的审计工作中,可以直接利用审计方法数据库中的审计成果,既减少了重复的劳动,又提高了审计的效率。
(六)年度审计档案数据库
年度审计档案数据库由两大部分组成,一部分是近年来的***府投资工程审计案例,另一部分是对***府投资工程审计中发现的问题汇总。其中,***府投资工程审计案例主要包括各年度实施审计的***府投资工程的相关情况,包括项目相关的立项性文件(审计通知书、审计实施方案、调查了解记录和审计文书送达回证等)、证明性文件(审计工作底稿、被审计单位承诺书、审计证据和资料交接清单等)和结论性文件(审计业务会议纪要、审计报告征求意见书、审计报告、审计(处罚)决定书、审计移送处理书等);对***府投资工程审计中发现的问题进行汇总,主要依据审计过程中的审计工作底稿和最后的审计报告中出现的典型问题进行分类录入,存入年度审计档案数据库。
年度审计档案数据库的建立,方便了审计资料的快速查询与分析,提高了档案利用率和办公效率;同时也是同类项目审计查出问题的定性处理处罚依据的重要参考。
四、***府投资工程审计信息数据库的实施应用
在实际审计工作中,根据造价联网审计数据库、财***联网审计资料库和利益相关方数据库所提供的被审工程相关造价信息、财务数据和业务数据,进行采集整理形成规范的审计项目数据文件。同时根据审计实施方案,结合法律法规数据库和审计方法数据库所提供的审计依据和审计方法经验进行关键字匹配,根据匹配结果选择审计方法模型,结合审计方法数据库中的应用案例进行综合审计。在审计结束后,总结分析被审工程项目的审计情况,整理成电子审计文书。同时对审计过程中的典型问题进行归纳汇总,存储于年度审计档案数据库,为以后的审计工作提供便利。***1为***府投资工程审计信息数据库的实施流程***。
举例来说,将审计工程项目数据文件与财***联网审计资料库连接,可以快速方便地对工程信息进行宏观分析对比,随时查阅电子数据;与利益相关方数据库连接,可以审计分析招投标情况、资金的管理和使用情况;与法律法规数据库连接,方便审计人员快速定位审计方法,审计分析是否合法合规;与审计方法数据库连接,可以审计分析投资工程项目的效益情况等。
五、***府投资工程审计信息化的前景展望
(一)大幅度提高审计工作效率
审计信息化统一规范了计算方法和标准,得到快捷准确的计算和汇总结果,避免了人为因素的影响,提高了项目审计的准确度和工作效率。***府投资工程审计信息数据库的诞生,使审计的相关资料存储在同一个数据库工作平台,审计人员可以通过***府投资工程审计数据库随时查阅相关数据和资料,及时地共享审计信息,并将审计过程中遇到的问题及时反馈,实现审计信息实时交流。
(二)扩大审计工作的覆盖面
审计信息化建设,使数据全面分析成为可能。通过***府投资工程审计信息数据库的平台,以财***数据为基础,以年初预算为起点,以资金拨付流程为主线,通过对电子数据进行核对分析,确定当年的审计重点领域和方向,对财***资金的来源、分配、使用做到全覆盖,并在年初确定审计计划时加以运用,改变过去立项依据不充分的现象,扩大了审计工作的覆盖面。
(三)提高审计人员的业务素质和履职能力
在实际信息化审计工作的过程中,审计人员渐渐熟练掌握AO系统与OA系统的交互,并能在***府投资工程审计信息数据库中应用造价联网数据库对电子数据进行查询分析,在审计方法数据库中选择适宜的审计方法进行***府投资项目的审计,并根据实际情况进行审计方法模型的构建等。审计人员在审计工作中亲身实践审计信息系统,提高了自身信息化审计能力和分析数据水平,发展成为集会计、审计和计算机等学科知识于一身的复合型审计人才,打破了以往审计系统中主要由财经类人员构成的局面。
(四)规范审计管理
对于一些综合性审计项目,在单一科室无法完成审计任务的情况下,信息化审计打破了原有的科室界限,整合资源,通过网络化管理,利用内部邮件系统相互交流反馈,加强了审计组与管理层的沟通交流,管理层的工作思路和要求及时向审计人员传达,同时也使审计现场情况能够快速汇集到管理层,便于管理层及时了解审计工作进展情况,并根据实际情况进行审计重点和人员的调整。
六、结束语
数据库审计篇5
功能设计如下:1)审计信息记录模块。通过提供通用的审计信息记录接口,完成云平台上用户操作的日志信息的标准化处理,并存储到审计数据库的功能,该模块使得系统具有良好的可移植性。2)审计信息签名模块。日志信息处理后存储至审计数据库中时,在审计信息中加入两次签名——元组签名和分片签名,以保护审计数据库自身的安全和审计信息的完整性、完备性。3)审计信息管理模块。实现通过Web管理页面对审计信息进行浏览、删除、导出等操作,为审计人员提供便利的审计信息分析和管理。审计管理员可在审计信息管理平台上下发已制定的审计策略,筛选出可疑事件信息。
2工作流程
2.1审计信息记录流程
审计信息记录是对云平台上用户的操作信息进行获取、分类、存储至审计数据库中的一个过程(见***2)。审计信息记录的流程如下:1)当云平台上的用户使用正确的账号口令登录云平台系统后,便可进行日常的操作行为,例如修改密码、数据的上传和***、用户之间数据的传递、启动并使用一个远程软件等。云平台通过日志采集引擎采集到日志信息,并向审计信息记录模块发起审计服务请求。2)在众多的用户日常操作行为中,找出审计重点关注的事件及属性,划分平台事件类型,即对审计事件分类。这样的好处是:筛选出重要的平台事件,使得审计更加有效;将来若扩展系统,添加关联分析模块,可直接对审计数据库中的事件分类信息审计事件分析,而不是对冗长杂乱的日志信息分析,提高了关联分析的效率。例如:将平台事件分为以下4类,并确定相关属性如下:①用户事件,表示用户的各种基本操作行为,包括用户登录和注销、密码修改、个人信息修改等事件,需要记录的信息有用户名、登录IP、操作时间、操作是否成功。②数据传输,表示用户对文件等数据的传输行为,包括上传数据开始和结束,***数据开始和结束、删除数据,重命名数据事件,需要记录的信息有用户名、登录IP、操作(上传、***、删除、重命名)时间等。③软件使用,表示用户启动了某一个远程软件的行为,需要记录的信息有用户名、操作时间、软件是否启动成功。④工程计算,表示用户提交了一个工程计算作业的行为,需要记录的信息有用户名、作业名、操作时间、提交操作是否成功等。对平台事件的分类和属性确定可以根据云平台的具体用途确定。将4类信息的处理作为4个审计记录接口,这4个接口相互***,能够并行处理来自云平台的海量日志信息,对用户事件、数据传输、软件使用、工程计算4类事件进行记录。将审计记录接口在WebServices服务上,后,当WebServices收到请求后,就可以完成审计信息接口的功能。3)日志信息经过处理后,发送至数据库访问接口,数据库访问接口会将数据写入审计数据库。至此,审计信息记录的流程完成。
2.2审计信息签名流程
审计信息记录模块使用4个不同的接口分别接收4类用户日志信息数据,并将其发送给数据库访问接口,由其通过数字签名技术完成对日志信息的安全存储,主要包括对日志信息进行元组签名和分片签名。数字签名,简称签名,是一种基于对称密码或非对称密码(公钥密码体制)的算法。大部分签名算法都是基于非对称密码体制实现的,常见的数字签名方法如RSA、DSA等。签名具有以下几个特征:签名是可信的、不可伪造的、不可重用的;签名的文件是不可篡改的;签名是不可抵赖的[8]。(1)元组签名数据库访问接口接收审计数据,对其接收到的每一条数据,将其各记录项合并成一段连续的数据,根据MD5算法计算该段数据的MD5值,作为该条日志信息的唯一元组签名项,具体流程如***3所示。随后将计算出的元组签名项与该条日志信息的各记录项存储到审计信息数据库中,通过数据库访问接口,完成日志信息的存储操作。(2)分片签名每当审计数据库中插入100条数据时,对这100条数据进行签名,将签名保存在一张签名表中,即完成对文件的分片加密(见***4)。将数字签名应用到审计数据库中,原因是审计数据库对数据的安全性有较高的需求。审计数据库中的数据需要保证每个元组都是来自真实的审计日志,数据的完整性正是利用数字签名这些特征来确保查询结果来自真实的原始数据,没有任何篡改。当审计数据库受到安全威胁攻击时,要能够验证该攻击的真实性。审计数据库采用了对元组签名而不是对其加密是因为:加密能够保证数据库的机密性,但是对审计查询工作时进行模糊匹配、多表查询造成了很大的困难,同时,响应时间的加大和解密时间的增多,都影响了系统的可用性。审计数据库签名的粒度有4种:元组属性值、元组、字段、表。为了保证数据完整性,采用对元组签名和分片签名的方法。在审计数据库中的数据以明文形式存储,当怀疑审计数据的有效性时,即可检查审计数据库返回的是不是审计日志的原始数据。通过重新计算该元组MD5的值,如果当前的签名和该元组里的签名对比,若两个MD5的值不相同,则说明该元组已被篡改,是不可信的,用户和管理员可拒绝接受该元组信息。由于对元组的签名只能保证该元组是可信的,没有随意地篡改数据,但是不能保证日志信息的连续性,即数据没有被删除和添加。通过分片签名的方法,可以保证所有数据的完整性。
2.3审计信息管理流程
审计信息管理主要为云平台管理人员以可视化界面的形式提供信息审查的平台,为其进行审计信息的浏览、导出、删除等管理操作提供方便快捷的操作途径。(1)审计信息浏览通过审计信息管理模块与数据库访问模块的交互,能够将存储在安全审计数据库中的审计信息取出并在浏览器中展示,管理人员能够从浏览器中获取云环境下各主机所对应用户的行为操作描述,便于对云平台的安全状况进行审查和评价,及时发现云平台安全性威胁行为。管理员也可根据相应的审计策略给出审计信息的筛选条件,找出可疑信息。(2)审计信息导出对当前用户日志信息记录表以文件形式导出,并加密保存在本地,实现对云平台日志信息的永久性保存,同时保证了其安全性。(3)审计信息删除管理人员能够通过用户界面操作删除用户日志信息,通过审计信息管理模块与数据库访问模块,将存储在安全审计数据库中的该条记录删除。用户界面的设计是为了帮助管理人员或专业机构了解整个云平台上用户日常行为操作的具体内容,及时发现威胁安全的用户操作,实时维护整个云平台的系统安全与数据安全。用户界面不对管理人员提供主动增加用户日志信息及修改用户日志信息的功能。
3性能测试
3.1安全性测试
安全审计系统具有较强的安全保障,具体体现在以下两个方面:1)审计数据库自身的安全保护。对安全审计系统进行访问控制,由专门的审计管理员负责审计数据库的管理、审计策略的下发、审计信息的分析、审计数据库信息的备份和故障恢复等操作,其他人员无权执行上述操作。2)审计数据的完整性安全保护。日志信息在经过审计接口进行存储时,需经过信息分类、格式标准化、签名处理。元组数据的签名确保了单条数据的完整性,分片数据的签名确保了整个审计数据库的审计数据来自连续的审计日志信息。双重签名机制能够确保审计数据完整性的安全保护,同时也能够让平台用户信服于审计结果的准确性。在测试过程中,随机选取审计数据库中1条测试数据,统计其元组签名以及被划分到片(100条数据)后得到的分片签名,然后修改该条测试数据的内容,再次得到以上两组签名,并进行比对,实验结果如表1所示。安全性测试结果表明,当审计数据库中的某一条数据被非法修改时,通过比对分片签名是否改变,可以确定具体被修改的数据在哪一片中,进一步比对元组签名是否改变,便可以确定被修改数据的具置。
3.2算法效率测试
安全审计系统通过双重签名机制保障安全性的同时,也应具备良好的运行速度。而分片签名是基于100条数据进行的签名算法,其执行效率将影响到安全审计系统的整体执行效率。在排除系统其他操作的情况下,针对分片签名计算进行速度估算测试,测试结果如表2所示。算法效率测试结果表明,当同时插入10000条数据时,需要进行100次分片签名算法,签名计算操作仍然耗时较短,考虑到实际运行环境中,同一时间插入的数据均远小于10000条,可以认为签名算法在运行效率上不会影响安全审计系统的整体运行率。
4进一步研究工作
下一步的研究重点将是在本方案的基础上实现以下两点,来提高审计系统的审计能力和审计效率。(1)审计系统中关联分析、报警功能的实现关联分析(AssociationAnalysis)是指在数据记录的数据项之间挖掘关联关系,某些数据项的出现预示着该记录中其他一些数据项出现的可能。进一步研究关联分析方法对审计信息进行关联分析,以发现攻击的规律和趋势,甚至是预测即将发生的攻击。在审计系统中添加报警功能,并可由审计管理员自定义报警策略及响应措施,当发现云平台有严重的侵害事件发生时,即可启动响应措施,对平台进行保护。(2)研究分析审计数据完整性保护措施方案本方案采用了基于简单签名的数据完整性保护措施。这种方法实现比较简单,能够保证数据的完整性。但是签名数量较多时就会给系统带来较大的时间和空间开销。文献[9]提出了完整性审计方法,即通过在需要委托的数据库中插入少量的伪造元组来验证审计数据库的完整性。文献[10]提出了双重加密方法,这种方法是一种低耗费的可证明安全性的双重加密方法,能够保证实现数据元组的完整性认证。因此,可以对不同的审计数据完整性保护措施方案进行对比分析,根据具体云平台的功能总数、用户量选择合适的方案。
5结语
数据库审计篇6
中国的计算机审计始于上世纪80年代中期,与会计电算化开始的时间基本同步。发展初期,由于审计软件的开发模型不像会计软件哪样清楚,审计软件怎么搞,应该有什么功能,能为审计工作带来什么影响,都是审计软件要解决突破的问题。各种因素导致审计软件滞后于财务软件的普及,所以审计软件的发展比会计软件发展慢了许多,经过近十多年的努力和发展,现在已基本成型。
发展的第一阶段(1988-1992),以手工审计为主,录入数据进入计算机,通过审计软件的计算产生一些辅的结果。固化的表格审计软件最具代表性,表格中A格的内容与B格的内容存在设定好的勾稽关系,当审计人员输入A格内容后,B格内容的输入错误将被锁定,实际上现在用EXECL就可完成,但在当时,已经算很好的审计软件了。
发展的第二阶段(1993-1997),在WINDOWS平台下开发了一些辅的审计软件,法规查询,审计项目档案管理,PSS票证审计等审计软件,这些审计软件已经在某些审计方面可以为审计人员提供服务。法规查询软件利用数据库技术可将审计人员需要的审计相关条目内容从上万条记录中取出。档案管理软件主要利用电子手段管理审计项目中的审计通知书、审计报告等,PSS票证审计软件利用统计理论对凭证进行抽样,可比手工审计提高效率10倍以上。
发展的第三阶段(1998-今),开发了以审计作业为代表的一些审计软件,对审计作业全过程均可在软件的管理下完成。审易软件就是以审计作业为主的审计软件,它的功能代表了审计软件主要功能。
二、审计软件的分类
审计软件可分为四种类型:第一种现场作业软件、第二种法规软件、第三种专用审计软件、第四种是审计管理软件。审计作业软件是审计工作的主流,是审计工作的主要工具,审计作业软件的发展是代表计算机审计软件的发展水平。
第一种现场作业软件,现场作业软件是指审计人员在审计一线进行审计作业时应用的软件,如审易软件,它主要具有以下功能:第一,能处理会计电子数据。第二,能运用审计工具对会计电子数据进行审计分析,包括审计的查帐、查询、***表分析等。第三,应能在工作底稿制作平台制作生成审计工作底稿,平台内应可以有各种取数公式,像单格取数、列取数、行取数、报表取数等,并且有像Excel那样的工具为审计人员提供平台操作服务,且可以保存、修改、删除工作底稿。
第二种法规软件,法规软件主要是为审计人员提供一种咨询服务,在浩瀚如海的各种财经法规中找出审计人员需要的法规条目及内容。它主要的功能:第一是常规查询,有审计法规条目的查询、发文单位的时间段的查询。第二,要有一定的数据量,成熟的软件应有上千万字的法规内容,检索速度要快。第三,应具有按内容查询的功能,这也是法规软件能否适用的主要标准,如果没有按内容检索的功能,这个法规的适用面将受到很大的限制,例如审计人员要查关于“小金库”的相关规定,法规软件应能快速地将涉及到“小金库”规定的法规查找出来,将内容以篇的形式提供给审计人员。
第三种专用审计软件,专用审计软件是指完成特殊的审计目的而专门设计的审计软件,象基建审计软件,基建审计软件有很强的特殊性,主要是它的工作性质有两点,第一点涉及到大量的基建***纸,第二点要有基建定额库来作参照,实际上基建审计软件用市面上的定额核定软件就能实现,所以我们把这类软件归为专用审计软件。
第四种是审计管理软件,审计管理软件包含象审计统计、审计计划、审计管理等方面。统计软件是指将审计工作成果统计上报、汇总的软件。审计计划、审计管理都是可以在这方面专门工作的小软件,实际上审计管理软件可以认为是审计作业软件的延伸,审计作业软件完全可以把这些管理功能承担起来,容纳到审计作业软件中,所以我们说审计软件的代表作应是审计作业软件。
三、审计软件的工作原理
审计软件的主要代表是由审计作业软件,以下介绍审计作业软件的工作原理。审计作业软件大体上分三大部分,第一部分是会计数据的处理,第二部分是审计方法的运用,第三部分是工作底稿的制作平台。这三部分有机联系在一起的,是一个整体,当然会计数据处理是基础。
(一)会计数据处理
采集审计对象信息,可从电子介质导入或者手工录入到审计软件。审计软件必须能从会计软件提取会计电子数据,为了适应各种变化的会计数据,采集应采用模板式。
为什么数据处理要采用模板方法呢?因为会计软件五花八门,采用的数据库及其结构各不相同,审计软件要能将其会计软件的数据采集进来,需要知道它的数据库及相关结构才能将数据采集过来,对于一般的审计人员而言,进行这样的操作是很困难的,审计软件以提供对应模板方式,针对五花八门的会计软件做出有效的反应。
例如审计人员去审计时,在手工审计的条件下要打电话让会计人员将被审计的会计帐簿及凭证拿到审计办公桌上,而现在因为是会计软件,审计人员如何将会计软件数据导入至审计软件,这是一个需要解决的问题。如何解决呢?在此我们提出模板的解决方案。通过多年的实践,此方案是可以解决这个问题的,它的原理是首先应知道会计数据存放的位置及会计软件所用的数据库类型,如果是网络版,还应通过网络连接进入会计软件的服务端,第二步进行转换,将会计数据转换进审计软件,转换时应根据审计软件的格式把相应的会计软件的内容转入审计软件,在某些情况下字段的转换是要带一定条件的,例如:会计软件中借方金额、贷方金额放在同一个字段里,用一个标识字段来标识这条记录是借方金额还是贷方金额,如果是借方金额就要D来表示,贷方金额就用C表示,在转换时要将条件是D的放入审计软件的借字段,条件是C的放入贷方字段,才能进行转换。
对会计数据的利用是审计工作的主要内容。是审计软件必须解决的问题。会计电算化的普及,原来纸制的大量会计数据已演变成电子会计数据。肉眼已不可视,计算机审计的开展面临的首要问题是如何能有效的采集出会计电子数据,共享会计电子数据,如果审计人员对会计电子数据无法处理,绕过计算机进行审计只能是一种被别人拴着鼻子走的感觉。进而,审计的真实性受到怀疑。要解决这个问题,审计手段必须发生根本的变化,原来现场审计靠一张纸,一杆笔,一个计算器的方式,从技术上讲已经过时。现场审计必须利用计算机采集出会计电子数据,进而利用审计软件对会计电子数据进行各种处理才能产生出效果,审计软件也只有突破这个障碍才能使审计软件真正的起飞,为审计现场服务。为解决这个问题,以审易软件为例,现将解决方案整理供大家参考。
采集会计电子数据面临的三个主要问题是:
1.如何打开会计数据库。国家对会计电子数据没有制定统一标准,会计商品化软件及自我开发的会计软件,存放会计数据的主要途径是利用各种数据库基础,不同的会计软件,可能选用不同的数据库来存放会计数据。如何打开这些数据库是审计人员所面临的问题,也是审计软件应解决的问题。
2.会计电子数据格式不统一。不同会计软件,会计数据格式定义五花八门。一张纸制记帐凭证在会计电子数据库中可能会被拆分成若干张表存放,在使用时,会计软件会将拆分的若干张表合并成一张凭证,通过显示器或打印机显示出来,而审计人员想直接利用这些散放的数据难度极大,只能被迫利用会计软件,但不能对这些经过会计软件经过处理的数据进行认定。
3.审计电子工具的利用受到制约。五花八门会计电子数据给审计模板制作带来很大的
难度,例如,审计人员想对5个被审单位(使用不同会计电子软件的),金额大于5万元的凭证进行抽样检查,由于会计电子数据格式不统一,每次现场审计,审计人员都需要指定会计电子数据库中哪个是凭证库,并且找出代表金额的字段才能执行这个操作,故审计工具的利用受到制约,不能有效的提高审计效能。
审易软件是利用会计数据模板制作技术来解决的。模板化是计算机审计发展之路,模板是针对不同会计软件建立的,一种会计软件要建立一套审计会计数据模板,模板应包含下述各项内容:
1.模板中要有审计会计数据结构即审计会计电子数据库中应有哪些数据库。一般讲应设置凭证库,科目库,年初数库。
2.对这些数据库结构也要做设置,例如凭证库中应有凭证日期,凭证号,凭证类型,借方金额,贷方金额等字段。别外,审计的多样性决定审计数据库应能动态增加数据库及数据库中的字段。例如,粮食审计,可能需要增加粮食储备数据库,这个数据库可能需要进粮时间,进粮吨数,单价等字段。
3.模板中审计数据库各字段与会计数据库相应建立对应关系,这种对应关系的建立应能在审计软件中方面地进行编辑,操作,使一般审计人员都能通过操作来建立这种对应关系,所谓对应即审计凭证中的凭证号对应会计数据库中的哪个数据库,哪个字段,拆分的多数据库应能通过多重对应,带条件对应与之处理,并将对应结果存入审计模板中。
4.数据库驱动的选择。会计数据库存放在何处,存放在什么路径下,数据库是单机的还是网络的,用什么数据库的驱动程序才能打开数据库,等等这些也应记入审计模板。这些完成后,审计数据模板与会计数据之间的对应关系就明白了。
5.进行转换,审计软件在接受进行转换指令后在模板库中找到当前会计数据库所需要的审计模板,解析审计模板的内容按照审计模板定义的数据库驱动程序,会计数据库存的路径,文件名等加载会计数据库。启动转换程序,按照审计模板中审计各数据库与会计数据库的对应关系,将会计数据库的内容转入至审计数据库。转换完成后,完成了审计数据模板的第一步操作数据采集,这时会计数据库的内容载入至审计数据库。
6.会计数据处理。对这些载入的会计数据要进行整理,生成审计计算库,这些审计计算库是按照审计算法对会计数据进行的加工,整理。这些加工整理是在模板的控制指令精确指导下进行操作的,是可以自动运行的,不需审计人员干预,例如,对科目库处理,模板涉及了几个问题,这几个问题是重新生成科目库,定义科目长度,科目去分隔符,统长科目变级次科目,增加删除科目,去除重复科目,科目内容含多级。模板中指明这些问题如何操作。
综上所述,审计数据模板是记录各种审计数据库与会计数据库的对应关系,存放各种指令参数,包含各种审计指令的综合体。审计人员利用成熟的会计数据模板按一个启动钮就可完成从数据采集至各种数据处理的全过程。
针对各种会计软件均能将会计数据转换过来,转换应是单向的,只能从会计软件将数据接过来,不能将已转换过来的会计数据再转入会计软件,对会计软件信息没有破坏作用,数据转换过程要有可操作性,一般的审计人员均能操作,数据转换接口应是模板式的,每一种会计软件及每一个版本都是一个模板,模板是开放的,有一定计算机能力的审计人员可自编模板,模板是可导入导出的。此方案已成功地在审计软件中采用,并为审计电算化服务。
四、审计软件中的审计工具
审计软件应含有很多审计的专门工具,其目的是使审计人员运用这些审计工具在现场快速有效地产生审计结果。它的原理是结合手工审计时审计人员的要求,利用审计软件产生审计人员需要的审计结果。
1.查询
用户从数据库(凭证库、科目库、年初数、分类帐、明细帐等)查询到自己所需的资料,通过单条件或多条件组合实现。如:需要从凭证里查询现金大于10000的支出,点中凭证库后,多条件组合为:科目编号象101and(且)贷方金额>10000,查询是一种很简单而又很快捷的方式,将单一查询条件或多条件组合好后,通过按一个钮即可检索出审计人员所要关注的内容,缩小查找范围及很快找到审计重点,并且能将查询结果存储为工作底稿,且能打印输出。
2.查帐
通过双击鼠标的方式,实现从所关注的某一科目的总帐翻阅到明细帐,然后又能从明细帐翻阅到其相关的凭证,其原理是将审计人员的手工翻帐、看帐改为审计软件环境下的翻帐及看帐,操作极其简单,通过双击鼠标的方式即可实现三级跳跃式看帐,即总帐——明细帐——凭证。
3.***形分析
用趋势***(折线***、柱状***、饼***)的方式反映科目的各月发生额趋势或各月期末余额趋势,若是处理多年度的会计电子数据还应能反映该科目不同年度的累计发生额趋势或余额趋势。***形分析工具的特点是用***形的方式来反映数据的变化,速度快、直观,能一眼就能看出所需要关注科目会计期间内的最高点和一些最低点,且能初步判断出哪些点是正常的,哪些点是异常的,这也是一个能快速把握审计重点的工具。
4.审计方法库
能将一些审计方法及经验存储到审计方法库里,并且能随时调用或批量调用得到审计结果,在当前的审计项目里可以调用,并且不同的审计项目也是可以调用的。审计方法库是审计人员经验的体现,所以又可以将审计方法库称为经验库或专家库。
上述我们讲了四个例子,它的原理是在审计软件中把审计人员的要求转化成软件的功能,使审计人员按一个钮就能满足人员某方面的审计要求。审易软件已开发了数十个审计工具来解决审计人员的要求,从开发角度讲,审易软件采用了模型化的设计思路,收集、整理审计人员的审计要求,经过提炼、加工转化为审易软件工具部分的某个功能,提供给审计人员,在实践中又进一步提高和完善这些工具。
五、审计工作底稿
审计软件如何做审计工作底稿,也是审计软件要解决的问题。审易软件采取了工作底稿模板化的思路来解决这个问题,下面将原理提供给大家作参考。
工作底稿是审计工作的记录,工作底稿设计的好坏直接影响审计工作的质量。借助计算机技术,制作出实用有效的工作底稿,不仅可以提高审计工作质量,而且可使计算机审计真正的活起来。我们经过多年的努力,在此有所突破,现把我们实现的方案写出供读者参考。
审计工作底稿模板主要有三大要素。第一:外观。决定工作底稿的行列,这张工作底稿有几列,列标题是什么,每列代表的是什么,有多少行,每行的数据是什么,及行列的文字说明。(标注)第二:数据来源。指明数据从何而来,例如是从分类帐来,还是从凭证来。是取某个科目,还是某一类科目等等。第三:公式。公式分计算公式,取数公式。计算公式代表加减乘除合计等等。计算的公式。另一类是取数公式。指明需要取的行列所需填写的数据从何而来。我们可以这样定义,审计工作底稿模板是有外观的,有各种公式的,但没有数据的工作底稿。
工作底稿模板化。即是将在审计实践中运用成熟的工作底稿清空数据后供下次或他人审计之用。纸制模板在手工审计中早己使用多年,大型会计师事务所积累了大量审计工作模板,并演变成审计工作标准。随着计算机的发展,EXCELL在审计中的应用,使审计电子模板制作技术有了很大的发展。例如:北京注册会计师协会在2000年推出了利用EXCELL制作电子模板,供社会使用。利用EXCELL大量实用的公式,审计人员制作工作底稿已经很方便。现在审计人员面临的主要问题是:如何从会计电子帐中取得工作底稿所要的数据。这时,EXCEL
L显得无能为力,审计人员只能通过大量繁锁的粘贴或录入方法装入工作底稿所需要的数据。工作底稿只有在装入数据以后才能启动以前设置好的公式运算完成底稿的制作过程。针对此问题,我们在装入数据这个环节,利用计算机的先进的技术能自动根据预先埋入的取数公式可以从会计数据库中将数据自动填入至工作底稿,解决了审计人员每张工作底稿粘贴或录入数据的工作。取数公式有四种:第一种:单格取数,第二种,报表取数。第三种:按列取数。第四种:分组取数。下面分别介绍功能。
模板如何变成审计工作底稿。审计工作模板分三个步聚,首先模板上有外观,有预埋的公式,但没有数据。第二,在启动取数公式后,软件会按照各种取数公式将工作底稿所需要的会计数据库取入至工作底稿中。第三,利用预先在模板中埋入的各种计算公式对取入的数据进行各种计算,最终形成一张工作底稿。
工作底稿变成模板,把成熟的工作底稿去除数据后只保留外观,公式另存为一个EXCELL文件,这个文件就成了一个模板,这里要注意:要把有数据的行删除。不留空行。
选取某张模板变成工作底稿,能方便地从模板库中选取要求的模板,传入至工作底稿区内。并且能自动判断是增加一张新的工作底稿还是覆盖以前有的工作底稿,为审计人员的操作提供方便。
审计作业的管理功能,审计组长可通过审计软件的管理功能指定组员可做的内容,组员可分别操作,工作底稿可导入导出,审计完成后可进行归档,进入项目档案,项目档案具有只读性。
审计软件网络版,能使审计小组协同工作,根据一定的权限查阅.制作.修改底稿,数据与底稿放在服务端。
六、应用审计软件提高计算机审计技术水平
21世纪是信息化的社会,是人类历史上突飞猛进的年代,计算机技术的不断进步,财会电算化的深入应用,使审计工作运用计算机审计技术显得尤为紧迫,如何用好审计软件,对实现审计手段现代化极具实践意义,成为当前讨论的审计技术的重要内容。
审计对象在发生着变化,由单一型向集团化发展,由单项管理向多项、综合型MIS管理发展。如某大型工程项目,为充分发挥管理手段,提高效益,一次引进软硬件资金多达十多亿元,用于其管理系统。相形之下,审计手段的落后,已无法适应审计对象的变化。在管理现代化的今天,我们沿用绕过计算机审计,所有资料都要被审计单位打印出来,不仅造成现有设备的极大浪费,被审计单位在业务上也难以接受。会计数据处理过程的不可见性,称为"黑匣子",绕过"黑匣子"的审计方法,会带来一种特殊的审计风险。
实现审计技术现代化,首先要利用审计程序,解决“黑匣子”问题。将原始凭证原封不动地搬过来,需用通用的转换工具,将原始数据转换为标准格式,变会计数据的不可见性为可见性,进行任意的查询、分析,随意进行综合归纳,追溯原始依据。我国审计界审计软件研发都在探索数据获取的技术,审计软件中不乏成功者,其中有对我国多数软件,以及美国、韩国等会计软件进行过转换数据,效果良好,说明其不是高不可攀。
实现审计技术现代化,审计行业应采用全过程一体化的审计软件,该审计软件是将已有审计技术方法,加以规范化,规范成不同的审计模块和模板,并且将它程序化,运用时审计人员现场分析,现场决定审计方案。这样的软件一般包括项目管理、审计计划、数据转换、符合性测试、实质性测试、合并会计报表、审计工作底稿制作和管理、审计报告生成等,具备完成审计工作所应有的功能。
1、取得会计电子数据
通过计算机审计的前提是取得被审计单位正确的会计电子数据,在通常情况下,数据的存放会因单机、网络、多用户等各种工作平台的相异而有区别,应根据不同的网络环境和工作平台,采取不同方式来处理。
2、数据转换,将所取会计数据处理成标准格式
在所取得的会计数据中分析出凭证库、科目库、年初数三方面的内容,包含这三方面内容的库会混杂于多个数据库当中或多个数据表中,有时数据会分12个月分别存放,总之应正确分析其内容构成,做好和标准数据格式的对应工作,就可正确将所取数据转换成标准格式的会计数据,将所形成的总帐数据和被审计单位的总帐数据核对一致,为进一步的审计工作奠定数据基础。
3、符合性测试,进行符合性测试工作
按照计划安排,依照审计程序,对所审计对象进行符合性测试,主要通过填表或回答问题方式完成调查表,通过程序进行统计,分析出符合性测试结果。
4、实质性测试,在标准数据格式的基础上进行数据查询和审计查帐
当然最好在已做好符合性测试的基础上进行实质性测试。审计程序会自动形成各科目固定格式的审定表,审计人员要做的是进一步套用模板,形成诸如现金盘点、固定资产折旧、应付福利费等的计算表。至于特定形式的工作底稿,或原始凭证核查,需用审计工具中的查询、抽样等来完成。
5、合并会计报表工具的运用
系统审计软件中会提供合并会计报表工具,一般合并分录的形成仍需审计人员来完成,程序自动完成合并工作。
数据库审计篇7
金融审计信息系统是面向金融审计人员,利用计算机硬件、软件和网络通讯设备,对金融数据进行全面采集和加工,持续提供金融审计信息服务的集成化人机系统,主要由金融审计人员、安全的通讯网络、金融审计数据平台和金融审计应用系统共同组成的。
二、金融审计信息系统建设的必要性
(一)建立金融审计信息系统,是发挥金融审计综合性优势,提升金融审计宏观性作用的需要。
目前,我国金融业实行“分业经营、分业监管”模式。银行、证券和保险业实行严格的分业经营,而且各金融企业的信息系统架构千差万别,数据库相互***。
金融审计信息系统,将建成面向客户跨行业统一的金融审计数据库,不仅可以利用标准化的金融审计分析体系来实现“以客户为中心、以资金为导向”的跨行业审计分析,揭露金融业存在的系统风险;而且可以利用数据挖掘方法从金融审计数据库中发现相关联的问题并展开趋势预测以及宏观决策分析。金融审计信息系统的建成将充分发挥金融审计的综合性优势,实现对金融业的统一监管,大大提升金融审计的宏观保护性作用。
(二)建立金融审计信息系统,是加强金融审计连续性、实现动态监管,提高金融审计科学性的需要。
有效的金融监管,应是保持对整个金融体系的动态、预警、连续的监管,保持整个金融体系的相对稳定。金融审计数据库的建设,是实行审计对象的动态管理的基础工作,对已审计过和未审计过的金融企业,建立详实的数据库,有利于对被审计单位进行动态对比分析,并为确定审计计划项目提供科学依据,为最终实行网上实时审计奠定基础,有效提高金融审计的科学性。
(三)建立金融审计信息系统,是开展金融绩效审计,充分发挥金融审计建设性作用的需要。
信息化条件下,金融审计信息系统是开展金融绩效审计所必需的基础条件。金融审计信息系统强大的数据分析功能,对金融风险的过程监控和对系统全面分析的优势为开展金融绩效审计提供了强有力的技术支持。
三、金融审计信息系统建设面临发展良机
(一)国家审计信息化建设的发展,为金融审计信息系统的建立提供了广阔的发展平台。
“金审工程”不仅加强了审计信息化硬件基础设施建设,还极大地改善了开展计算机审计的软件环境,大大提高了审计人员计算机应用水平并为后续推广奠定基础。这些硬件和软件方面的建设成果都为金融审计信息系统的建设提供了广阔的发展平台。作为国家审计信息系统的重要组成部分,金融审计信息系统已经纳入审计信息化建设日程。
(二)金融审计数据存储平台的建立,为金融审计信息系统的建立储备了必要的信息资源。
从上世纪90年代中后期,我国各大商业银行都加快了“数据大集中”工程的建设步伐。“数据大集中”不仅仅是银行业对技术支持系统的一个改造,更是对传统银行业的整体管理理念、管理经营模式的彻底再造。为了更好地整合这些商业银行的数据资源,审计署已于2008年起陆续在各银行建立起了基于oracle数据库的金融审计数据存储平台。这一存储平台的建立为金融审计信息系统的建设储备了必要的信息资源。
四、金融审计信息系统的总体框架设计构想
(一)系统总体架构设计。
金融审计信息系统总体架构设计***
1.审计客户端。
审计客户端为系统的第一层,这一层主要是实现表示逻辑,它直接面向操作人员。其主要功能是:提供用户操作界面,实现用户与计算机的人机交互和数据表示;向中间层的审计分析服务器提交各类操作请求,并将处理结果反馈给用户。这一层一般不进行业务逻辑校验,或者只作简单的校验。
2.审计分析服务器。
审计分析服务器为系统的中间层。这一层主要是实现业务逻辑。它以中间件为基础进行构建,在系统中起承上启下的作用,它接受客户端对数据库的请求,将请求提交到后台数据库中,最后将处理结果返回客户端。
审计分析服务器对服务进程进行任务调度、负载平衡和故障恢复工作,保证了系统主机的高效运行。在审计分析服务器中包含系统主要的业务逻辑,使大部分的业务逻辑校验在服务器中完成。当业务逻辑发生变化时,只需修改服务器端的程序即可,无须对所有的客户端进行更新,另外也降低了客户端的负载。
3.审计数据库。
审计数据库构成系统的第三层。这一层主要负责存储数据,管理数据资源,响应数据请求,完成数据操作。
这种三层体系结构的优势非常明显。它可以将部分或全部的业务逻辑控制安装在审计分析服务器上,减轻了客户端的负载;只有审计分析服务器和审计数据库直接相连,由审计分析服务器处理客户端对审计数据库的连接请求,降低了对数据库资源的占用;数据以交易包的形式传输,网络流量小,同时客户端可以共享审计分析服务器中的公共数据,节省带宽,提高了反应速度。
(二)网络与安全设计。
金融审计信息系统的网络拓扑***如下***示:
金融联网审计信息系统网络拓扑结构***
1.金融审计信息系统的组网基于金审工程内网平台实现审计端与被审计端的连接,保证金融电子数据的传输安全。
2.在审计数据库与审计分析服务器中间增加数据库透明网关,用于和国家审计信息中心的db2数据库服务器之间交互基础数据。
3.采用单刀双掷网络开关实现物理隔离,当被审计端数据库采集生产系统数据时从审计内网中脱离,确保各网段互不联通。
4.路由交换两端分别部署防火墙和pki/ca基础设施,切断网络入侵。
(三)数据视***设计。
各金融企业的信息系统都有自己的业务逻辑,而审计人员对金融企业业务流程的认识过程是循序渐进的,因此金融审计信息系统建设的数据规划既要兼顾审计数据库结构的统一,又要兼顾各金融机构各不相同的数据库原型逻辑。要将二者统一最好的解决办法就是采用数据视***设计,把被审计单位原始数据库完整克隆到审计数据库,从数据库视***里构建字段映射关系,审计数据库结构设计的调整只需调整视***。
用数据试***设计搭建统一的审计数据平台具有很多优点:
1.不会破坏原始数据库包含的约束条件和事务流程,不会降低数据处理的效率;2.审计数据库可以随原始数据库实时更新;3.可以根据审计需要随时调整数据结构设计;4.便于审计人员与被审计单位科技人员沟通;5.可以省略审计数据库的安全备份机制。比如某项金融审计业务逻辑发生了变化,我们只需相应地调整视***设计,而不用去变更审计数据库的事实表。
(四)数据分析设计。
1.sql查询分析。
sql查询分析主要包括***形化查询、索引建议、预览采集、动态汉化、excel交互等功能,并能对查询结果数据透视***分析。
2.多维数据集分析。
多维数据集分析有利于总体决策,提供对汇总数据的分析功能,主要包括切片、切块、旋转、上钻、下钻等功能。通过建立以时间、地域、客户、币种、科目、业务品种等要素为维度,以金额、数量等指标作为度量值的多维数据集模型,向决策层提供各家金融机构的财务状况和各项业务经营状况的总体情况。
3.数据挖掘分析。
数据挖掘分析是将高级智能计算技术应用于大量数据中,选择一种或者多种挖掘算法,从海量数据中发现潜在的、有价值的信息并建立相应模型。这些模型可以用来预测、支持决策,主要应用于信贷欺诈的建模和预测、风险评估、执行走向分析、收益率分析等领域,从风险损失的历史数据中归纳潜在的联系和规律,对审计重点关注对象实施定量分析和科学预测,建立预警模型,改变审计“事后审计”为“事前预测”。
数据库审计篇8
本文采用Java语言,MySQL数据库。数据库设计规则需满足移动互联网内容安全审计需求,数据库中主要数据表包括信息采集数据表、内容匹配数据表、规则库表和规则库分类表。
2模块设计
移动互联网内容审计平台模块包括数据采集模块、数据解析模块、规则库模块和内容审计模块。数据采集模块实现移动网络数据与计算机通过网关进行数据交换,在计算机网关电脑搭建移动网络数据采集服务器,移动互联网中的信息经过服务器后再进行转发,由此可在服务器中进行数据采集。数据解析模块是将移动网络数据包进行解析,抽取文本数据。但是,在网络传输的数据中,为了提高传输速度,会将数据包拆分多个数据包进行分传,因此,在数据包分析中,对于零散数据包解析并不能够实现对信息的有效审计,因此,需要对数据包进行拼接,并在网络应用层实现会话重现,进而进行数据文本提取。规则库模块是提供网络安全审计规则的添加与修改服务,通常规则库中的内容包括***治敏感关键字、***关键字、恐怖关键字、污秽词语等,关键字的设定可以根据实际需要实时添加与修改,保证规则库的先进性。内容审计模块采用单模式匹配和多模式匹配结合的方法对移动互联网内容进行审计,其中单模式耗用时间较少,逐条匹配,对于内容单一、模式串数目小的移动互联网内容可以选择采用单模式匹配算法。如果模式串数目增大,操作设定值,就应采用多模式匹配算法,提高匹配的时间。
3平台实现
移动互联网内容安全审计平台是实现移动互联网信息数据的安全审计功能的系统平台,其平台审计实现流程如***3所示。首先在计算机浏览器中启动移动互联网内容审计平台系统,选择模式匹配规则,将移动互联网信息与规则库规则进行匹配;其次,如果匹配后未发现违规信息则返回规则库继续查询规则匹配,如果匹配结果发现违规信息则显示匹配结果,并对不良信息进行屏蔽。
4平台测试
移动互联性内容在通过服务器进行移动互联网内容安全审计过程中,经历安全审计响应过程,为了保证用户信息沟通的实时性,移动互联网信息安全审计平台审计过程要快速、准确、安全。本文对所设计的审计平台进行测试,主要是对平台反应时间及审计效果进行测试,用移动终端访问10个网站,在10个网站中有5个网站包含有审计规则库中匹配的不良关键字,另外5个网站不包含规则库规则内容,记录网站登录所耗时间及不良信息审计结果如表5所示。由表5所示,移动互联网络数据包在100-200KB之间,移动互联网内容安全审计平台审计时间小于1s,并均能及时发现网页中含有的不良信息,由此证明移动互联网内容安全审计平台具有良好的可用性。
5结束语
数据库审计篇9
关键词:SQL server数据库;安全机制
中***分类号:TP309 文献标识码:A 文章编号:1007-9599 (2011) 18-0000-01
SQL Server Database Security Meaning and Security Mechanisms Issues Study
Sun Quan
(Inner Mongolia University of Science&Technology,Baotou 014010,China)
Abstract:SQL Serve database has now been widely used in various fields,this paper SQL server database,for example,for database applications,discusses the use of several database security issues,such as:auditing,access control,authentication,database encryption,mechanism for views and stored procedures,backup,recovery and concurrency control mechanism.Made some specific recommendations.To improve user awareness of security on the database.
Keywords:SQL server database;Security
数据库通常都保存着企业,组织和***府部门的各种重要的信息,是电子商务,ERP系统和其他重要商业系统的基础。但由于大多数人对数据库安全的重视远远不及操作系统和网络安全,尽答有计算机系统中一级一级层层设置的安全措施的保护,数抓完整性和合法性存取依然会受到很多方而的安全威胁,如密码策略、系统后门、数据库操作、网络攻击以及木身的安全方案。而这些安全隐患,往往是因为我们忽略了使用数据库的安全措施引起的。这里我们主要讨论几种关于SQL server数据库的安全防范。
一、数据库安全的内涵
数据库安全是指保护数据库以防止非法用户的越权使用、窃取、更改或破坏数据。与其它计算机系统(如操作系统)的安全要求类似。数据库系统的安全要求可以归纳为保密性、完整性和可用性三个方面。
(一)保密性。保密性指保护数据库中的数据不被泄露和未授权的获取,一般要求对用户进行访问授权,同一组数据的不同用户可以被授予不同的存取权限.同时还要求能够对用户的访问操作行为进行跟踪和审计。
(二)完整性。数据库的完整性主要包括物理完整性和逻辑完整性。物理完整性是指保证数据库的数据不受物理故障(如硬件故障、突然断电等)的影响,并有可能在灾难性毁坏时重建和恢复数据库,逻辑完整性是指对数据库逻辑结构的保护,包括数据的语义完整性和操作完整性。前者是数据存取在逻辑上满足完整性约束,后者主要是指在并发事务中保证数据的一致性。
(三)可用性。数据库的可用性是指数据库不应拒绝授权用户对数据的正常操作,同时保证系统的运行效率并提供用户良好的人机交互。
二、SQLSERVER的数据库安全机制
(一)审计功能。数据库审计是监视和记录用户对数据库所施加的各种操作的机制。通过审计机制,可以自动记录用户操作,利用审计跟踪的信息,便于追查有关责任,也有助于发现系统安全方面的弱点和漏洞。对于MSSQLSERV―ER,它能提供较为完善的审计功能,用来监视各用户对数据库施加的动作。SOLSERVER审计方式具体分用户审计和系统审计2种,审计工作一般通过SQL事件探查器完成。启用用户审计功能时。审计系统可记下所有对该数据库表或视***进行访问的企***(包括成功的和不成功的)及每次操作的用户名、时间、操作代码等信息;系统审计由系统管理员进行,其审计内容主要是系统一级命令以及数据库客体的使用情况。
(二)访问控制。为了保证用户只能存取有权存取的数据,数据库系统要求对每个用户定义存取权限.在SQL Server中,用户是属于特定的数据库的,数据库用户与登录标识相关联,一个应用程序使用登录标识SQL Server登录成功后,能否对某个数据库进行操作,由该数据库中是否有相应的数据库用户来决定。SQL server可根据访问用户所属的用户类型,利用GRANT等语句来对数据库或数据库对象作权限的控制,能够较为完善地支持自主访问控制策略。SQL SERVER将用户分为四个类型:系统管理员用户、数据库所有者用户、数据库对象拥有者用户和普通用户,不同的用户具有不同的权限。
(三)身份验证。对用户的身份认证是数据库管理系统提供的最外层安全保护措施,其方法是用户进入系统时通过输入ID和密码,向系统出示自己的身份证明,系统通过严格的认证机制对用户身份进行审查核实,经过确认后才提供与之相对应的系统服务。SQL server支持windows NT认证模式和混合认证模式两种身份认证模式。
(四)数据库加密。数据库加密通过将数据用密文形式存储或传输的手段保证高敏感数据的安全,这样可以防止那些企***通过不正常途径存取数据的行为.SQL server也提供了加密的功能,以强化对分布式数据库的安全管理。SQL server使用名为pwdencrypt的哈希函数来加密隐藏用户存储在Master数据库中系统表内的密码,将已定义的视***、存储过程、触发器等都存储在系统表syscomments中,SQL Server提供了内部加密机制。
(五)视***和存储过程机制。视***是从一个或几个基本表(视***)中导出的虚表。在数据库系统中,可以利用视***通过授予用户操作特定视***的权限。限制用户访问表的特定行和特定列来保证数据的安全,防止用户对基本表的操作,实现行级或列级的安全性。在SQLserveF中.系统较好地支持了视***定义和访问机制。如何利用CREATEVIEW语句建立视***,利用SELECT子句进行视***访同等,通过建立视***以及将视***表中的不同记录分成不同的保密级别。甚至将同一字段中的不同值分成不同的保密级别,控制用户可以看到的数据,实现安全性。在SQL Server中存储过程是存储于数据库内部经过编译可执行的SQL语句,它可被其他应用程序调用执行。彻底隐藏了用户可用的数据和数据操作中涉及的某些保密处理。
三、结论
本文就SQL server数据库管理系统的安全机制进行了全面的探索和研究,数据库的安全是一个非常复杂的课题,它的实现不仅是纯粹的技术问题。而且还需要法律、管理、社会因素的配合,相信随着信息安全技术的持续改进、信息安全管理水平的不断提高和有关人员的防范意识的不断增强,数据库的安全将越来越有保障。
参考文献:
数据库审计篇10
关键词:SQLserver 数据库 安全机制
中***分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2013)02-0171-01
1 数据库安全的内涵
数据库安全是指保护数据库以防止非法用户的越权使用、窃取、更改或破坏数据。与其它计算机系统(如操作系统)的安全要求类似。数据库系统的安全要求可以归纳为保密性、完整性和可用性三个方面。
1.1 保密性
保密性指保护数据库中的数据不被泄露和未授权的获取,一般要求对用户进行访问授权,同一组数据的不同用户可以被授予不同的存取权限.同时还要求能够对用户的访问操作行为进行跟踪和审计。
1.2 完整性
数据库的完整性主要包括物理完整性和逻辑完整性。物理完整性是指保证数据库的数据不受物理故障(如硬件故障、突然断电等)的影响,并有可能在灾难性毁坏时重建和恢复数据库,逻辑完整性是指对数据库逻辑结构的保护,包括数据的语义完整性和操作完整性。前者是数据存取在逻辑上满足完整性约束,后者主要是指在并发事务中保证数据的一致性。
1.3 可用性
数据库的可用性是指数据库不应拒绝授权用户对数据的正常操作,同时保证系统的运行效率并提供用户良好的人机交互。
2 SQLSERVER的数据库安全机制
2.1 审计功能
数据库审计是监视和记录用户对数据库所施加的各种操作的机制。通过审计机制,可以自动记录用户操作,利用审计跟踪的信息,便于追查有关责任,也有助于发现系统安全方面的弱点和漏洞。对于MSSQLSERV—ER,它能提供较为完善的审计功能,用来监视各用户对数据库施加的动作。SOLSERVER审计方式具体分用户审计和系统审计2种,审计工作一般通过SQL事件探查器完成。启用用户审计功能时。审计系统可记下所有对该数据库表或视***进行访问的企***(包括成功的和不成功的)及每次操作的用户名、时间、操作代码等信息;系统审计由系统管理员进行,其审计内容主要是系统一级命令以及数据库客体的使用情况。
2.2 访问控制
为了保证用户只能存取有权存取的数据,数据库系统要求对每个用户定义存取权限.在SQLServer中,用户是属于特定的数据库的,数据库用户与登录标识相关联,一个应用程序使用登录标识SQLServer登录成功后,能否对某个数据库进行操作,由该数据库中是否有相应的数据库用户来决定。SQLserver可根据访问用户所属的用户类型,利用GRANT等语句来对数据库或数据库对象作权限的控制,能够较为完善地支持自主访问控制策略。SQLSERVER将用户分为四个类型:系统管理员用户、数据库所有者用户、数据库对象拥有者用户和普通用户,不同的用户具有不同的权限。为了达到管理的便利和灵活,SQLServer引入了角色的概念,可以支持基于角色的访问控制策略。对于具有相同权限的用户,可以创建一个角色并对其赋予权限,然后将这些用户添加到该角色中使它们成为这个角色的成员。若要改变这些用户的权限,只需对角色的权限进行设置,不必对每一个用户进行权限设置。
2.3 身份验证
对用户的身份认证是数据库管理系统提供的最外层安全保护措施,其方法是用户进入系统时通过输入ID和密码,向系统出示自己的身份证明,系统通过严格的认证机制对用户身份进行审查核实,经过确认后才提供与之相对应的系统服务。SQLserver支持windowsNT认证模式和混合认证模式两种身份认证模式。
2.4 数据库加密
数据库加密通过将数据用密文形式存储或传输的手段保证高敏感数据的安全,这样可以防止那些企***通过不正常途径存取数据的行为.SQLserver也提供了加密的功能,以强化对分布式数据库的安全管理。SQLserver使用名为pwdencrypt的哈希函数来加密隐藏用户存储在Master数据库中系统表内的密码,将已定义的视***、存储过程、触发器等都存储在系统表syscomments中,SQLServer提供了内部加密机制。可以使用wIrrHEN—CRYPTION语句来进行加密。在条件允情况下,可以通过启动相应加密功能让SQLServer在通过网络传输数据时将数据按照SSL协议加密处理后传输。
2.5 视***和存储过程机制
视***是从一个或几个基本表(视***)中导出的虚表.在数据库系统中,可以利用视***通过授予用户操作特定视***的权限。限制用户访问表的特定行和特定列来保证数据的安全,防止用户对基本表的操作,实现行级或列级的安全性。在SQLserveF中.系统较好地支持了视***定义和访问机制。如何利用CREATEVIEW语句建立视***,利用SELECT子句进行视***访同等,通过建立视***以及将视***表中的不同记录分成不同的保密级别。甚至将同一字段中的不同值分成不同的保密级别,控制用户可以看到的数据,实现安全性。
3 结语
本文就SQLserver数据库管理系统的安全机制进行了全面的探索和研究,数据库的安全是一个非常复杂的课题,它的实现不仅是纯粹的技术问题。而且还需要法律、管理、社会因素的配合,相信随着信息安全技术的持续改进、信息安全管理水平的不断提高和有关人员的防范意识的不断增强,数据库的安全将越来越有保障。
参考文献