需求

　　在高校信息系统建设的初期，由于信息系统内保存的数据并非学校的核心数据，因此，无论业务部门，还是信息系统建设和运维人员，对数据的安全性都不是特别关注。但是，当信息系统中存储了大量学校关键业务数据(例如学校的财务数据、学生的成绩信息、教师的科研信息等)后，数据安全就变成了学校各方面都很关注的问题。当数据发生问题时，数据审计就变得非常重要。

　　一般来说，数据审计的需求体现在两个方面。

　　管理部门业务人员的需求

　　由于信息系统中的数据大部分都是由学校管理部门业务人员进行维护的，因此业务人员对各自负责的数据的安全敏感度非常高。当业务人员发现数据有异常时就会首先提出数据审计的需求，即要求技术部门提供数据异常的原因。如果技术部门不能快速准确地给出相关数据的审计情况，可能导致业务人员对系统的准确性和安全性提出质疑，甚至对信息化工作产生怀疑，这将给信息化工作和学校的正常管理秩序带来很大的影响。

　　数据库及应用系统管理员的需求

　　在通常情况下，数据库管理员和应用系统管理员很难对业务系统中数据的使用情况有比较深刻的了解，也就很难回答诸如“哪些数据被谁使用”、“哪些数据被频繁使用”，“有没有人在数据库中越权使用数据”的问题。而数据审计会为诸如此类的问题提供比较明确的答案。

　　要素

　　数据审计主要包含如下要素：

　　1.审计目标

　　审计目标是指学校根据具体的计算机应用，结合实际制定的安全审计目标。在通常所用的关系数据库中，一般是指一些关键的业务表、业务视图等，例如学生的成绩表、教师的工资表等。

　　2.审计操作

　　在确定审计目标后，还需确认对审计目标采取何种操作。审计操作一般包括对数据的查询、添加、修改和删除。对不同数据进行审计的要求也不尽相同，例如对成绩的添加、修改和删除操作需要审计，而对招生数据中的大批量的考生信息的数据查询需要审计。

　　3.审计日志

　　审计日志是指当对数据进行了符合条件的操作后，需要对操作情况进行比较详细的记录，一般需要记录操作时间、操作人、操作IP、操作内容、操作对象等信息。

　　4.审计人员

　　审计人员是数据审计实施中非常重要的人员，其主要工作职责是确定并实施审计规则，定期检查审计日志，确定审计日志中的异常情况并通知应用管理人员。审计人员一般应为与业务系统无关的人员。

　　技术

　　随着数据审计的需求逐步增多，市场上出现了很多与数据审计相关的技术与产品。从数据审计的方式上来看一般可以分为两类。

　　数据库内嵌方式

　　现在主流的关系数据库产品自身都带有审计功能，例如Oracle数据库就支持预定义审计操作，并将审计操作记录在数据库内或操作系统中。由于早期数据库没有给出很好的管理和查询审计日志的方法，因此国内外各厂商就针对审计日志进行了进一步处理，将审计日志集中化并以友好的方式显示。

　　数据库内嵌方式的主要优点是：

　　1.审计数据准确。由于审计的内容和业务操作一般同属一个事务，当审计日志不能写入时，业务操作同时不能进行，这保证审计日志和用户执行的操作完全相同。

　　2.可以精确获得被审计数据的变化情况。数据库很容易获得被审计数据的原值和新值，也可以比较明确地记录数据的变化情况、变化条数等信息。

　　同时，数据库内审计方式也存在一定的缺点：

　　1.不能还原用户真实操作。由于在数据库内进行审计，用户执行的SQL语句已经被数据库解析，很难还原用户的真实操作。用户可能仅发送一条SQL语句，但修改了多条数据，数据库内审计仅能记录多条数据修改，而不能确定是由什么样操作导致了数据的修改。

　　2.对数据库性能有一定影响。审计在数据库内进行，因此要由数据库服务器进行判断操作是否需要审计。当审计量比较大且数据库比较繁忙时，数据库系统的性能有所降低。

　　3.对数据库存储空间有一定影响。由于数据库审计日志存储在数据库中，因此需要比较大的存储空间，如果长期存放大量审计日志，可能对数据库的运行和备份都有影响。

　　4.对数据库有较高权限的用户可能对审计结果进行修改。由于审计日志存储在数据库或数据库服务器中，因此有高权限的用户可以对其进行修改，从而导致审计日志失效。

　　采用数据库内嵌方式的数据库审计产品有Oracle公司的Oracle Audit Vault，SoftTree公司的DB Audit Expert等。当然，在数据量不大的情况下，也可以只利用数据库自身的审计功能，人工处理数据库审计记录。

　　串接或旁路方式

　　采用串接或旁路方式进行数据审计是近些年比较流行的一种数据审计方式。这种审计方式是将审计设备串接到数据库和客户端之间，或将数据库网络流量镜像到审计设备，审计设备通过分析网络流量来分析对数据库中数据的操作行为，并根据审计规则将审计结果记录到审计日志中。

　　串接或旁路方式的主要优点是：

　　1.审计对数据库基本无影响。由于审计过程发生在数据库服务器之外，因此无需对现有数据库进行操作，在数据库服务器压力较大时仍可以很好地进行审计。

　　2.可以很好地还原用户操作。由于审计设备是通过分析网络流量进行记录的，因此可以很好地记录用户发送到数据库的SQL语句，而且记录中的SQL语句信息比较详细完整。

　　3.空间利用率高。串接或旁路方式的审计设备一般都会设计专门的存储结构，对审计日志进行存储，审计日志存储效率比在数据库内存储要高得多，查找速度也有很大的提高。

　　4.审计不受数据库管理员影响。由于审计过程和数据库本身无关，因此不受数据库管理员影响，同时审计日志的权限可独立分配且一般审计设备不允许对审计日志进行修改。

　　串接或旁路方式的主要缺点是：

　　1.无法记录被修改数据的原值。由于这种方式只能从网络中获取用户操作信息，而无法获得没有在网络上传输的数据，因此无法记录被修改数据的原值。

　　2.审计设备要精确理解数据库协议，否则可能造成审计日志的漏记或误记。由于审计设备需对网络包进行组装解析，如果对数据库网络协议理解稍有偏差就可能造成操作理解错误，同时如果网络出现丢包现象也有可能导致操作的漏记。

　　采用串接或旁路方式的数据库审计产品有Imperva公司的SecureSphere产品，思福迪公司的LogBase产品等。

　　(作者单位为清华大学计算机与信息管理中心)

　　来源：《中国教育网络》2009年12月刊