數(shù)據(jù)審計(jì)：把脈海量信息數(shù)據(jù)

文/陳翼 宓

數(shù)據(jù)審計(jì)：把脈海量信息數(shù)據(jù)

評(píng)價(jià)信息系統(tǒng)好壞的首要標(biāo)準(zhǔn)是要保證安全。保障信息安全有很多技術(shù)手段，大部分技術(shù)方法都是預(yù)防性的。限制、預(yù)防的手段對(duì)于系統(tǒng)安全是不夠的，一旦遇到問題必須要能夠進(jìn)行事后排查，追根溯源，數(shù)據(jù)審計(jì)就是一種事后審查的方法。信息系統(tǒng)要能夠通過數(shù)據(jù)審計(jì)方法事后排查問題，必然要求在系統(tǒng)設(shè)計(jì)、開發(fā)和實(shí)施過程中。采取預(yù)先設(shè)置的技術(shù)方案。這樣的技術(shù)方案對(duì)信息系統(tǒng)核心業(yè)務(wù)數(shù)據(jù)及集成數(shù)據(jù)的質(zhì)量也提出了更高的要求。

什么是數(shù)據(jù)審計(jì)

隨著大型企業(yè)或組織的日常運(yùn)作越來越依賴信息系統(tǒng)，保證信息系統(tǒng)安全變得越來越重要，信息系統(tǒng)審計(jì)機(jī)制也成為信息安全的重要環(huán)節(jié)。信息系統(tǒng)審計(jì)（Information Systems Audit）是記錄信息系統(tǒng)中用戶行為的一種機(jī)制，它不但能夠識(shí)別是誰訪問了系統(tǒng)，還能記錄系統(tǒng)是被怎樣使用，從而為安全事件的事后處理提供了基于操作日志的依據(jù)信息系統(tǒng)審計(jì)，也是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)安全、數(shù)據(jù)完整，以及有效率地利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過程。

表1 數(shù)據(jù)操作的要素

信息系統(tǒng)審計(jì)的范圍主要包括網(wǎng)絡(luò)運(yùn)行審計(jì)、操作系統(tǒng)運(yùn)行審計(jì)、應(yīng)用系統(tǒng)運(yùn)行審計(jì)以及數(shù)據(jù)審計(jì)四個(gè)方面。網(wǎng)絡(luò)運(yùn)行審計(jì)和操作系統(tǒng)運(yùn)行審計(jì)主要側(cè)重于信息系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施方面，應(yīng)用系統(tǒng)運(yùn)行審計(jì)和數(shù)據(jù)審計(jì)側(cè)重于信息系統(tǒng)日常操作和使用方面。數(shù)據(jù)審計(jì)（Data Auditing）是根據(jù)每一次數(shù)據(jù)操作的記錄進(jìn)行事后審查，要求數(shù)據(jù)操作發(fā)生時(shí)，記錄何人、何時(shí)、何地對(duì)何數(shù)據(jù)進(jìn)行了何種操作的信息。根據(jù)數(shù)據(jù)的存放形式，數(shù)據(jù)審計(jì)又分為文件系統(tǒng)數(shù)據(jù)審計(jì)和數(shù)據(jù)庫數(shù)據(jù)審計(jì)。由于關(guān)系型數(shù)據(jù)庫是信息系統(tǒng)數(shù)據(jù)存放的最主要形式，以下討論將主要基于關(guān)系型數(shù)據(jù)庫的數(shù)據(jù)審計(jì)。

表2 某同學(xué)的選課日志記錄

數(shù)據(jù)審計(jì)方法論

我們可以通過多種數(shù)據(jù)清洗途徑驗(yàn)證數(shù)據(jù)的完整性和準(zhǔn)確性。比如通過不同來源的同一數(shù)據(jù)進(jìn)行相互驗(yàn)證，或者通過明細(xì)數(shù)據(jù)的概率分布情況發(fā)現(xiàn)異常值。但數(shù)據(jù)審計(jì)的要求超出了一般的數(shù)據(jù)清洗，要能夠定位、追蹤問題數(shù)據(jù)的來源，因此提出了基于操作日志的數(shù)據(jù)審計(jì)方法。

對(duì)數(shù)據(jù)庫管理系統(tǒng)（Database Management System DBMS）的數(shù)據(jù)操作可以表示為6個(gè)要素：操作者；操作時(shí)間；操作地點(diǎn)；操作行為；操作對(duì)象和操作方式。其中特別須要注意的是，這里的操作者并不一定等同于實(shí)際操作的執(zhí)行者，而是系統(tǒng)記錄中執(zhí)行該操作的授權(quán)用戶。由于數(shù)據(jù)審計(jì)工作往往針對(duì)非正?；虿缓戏ǖ臄?shù)據(jù)操作，而非法數(shù)據(jù)操作總是會(huì)想方設(shè)法盜用、冒用他人的合法賬戶。是否能通過數(shù)據(jù)審計(jì)發(fā)現(xiàn)真正的操作執(zhí)行者，對(duì)信息系統(tǒng)設(shè)計(jì)提出了比較高的要求。表1是對(duì)數(shù)據(jù)操作要素的說明：

數(shù)據(jù)審計(jì)并非信息系統(tǒng)實(shí)施之后的孤立事件，數(shù)據(jù)審計(jì)的前提是信息系統(tǒng)在規(guī)劃和設(shè)計(jì)階段就考慮到對(duì)重要的數(shù)據(jù)操作通過后臺(tái)程序自動(dòng)記錄以上操作要素。當(dāng)被審計(jì)數(shù)據(jù)發(fā)生實(shí)際操作時(shí)，系統(tǒng)能實(shí)現(xiàn)對(duì)操作者、操作時(shí)間、操作地點(diǎn)、操作對(duì)象和操作行為等信息自動(dòng)記錄日志，并保證日志的安全性。系統(tǒng)管理員可以查詢、統(tǒng)計(jì)日志，并依據(jù)日志進(jìn)一步審核有關(guān)操作行為。

數(shù)據(jù)審計(jì)與質(zhì)量檢驗(yàn)

以下結(jié)合應(yīng)用實(shí)例，進(jìn)一步闡明基于操作日志的核心業(yè)務(wù)數(shù)據(jù)審計(jì)方法。

“選課系統(tǒng)”是高校里常見的用于學(xué)生選課的信息系統(tǒng)。選課系統(tǒng)的核心業(yè)務(wù)相對(duì)單一，學(xué)生通過該系統(tǒng)完成每學(xué)期的選課、退課操作。由于修讀課程是學(xué)生在校學(xué)習(xí)的核心內(nèi)容，課程方面產(chǎn)生任何差錯(cuò)都會(huì)對(duì)學(xué)生產(chǎn)生重大影響。因此選課過程一旦發(fā)生爭議，必須要能夠通過選課系統(tǒng)的操作數(shù)據(jù)審查清楚。以下是處理選課爭議的一個(gè)實(shí)例：

學(xué)號(hào)0730***5同學(xué)（因牽涉?zhèn)€人隱私，對(duì)學(xué)號(hào)、IP地址、課號(hào)作了處理，下同）發(fā)現(xiàn)2008～2009學(xué)年第1學(xué)期的課程在選課系統(tǒng)關(guān)閉后所選課程全部消失，遂向有關(guān)部門反映問題。管理人員審查了選課系統(tǒng)核心業(yè)務(wù)的日志記錄，表2是學(xué)號(hào)0730***5從2008年9月11日至13日的操作日志。

從日志中可以看出，退課操作集中在選課系統(tǒng)關(guān)閉前一天晚上的短短幾分鐘（9月12日23:41至23:45），IP為116.*.*.65。查詢?cè)搶W(xué)號(hào)所有操作日志，發(fā)現(xiàn)此前從未使用過該IP地址。查詢所有日志中與該IP地址相關(guān)的操作如下：

從表3可以看出，0730***5退課操作完成后僅隔短短3分鐘，另一學(xué)號(hào)0730***7從同一IP地址登錄系統(tǒng)并操作。查詢所有選課日志，僅有這兩個(gè)學(xué)號(hào)使用過該IP地址，而且間隔時(shí)間足夠短，因此疑似退課操作是0730***7利用了0730***5的密碼在同一臺(tái)電腦上所為。有關(guān)部門據(jù)此做了進(jìn)一步調(diào)查，最終調(diào)查結(jié)果驗(yàn)證了上述判斷。經(jīng)過類似的幾個(gè)案例的成功查證，用戶對(duì)應(yīng)用系統(tǒng)可靠性的信心大為增強(qiáng)，信息系統(tǒng)安全也得到了有效保障。

表3 某IP地址的選課日志記錄

集成數(shù)據(jù)的審計(jì)

上述實(shí)例的數(shù)據(jù)審計(jì)過程相對(duì)比較簡單，在實(shí)際應(yīng)用場(chǎng)景中，往往要根據(jù)多個(gè)系統(tǒng)的操作日志對(duì)比分析。比如事務(wù)處理系統(tǒng)有基于操作的日志，電子郵件系統(tǒng)有發(fā)送Email的日志，訪問任何集成到統(tǒng)一身份認(rèn)證服務(wù)的系統(tǒng)都會(huì)留下登錄日志，甚至使用網(wǎng)絡(luò)也會(huì)留下?lián)芴?hào)、認(rèn)證的記錄。這些記錄的核心都是用戶ID、時(shí)間和IP地址等要素。在系統(tǒng)集成的層面進(jìn)行數(shù)據(jù)審計(jì)，就是把所有能獲取的日志集成到一起，根據(jù)特定時(shí)間和地點(diǎn)進(jìn)行綜合比對(duì)分析。通過這樣的綜合業(yè)務(wù)數(shù)據(jù)審計(jì)，可以發(fā)揮數(shù)據(jù)集成的優(yōu)勢(shì)，快速排查、定位各類核心業(yè)務(wù)數(shù)據(jù)問題。

本文闡述了數(shù)據(jù)審計(jì)的概念和方法，并結(jié)合具體實(shí)例從數(shù)據(jù)審計(jì)這一全新角度說明了信息系統(tǒng)規(guī)劃和設(shè)計(jì)時(shí)的全面要求?；谛畔⑾到y(tǒng)核心業(yè)務(wù)操作日志的數(shù)據(jù)審計(jì)從具體方法上來看，只是相對(duì)簡單的日志查詢和比對(duì)，并無多少技術(shù)難度。但本文不僅要說明核心業(yè)務(wù)數(shù)據(jù)審計(jì)的實(shí)踐方法，更集中反映了信息系統(tǒng)設(shè)計(jì)和集成中須要注意的幾個(gè)關(guān)鍵問題：

1. 對(duì)于信息系統(tǒng)中重要的事務(wù)處理操作，一定要通過后臺(tái)程序記錄日志。如果沒有這些日志記錄，上述實(shí)例中反映的問題將無從審計(jì)，事后的安全保障也就無從談起；

2. 在數(shù)據(jù)庫設(shè)計(jì)時(shí)，要增加足夠多的支撐屬性，這些支撐屬性的值可以通過程序自動(dòng)記錄。比如上述日志中的操作日期、時(shí)間、IP地址等。這些支撐屬性對(duì)于確認(rèn)數(shù)據(jù)的惟一性、實(shí)際操作的執(zhí)行人等有重要的價(jià)值；

3. 數(shù)據(jù)審計(jì)不單指對(duì)孤立信息系統(tǒng)進(jìn)行審計(jì)，更普遍的情況是對(duì)集成數(shù)據(jù)進(jìn)行綜合審計(jì)。要實(shí)現(xiàn)對(duì)集成的數(shù)據(jù)進(jìn)行審計(jì)，不僅要整合單體系統(tǒng)的支撐屬性，在集成過程中還要進(jìn)一步增加與集成相關(guān)的支撐屬性，以保障集成的數(shù)據(jù)來源可查明，問題可追溯；

4. 數(shù)據(jù)審計(jì)的需求來自于實(shí)際業(yè)務(wù)，在系統(tǒng)設(shè)計(jì)和開發(fā)初期可能不會(huì)想到所有的數(shù)據(jù)審計(jì)場(chǎng)景，但盡可能完善數(shù)據(jù)庫設(shè)計(jì)，提高業(yè)務(wù)數(shù)據(jù)和集成數(shù)據(jù)的質(zhì)量，最大程度地記錄能夠獲取的所有信息，是信息系統(tǒng)分析與設(shè)計(jì)的基本原則。

（作者單位為復(fù)旦大學(xué)信息化辦公室）