数据库审计范文

时间:2023-04-04 16:15:06

导语:如何才能写好一篇数据库审计,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

数据库审计

篇1

数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为,通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标数据库系统的用户操作的监控和审计。它可以监控和审计用户对数据库中的数据库表 、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等,分析的内容可以精确到SQL操作语句一级。它还可以根据设置的规则,智能的判断出违规操作数据库的行为,并对违规行为进行记录、报警。由于数据库安全审计系统是以网络旁路的方式工作于数据库主机所在的网络,因此它可以在根本不改变数据库系统的任何设置的情况下对数据库的操作实现跟踪记录、定位,实现数据库的在线监控,在不影响数据库系统自身性能的前提下,实现对数据库的在线监控和保护,及时地发现网络上针对数据库的违规操作行为并进行记录、报警和实时阻断,有效地弥补现有应用业务系统在数据库安全使用上的不足,为数据库系统的安全运行提供了有力保障。

二、医院数据库系统中的实际应用

第一次使用设备,需要更改ip地址以便后期使用,配置ip地址后在ie地址栏中输入更改的ip地址后,登陆到DBS系统,初次登陆系统需要配置需要审计的数据库类型,数据库服务器的ip地址,操作系统及系统版本,配置完成后,便可以使用了.

在系统首页中可以看到系统概括,其中包括事件类型,大延时数,攻击事件等.

其中攻击事中可详细观察危险等级,攻击的源ip,攻击事件描述,特征规则以及危险等级.比较详细的了解当前数据库被攻击的次数和行为.

延时分析中可以看到什么事件使用了什么语句执行中耗费时间较长的,后期可以用来对数据库进行优化.

统计分析中可以看到时间和业务量的分布图,下面的还可以看到这一天的时间内总共执行了多少条SQL语句以及分别是什么类型的语句.还可以以柱状图的方式体现各种统计信息,比如客户端IP,TCP会话,SQL模板等柱状图.

还有一项比较重要的功能就是监控高危操作,这个功能需要再策略中心里进行定义,比如SQL中比较危险的DELETE语句,还有医院中最需要避免的统方操作,这都是可以进行监控的.

三、日常维护

由于这个审计系统中内置了一个500g的硬盘,这个DBS系统和审计数据都是保存在这个硬盘中,随着审计数据每天增长,硬盘容量也变的相对有限,所以我们要对数据进行维护,设定磁盘预警和数据保留天数.

在系统配置-工作参数中配置磁盘预警和数据处理

磁盘预警中配置预警阀值,保护阀值和处理方式,一般我们设置为预警阀值81%,保护阀值91%,处理方式选择覆盖,这表示如果达到阀值的话会覆盖最早的数据来避免数据超出阀值.

数据保留天数,一般设置30天后删除(也是默认的保存天数)

篇2

关键词:数据库技术 计算机辅助审计 应用研究

中图分类号:TP399 文献标识码:A 文章编号:1007-9416(2016)10-0083-01

随着信息技术的发展,审计职业的发展面临着重大的挑战。在审计发展过程中,信息技术的使用促进了计算机辅助审计的发展。而信息技术在审计中的应用也不是一成不变的。其中数据库技术的应用提高了计算机辅助审计的持续性和实时性。这在一定程度上促进了我国持续审计的发展。

1 数据库技术在审计数据采集中的应用

数据采集主要指的是在计算机辅助审计的过程中,按照审计的要求,审计人员需要从被审计单位的数据库系统中获取相关的电子数据已达到完成审计任务的过程。目前现场审计实施系统、ACL、IDEA等这些常见的审计软件都可以完成数据的采集。另外,一些基于数据库技术的数据采集方式在目前也被广泛使用。第一,通过备份/恢复功能来实现审计数据采集。如果审计人员所使用的数据库系统和被审计单位的数据库系统完全一样,那么审计人员就可以通过备份/恢复功能来采集审计数据。第二,利用数据库工具来采集审计数据。数据库工具的作用为导入、导出和转换数据。审计人员可以应用这些软件来采集数据。第三,通过ODBC接口来完成审计数据采集。审计人员可以直接通过ODBC接口来访问被审计人员的数据库系统并进行格式的转换。总之,数据采集实际上就是数据库技术中的数据迁移,将一个数据库中的数据迁移到另一个数据库中。

2 数据库技术在审计数据预处理中的应用

审计数据预处理是计算机辅助审计中最重要的部分。目前,被审计单位数据的来源种类非常的多,这导致了数据的质量出现了大量的问题,在一定程度上影响了数据的分析。同时,这些质量问题对于审计结论的准确性有着很大的影响。所以,审计人员必须对采集来的数据进行预处理,已达到数据分析的需求。另外,如果将采集到的数据表和字段改成直观的名称,这样就能够使数据分析更加的方便。同理,其他的数据预处理也能够使数据分析更加的简便。目前一些审计软件就具有审计数据预处理的作用。

3 数据库技术在审计数据分析中的应用

审计数据分析也是计算机辅助审计中的一个重要部分。审计数据分析能够完全检测出审计数据中具有可疑性的数据。最常用的审计数据分析法主要包含了数据查询、数据分析等多种方法。其中审计人员最常用的分析法为数据查询法。数据查询是指具有一定实践经验的审计人员在通用软件上按照审计分析模型和SQL命令来分析采集到的数据,也有一些审计人员使用审计软件来通过一些不同的查询命令和格式来进行采集数据的检测。这种方法不仅能够审计的结果更加的正确和准确,还能够应用计算机来代替工作人员繁重的手工劳动,减轻了工作人员的工作量。目前,虽然审计人员可以通过审计软件在审计数据过程中使用一些分析方法,但是审计软件的灵活性较低,这使得大多数的审计人员仍然是通过使用数据库产品来分析审计数据。

数值分析是只审计人员通过观察数据的分布情况和出现频率等来找出审计线索的一种数据分析方法。这种方法主要是实现对于数据微观方面的分析,通过审计判断来从数据中找到审计线索。对于其他分析方法而言,数值分析法容易发现审计数据中较为隐蔽的信息。常用的方法主要包含了重号分析和断号分析。重号分析是记录字段中相同数值重复的次数。而断号分析是分析在数据记录中,字段值的连续性。这两种方法已经被应用于各种审计软件中。

4 数据库技术在持续审计中的应用

如上文所述,持续审计在计算机辅助审计中具有着重要的发展。目前,我国以及国外都出现了大量的持续审计的方法。有研究表明,持续审计的实现方法包含了子系统和单机系统模式两类。其中,子系统必须嵌入到被审计系统当中,而单机系统必须持续监视被审计系统并能够将抽取到的数据和标准数据进行比较,从而发现异常。单机系统本身就有着一定的审计软件、数据库和操作系统,能够实现与审计系统之间的连接。目前,我国政府审计所开展的联网审计也是持续审计的一种,利用单机系统模式来进行被审计单位系统数据的采集。

目前,虽然国内外有着许多的持续审计的方法,但是这些方法仍具有着大量的缺点。在一些情况下,通过关系数据库触发器也能够进行持续审计。同时,在关系数据系统上,大量的被审计系统被建立。这更有利于关系数据库触发器的应用。因此,笔者分析并总结出了一种应用数据库触发器的持续审计方法。

5 结语

综上所述,随着数据库技术的应用,计算机辅助审计也出现了一些新的方法。其中审计抽样就是应用聚类算法来实现审计数据的聚类并在这些审计数据中进行抽样。这种方法在一定程度上降低了审计数据的风险。同时,关联规则分析法能够通过发现被审计数据中具有一定联系的数据来获得一些审计线索。这些方法都促进了我国计算机辅助审计的发展。

参考文献

[1]肖涵.浅谈我国计算机辅助审计的应用现状及发展趋势[J].市场论坛,2016(06).

[2]秦宁.浅谈计算机辅助审计技术的优势及作用[J].江苏卫生事业管理,2015(01).

[3]刘红明.探讨面向数据的计算机辅助审计[J].财经界(学术版),2014(04).

[4]刘崇明,杜乾.我国计算机辅助审计发展现状及对策[J].现代经济信息,2014(13).

[5]翁红霞.计算机辅助审计风险及其对策研究[J].经营管理者,2010(01).

篇3

(1)本单位的基本情况,包括本单位组织结构、人员构成、经营业务范围规模、科研生产经营管理情况,单位在行业中的地位、优势、特色,以及取得的各种荣誉和奖励等。(2)本单位目前执行的各种法规制度和内控制度。(3)历年财务数据,包括会计科目余额汇总表、明细科目、全年每张凭证的明细内容;还可能包括基建账目的会计科目余额汇总表和序时账,以及固定资产计提折旧、大修理基金的汇总表,分摊到各个科研项目设备费的分摊明细数据和分摊依据说明;每年的管理费用分摊表及其明细表,以及对分摊依据进行说明,等等。(4)被审计项目的文件资料。(5)有关基础数据。如固定资产增减变动情况表、原材料出入库汇总表和入库单、领料单明细表、固定资产采购合同、进口设备结算单、施工合同、施工图、工程预结算书、设计变更、工程洽商及现场鉴证资料、单项工程质量评定材料、竣工验收文件,中介机构提供的工程结算审核报告、客户名录、招投标数据库、各类合同,等等。(6)接受外部检查的资料。如审计报告、审计意见书和专项审核报告等以及税务、财政、社保、环保、消防安全机构、质量体系、集团公司等对单位各项检查结果检查的结论性意见。(7)内部审计的资料。(8)所属子公司和附属单位的数据资料。总之,满足审计需要的数据,众多且庞杂。

二、建立和管理审计数据仓库

数据仓库的建设是以现有业务系统的积累为基础。数据仓库建设是一个工程,是一个过程。数据仓库建立不是一蹴而就的,一成不变的,需要平时不断地收集和整理。根据数据仓库的特点,数据内容是历史的、存档的、归纳的、计算的数据。在管理中需要注意以下几点:1.传统操作型数据库中的数据要抽取、净化和转换成“干净”数据后才能进入数据仓库。源数据可能有很多与审计无关的信息,经过净化和转换的数据才是审计有用的数据。2.数据仓库的数据特性是历史的、静态的、定时添加的,数据仓库内已经存在的数据不会改变,要定期持续对有关内容进行维护,产生的新数据要及时添加补充,单位若有新的规章制度也需添加进去。3.数据仓库里的数据和资料,一般可按年度来建立,跨年度的被审计项目数据就可以方便地从各个年度数据仓库中提取。4.数据仓库里的数据是有时效性的,而被审计项目往往跨越几个年度,不同时期所遵循实施的标准和管理规定也不尽相同。在数据仓库中要合理划分不同时间区段。5.遇审计项目内容的,只提供给有保密资质的外审人员,并签署保密协议;若外部审计单位没有审计资质,则需要删除数据仓库中的信息后转化为非密版本,即可按和非准备两套版本,根据不同需要提供不同的版本。6.建立数据仓库需要各个部门的大力沟通配合共同建设。建立数据仓库之后,审计部门将所有收集来的审计相关信息存放在一个唯一的地方——数据仓库。仓库中的数据按照一定的方式组织,从而使得审计信息容易存取并且有使用价值,从而大大提高审计效率。

三、数据分析应用于数据仓库

篇4

电子图件验收

最终的GIS专题成果图主要包括套合图(含地形地质图)、采掘工程图、资源储量估算图和资源储量利用现状图。检查验收内容主要包含以下7个方面。

1.四类图件要完整。就煤炭的单核查区来说,首先四类图要完整;其次,采掘工程图、资源储量估算图和资源储量利用现状图要按煤层分别制图。

2.每个图件中图元的归置要符合项目办的规定。如,钻孔注记放到工程图层类注释.WT;采矿权,原上表矿区、核查区的注记放套合图层类注释.WT中。

3.图件中子图、线型和区属性要严格遵循项目办提供的“现状调查统一图例板.CLN规定”。

4.核查矿区范围要和相邻的核查区范围无缝对接,并且包住本核查区的所有采矿权边界。

5.对于图件上所有的区,尤其是需要挂接属性的类图层(核查矿区.wp,原上表矿区.wp,勘查工作.wp区,采矿权.wp,探矿权.wp,矿体.wp,采空区.wp,储量利用.wp),要求在相应线文件完成的基础上拓扑造区而成。拓扑造区的目的是保证所造区具有连续性、紧致性与连通性的特点,并且在图件后期维护的过程中保证区能有连续变形下不变的性质。

6.核查储量块段后,按采矿权划分为占用或未占用;储量块段必须在该核查矿区范围以内。此项检查也只能通过打开图形中相关图层进行目测判断检查。

7.数据一致性验收。正常情况下,储量核查文字报告中所有关于矿产储量的数据、Access属性数据库储量数据、专题图件中资源储量、估算图上的储量注记和储量核查终审意见书提供的储量数据四者要完全统一。具体检查方法为用数据库录入系统导出核查矿区的资源储量核查成果数据表,其中包括分采矿权的、占用情况的和分矿产储量类型的各种数据表,这些数据表的数据代表了Access属性数据库的数据,将这些表中的数据和文字报告、专题图件、终审意见书中的储量数据进行对比,保证数据一致。

专题图层验收

Mapgis格式的四类专题图件中包括上文中所罗列的类专题图层,其中的八类图层要与Access属性库中属性一对一挂接,挂接后能用二维空间方式反应核查矿区的各种信息,因此要保证八类图层的正确。这一步骤可以检查到漏填属性表以及专题图层文件图元漏挂接属性的错误。检查方法:数据库录入系统-省级汇总-数据库专题图层提取-提取被检查的核查数据库的类专题图层。在检查中首先要保证类图层能有效提取,若不能提取,则说明图层本身有问题,应返回前几个步骤重新检查;其次,提取完成后检查每一类图层的区块图元个数和Access对应属性表中的记录数是否一致。

图库一致性验收

主要用于检查图件图层属性和Access属性库的一致性。检查方法:在数据库录入系统中提取类专题图层,数据库录入系统省级汇总汇总图库一致性检查。检查会以新窗口的方式罗列图库属性不一致的图件图层,可依据所发现的错误提示修改数据库。

篇5

    进入医疗事故技术鉴定专家库的医疗卫生专业技术人员应当具备下列条件:

    (一)有良好的业务素质和执业品德;

    (二)受聘于医疗卫生机构或者医学教学、科研机构并担任相应专业高级技术职务3年以上。

篇6

关键词:Oracle数据库;安全性;策略

中图分类号:TP311文献标识码:A 文章编号:1009-3044(2010)21-6058-02

随着社会信息化进程的加速,数据库系统得到了广泛应用,它们担负着存储和管理信息的任务,集中存放了大量数据,因此数据库的安全性受到人们的广泛关注。

所谓数据库的安全性是指数据库的任何部分都不允许受到恶意侵害或未经授权的存取或修改。其主要内涵包括三个方面:1) 保密性,即不允许未授权的用户存取信息。2) 完整性,即只允许被授权用户修改数据。3) 可用性,即不应拒绝已授权用户对数据的存取访问。

数据库系统受到的威胁主要有:对数据库的不正确访问,引起数据库数据的错误;为了某种目的,故意破坏数据库,使其不能恢复;非法访问不该访问的数据库信息,且又不留痕迹;用户通过网络进行数据库访问时,有可能受到各种技术的攻击;未经授权非法修改数据库数据,使其失去真实性;硬件毁坏;自然灾害;磁干扰等。为了保护数据库的安全,目前常用的数据库安全技术主要有用户认证、访问控制、信息流控制、推理控制、数据库加密等,其中应用最广也最为有效的是访问控制技术。

1 Oracle 10g数据库的安全体系结构

Oracle数据库的安全级别为C2级,其安全原理基于最小特权,此原则认为用户只应该具有完成其任务所必需的特权,而不应该具有更多的特权。Oracle 10g数据库的安全性可以被分为3个层次:

1)系统安全性:指在系统级上控制访问和使用数据库的机制。包括有效的用户名及其口令、用户是否被授权连接到数据库、用户是否有足够的磁盘空间来存放用户模式对象、用户的资源限制、是否启动了数据库的审计功能、用户可以进行那些系统操作等。

2)数据库安全性:指在实体级上控制访问和使用数据库的机制。包括用户可以存取的方案对象及在该对象上可以进行那些操作等,即用户必须具备存取该实体的权限。

3)网络安全性:Oracle 10g数据库主要是面向网络提供服务的。其网络传输的安全至关重要,包括登陆助手、目录管理、标签安全性等集成工具。Oracle通过分发Wallet、数字证书、SSL安全套接字和数字密钥的办法来确保网络数据传输的安全性。

在Oracle的安全体系结构中,连接到数据库的用户有普通用户和数据库管理员用户两类。普通用户主要是通过各种应用程序和查询工具连接,使用数据库账户和口令来验证,必要时可实施Oracle高级数据加密技术;数据库管理员用户用sys、system或具有dba权限的账户连接,登录系统时需采用口令文件验证或操作系统验证。

作为连接到数据库的账户,必须首先是数据库中的用户,该用户只有在数据库中拥有必要的角色和权限,才能被数据库认可并可在数据库中进行相应的活动。在每个模式下,存储的核心是数据库的表。对于常规表,Oracle支持三个级别的安全性:表级、行级和列级。表级的安全性由表的拥有者通过表级授权来控制其他用户;行级的安全性可通过视图来实现;列级的安全性可直接定义在表上,也可以通过视图定义表的垂直投影子集来实现。在很多情况下,一个表中存储了分别属于多个部门或个人的不同安全级别的数据,此时单纯使用视图很难从根本上解决此类安全问题,同时,用户也可使用特殊工具绕过视图直接去访问表。对此,Oracle采用了虚拟私有数据库VPD和标签安全OLS两项技术来实现有关行级数据的保护。这样一来,不论用户采用何种工具访问数据库,均受到VPD和OLS的制约,从而达到了按行访问的目的。

当用户连接数据库时还需要通过系统概要文件对用户所使用的资源进行限制,如访问时间、登陆次数、占用CPU时间等。

2 Oracle 10g数据库应用系统的安全策略设计

数据库安全十分重要,但安全管理需要成本,过分的安全还会影响效率,因此,很多时候需要数据库管理员在性能、时间和安全之间进行折中,从而制定出一个适合特定应用的、灵活的安全策略。在设计Oracle10g数据库应用系统的安全策略时应从以下几个方面着手:

2.1 建立Oracle 10g数据库的安全机制及实施计划

在设计数据库过程中,首先规划表空间和数据库的模式,包括表和子程序对象、用户的类型、这些用户需要使用哪些数据以及需要什么样的权限。然后,通过由表和用户构成的对象/用户权限CRUD关联矩阵来明确与对象权限以及表与表空间的对应关系。

根据上述规划,可以在数据库中按照下列顺序创建模式及对象并授权:

1)创建用于存储用户及其所属对象的表空间。

2)在相应的表空间上创建用户,指定其默认的表空间并授予用户相应的角色和系统权限。

3)由用户创建各种所需要的数据库对象,并按照对象/用户权限CRUD关联矩阵为不同的用户授予对象权限。

4)尽可能地使用同义词和视图来存取数据,以减少用户对表的直接存取。

2.2 Oracle 10g数据库内部的管理策略

Oracle数据库系统安全管理的首要任务就是为每一个用户创建相应的数据库账号,任何用户对数据库的任何操作都必须强制通过系统安全设置检查后方能实施。在创建用户时,必须使用安全参数对用户进行限制,数据库用户的安全参数包括用户名和口令、用户默认表空间、临时表空间、用户存储空间限制以及用户资源文件限制等。

1)口令管理。数据库系统安全依赖于口令,应使用较复杂的口令,系统以加密方式将口令存储在数据字典中。Oracle 10g通过概要文件对口令进行管理,通常可在概要文件中启用口令复杂性函数来校验口令,该函数脚本在文件utlpwdmg.sql中,也可根据需要创建口令规则更为复杂的函数。

2)权限管理。Oracle数据库安全管理机制主要是通过权限进行设置,通过权限设置防止非授权的数据库存取、非授权的对具体对象的存取,只有通过权限的认证才可以存取数据库中的数据。

对用户授予权限时应本着授予最少权限的原则,特别是要谨慎授予带有with admin option的权限。同时要限制授予数据库对象用户使用对象权限和system权限的数量以及使用具有sys权限的连接。特别不能授予一般用户具有any的权限。

3)角色管理。Oracle 10g通过角色大大简化了权限的管理,减轻了系统管理的开销,减少了系统的安全漏洞。在实际应用中,根据部门和企业的安全政策、操作规则划分出不同的数据库角色。在创建角色时,可以为角色设置安全性。角色的安全性通过为角色设置口令字进行保护,只有提供正确的口令字才允许修改或设置角色;通过设置角色的生效或失效实现系统权限的可用或不可用,从而弥补了系统的权限没有失效或生效的属性。

4)资源管理

可通过使用概要文件限制每个用户登录的次数、限制连接会话、CPU使用时间和逻辑读等,可通过使用默认的概要文件,也可通过create profile命令单独创建自己的概要文件来实现。

5)审计策略

Oracle 10g数据库审计具有审计发生在数据库内部的所有操作的能力,有三种不同的审计类型:权限审计、语句审计和方案对象审计。

在默认情况下,数据库的审计功能是关闭的。在必要的时候,数据库管理员可以有选择地灵活使用这些审计方法,对用户监视,防止用户对数据库进行非法操作,以确保数据库的安全;同时尽可能将审计事件的数量控制在合理的范围内,以节省系统资源。

审计记录可以写入SYS.AUD$表或操作系统的审计跟踪中。要注意保护审计记录,否则,用户可通过非法操作来删除其审计踪迹。Oracle 10g提供了两个SQL脚本来管理与审计有关的数据字典视图:CATAUDIT.SQL和CATNDAUD.SQL。数据字典包含与审计有关的两类视图:第一类确定哪些项目被审计,第二类建立在审计表上,表示从各种角度的审计记录。

2.3 网络数据通信的管理

1)采取各种措施保证网络的安全,如避免未经授权的网络访问,包括保护网络中的软件以及路由器等;对网络传输的数据进行加密;使用防火墙,将数据库服务器置于防火墙保护之下;检查网络有效的IP地址。

2)检查SSL。SSL是互联网安全通信的标准协议,它提供了数据集成数据机密的机制,支持安全认证和加密。在检查SSL时应注意以下几点:应确保配置文件使用正确的SSL端口号;应确保SSL模式下通信双方的一致性;要保证为tnsnames.ora和listener.ora文件中ADDRESS参数的protocol值指定tcp;服务器应支持客户端密码和证书密钥算法。

3)sqlnet.ora文件。在服务器端的sqlnet.ora文件中添加tcp.invited.nodes和tcp.uninvited.nodes参数可决定哪些客户机允许和不允许与服务器连接:

tcp.validnode_checking=yes

tcp.invited_nodes=(|name, |name)

tcp.excluded_nodes=(|name, |name)

4)监听器的使用。在默认情况下,监听器没有设置口令。此时,远程客户机可以通过监听控制器获得监听器的状态信息。因此,应设置监听器的口令,并限制其权限,使其不能在数据库或Oracle服务器地址空间中读写文件。

在listener.ora参数文件中,让admin_restrictions_=on可阻止在运行期间其他任何连接所做的有关监听器的修改。

除了设置口令外,还应更改数据库的端口号,对默认的端口号1521或不使用的端口应全部封锁住。

5)在数据库初始化参数文件init.中添加参数:remote_os_authent=false,以此严格限制远程客户端的连接。另外,不允许操作系统用户或Oracle数据库用户更改默认文件和目录的权限。

2.4 其他安全措施

Oracle数据库除上述基本的安全控制外,还另外提供了一些高级的安全性特性,如虚拟专用数据库(VPD)、标签安全、数据库加密、精细粒度审计(FGA)、N-tier用户验证支持等。它们分别用于加强数据库安全的不同部分,其中虚拟专用数据库和标签安全用于控制用户仅仅存取数据库中数据的某一个子集。数据库加密是一种主动的信息安全防范措施,只对数据库中机密程度较高的数据进行加密,可使用Oracle提供的系统包dbms_obfuscation_toolkit对其进行加密。精细粒度审计(FGA)特性用于监控/追踪用户的各种数据库操作,N-tier用户验证支持则使数据库可以通过诸如Kerberos或令牌卡等外部机制来取得第三方认证授权。

在Oracle_Home\bin目录下的wrap.exe封装程序可加密PL/SQL源代码,加密后的应用程序不能编辑也不能被实施逆向工程。此外,定期进行数据库备份工作,以便在意外情况发生后,可以利用备份数据来恢复数据库,也是保证Oracle数据库系统安全的一个重要措施。

参考文献:

[1] 萨师煊,王珊.数据库系统概论[M].高等教育出版社,2000.

[2] 贾代平.Oracle DBA核心技术解析[M].电子工业出版社,2006.

篇7

一、基本概念

(一)大数据

大数据又称巨量数据,所涉及的数据量规模巨大到无法使用传统工具,在合理时间内达到撷取、管理、处理并整理成有价值的信息。大数据具有数据容量巨大、数据类型纷繁、数据价值密度低和处理速度要求快的特点。

大数据对内部审计工作具有重要影响:一是促使审计方式向连续审计转变。随着信息技术迅速发展,连续审计的重要性日益凸显,大数据技术及大数据基础使连续审计成为可能,连续审计可以降低传统审计过程中的时滞问题,降低审计错误和风险,为组织提供咨询增值服务;二是促进审计抽样向系统化、智能化和模块化发展。数据量的爆炸式增长使审计人员无法使用现行的抽样审计方法揭示舞弊行为和技术性错误。大数据时代的审计抽样算法可以对审计数据进行分析,进行数据挖掘,找出特征数据,缩小抽取样本的数量,降低审计成本、提高审计效率;利用关联规则,预测被审计单位运营风险的高低,帮助审计人员确定审计重点,实现精确打击;三是促进审计成果的转化与应用。促进对以往审计中获取的大量信息资料的汇总、归纳,从中找出内在规律、共性问题和发展趋势,通过汇总归纳宏观性和综合性较强的审计信息,为领导决策提供依据;通过对带有共性、普遍性、倾向性的问题进行挖掘,提炼出问题与数据中的关联性,可以将所有问题通过IT手段检查出来;将审计成果进行知识化留存;通过大数据技术,将问题规则化并固化到系统中,以便于计算或判断问题发展趋势、对问题进行预警等。

(二)数据挖掘技术

数据挖掘(Data Mining,DM)是一种计算机辅助技术,用于从海量的、不完全的、有噪声的、模糊的、随机的数据中抽取出潜在的、有效的、新颖的、有用的和最终可以理解的知识的过程,又称数据库知识发现(Knowledge Discover of Database,KDD)。数据挖掘即能针对特定7876数据库进行简单的检索和查询,又能进行多层次、全方位的统计、分析、综合和推理,越来越多的组织开始对记录交易活动、经营状况和市场信息的海量数据进行数据挖掘,从而获得有价值的信息,提高组织的盈利水平和竞争能力。审计人员可将具有相似性的会计数据进行聚类分组,从而发现异常账目。

二、大数据视角下的人民银行内部审计模型

根据人民银行业务实际和大数据处理要求,构建了由数据获取、数据整理、数据挖掘和审计应用四阶段构成的人民银行大数据审计模型,模型流程如图1。

图1 人民银行大数据审计模型

(一)数据获取。人民银行内审部门应结合辖区业务实际,积极开展风险评估工作,确定各业务风险排序,拟定审计主题,针对特定的审计目标和审计内容进行广泛而深入的审前调查,掌握审计的范围、审计的内容、审计所需的信息。根据审前调查情况,审计人员有目的性的收集和整理与审计相关的数据,服务于审计项目。该阶段审计人员在保证不影响被审计单位业务系统的平稳、持续运行前提下,采取诸如Microsoft SQL Server 2000等数据转换工具,获取、更新和维护审计相关数据。

(二)数据整理。该阶段审计人员在充分分析数据质量的情况下,运用数据库各表之间的勾稽关系,剔除垃圾数据,清理、转换、载入和验证提取的数据,建立审计数据库××,数据库中的审计数据是集成的、一致的、高质量的,便于后续审计工作的开展。数据库是面向特定审计主题的,不同被审计单位的审计主题不同,因此审计人员要为不同审计对象设计不同的数据库××,设计数据库××包括数据库××模型设计及数据处理设计,是一个循环往复、不断优化的过程,需要不断地反馈和不断地完善。该阶段审计人员主要任务是为采集到的审计数据建立一个独立与被审计单位数据库的数据库××,提供适合联机分析处理和数据挖掘的数据存储环境。

(三)数据挖掘。该阶段审计人员可以使用简单分析和多维分析工具对数据库××进行数据分析,如:采用联机分析处理的切块、切片、旋转和钻取等技术,对审计数据进行比较分析、比率分析、趋势分析等。但在海量数据情况下,审计人员必须采用诸如统计分析、决策树、人工神经网络和关联规则等数据挖掘算法,对数据库××进行数据挖掘。

1.选择数据挖掘算法。不同数据挖掘算法的思路、步骤、功能和应用领域不尽相同,审计人员应根据审计主题选择挖掘方法,以得到对审计有指导意义的知识。

2.建立数据挖掘模型。选择数据挖掘算法后,从分析数据入手,从数据库××中提取主要变量,剔除无关变量,建立适合该算法的数据挖掘模型。

3.验证数据挖掘模型。从数据库××中选取多个样本数据,对挖掘模型进行验证,确保数据挖掘模型实现既定审计目的。

篇8

Windows身份认证模式,即使用Windows中的其中一个用户登录到SQLServer数据库中。SQLServer中的用户名和密码与Windows用户的用户名和密码完全相同。数据库的身份验证完全依靠Windows用户的安全验证。当用户一旦通过Windows的安全验证后,则就能够有权进入SQLServer数据库中。混合身份认证模式,即同时使用Windows的身份验证和SQLServer的身份验证。根据通信时使用的网络库来决定具体采用哪种方式进行验证。若用户使用命名管道登录则使用Windows身份验证,若用户使用TCP/IPsockets登录则使用SQLServer身份验证。Windows身份认证是程序安装时,在SQLServer加入了BUILTIN\Administrators用户名,这时可以采用Windows认证登录SQLServer,与混合身份认证模式的差别是Windows混合登陆是用Windows使用的默认用户名登录,有sa权限,而选则身份认证时使用的是自己设置的用户名。远程采用Windows身份认证时,需要将登录的计算机管理员用户加入到服务器端的信任列表中,并赋予其本机admin权限。

2审计

数据库审计是指当用户对数据库进行各种操作时,审计功能会实时监视和记录用户的行为。审计功能对数据库管理员来说是非常有价值的。通过审计机制,可以随时查看用户行为,便于追查责任,对于不正常的用户行为可以及时的制止,同时审计功能还有助于发现数据库安全方面的漏洞和弱点。一般通过SQL的事件探查器完成审计工作,由管理员权限用户进行。审计可以在服务器和数据库级别上或者针对个别数据库对象实现,并以不同的格式保存记录,如二进制文件或Windows应用程序日志。在SQLServer的指定实例中创建一个SQLServer的审计。SQL语句如下:createserverAUDITuserAuditTOFILE(FILEPATH='D:\audit',MAXSIZE=10MB)with(QUEUE_DELAY=5000)。

3访问控制

访问控制指的是数据库对于每个用户设定了严格的访问权限。SQLServer将用户分为不同等级:一般用户、数据库对象拥有者用户、数据库所有者用户和系统管理员用户四大等级。不同等级的用户操作数据库的权限不同。SQL授权语句可以把语句权限或者对象权限授予给其他用户和角色。如下:GRANT{ALL|statement[,...n]}TOsecurity_account[,...n]。

4其他安全机制

SQLServer安全机制还有视图和存储过程机制、数据库加密机制等。视图是从一个或几个基本表(视图)中导出的虚表。在数据库系统中,可以利用视图通过授予用户操作特定视图的权限。限制用户访问表的特定行和特定列来保证数据的安全,防止用户对基本表的操作,实现行级或列级的安全性。SQLServer中存储过程是存储于数据库内部经过编译可执行的SQL语句,它可被其他应用程序调用执行。彻底隐藏了用户可用的数据和数据操作中涉及的某些保密处理。SQLServer使用哈希函数来加密隐藏用户存储在Master数据库中系统表内的密码,将已定义的视图、存储过程、触发器等都存储在系统表syscomments中,SQLServer提供了内部加密机制。

5结束语

篇9

[论文摘要]本文分析了信息系统环境下审计工作系统的功能特征、运作环节以及系统的构成,介绍了系统测试的方法,以期提高审计信息化水平,提高审计效率和效果。

数据库技术在审计信息管理中的广泛运用,能为审计人员充分、有效、便利地提供信息,为满足快捷决策需要奠定了基础。其主要设计思想是将分析决策所需的大量数据从传统的操作环境中分离出来,把分散的、难以访问的操作数据转换成集中统一、随时可用的信息而建立的一个大的数据库,其中存储了所有审计数据。

一、审计工作系统的功能特征

在审计工作系统中,审计数据库将信息按照主题来进行组织、管理、控制,审计系统对信息的组织、管理、控制方式一般具有以下特征:

1.一致性

不同来源的多种数据一旦进入数据库,就必须按照统一的主键和结构与编码规则重新组合,因而在审计系统中的数据信息具有一致性的特点。当业务事件发生时,所有原始数据被适当加工成标准编码的源数据,集成于一个逻辑数据库(或数据仓库),而不是重复存储于多个低耦合系统中。数据库不只记录符合会计事项定义的业务事件,而且记录管理者想要计划、控制和评价的所有业务事件,并且存储业务活动中多方面的细节信息。任何授权用户都可以通过数据库所存储的数据来定义和获取所需的有用信息,这样既能提供多种视图驱动应用所能提供的全部视图,又能避免数据重复存储和数据不一致的问题。此外,这种体系结构还实现了信息处理的实时控制,数据库中的处理单元在业务发生时捕捉业务数据,既能执行业务规划和控制,又能校验数据的准确性和完整性。

2.时间变量

审计数据库中的数据键始终包括时间元素,数据保存的时间通常较长,具有作历史比较和趋势分析预测的长期数据基础。数据库技术是将计算机应用于数据管理而产生的一种新的技术,它仅是审计信息系统凭借的一种新的管理手段,对于数据库的基本要素和管理对象——审计信息的源数据,并不是指没有经过任何加工的原始数据,而是在原始数据的基础上,经过了类似于会计流程中的原始凭证确认、统—会计科目标准编码等加工后所形成的数据。

二、审计工作系统的运作环节

审计数据库在审计工作系统的运作过程大致有如下4个重要方面:

1.数据获取

获取企业的数据信息,记录数据信息的功能和处理过程。根据审计人员的需要,对在数据库中运算所需的数据通过一定的方式进行采集,可以得到企业完整而清晰的数据信息,选取和不断更新数据,保证数据的一致性,使审计信息系统的数据不断更新与补充,并使数据在审计信息系统内部各部件之间可以沟通;利用现有系统的信息,确定从企业数据到审计信息系统的数据模型所必需的转化/综合模式。生成审计信息数据,是进行审计工作的数据基础,类似于传统手工环境下的审计对象。审计信息系统上的财务信息不再是简单的纯文本传统财务信息,它是特定协议标准格式,如超文本格式(HTML)的电子报表,所有数据只要点击都可以被随意移植使用。通过网络传输而来的电子报表按照一定的协议标准格式编制,也可以转换成审计信息系统所需的数据。通过数据获取环节,把这些数据转换成审计信息系统所能识别的形式,或直接采用被审计单位所提供电子数据加工出审计信息系统想要的形式。

2.数据管理

此环节包括会计信息库和用户信息库两部分,前者主要依据数据库技术进行管理,注重于对信息的分类、组织、维护、检索等,对存储的数据建立模型,通过数据模型来对信息进行保存和管理;后者主要包括有关用户个性特征的信息,个性特征数据结构设计是这部分的关键问题,决定了个性化信息服务系统服务质量的优劣,也是实现信息服务自动化和智能化的关键。通过将各种数据装入数据管理库之中,生成必需的、能为审计人员所直接使用的数据管理库,或通过其他方法为审计人员提供查询工具,以便审计人员能方便地从数据管理库中获取所需的信息,并可以通过一定的形式将其输出。生成审计工作所需的数据管理库包含各种审计计算底稿、审定表、审计报告、管理建议书等信息的结构化数据库,并形成与其他部件进行联系的桥梁。

3.分析推理

这是审计信息系统中对信息流进行控制的核心,其主要功能是接受审计人员通过审计信息系统传来的信息需求,判断需求指向的是已存在的信息,还是不存在的信息,或者是哪一层次的信息。对已存在的信息可直接调出并通过用户浏览器予以显示,对不存在的信息需要进行记录,并判断是否经适当可行的计算或处理即可提供,如是,则进行计算处理并显示;否则,作为遗留问题提示进行特别设置处理。此环节是审计工作数据库的主要组成部分之一,可以利用采集到的数据信息,根据程序设置,推断出审计人员工作需要的可能解;提供方便的审计分析模块。

4.解释报告

审计软件可以提供审计报告生成功能,审计人员可以通过它选择具体的信息项目、类型和表达形式,主要内容包括:(1)设置报告模式。模式中列有会计系统中与要素模块相应的数据项目,模式中的项目与含有多种会计方法的对话框或序列框相联,以便审计人员选择他们需要的会计方法来处理其选择的信息项目。(2)初始选择。在生成报告时,现行的会计准则和法规作为初始选择存放在对话框架或子对话框中。如不进行任何选择,审计人员可以得到一份通用的标准的审计报告。(3)选择项目。除初始选择以外,模式报告还提供可选择项目来满足审计人员不同的信息报告要求,这些选择项目可以是会计准则和法规、会计计量和估价方法、财务信息与非财务信息的类型、报告的频率、范围、使用的语言、形式等,提供可选择项目能够增强交互性相对化特征,既能满足审计人员的特殊信息报告需要,又能减少报告使用人员的信息负担。(4)帮助功能。可以采取3种方式:自动显示专业技术概念解释;在对话框中提供环境敏感帮助;一个全面的包括如何应用更复杂的会计技术和方法的目录。帮助功能可以避免审计人员和报告使用者有限的时间被信息的多样化这种无实际意义的工作浪费,有利于及时、准确、有效地寻找有用信息,提高对信息的利用效率。

三、审计工作系统的组成及内容

1.审计项目管理部分

通过建立审计项目管理组件,对每一个被审计项目的各方面情况进行记录并生成电子档案,可以让审计人员更方便地查阅、了解被审计单位的情况,让审计项目的新进人员可以更快熟悉工作;可以建立审计质量控制系统,明确审计人员的工作职责。2.审计法规管理部分

可以自动检查有关处理是否合法合规,能完成法规资料的录入、修改、删除、检索、打印等功能。检索功能不仅可以为用户按各种条件查找审计法规的目录,而且可以根据目录查找法规全文,可以按要求摘要其中的内容并打印输出。审计法规数据库也可以单独成为一个软件,现已成功地应用于审计工作第一线,是我国目前开发和应用较成功的专项审计软件之一。

3.审计操作管理部分

审计操作管理的功能:(1)参考功能。提供计算机审计中常用的工具、手段、可使用的审计程序,其主要内容有:审计环境建立、查询、抽样、汇总与计算、排序与分类、财务与效益分析、编制与输出工作底稿、打印各类审计文件等。(2)图像处理功能。通过对图像显示参数的设置,可以使审计结果以图表的形式表达出来,可以让内部审计人员直观地了解被审计单位的情况。(3)底稿处理功能。能完成审计工作底稿及有关参数和数据的增、删、改等维护工作。针对计算机系统还能自动查找、计算、输入底稿所需数据,并按格式打印,针对手工系统则可以提示审计人员输入有关数据,并进行计算性复核。

4.专用程序管理部分

对于一些需要对外报送资料的项目,尤其是需要送交政府部门的项目,有的政府部门可能提供了单独的审计软件,或者需要单独配备专用的审计功能,以满足政府部门的数据需要。还有的审计项目因数据量大,牵涉面广,并且各被审计单位的情况又不尽一致,为了对这些项目进行有效的审计,也需要针对每个项目的不同情况,单独配备专用的审计功能,以满足审计工作的要求。

四、审计工作系统的测试方法

1.现场交易选择测试数据

对被审计单位的现场交易作标记输入到应用程序中,把带标记的交易当作测试数据。采用这种方法,应用程序中必须有特定的计算机程序能够识别出带标记的交易,并且使这些交易既要更新应用系统的主文件,同时也要更新做检测用的虚拟实体。现场交易作标记选择和识别带记号的交易测试数据有多种策略:第一,在源文件中或屏幕布局中包含一个专门的标识字段,用来表示一笔交易既为正常交易又为带记号交易。由审计人员来选择确定对哪些现场交易作标记,所选交易的特征可以与测试数据的设计相一致,也可以根据制定的抽样计划进行选择。第二,在应用系统的程序中嵌入审计软件模块,利用审计软件来选择交易并给交易加标记使其成为带记号交易。第三,在应用系统中嵌入抽样程序,抽样程序具有根据抽样计划给交易作标记,并使其成为带记号交易的功能。不论采用何种策略,应用系统中必须有相应的处理程序,专门处理带标记的交易。

2.自行设计测试数据

自行设计测试数据是将测试数据与现场交易数据一同输入应用系统。采用这种方法,审计人员应当根据所要使用的测试数据特征设计并创建测试数据。自行设计测试数据的优点是覆盖面广,可全面测试系统;但设计和建立测试数据要花费一定的时间和费用。笔者认为,应用程序进行检测时,首先要在应用程序的文件中建立一个虚拟实体,并让应用程序处理该实体的审计测试数据。如果应用程序是工资系统,可在其数据库中建立一个虚拟的职员资料库;如果应用程序是存货系统,可在其数据库中建立一个虚拟的存货项目。将带标记的实际数据或模拟数据一同输入应用程序和审计软件进行处理,通过将应用程序对数据处理的结果同审计软件处理的结果进行比较,可确定应用程序的处理和控制功能是否恰当、可靠。当应用程序非常庞大或复杂时,全面追踪通过系统的不同执行路径会有一定难度,审计人员对交易进行审查时,可以在应用系统的重要处理发生点嵌入软件,当交易通过不同处理点时,嵌入软件可捕捉交易的过程。为证实不同关键点的处理,审计人员使用软件捕捉交易的前后过程,通过检验前后过程及其变换,评价交易处理的真实性、准确性和完整性。

主要参考文献

[1]WayneMoreandDavidHendrey.ITAuditRenewal[J].InternalAuditor,l999,(4):17.

篇10

一、NoSQL及其技术优势

在面对大数据应用中来源不同、拥有海量信息的数据进行整合、处理时,传统的关系型数据库在可用性、灵活性、可扩展性等特性上表现出明显的缺陷,此时,一些不拘泥于固定关系模式的数据库应运而生,他们不再一味的遵循关系结构,于是这些数据库被称为NoSQL(Not Only SQL)。NoSQL数据库一经诞生,就受到了电子商务、社交网络、定位服务等互联网行业的青睐,以亚马逊、Twitter为主要代表的大型互联网公司早已正式采用NoSQL作为公司、客户数据的存储模式。NoSQL与传统的SQL数据库想比较有以下几点优势:

(一)易扩展

NoSQL数据库种类繁多,但是一个共同的特点都是去掉关系数据库的关系型特性。数据之间无关系,这样就非常容易扩展。也无形之间,在架构的层面上带来了可扩展的能力。

(二)大数据量,高性能

NoSQL数据库都具有非常高的读写性能,尤其在大数据量下,同样表现优秀。这得益于它的无关系性,数据库的结构简单。一般MySQL使用Query Cache,每次表的更新Cache就失效,是一种大粒度的Cache,在针对web2.0的交互频繁的应用,Cache性能不高。而NoSQL的Cache是记录级的,是一种细粒度的Cache,所以NoSQL在这个层面上来说就要性能高很多了。

(三)灵活的数据模型

NoSQL无需事先为要存储的数据建立字段,随时可以存储自定义的数据格式。而在关系数据库里,增删字段是一件非常麻烦的事情。如果是非常大数据量的表,增加字段简直就是一个噩梦。这点在大数据量的web2.0时代尤其明显。

(四)高可用

NoSQL在不太影响性能的情况,就可以方便的实现高可用的架构。比如Cassandra,HBase模型,通过复制模型也能实现高可用。

二、适用于XBRL的几种NoSQL数据库

XBRL将信息颗粒化,把财务报告内容分解成一个个信息元素(元素可以简单理解为一个数字或者一段文字),每个元素可以单独从报告中提取出来进行分析处理。XBRL在选取数据库时应当考虑数据的增删改查等操作的快捷方便,以及财务数据分析的统计、分析等功能。有两款NoSQL数据库是国际XBRL软件商的应用主流――MongoDB和Redis。

(一)MongoDB

MongoDB是一款文档数据库,在Mongo DB中,每一条记录都是一个Document对象,适用于动态查询。每一份XBRL财务报表数据都以文档的形式存储在MongoDB数据库中,可以实时插入、更新或查询新元素,具备实时财务数据存储所需的复制及高度伸缩性。

但是,MongoDB的本身特性也限制了XBRL的部分功能使用。MongoDB文档式存储方式,减弱了XBRL财务信息颗粒化的优势,各信息元素不能方便的组合、拼接,只能将整份文档数据从数据库中提取出,以至于不能满足大量原子性复杂事务的操作要求。

(二)Redis

Redis是Key/Value类数据库,主要用途在于高性能访问。Redis的优点在于速度快,简单,容易维护,支持多种数据结构。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。而原子性操作极大地契合了XBRL信息数据颗粒化的特性,在不同财务数据组合、分析等功能需求上有着得天独厚的优势。

但是,Redis的缺点是不提供数据可靠性保障,支持的功能也比较少。扩容,负载均衡,高可用方便也有明显的不足。对于将来XBRL财务数据进一步的分析利用可能会有所阻碍。