Bài giảng môn An toàn cơ sở dữ liệu: Chương 5 - Nguyễn Phương Tâm

Chương 5 của bài giảng An toàn cơ sở dữ liệu đề cập đến vấn đề kiểm toán cơ sở dữ liệu. Mục tiêu của chương này gồm: Trình bày các định nghĩa, vai trò của kiểm toán; trình bày các loại kiểm toán thường dùng; thực hành việc kiểm toán trên Oracle. Mời tham khảo.
Nội dung trích xuất từ tài liệu:
Bài giảng môn An toàn cơ sở dữ liệu: Chương 5 - Nguyễn Phương TâmChương 5.KIỂM TOÁN CƠ SỞ DỮ LIỆUGV: Nguyễn Phương Tâm MỤC TIÊUTrình bày các định nghĩa, vai trò của kiểm toán.Trình bày các loại kiểm toán thường dùng.Thực hành việc kiểm toán trên OracleTrường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 2/61 NỘI DUNG 5.1 Tổng quan về kiểm toán 5.2 Các loại kiểm toán 5.3 Thực hành kiểm toán trên OracleTrường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 3/61 5.1 TỔNG QUAN VỀ KIỂM TOÁN 5.1.1 Các định nghĩa 5.1.2 Vai trò của kiểm toánTrường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4/61 5.1.1 CÁC ĐỊNH NGHĨAKiểm toán (auditing) là hoạt động giám sát và ghi lại…được dựa trên các hoạt động cá nhân như thực hiện câu lệnh SQL, hay dựa trên sự kết hợp các yếu tố bao gồm tên, ứng dụng, thời gian,…Các chính sách bảo mật có thể dẫn đến việc kiểm toán khi những phần tử cụ thể trong CSDL bị truy cập hay thay thế.Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 5/61 5.1.1 CÁC ĐỊNH NGHĨASổ kiểm toán (audit log) là tài liệu chứa tất cả các hoạt động đang được kiểm toán được sắp xếp theo thứ tự thời gian.Mục đích kiểm toán (audit objectives) là tập hợp những quy tắc doanh nghiệp, điều khiển hệ thống, quy tắc chính phủ, hoặc chính sách bảo mật.Kiểm toán viên (auditor) là người được phép thực hiện công việc kiểm toán.Thủ tục kiểm toán (audit procedure) là tập hợp các câu lệnh của tiến trình kiểm toán.Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 6/61 5.1.1 CÁC ĐỊNH NGHĨABáo cáo kiểm toán (audit report) là tài liệu mà chứa quá trình tìm kiếm kiểm toán (the audit finding).Vệt kiểm toán (audit trail) là bản ghi của sự thay đổi tài liệu, thay đổi dữ liệu, những hoạt động hệ thống, hoặc những sự kiện thao tác.Dữ liệu kiểm toán (data audit) là bản ghi theo thời gian của dữ liệu thay đổi được lưu trữ trong tập tin log hoặc đối tượng bảng CSDLKiểm toán CSDL (database auditing) là bản ghi theo thời gian của các hoạt động CSDLTrường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 7/61 5.1.1 CÁC ĐỊNH NGHĨAKiểm toán nội bộ (internal auditing) là kiểm tra những hoạt động được quản lý bởi thành viên có quyền của tổ chức kiểm toánKiểm toán mở rộng (external auditing) là kiểm tra, xác minh, và xác nhận tính hợp lý của tài liệu, tiến trình, thủ tục, hoặc các hoạt động được quản lý bởi thành viên có quyền bên ngoài tổ chức đang được kiểm toánTrường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 8/61 5.1.1 CÁC ĐỊNH NGHĨAKiểm toán được sử dụng để:  Cho phép giải trình những hành động hiện tại tham gia vào một schema, bảng, dòng riêng biệt, hay một nội dung cụ thể nào đó.  Điều tra các hoạt động đáng ngờ. Ví dụ, nếu một user không được phép đang xóa dữ liệu từ một bảng nào đó thì người quản trị bảo mật sẽ ghi lại tất cả những kết nối CDSL và tất cả những hành động xóa các dòng từ bảng trong CSDL dù thành công hay không thành công.Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 9/61 5.1.1 CÁC ĐỊNH NGHĨAKiểm toán được sử dụng để:  Ngăn cản user khỏi hành động không thích hợp dựa trên trách nhiệm phải giải trình đó.  Thông báo cho người giám sát rằng có user bất hợp phát đang thao tác hay xóa dữ liệu hay user có nhiều quyền hệ thống hơn sự cho phép.  Giám sát và thu thập dữ liệu về các hoạt động CSDL cụ thể. Ví dụ, người quản trị CSDL có thể thu thập thống kê về thông tin các bảng đang được update, hay bao nhiêu user cùng truy cập vào thời điểm cực đỉnh.Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 10/61 5.1.2 VAI TRÒ CỦA KIỂM TOÁN Kiểm toán là một chức năng (cả kiểm toán trong và ngoài) đóng vai trò trung tâm trong việc bảo đảm quy tắc. Mục đích của kiểm toán là xem xét và đánh giá tính sẵn sàng, tính bảo mật và tính chính trực thông qua việc trả lời những câu hỏi như:  Hệ thống máy tính có sẵn sàng cho hoạt động tại mọi thời điểm?  Liệu môi trường cơ sở dữ liệu có phải chỉ những người có thẩm quyền mới được sử dụng không?  Liệu môi trường cơ sở dữ liệu đã cung cấp thông tin chính xác, trung thực và kịp thời không?Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 11/61 5.1.2 VAI TRÒ CỦA KIỂM TOÁNVai trò của kiểm toán được xem là ...