�ݺ�ߣ

Ngành: An toàn thông tin
TÌM HIỂU KIỂM TOÁN
CSDL VÀ THỰC HIỆN TRÊN
ORACLE

● Nhóm sinh viên thực hiện: Nhóm 07
● Nguyễn Tiến Dũng: AT170313
● Đàm Việt Hoà: AT170320
● Trần Chí Cường: AT170307
● Trần Tuấn Huy: AT170326
Giới Thiệu Thành Viên

Thực nghiệm
Kỹ thuật kiểm
toán CSDL
trong Oracle
Tổng quan về
kiểm toán CSDL
01 02
NỘI DUNG
03

TỔNG QUAN
VỀ KIỂM TOÁN
01

1.1 Khái niệm kiểm toán
Kiểm toán (auditing) được hiểu là toàn
bộ các hoạt động giám sát và ghi lại
những gì xảy ra đối với hệ thống công
nghệ thông tin. Các thông tin được ghi
lại có thể là những thay đổi về trạng thái
hoạt động của hệ thống hay các tương tác
qua lại giữa hệ thống và người dùng.

1.2 Mục đích của kiểm
toán
• Kiểm toán dùng để kiểm tra hành
động đáng ngờ.
• Giám sát, ghi lại các hoạt động
xảy ra.
• Dữ liệu audit giúp phát hiện lỗ
hổng trong chính sách bảo mật.

1.3 Vai trò của kiểm toán
• Theo dõi các hành động hiện
tại trong một lược đồ, bảng,
hàng, cột hoặc một nội dung
dữ liệu cụ thể.
• Giám sát hoạt động CSDL
như phát hiện người sử
dụng bất hợp pháp đang
thao tác hoặc sửa đổi với
CSDL
• Điều tra hoạt động đáng ngờ
• Theo dõi và thu thập dữ liệu về
các hoạt động CSDL cụ thể
• Kiểm toán để thỏa mãn các yêu
cầu pháp lý

1.4 Lưu ý khi kiểm toán
• Kiểm toán tại mọi thời điểm từ khi hệ thống bắt đầu hoạt động.Nên sử dụng
kết hợp kiểm toán bên trong và kiểm toán bên ngoài.
• Kiểm toán một cách có chọn lọc những gì cần thiết, bởi việc kiểm toán có thể
làm giảm hiệu suất của hệ thống.
• Thông tin nhật ký kiểm toán cần được lưu trữ và bảo mật.Ngoài ra, nên tự
động hóa và giám sát hoạt động kiểm toán

CHƯƠNG 2 : KỸ THUẬT KIỂM TOÁN
CSDL TRONG ORACLE
Các cơ chế kiểm
toán CSDL
CÁC PHƯƠNG
PHÁP KIỂM TOÁN
TRONG ORACLE
Danh mục kiểm
toán CSDL
2.1
2.2
2.3

GIỚI THIỆU VỀ KIỂM TOÁN TRONG ORACLE
Oracle kiểm toán các người dùng:
• Kiểm toán các truy cập thành công hoặc không thành công.
• Kiểm toán 1 người dùng, 1 nhóm người dùng hoặc tất cả các người dùng.
• Kiểm toán ở cấp phiên làm việc (session level) hoặc cấp truy cập (access level).
• Kiểm toán sẽ làm giảm hiệu suất của hệ thống. Chỉ nên kiểm toán những gì cần thiết.Dữ liệu kiểm
toán nên được ghi trên file của hệ điều hành (OS) để tiết kiếm tài nguyên của CSDL.

Yêu Cầu Của Kiểm Toán Trong CSDL
• Có khả năng hoạt động độc lập, cho phép theo dõi và ghi nhận lại tất cả các hoạt động trong hệ
thống kể cả những hoạt động của người quản trị hệ thống.
• Có khả năng lưu trữ audit log một cách an toàn bên ngoài CSDL.
• Có khả năng thu thập và kết hợp các hoat động xảy ra ở nhiều loại DBMS (Database management
systems) khác nhau. Không phụ thuộc vào DBMS và cú pháp câu lệnh SQL ứng với mỗi DBMS.
• Có khả năng ngăn chặn người quản trị hệ thống chỉnh sửa hoặc xóa dữ liệu trong audit log.

CÁC CƠ CHẾ KIỂM TOÁN CSDL
Kiểm toán bắt buộc (Mandatory Auditing): Là các hoạt động kiểm toán mặc định. Dù CSDL kiểm toán
có được kích hoạt hay không, thì hệ thống vẫn kiểm tra một số hoạt động liên quan đến CSDL và ghi chúng
vào tập tin vận hành hệ thống kiểm toán.
Kiểm toán chuẩn (Standard Database Auditing): là cơ sở kiểm soát toàn diện và đầy đủ nhất trong cơ sở
dữ liệu Oracle. Có 2 giai đoạn liên quan đến sử dụng Standard Audit là : Kích hoạt cơ chế kiểm soát (Audit,
Xác định các chuyên mục (category) cần kiểm soát.
Kiểm toán dựa trên giá trị (Value-based Auditing): Là cơ chế kiểm toán dựa trên kiểm toán chuẩn, tuy
nhiên nó còn kiểm toán dựa trên giá trị thực tế đã được đưa vào, cập nhật, hoặc bị xóa.
Kiểm toán mịn (Fine-grained auditing- FGA): Cơ chế này được mở rộng từ kiểm toán chuẩn, ghi lại các
câu lệnh SQL đã được thực hiện thay vì chỉ những sự kiện đã xảy ra
Kiểm toán DBA: Là cơ chế thực hiện kiểm toán riêng cho các DBA. (DataBase Administrator)

CÁC PHƯƠNG PHÁP KIỂM
TOÁN TRONG ORACLE
Kiểm toán bằng application server log Nhật ký truy cập trên application server hay web
server là dạng kiểm toán cơ bản
Kiểm toán bằng trigger Các trigger CSDL có thể ghi lại các thay đổi ở cấp
hàng và cột của bảng dữ liệu
Các truy cập đọc (SELECT) không thể được ghi lại
bằng các trigger CSDL thông thường
Kiểm toán bằng câu lệnh Dùng câu lệnh AUDIT
Có thể kiểm toán tất cả các quyền gán cho người
dùng hoặc role trong CSDL
Bao gồm: các truy cập đọc, ghi và xóa trên các
bảng dữ liệu

Kiểm toán đăng nhập/đăng xuất CSDL : Đây là loại kiểm toán đầu tiên được yêu cầu trong hầu hêt các
môi trường nhằm tạo vết kiểm toán đầy đủ xem bất kỳ ai đã đăng nhập/đăng xuất vào CSDL. Quá trình
này ghi lại hai sự kiện: một sự kiện cho việc đăng nhập và một sự kiện cho lần đăng xuất
Kiểm toán nguồn sử dụng cơ sở dữ liệu: Liên quan đến kiểm toán hoạt động đăng nhập là kiểm toán
thông tin nguồn của máy khách. Nó bao gồm: kiểm toán nút mạng được kết nối tới CSDL(chẳng hạn, sử
dụng địa chỉ IP hoặc máy chủ) và kiểm toán ứng dụng đang được sử dụng để truy cập vào CSDL. Thông
tin này là một trong những giá trị thường nhận được khi kiểm toán các kết nối CSDL
Kiểm toán hoạt động câu lệnh DDL: Kiểm toán thay đổi lược đồ hay kiểm toán hoạt động câu lệnh
DDL là một trong những vết kiểm toán được thực thi nhiều nhất. Điều này có lẽ bởi xuất phát từ ba quan
điểm: bảo mật, tuân thủ, quản lý cấu hình và quy trình.
DANH MỤC KIỂM TOÁN CSDL

Kiểm toán hoạt động câu lệnh DML: Kiểm toán hoạt động câu lệnh DML là một yêu cầu phổ biến. Tuy
nhiên, cần phải cẩn thận với loại kiểm toán này và thực hiện có chọn lọc. Bởi đây là một kỹ thuật mà số
lượng dữ liệu có thể được tạo ra rất lớn, nên cần chắc chắn rằng cơ sở hạ tầng kiểm toán có thể quản lý
được, đặc biệt là khi nó gồm cả giá trị mới và cũ.
Kiểm toán sử dụng CSDL ngoài giờ làm việc : hoạt động kiểm toán được thực hiện ngoài giờ làm việc
bình thường. Đây là một yêu cầu đáng quan tâm và thường được yêu cầu từ một doanh nghiệp. Bởi các
hoạt động thực hiện ngoài giờ thường đáng ngờ và có thể là kết quả của việc một người sử dụng đang cố
gắng truy cập trái phép hoặc sửa đổi dữ liệu
Kiểm toán lỗi CSDL : Kiểm toán lỗi được trả về từ cơ sở dữ liệu là rất quan trọng và là một trong những
vệt kiểm toán đầu tiên bạn nên thực hiện.Điều này đặc biệt đúng theo quan điểm an toàn. Chẳng hạn, khi
tìm hiểu về tấn công SQL injection, trong nhiều trường hợp kẻ tấn công sẽ nỗ lực thực hiện nhiều lần dựa
trên thông báo lỗi của hệ thống cho đến khi họ nhận được kết quả mong đợi.
DANH MỤC KIỂM TOÁN CSDL

CHƯƠNG 3: THỰC NGHIỆM MỘT
SỐ KỸ THUẬT KIỂM TOÁN CSDL
TRONG ORACLE
Kiểm toán đăng
nhập, đăng xuất
Kiểm toán câu lệnh
DDL
Kiểm toán câu lệnh
DML
3.1
3.2
3.3
3.4
Kiểm tra lỗi trong
CSDL

3.1 Kiểm toán đăng nhập, đăng xuất
Kịch bản:
● Tạo 2 user có tên User1, User2
● Thực hiện kiểm toán đăng
nhập, đăng xuất với 2 người
dùng vừa tạo.

3.2 Kiểm toán câu lệnh DDL
Kịch bản:
 Sử dụng người dùng SYS và User1 đã tạo ở
phần 3.1.
 Thực hiện việc tạo và xoá bảng trên người dùng
SYS và User1.
 Thực hiện kiểm toán DDL với 2 người dùng
trên.

3.3 Kiểm toán câu lệnh DML
Kịch bản:
 Đăng nhập oracle với người dùng SYS
quyền sysdba, tạo bảng Product.
 Gán quyền và thực hiện một số thao tác lên
bảng Product ( sử dụng User1 và User2 tạo ở
phần 3.1).
 Thực hiện kiểm toán DML trên bảng Product.

3.4 Kiểm tra lỗi trong CSDL
Kịch bản:
 Sử dụng người dùng SYS và User1, USER2 đã
tạo ở phần 3.1
 Thực hiện thao tác lỗi trên người dùng USER1,
USER2
 Thực hiện kiểm tra lỗi trên 2 người dùng trên.

�ݺ�ߣ

Nhom_7_ATCSDL btl chuyen de an toan co so du lieu.pptx

Recommended

More Related Content

Similar to Nhom_7_ATCSDL btl chuyen de an toan co so du lieu.pptx (20)

Nhom_7_ATCSDL btl chuyen de an toan co so du lieu.pptx