Khái quát về kiểm toán cơ sở dữ liệu

Một phần của tài liệu Bài giảng an toàn ứng dụng web và cơ sở dữ liệu (Trang 153 - 154)

Kiểm toán cơ sở dữ liệu (Database auditing) là phần việc giúp trả lời câu hỏi "Ai đã

thực hiện cái gì trên dữ liệu nào, vào khi nào và bằng cách nào?" (tiếng Anh: Who did

what to which data, when and how?). Một cách chính thức, kiểm toán cơ sở dữ liệu là việc giám sát các hành vi của ngƣời dùng thực hiện trên cơ sở dữ liệu và xem xét các

hành vi đó có phù hợp với chính sách quản trị và bảo mật cơ sở dữ liệu của cơ quan, tổ

chức hay không. Trên thực tế, ngƣời quản trị cơ sở dữ liệu thƣờng cài đặt tính năng kiểm toán vì mục đích an ninh, nhằm đảm bảo những ngƣời không có thẩm quyền không đƣợc phép truy nhập vào dữ liệu. Đây là một trong khâu quan trọng giúp ngƣời quản trị cơ sở

dữ liệu truy tìm nguyên nhân của các vấn đề, hoặc sự cố xảy ra với hệ thống và từđó có

152 Có thể thấy giám sát là một khâu bắt buộc nhằm thu thập dữ liệu cần thiết cho kiểm toán cơ sở dữ liệu. Hơn nữa, việc giám sát cần đƣợc thực hiện thƣờng xuyên trong suốt quá trình hoạt động của cơ sở dữ liệu để không bị bỏ sót các sự kiện quan trọng. Sau khi có dữ liệu giám sát, việc xem xét, phân tích các dữ liệu giám sát cần đƣợc thực hiện định kỳđể sớm phát hiện các bất thƣờng, hoặc sự cố trong hệ thống.

Việc giám sát thu thập và phân tích dữ liệu có thể đƣợc thực hiện tại chỗ, phân tán trên từng máy chủcơ sở dữ liệu, hoặc tập trung trên một hệ thống kiểm toán độc lập. Mô hình thu thập và phân tích dữ liệu tại chỗ sử dụng tính năng kiểm toán của bản thân các hệ quản trị cơ sở dữ liệu thƣờng chỉ phù hợp với các hệ thống đơn lẻ, cỡ nhỏ và vừa do

tính năng hạn chế và độ an toàn thấp. Với các hệ thống lớn, hoặc các chuỗi máy chủ cơ

sở dữ liệu, cần có hệ thống thu thập và xử lý dữ liệu kiểm toán độc lập, tập trung để giảm thiểu ảnh hƣởng đến hoạt động của các máy chủ cơ sở dữ liệu, nhƣ minh họa trên Hình 7.9. Có thể kể ra một số hệ thống giám sát và kiểm toán cơ sở dữ liệu đƣợc sử dụng rộng

rãi, nhƣ Zabbix (http://www.zabbix.com) và ApexSQL Audit (http://www.apexsql.com).

Hình 7.9.Mô hình thu thập và xử lý dữ liệu kiểm toán tập trung

Một phần của tài liệu Bài giảng an toàn ứng dụng web và cơ sở dữ liệu (Trang 153 - 154)

Tải bản đầy đủ (PDF)

(161 trang)