1. Trang chủ
  2. » Công Nghệ Thông Tin

Chương 6: Kiểm toán và Giải trình (Audit and Accountability) doc

44 498 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 44
Dung lượng 1,95 MB

Nội dung

Chương 6: Kiểm toán Giải trình (Audit and Accountability) Khoa Khoa học Kỹ thuật Máy tính Đại học Bách Khoa Tp.HCM Nội dung Kỹ thuật kiểm toán trong cơ sở dữ liệu 2 Giới thiệu Kiểm toán Giải trình 1 Giới thiệu Kiểm toán Giải trình 1 Case study: kiểm toán trong Oracle 3 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 2 Giới thiệu Kiểm toán Giải trình n Kiểm toán (Audit) : giám sát ghi lại những hoạt động đã và đang xảy trong hệ thống một cách có chọn lọc. n Audit = Ai làm gì với dữ liệu nào khi nào bằng cách nào (Who did what to which data when and how) n Trách nhiệm giải trình, gọi tắt là giải trình (Accountability) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 3 (Accountability) : trách nhiệm tìm ra chứng minh nguồn gốc các hoạt động xảy ra trong hệ thống. n Hoạt động kiểm toán nhằm phục vụ cho hoạt động giải trình Tại sao phải kiểm toán? n Trách nhiệm giải trình từ những hành động xảy ra lên các dữ liệu (schema, bảng, dòng, …) n Kiểm tra hành động đáng ngờ (suspicious activity) n Ví dụ xóa dữ liệu từ một bảng n Thông báo nếu có nếu người dùng không được ủy quyền nhưng lại thao tác trên dữ liệu mà đòi hỏi phải có đủ quyền Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 4 nhưng lại thao tác trên dữ liệu mà đòi hỏi phải có đủ quyền truy cập (truy cập vượt quyền) Tại sao phải kiểm toán? n Giám sát ghi lại các hoạt động xảy ra nhằm phát hiện các vấn đề trong quá trình định quyền điều khiển truy cập n Thống kê tình hình truy xuất tài nguyên để có biện pháp cải thiện hiệu suất n Ví dụ: dựa vào các trường, bảng thường hay được truy cập à chọn cách đánh chỉ mục thích hợp để tăng hiệu suất . Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 5 à chọn cách đánh chỉ mục thích hợp để tăng hiệu suất . n Kiểm toán để thỏa các yêu cầu chính sách pháp lý (compliance): thể hiện trách nhiệm với dữ liệu của khách hàng Các chính sách (Compliances) n Các chính sách đưa ra các quy định cần phải tuân thủ các hướng dẫn cần thiết khi kiểm toán n Một số chính sách: n Health Insurance Portability and Accountability Act (HIPAA) n Sarbanes-Oxley Act Graham - Leach - Bliley Act (GLBA) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 6 n Graham - Leach - Bliley Act (GLBA) n Các chính sách thường không mô tả công nghệ cần thực thi n Cần xác định yêu cầu lựa chọn công nghệ Khi nào kiểm toán những gì? n Khi nào nên kiểm toán? n Kiểm toán tại mọi thời điểm từ khi hệ thống bắt đầu hoạt động n Kiểm toán những gì? n Việc kiểm toán có thể làm giảm hiệu suất của hệ thống n Chỉ nên kiểm toán những gì cần thiết Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 7 Khi nào kiểm toán những gì? n Trong chính sách Sarbanes-Oxley, phần 404 có đưa ra những hoạt động cần phải kiểm toán: n Hoạt động của những người dùng có quyền n Đăng nhập đăng xuất n Những thay đổi trong các application trigger data trigger Thay đổi quyền và mô tả thông tin của người dùng Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 8 n Thay đổi quyền và mô tả thông tin của người dùng n Cấu trúc dữ liệu bị thay đổi n Các truy cập đọc ghi trên những dữ liệu nhạy cảm n Những lỗi ngoại lệ n Nguồn gốc của những hoạt động truy cập dữ liệu n Thời gian, tên chương trình, kích thước dữ liệu, câu lệnh … Quy trình kiểm toán n Quy trình kiểm toán do NIST đưa ra 1 • Phân tích các yêu cầu bảo mật của ứng dụng 2 • Chọn các sự kiện/hoạt động/đối tượng sẽ kiểm toán • Giám sát và ghi nhận Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 9 3 • Giám sát và ghi nhận 4 • Lưu trữ audit log (nhật ký kiểm toán) 5 • Kiểm tra phân tích audit log 6 • Phản hồi Các vấn đề với kiểm toán n Kiểm toán là công cụ, không phải là mục tiêu n Nên sử dụng kết hợp giữa kiểm toán bên trong kiểm toán bên ngoài n Lưu trữ bảo mật thông tin audit log n Tự động hóa giám sát hoạt động kiểm toán Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 10 n Kích thước của các audit log lớn, cần sử dụng các công cụ kho dữ liệu (data warehouse) khai phá dữ liệu (data mining) để quản lý phân tích dữ liệu audit log n Vấn đề tính riêng tư trong audit log [...]... Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 13 Các phương pháp kiểm toán n n n n Kiểm toán bằng application server log Kiểm toán mức ứng dụng (Application audit) Kiểm toán bằng trigger Kiểm toán bằng câu lệnh (command) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability... Chương 6: Audit Accountability 20 Kiểm toán trong Oracle n n n n Giới thiệu Các loại kiểm toán Các công cụ kiểm toán trong Oracle Kết luận Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 21 Giới thiệu n Oracle kiểm toán các người dùng: n n n n n Kiểm toán các truy cập thành công hoặc không thành công Kiểm toán 1... Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 29 Kiểm toán trong Oracle n n n n Giới thiệu Các loại kiểm toán Các công cụ kiểm toán trong Oracle Kết luận Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 30 Các công cụ kiểm toán trong Oracle n n n Oracle audit Kiểm toán. .. Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 23 Kiểm toán trong Oracle n n n n Giới thiệu Các loại kiểm toán Các công cụ kiểm toán trong Oracle Kết luận Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 24 Các loại kiểm toán trong Oracle n n n Statement... Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 25 Statement Auditing n n n n Statement auditing: kiểm toán những lệnh hoặc nhóm câu lệnh trên từng đối tượng DDL: AUDIT TABLE sẽ kiểm toán mọi lệnh Create Drop liên quan đến Table DML: AUDIT SELECT TABLE sẽ kiểm toán mọi lệnh Select From Table/View Có thể kiểm toán trên mọi người dùng... à Sửa lỗi ứng dụng Kiểm toán trên sự thay đổi mã nguồn của trigger stored procedure n Kẻ tấn công có thể giấu những đoạn mã độc hại vào trigger hay stored procedure Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 17 Các đối tượng cần kiểm toán n Kiểm toán trên sự thay đổi quyền của người dùng các thuộc tính... thống kiểm toán bên ngoài khác Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 19 Nội dung 1 Giới thiệu về điểu khiển truy cập bắt buộc 2 Kỹ thuật kiểm toán trong cơ sở dữ liệu 3 Case study: kiểm toán trong Oracle Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương. .. cần kiểm toán n Các hoạt động đăng nhập/đăng xuất trong CSDL n n n n n Username Client IP mà đăng nhập không thành công Chương trình (source program) Thời gian đăng nhập đăng xuất Kiểm toán nguồn gốc truy cập CSDL n n Địa chỉ IP host name được dùng để kết nối CSDL Chương trình nào kết nối CSDL Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương. .. người dùng hoặc tất cả các người dùng Kiểm toán ở cấp phiên làm việc (session level) hoặc cấp truy cập (access level) Kiểm toán sẽ làm giảm hiệu suất của hệ thống Chỉ nên kiểm toán những gì cần thiết Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 22 Giới thiệu n n Dữ liệu kiểm toán nên được ghi trên file của hệ điều... Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 6: Audit Accountability 26 Privilege Auditing n Privilege auditing: kiểm toán những quyền hệ thống n n n AUDIT SELECT ANY TABLE sẽ kiểm toán mọi lệnh được tạo ra từ những người dùng sử dụng quyền SELECT ANY TABLE Trường hợp cả statement privilege cùng được kiểm toán thì chỉ 1 audit record được tạo . Chương 6: Kiểm toán và Giải trình (Audit and Accountability) Khoa Khoa học và Kỹ thuật Máy tính Đại học Bách Khoa Tp.HCM Nội dung Kỹ thuật kiểm toán. thiệu Kiểm toán và Giải trình 1 Giới thiệu Kiểm toán và Giải trình 1 Case study: kiểm toán trong Oracle 3 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và

Ngày đăng: 10/03/2014, 00:20

HÌNH ẢNH LIÊN QUAN

n Ví dụ xóa dữ liệu từ một bảng - Chương 6: Kiểm toán và Giải trình (Audit and Accountability) doc
n Ví dụ xóa dữ liệu từ một bảng (Trang 4)
n Ví dụ: dựa vào các trường, bảng thường hay được truy cập - Chương 6: Kiểm toán và Giải trình (Audit and Accountability) doc
n Ví dụ: dựa vào các trường, bảng thường hay được truy cập (Trang 5)
n Thống kê tình hình truy xuất tài nguyên để có biện pháp cải thiện hiệu suất - Chương 6: Kiểm toán và Giải trình (Audit and Accountability) doc
n Thống kê tình hình truy xuất tài nguyên để có biện pháp cải thiện hiệu suất (Trang 5)
toán sẽ rất lớn (ví dụ: CSDL có 100 bảng với khoảng 1 triệu - Chương 6: Kiểm toán và Giải trình (Audit and Accountability) doc
to án sẽ rất lớn (ví dụ: CSDL có 100 bảng với khoảng 1 triệu (Trang 19)
n Bao gồm: các truy cập đọc, ghi và xóa trên các bảng dữ liệu - Chương 6: Kiểm toán và Giải trình (Audit and Accountability) doc
n Bao gồm: các truy cập đọc, ghi và xóa trên các bảng dữ liệu (Trang 32)
n Kết quả trả về trong bảng Sys.Aud$ - Chương 6: Kiểm toán và Giải trình (Audit and Accountability) doc
n Kết quả trả về trong bảng Sys.Aud$ (Trang 38)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w