Chương KIỂM TOÁN CƠ SỞ DỮ LIỆU GV: Nguyễn Phương Tâm MỤC TIÊU Trình bày định nghĩa, vai trò kiểm toán Trình bày loại kiểm toán thường dùng Thực hành việc kiểm toán Oracle Trường CĐ CNTT HN Việt Hàn 2/61 Nguyễn Phương Tâm NỘI DUNG 5.1 Tổng quan kiểm toán 5.2 Các loại kiểm toán 5.3 Thực hành kiểm toán Oracle Trường CĐ CNTT HN Việt Hàn 3/61 Nguyễn Phương Tâm 5.1 TỔNG QUAN VỀ KIỂM TOÁN 5.1.1 Các định nghĩa 5.1.2 Vai trò kiểm toán Trường CĐ CNTT HN Việt Hàn 4/61 Nguyễn Phương Tâm 5.1.1 CÁC ĐỊNH NGHĨA Kiểm toán (auditing) hoạt động giám sát ghi lại…được dựa hoạt động cá nhân thực câu lệnh SQL, hay dựa kết hợp yếu tố bao gồm tên, ứng dụng, thời gian,… Các sách bảo mật dẫn đến việc kiểm toán phần tử cụ thể CSDL bị truy cập hay thay Trường CĐ CNTT HN Việt Hàn 5/61 Nguyễn Phương Tâm 5.1.1 CÁC ĐỊNH NGHĨA Sổ kiểm toán (audit log) tài liệu chứa tất hoạt động kiểm toán xếp theo thứ tự thời gian Mục đích kiểm toán (audit objectives) tập hợp quy tắc doanh nghiệp, điều khiển hệ thống, quy tắc phủ, sách bảo mật Kiểm toán viên (auditor) người phép thực công việc kiểm toán Thủ tục kiểm toán (audit procedure) tập hợp câu lệnh tiến trình kiểm toán Trường CĐ CNTT HN Việt Hàn 6/61 Nguyễn Phương Tâm 5.1.1 CÁC ĐỊNH NGHĨA Báo cáo kiểm toán (audit report) tài liệu mà chứa trình tìm kiếm kiểm toán (the audit finding) Vệt kiểm toán (audit trail) ghi thay đổi tài liệu, thay đổi liệu, hoạt động hệ thống, kiện thao tác Dữ liệu kiểm toán (data audit) ghi theo thời gian liệu thay đổi lưu trữ tập tin log đối tượng bảng CSDL Kiểm toán CSDL (database auditing) ghi theo thời gian hoạt động CSDL Trường CĐ CNTT HN Việt Hàn 7/61 Nguyễn Phương Tâm 5.1.1 CÁC ĐỊNH NGHĨA Kiểm toán nội (internal auditing) kiểm tra hoạt động quản lý thành viên có quyền tổ chức kiểm toán Kiểm toán mở rộng (external auditing) kiểm tra, xác minh, xác nhận tính hợp lý tài liệu, tiến trình, thủ tục, hoạt động quản lý thành viên có quyền bên tổ chức kiểm toán Trường CĐ CNTT HN Việt Hàn 8/61 Nguyễn Phương Tâm 5.1.1 CÁC ĐỊNH NGHĨA Kiểm toán sử dụng để:  Cho phép giải trình hành động tham gia vào schema, bảng, dòng riêng biệt, hay nội dung cụ thể  Điều tra hoạt động đáng ngờ Ví dụ, user không phép xóa liệu từ bảng người quản trị bảo mật ghi lại tất kết nối CDSL tất hành động xóa dòng từ bảng CSDL dù thành công hay không thành công Trường CĐ CNTT HN Việt Hàn 9/61 Nguyễn Phương Tâm 5.1.1 CÁC ĐỊNH NGHĨA Kiểm toán sử dụng để:  Ngăn cản user khỏi hành động không thích hợp dựa trách nhiệm phải giải trình  Thông báo cho người giám sát có user bất hợp phát thao tác hay xóa liệu hay user có nhiều quyền hệ thống cho phép  Giám sát thu thập liệu hoạt động CSDL cụ thể Ví dụ, người quản trị CSDL thu thập thống kê thông tin bảng update, hay user truy cập vào thời điểm cực đỉnh Trường CĐ CNTT HN Việt Hàn 10/61 Nguyễn Phương Tâm 5.2 CÁC LOẠI KIỂM TOÁN 5.2.5 Kiểm toán lỗi sở liệu Tạo bảng ghicreate lỗi table error_audit ( user_id varchar2(30), session_id number(8), host varchar2(30), error_date date, error varchar2(100) ); Trường CĐ CNTT HN Việt Hàn 47/61 Nguyễn Phương Tâm 5.2 CÁC LOẠI KIỂM TOÁN 5.2.5 Kiểm toán lỗi sở liệu Tạo trigger để khởiortạoreplace lỗi xảytrigger create audit_errors_trigger AFTER SERVERERROR ON DATABASE BEGIN insert into error_audit values( user, sys_context('USERENV','SESSIONID'), sys_context('USERENV','HOST'), sysdate, dbms_standard.server_error(1) ); COMMIT; END; Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 48/61 5.2 CÁC LOẠI KIỂM TOÁN 5.2.5 Kiểm toán lỗi sở liệu  Trong SQL Server, bạn sử dụng kiểm toán tính dò vết tính Nếu bạn chọn sử dụng dấu vết, bạn cần thiết lập kiện thích hợp có liên quan đến lỗi sử dụng sp_trace_event Những kiện bao gồm định danh hiển thị bảng 5.1 Trường CĐ CNTT HN Việt Hàn 49/61 Nguyễn Phương Tâm Bảng 5.1 Các kiện xử lý lỗi Tên kiện Lớp kiện Mô tả 16 Attention Tập hợp tất kiện quan tâm, yêu cầu gián đoạn kết nối client, kết nối client bị ngắt 21 ErrorLog Sự kiện lỗi ghi nhật ký lỗi 22 EventLog Sự kiện đăng nhập nhật ký ứng dụng 33 Exception Ngoại lệ xuất server 67 Execution Warnings Bất kỳ cảnh báo xảy trình thực thủ tục lưu trữ câu lệnh máy chủ Trường CĐ CNTT HN Việt Hàn 50/61 Nguyễn Phương Tâm Bảng 5.1 Các kiện xử lý lỗi Tên kiện Lớp kiện Mô tả 55 Hash Warning Hoạt động bảng băm gặp cácvấn đề lỗi 79 Missing Column Statistics Cột số liệu thống kê cho truy vấn tối ưu thường sẵn 80 Missing Join Predicate Thực truy vấn vị từ kết nối Điều làm cho câu truy vấn chạy lâu 61 OLEDB Errors Lỗi OLE DB xuất Trường CĐ CNTT HN Việt Hàn 51/61 Nguyễn Phương Tâm 5.2 CÁC LOẠI KIỂM TOÁN 5.2.5 Kiểm toán lỗi sở liệu  Đường sở quan trọng môi trường ứng dụng bạn không hoàn hảo Không phải sở liệu ứng dụng môi trường sạch, hầu hết môi trường số ứng dụng tạo lỗi sở liệu sản xuất  Tuy nhiên, lỗi tạo ứng dụng lặp lặp lại: lỗi tương tự xảy nơi lỗi thường kết từ sai xót kỹ thuật không thay đổi  Nếu lỗi bạn lỗi đường sở thấy xuất từ nhiều nơi khác bạn thấy mã lỗi hoàn toàn khác nhau, bạn nên điều tra xảy Trường CĐ CNTT HN Việt Hàn 52/61 Nguyễn Phương Tâm 5.2 CÁC LOẠI KIỂM TOÁN 5.2.6 Kiểm toán hoạt động câu lệnh DML  Kiểm toán hoạt động câu lệnh DML yêu cầu phổ biến, đặc biệt trường hợp dự án Sarbanes-Oxley nơi mà tính xác thông tin tài kiện Vệt kiểm toán thay đổi liệu phổ biến hầu hết kiểm toán  Một yêu cầu kiểm toán liên quan mà nhắc đến (mặc dù phổ biến kiểm toán hoạt động DML) liên quan đến việc ghi chép đầy đủ giá trị cũ cho hoạt động DML Trường CĐ CNTT HN Việt Hàn 53/61 Nguyễn Phương Tâm 5.2 CÁC LOẠI KIỂM TOÁN 5.2.6 Kiểm toán hoạt động câu lệnh DML  Vệt kiểm toán DML ghi lại giá trị cũ loại kiểm toán quan trọng mà có lẽ bạn cần Tuy nhiên, bạn phải cẩn thận với loại kiểm toán nhận kiểm toán nên thực có chọn lọc  Trong số trường hợp, người có vệt kiểm toán để đơn giản nên thực kiểm toán hoạt động DML Trong kỹ thuật có thể, số lượng liệu tạo lớn, bạn nên chắn sở hạ tầng kiểm toán bạn quản lý được, đặc biệt bạn bao gồm giá trị cũ Trường CĐ CNTT HN Việt Hàn 54/61 Nguyễn Phương Tâm 5.2 CÁC LOẠI KIỂM TOÁN 5.2.6 Kiểm toán hoạt động câu lệnh DML  Ví dụ, giả sử bạn có 1.000.000 DML chuyển tác ngày, giả định đơn giản cập nhật giá trị giao dịch nhất, bạn có 100 bảng sở liệu với bảng có 10 giá trị cập nhật, bạn bắt đầu với sở liệu có 10.000 ghi bảng  Mặc dù tính toán đơn giản không xác, bạn không nên ngạc nhiên bạn ghi lại giá trị cũ mới, sau năm sở liệu kiểm toán bạn có 35 lần so với sở liệu Trường CĐ CNTT HN Việt Hàn 55/61 Nguyễn Phương Tâm 5.2 CÁC LOẠI KIỂM TOÁN 5.2.6 Kiểm toán hoạt động câu lệnh DML  Vì vậy, bạn xem vệt kiểm toán DML, bạn nên chọn có chọn lọc đối tượng lệnh để kiểm toán Ví dụ, bạn định tạo vệt kiểm toán cho tập hợp bảng sở liệu, cho nhóm nhỏ đăng nhập tài khoản, vv Thậm chí có chọn lọc lựa chọn bảng cột để trì giá trị cũ Trường CĐ CNTT HN Việt Hàn 56/61 Nguyễn Phương Tâm 5.2 CÁC LOẠI KIỂM TOÁN 5.2.6 Kiểm toán hoạt động câu lệnh DML  Kiểm toán DML hỗ trợ thông qua ba phương pháp chính, việc so sánh hàng ngày (hoặc định kỳ) lựa chọn trường hợp Ba phương pháp sử dụng khả sở liệu, sử dụng hệ thống kiểm toán bên ngoài, sử dụng trigger Trường CĐ CNTT HN Việt Hàn 57/61 Nguyễn Phương Tâm 5.2 CÁC LOẠI KIỂM TOÁN 5.2.6 Kiểm toán hoạt động câu lệnh DML  Tất sở liệu cung cấp cho bạn số cách để thực vệt kiểm toán cho hoạt động DML Trong Oracle, ví dụ, bạn sử dụng công cụ log miner dựa redo log Bởi ghi lại tất hoạt động DML (bao gồm giá trị cũ mới), log miner giải nén thông tin làm cho sẵn sàng phục vụ bạn Trong SQL Server, bạn sử dụng kiện dò vết DOP: Trường CĐ CNTT HN Việt Hàn 58/61 Nguyễn Phương Tâm 5.2 CÁC LOẠI KIỂM TOÁN 5.2.6 Kiểm toán hoạt động câu lệnh DML  Bảng 5.2 Bảng kiện DOP Tên kiện 28 Lớp kiện Mô tả DOP Event Xảy trước câu lệnh SELECT, INSERT, UPDATE thi hành Trường CĐ CNTT HN Việt Hàn 59/61 Nguyễn Phương Tâm 5.2 CÁC LOẠI KIỂM TOÁN 5.2.6 Kiểm toán hoạt động câu lệnh DML  Đối với cách thứ hai, hệ thống kiểm toán sở liệu bên hỗ trợ kiểm toán DML dựa tiêu chí lọc, bao gồm đối tượng sở liệu, người sử dụng, ứng dụng, vv Họ giúp đỡ việc thu giữ nén thông tin làm cho sẵn sàng để báo cáo, số lượng liệu lớn  Cuối cùng, cách thứ ba đơn giản sử dụng tùy chọn trigger Nếu bạn phần dự án kiểm toán mở rộng cần tạo vệt kiểm toán DML cho vài đối tượng, thêm vào gây nên ghi thông tin vào bảng kiểm toán cụ thể điều đơn giản nhanh để giúp bạn chuyển sang bước bạn dự án Trường CĐ CNTT HN Việt Hàn 60/61 Nguyễn Phương Tâm 5.3 THỰC HÀNH KiỂM TOÁN TRÊN ORACLE Thực qua bước:  Bước 1: Tạo kích khởi DDL với Oracle khởi động sau kiện đăng nhập đăng xuất Oracle  Bước 2: Kiểm toán mã lệnh: kiểm toán hoạt động câu lệnh DDL, DML, …  Bước 3: Tìm hiểu tập tin Alert Log Oracle  Bước 4: Đánh giá dựa vào kết đạt Trường CĐ CNTT HN Việt Hàn 61/61 Nguyễn Phương Tâm [...]... thành công  Chương trình nguồn  Thời gian trong ngày Trường CĐ CNTT HN Việt Hàn 15/ 61 Nguyễn Phương Tâm 5. 2 CÁC LOẠI KIỂM TOÁN 5. 2.1 Kiểm toán đăng nhập cơ sở dữ liệu Hoạt động đăng nhập và đăng xuất có thể được kiểm toán bằng cách sử dụng các tính năng cơ sở dữ liệu hoặc sử dụng một giải pháp bảo mật cơ sở dữ liệu bên ngoài Tất cả các nhà cung cấp cơ sở dữ liệu hỗ trợ chức năng kiểm toán cơ bản này,... Business Hours (9 -5) user3 10.10.10.x isql Weekends Trường CĐ CNTT HN Việt Hàn 24/61 Nguyễn Phương Tâm 5. 2 CÁC LOẠI KIỂM TOÁN 5. 2.2 Kiểm toán nguồn sử dụng cơ sở dữ liệu  Liên quan đến kiểm toán hoạt động đăng nhập là kiểm toán thông tin nguồn của client  Bao gồm:  Kiểm toán nút mạng được kết nối với cơ sở dữ liệu  Kiểm toán ứng dụng đang được sử dụng để truy cập vào cơ sở dữ liệu  Thông tin này... thường nhận được khi kiểm toán các kết nối cơ sở dữ liệu, nó thường quan trọng khi thông tin này ở mức độ gọi lệnh SQL Trường CĐ CNTT HN Việt Hàn 25/ 61 Nguyễn Phương Tâm 5. 2 CÁC LOẠI KIỂM TOÁN 5. 2.2 Kiểm toán nguồn sử dụng cơ sở dữ liệu  Chương trình nguồn thường là dữ liệu mà bạn nên thu thập cho mỗi truy vấn và các hoạt động trên cơ sở dữ liệu mà bạn muốn giữ lại trong các vệt kiểm toán, đặc biệt là... chế Báo cáo kiểm toán và kết quả kiểm toán là công cụ quan trọng trong việc phát hiện vấn đề và sửa chữa chúng Trường CĐ CNTT HN Việt Hàn 12/61 Nguyễn Phương Tâm 5. 2 CÁC LOẠI KIỂM TOÁN 5. 2.1 Kiểm toán đăng nhập cơ sở dữ liệu Loại kiểm toán đầu tiên yêu cầu trong hầu hết các môi trường là một vệt kiểm toán đầy đủ của bất cứ ai đã đăng nhập vào cơ sở dữ liệu Ghi lại hai sự kiện cho loại kiểm toán này... Tâm 5. 2 CÁC LOẠI KIỂM TOÁN 5. 2.3 Kiểm toán việc sử dụng cơ sở dữ liệu ngoài giờ làm việc  Một đề tài liên quan đến việc kiểm toán của đăng nhập cơ sở dữ liệu là một hoạt động kiểm toán đang được thực hiện ngoài giờ làm việc bình thường Đây là một yêu cầu trực quan và một việc thường được yêu cầu từ doanh nghiệp  Yêu cầu trực quan của kiểm toán sử dụng cơ sở dữ liệu ngoài giờ làm việc bình thường là... liệu hoặc giải pháp bảo mật cơ sở dữ liệu Nếu sử dụng cơ sở dữ liệu để tạo ra các dấu vết kiểm toán cho đăng nhập/đăng xuất và nhà cung cấp cơ sở dữ liệu thực hiện khả năng khóa tài khoản, sau đó bạn có thể thiết lập khả năng trong môi trường cơ sở dữ liệu của bạn Trường CĐ CNTT HN Việt Hàn 21/61 Nguyễn Phương Tâm 5. 2 CÁC LOẠI KIỂM TOÁN Khi sử dụng một hệ thống an ninh bên ngoài, ta có thể sử dụng... thường nghi ngờ và có thể là kết quả của một người sử dụng đang cố gắng truy cập trái phép hoặc sửa đổi dữ liệu Trường CĐ CNTT HN Việt Hàn 28/61 Nguyễn Phương Tâm 5. 2 CÁC LOẠI KIỂM TOÁN 5. 2.3 Kiểm toán việc sử dụng cơ sở dữ liệu ngoài giờ làm việc Tuy nhiên, một hacker giỏi thường sẽ cố gắng đăng nhập các cơ sở dữ liệu trong một thời gian “ngụy trang” Việc cố gắng truy cập trái phép sẽ tốt hơn khi có nhiều... chạy các hoạt động ngoài giờ là một phần của vết kiểm toán này Trường CĐ CNTT HN Việt Hàn 31/61 Nguyễn Phương Tâm 5. 2 CÁC LOẠI KIỂM TOÁN 5. 2.3 Kiểm toán việc sử dụng cơ sở dữ liệu ngoài giờ làm việc  Một cách tiếp cận để lọc ra các hoạt động bình thường xảy ra ở bên ngoài giờ bình thường là sử dụng một đường cơ sở  Ví dụ đường cơ bản truy cập cơ sở dữ liệu như sau: user1 192.168.1.168 SQLLoader 2am-4am... thực hiện kiểm toán ngoài giờ nên loại trừ bất kỳ hoạt động được thực hiện bởi các ứng dụng này, bằng cách sử dụng những tên đăng nhập, và đến từ các địa chỉ IP trên Trường CĐ CNTT HN Việt Hàn 32/61 Nguyễn Phương Tâm 5. 2 CÁC LOẠI KIỂM TOÁN 5. 2.3 Kiểm toán việc sử dụng cơ sở dữ liệu ngoài giờ làm việc  Kiểm toán chỉ có những phân kỳ từ đường cơ sở giúp làm giảm kích thước của vệt kiểm toán khi kiểm tra,... năng kiểm toán cơ bản này, và bởi vì số lượng những sự kiện này là khá nhỏ và ít có bất lợi trong việc thực hiện cơ sở dữ liệu ở mức độ kiểm toán này Trường CĐ CNTT HN Việt Hàn 16/61 Nguyễn Phương Tâm 5. 2 CÁC LOẠI KIỂM TOÁN 5. 2.1 Kiểm toán đăng nhập cơ sở dữ liệu Tạo Trigger để thực hiện kiểm toán đăng nhập Đầu tiên, tạo một bảng, nơi lưu trữ các thông tin: create table user_login_audit ( user_id varchar2(30), ... 42/61 Nguyễn Phương Tâm 5. 2 CÁC LOẠI KIỂM TOÁN 5. 2 .5 Kiểm toán lỗi sở liệu  Kiểm toán lỗi trả từ sở liệu quan trọng vệt kiểm toán bạn nên thực  Điều đặc biệt đúng, theo quan điểm bảo mật, bạn... Tâm 5. 2 CÁC LOẠI KIỂM TOÁN 5. 2.4 Kiểm toán hoạt động câu lệnh DDL  Có ba phương pháp để kiểm toán thay đổi lược đồ Sử dụng tính kiểm toán sở liệu Sử dụng hệ thống kiểm toán bên So sánh nhanh... 5. 2 CÁC LOẠI KIỂM TOÁN Hình 5. 3 Các vệt kiểm toán Trường CĐ CNTT HN Việt Hàn 27/61 Nguyễn Phương Tâm 5. 2 CÁC LOẠI KIỂM TOÁN 5. 2.3 Kiểm toán việc sử dụng sở liệu làm việc  Một đề tài liên quan