intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Bài giảng Bảo mật cơ sở dữ liệu: Chương 6 - Trần Thị Kim Chi

Chia sẻ: Hấp Hấp | Ngày: | Loại File: PDF | Số trang:171

Thêm vào BST
Báo xấu
112
lượt xem 23
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Bảo mật cơ sở dữ liệu - Chương 6: Audit Database" trình bày các nội dung: Giới thiệu về Audit Database, các hoạt động của Auditi, Database Auditing Models, Application Data Auditing, Additing trong SQL, Auditing trong Oracle. Mời các bạn cùng tham khảo.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Bảo mật cơ sở dữ liệu: Chương 6 - Trần Thị Kim Chi

  1. Audit Database Giảng viên: Trần Thị Kim Chi 1
  2. Nội dùng  Giới thiệu về Audit Database  Các hoạt động của Auditi  Database Auditing Models  Application Data Auditing  Additing trong SQL  Auditing trong Oracle 2
  3. Giới thiệu Audit  giám sát(Audit): giám sát và ghi lại những hoạt động đã và đang xảy trong hệ thống một cách có chọn lọc.  Audit = Ai làm gì với dữ liệu nào khi nào và bằng cách nào (Who did what to which data when and how)  Trách nhiệm giải trình, gọi tắt là giải trình (Accountability): trách nhiệm tìm ra và chứng minh nguồn gốc các hoạt động xảy ra trong hệ thống.  Hoạt động giám sát nhằm phục vụ cho hoạt động giải trình 3
  4. Giới thiệu Audit Database  Audit/auditing: quá trình kiểm tra và xác nhận các tài liệu, dữ liệu, quy trình, thủ tục, hệ thống  Nhật lý giám sát (Audit log): tài liệu có chứa tất cả các hoạt động đang được giám sát được sắp xếp theo thứ tự thời gian  Mục tiêu giám sát: thiết lập các quy tắc kinh doanh, điều khiển hệ thống, các quy định của chính phủ, hoặc các chính sách bảo mật 4
  5. Giới thiệu Audit Database  Data audit: giám sát lịch sử những thay đổi dữ liệu được lưu trữ trong tập tin nhật ký hoặc các bảng (table) của cơ sở dữ liệu.  Database auditing: giám sát lịch sử của các hoạt động cơ sở dữ liệu  Internal auditing: kiểm tra các hoạt động được thực hiện bởi các nhân viên của tổ chức giám sát bên trong hệ thống  External auditing: : kiểm tra các hoạt động được thực hiện bởi các nhân viên của tổ chức giám sát bên ngoài hệ thống 5
  6. Tại sao phải Audit Database  Trách nhiệm giải trình từ những hành động xảy ra lên các dữ liệu (schema, bảng, dòng, …)  Kiểm tra hành động đáng ngờ (suspiciousactivity)  Ví dụ xóa dữ liệu từ một bảng  Thông báo nếu có người dùng không được ủy quyền nhưng lại thao tác trên dữ liệu mà đòi hỏi phải có đủ quyền truy cập (truy cập vượt quyền) 6
  7. Tại sao phải Audit Database  Giám sát và ghi lại các hoạt động xảy ra nhằm phát hiện các vấn đề trong quá trình định quyền và điều khiển truy cập  Thống kê tình hình truy xuất tài nguyên để có biện pháp cải thiện hiệu suất  Ví dụ: dựa vào các trường, bảng thường hay được truy cập  Chọn cách đánh chỉ mục thích hợp để tăng hiệu suất.  giám sát để thỏa các yêu cầu chính sách pháp lý (compliance): thể hiện trách nhiệm với dữ liệu của khách hàng 7
  8. Các chính sách(Compliances)  Các chính sách đưa ra các quy định cần phải tuân thủ và các hướng dẫn cần thiết khi giám sát  Một số chính sách:  Health Insurance Portability and Accountability Act (HIPAA)  Sarbanes-Oxley Act  Graham-Leach-Bliley Act (GLBA)  Các chính sách thường không mô tả công nghệ cần thực thi  Cần xác định yêu cầu và lựa chọn công nghệ 8
  9. Khi nào và giám sát những gì?  Khi nào nên giám sát?  giám sát tại mọi thời điểm từ khi hệ thống bắt đầu hoạt động  giám sát những gì?  Việc giám sát có thể làm giảm hiệu suất của hệ thống  Chỉ nên giám sát những gì cần thiết 9
  10. Khi nào và giám sát những gì?  Trong chính sách Sarbanes-Oxley, phần 404 có đưa ra những hoạt động cần phải giám sát:  Hoạt động của những người dùng có quyền  Đăng nhập và đăng xuất  Những thay đổi trong các application trigger và data trigger  Thay đổi quyền và mô tả thông tin của người dùng  Cấu trúc dữ liệu bị thay đổi  Các truy cập đọc và ghi trên những dữ liệu nhạy cảm  Những lỗi và ngoại lệ  Nguồn gốc của những hoạt động truy cập dữ liệu  Thời gian, tên chương trình, kích thước dữ liệu, câu 10 lệnh…
  11. Nội dùng  Giới thiệu về Audit Database  Các hoạt động của Auditi  Database Auditing Models  Application Data Auditing  Additing trong SQL  Auditing trong Oracle 11
  12. Các hoạt động của Audit  Đánh giá hiệu quả và đầy đủ của các thành phần được giám sát  Xác định và xem lại độ tin cậy và tính toàn vẹn của các thành phần được giám sát  Đảm bảo tổ chức tuân thủ chính sách, thủ tục, quy định, pháp luật, và các tiêu chuẩn của chính phủ và ngành công nghiệp  Lập kế hoạch, chính sách và thủ tục thực hiện giám sát 12
  13. Các hoạt động của Audit  Lưu lại tất cả các thay đổi cho các thành phần được giám sát  Cập nhật những thông tin đã audit và các quy định giám sát mới  Cung cấp tất cả các chi tiết giám sát cho tất cả nhân viên công ty tham gia vào việc giám sát  Xuất bản hướng dẫn và thủ tục giám sát  Các hoạt động như liên lạc giữa các công ty và các nhóm giám sát bên ngoài 13
  14. Các hoạt động của Audit  Hoạt động như một nhà tư vấn cho các kiến trúc sư, nhà phát triển, và các nhà phân tích kinh doanh  Tổ chức và thực hiện giám sát nội bộ  Đảm bảo tất cả các mục trong hợp đồng được đáp ứng bởi các tổ chức được giám sát  Xác định các loại giám sát sẽ được sử dụng  Xác định các vấn đề an ninh phải được giải quyết  Tư vấn cho Vụ Pháp chế 14
  15. Auditing Environment  Ví dụ giám sát:  giám sát tài chính  kiểm tra bảo mật  giám sát cũng đo lường sự phù hợp với các quy định và luật pháp của chính phủ  giám sát diễn ra trong một môi trường:  Môi trường giám sát  Môi trường cơ sở dữ liệu giám sát 15
  16. Auditing Environment Các thành phần:  Mục tiêu: một giám sát mà không có một tập hợp các mục tiêu là vô dụng  Procedure-Thủ tục: thực thi theo các bước hướng dẫn và nhiệm vụ  People: giám sát viên, nhân viên, nhà quản lý  Các đơn vị được giám sát: người, tài liệu, quy trình, hệ thống 16
  17. Auditing Environment  Môi trường giám sát cơ sở dữ liệu khác với môi trường giám sát chung  Các biện pháp an ninh là không thể tách rời 17
  18. Auditing Process-Qui trình Audit  Đảm bảo chất lượng (QA):  Đảm bảo hệ thống là không lỗi và hoạt động theo thông số kỹ thuật của nó  Quá trình giám sát: đảm bảo rằng hệ thống đang làm việc và tuân thủ các chính sách, quy định và pháp luật 18
  19. Auditing Process-Qui trình Audit  Thực hiện giám sát: quan sát nếu có suy giảm hiệu suất hoạt động vào những thời điểm khác nhau  giám sát quá trình dòng chảy:  Vòng đời phát triển hệ thống  Quá trình giám sát:  Hiểu được mục tiêu  Rà soát, xác minh và xác nhận hệ thống  Dẫn chứng kết quả 19
  20. Auditing Process-Qui trình Audit 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2