數(shù)據(jù)庫(kù)安全審計(jì)解決方案

一、數(shù)據(jù)庫(kù)安全審計(jì)需求概述數(shù)據(jù)庫(kù)系統(tǒng)是一個(gè)復(fù)雜而又關(guān)鍵的系統(tǒng)，數(shù)據(jù)庫(kù)存在各種管理和技術(shù)上的風(fēng)險(xiǎn)，如果這些風(fēng)險(xiǎn)變?yōu)槭聦?shí)，那么企業(yè)數(shù)據(jù)將遭受嚴(yán)重的經(jīng)濟(jì)損失和法律風(fēng)險(xiǎn)。而面對(duì)數(shù)據(jù)庫(kù)的安全問題，企業(yè)常常要面對(duì)一下問題：數(shù)據(jù)庫(kù)被惡意訪問、攻擊甚至數(shù)據(jù)偷竊，而企業(yè)無法及時(shí)發(fā)現(xiàn)、追蹤并阻截這些惡意的行為。數(shù)據(jù)庫(kù)遭受惡意訪問、攻擊后，不能追蹤到足夠的證據(jù)。不了解數(shù)據(jù)使用者對(duì)數(shù)據(jù)庫(kù)訪問的細(xì)節(jié)，從而無法保證數(shù)據(jù)安全，特別是敏感數(shù)據(jù)的管理。來自內(nèi)部的威脅：特權(quán)用戶隨意修改配置、改變或盜取數(shù)據(jù)，沒有明確職責(zé)分工。針對(duì)數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)日志的審計(jì)只能做事后分析，周期長(zhǎng)，且無法進(jìn)行持續(xù)性審計(jì)。審計(jì)缺乏規(guī)范性，無法有效成為公司的安全管理規(guī)范且滿足外部審計(jì)需求。人工審計(jì)面對(duì)海量數(shù)據(jù)，無法滿足100%可見性，造成審計(jì)不完整。DBA權(quán)責(zé)未完全區(qū)分開，導(dǎo)致審計(jì)效果問題。二、Guardium企業(yè)數(shù)據(jù)管理綜合解決方案InfoSphereGuardium提供的一組集成模塊，使用一個(gè)統(tǒng)一的控制臺(tái)和后端數(shù)據(jù)存儲(chǔ)，管理整個(gè)數(shù)據(jù)庫(kù)的安全與合規(guī)周期。通過Guardium，IBM現(xiàn)在提供一種直接解決數(shù)據(jù)庫(kù)安全性和遵從性問題的自動(dòng)、有效且高效的方法。可擴(kuò)展企業(yè)安全平臺(tái)既能實(shí)時(shí)保護(hù)數(shù)據(jù)庫(kù)，又能自動(dòng)化所有合規(guī)審計(jì)流程。這套方案不僅在解決問題方面表現(xiàn)卓越，而且在避免消極影響方面同樣表現(xiàn)出色。它對(duì)數(shù)據(jù)庫(kù)性能的影響幾乎為零，無需對(duì)數(shù)據(jù)庫(kù)作任何變更，甚至不依賴本地?cái)?shù)據(jù)庫(kù)日志或?qū)徲?jì)工具。三、通過Guardium管理數(shù)據(jù)安全發(fā)現(xiàn)、分類并且自動(dòng)尋找、分類和保護(hù)敏感信息使用數(shù)據(jù)庫(kù)自動(dòng)搜尋和信息分類功能來識(shí)別機(jī)密數(shù)據(jù)的存儲(chǔ)位置，然后使用定制的分類標(biāo)簽來自動(dòng)執(zhí)行適用于特定級(jí)別的敏感信息的安全策略。評(píng)估&加固--漏洞、配置和行為評(píng)估，鎖定與追蹤Guardium的數(shù)據(jù)庫(kù)安全評(píng)估功能會(huì)掃描整個(gè)數(shù)據(jù)庫(kù)架構(gòu)，查找漏洞，并使用實(shí)時(shí)和歷史數(shù)據(jù)提供持續(xù)的數(shù)據(jù)庫(kù)安全狀態(tài)評(píng)估。它預(yù)先配置了一個(gè)綜合測(cè)試庫(kù)，建立在特定平臺(tái)漏洞和業(yè)界最佳實(shí)踐案例的基礎(chǔ)之上，可以通過Guardium的訂閱服務(wù)得到定期更新。也可以自定義測(cè)試，以滿足特定的要求。評(píng)估模塊還會(huì)標(biāo)記與合規(guī)相關(guān)的漏洞，如遵從SOX和PCI-DSS法規(guī)提供非法訪問OracleEBS和SAP數(shù)據(jù)表的行為。監(jiān)控￥執(zhí)行—100%可視性，監(jiān)控和執(zhí)行各項(xiàng)策略，主動(dòng)實(shí)時(shí)安全通過定制細(xì)?；膶?shí)時(shí)策略來防止特權(quán)用戶進(jìn)行非法或可疑的行為，同時(shí)抵擋欺詐用戶或外來者的攻擊。審計(jì)&報(bào)表—細(xì)粒度審計(jì)追蹤，合規(guī)工作流自動(dòng)化創(chuàng)建一個(gè)覆蓋所有數(shù)據(jù)庫(kù)活動(dòng)的連續(xù)、詳細(xì)的追蹤記錄，并實(shí)時(shí)的語境分析和過濾，從而實(shí)現(xiàn)主動(dòng)控制，生成需要的具體信息。生成的結(jié)果報(bào)表使所有數(shù)據(jù)庫(kù)活動(dòng)詳細(xì)可見。四、GUARDIUM數(shù)據(jù)庫(kù)安全審計(jì)解決方案的突出特點(diǎn)和優(yōu)勢(shì)：1.可以同時(shí)支持監(jiān)控管理多種數(shù)據(jù)庫(kù)（ORACLE/SYBASE/INFORMIX/DB2/SQLSERVER/TERADATA/MYSQL）的各種版本；

2.同時(shí)支持多種企業(yè)級(jí)應(yīng)用（ORACLEE-BUSINESSSUITE/PEOPLESOFT/SIEBEL/JDEDWARDS/SAP/BUSINESSOBJECTS）、應(yīng)用服務(wù)器/中間件服務(wù)器（WEBSPHERE/WEBLOGIC/TUXEDO/ORACLEAPPLICATIONSERVER/JBOSS/.NET/APACHE/TOMCAT/MQ&etc）；

3.非入侵式部署，不影響網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)服務(wù)器現(xiàn)有運(yùn)行方式及狀況，對(duì)用戶、網(wǎng)絡(luò)、服務(wù)器透明，不在數(shù)據(jù)庫(kù)內(nèi)安裝，不需要數(shù)據(jù)庫(kù)建立用戶；

4.具有實(shí)時(shí)阻斷非法訪問，抵御攻擊能力；

5.可以實(shí)現(xiàn)從用戶、應(yīng)用服務(wù)器到數(shù)據(jù)庫(kù)的全程跟蹤即可記錄；

6.可以實(shí)現(xiàn)全方位準(zhǔn)確監(jiān)控（來自網(wǎng)絡(luò)的訪問和本地登錄訪問）；

7.具備分布式部署和分層架構(gòu)能力，支持企業(yè)級(jí)不同地域、多種數(shù)據(jù)庫(kù)的應(yīng)用；

8.部署容易簡(jiǎn)單；

9.獨(dú)特跟蹤下鉆（DrillDown）功能，追查問題可以一步步到最底層；

10.多行業(yè)、眾多客戶成功應(yīng)用案例的證明；

11.對(duì)SOX、PCI、DATAPRIVACY等法律遵從性的良好支持；

12.國(guó)際著名審計(jì)公司的認(rèn)同、認(rèn)可；

13.第三方國(guó)際著名咨詢?cè)u(píng)測(cè)機(jī)構(gòu)的認(rèn)可和贊賞；

14.支持多種異構(gòu)操作系統(tǒng)；

15.記錄的日志不可更改，完全符合法律要求；

16.不依賴于數(shù)據(jù)庫(kù)的日志；

17.對(duì)數(shù)據(jù)庫(kù)服務(wù)器性能影響極低（<5%），大大優(yōu)于數(shù)據(jù)庫(kù)本身的審計(jì)產(chǎn)品；

18.細(xì)粒度5W記錄，監(jiān)控記錄的內(nèi)容可定制；

19.可自定義輸出各種靈活的報(bào)表格式；

20.支持IBM大型機(jī)（Z-TAP，Z-GATE）；

21.具備集中化管理、日志匯總、關(guān)聯(lián)審計(jì)分析能力；

22.自學(xué)習(xí)能力模型，根據(jù)過去的訪問習(xí)慣自動(dòng)實(shí)現(xiàn)對(duì)異常訪問的阻斷；

23.自動(dòng)完成內(nèi)部審計(jì)流程、報(bào)表等工作，自動(dòng)化程度高。2010年讀書節(jié)活動(dòng)方案一、

活動(dòng)目的：書是人類的朋友，書是人類進(jìn)步的階梯！為了拓寬學(xué)生的知識(shí)面，通過開展“和書交朋友，遨游知識(shí)大海洋”系列讀書活動(dòng)，激發(fā)學(xué)生讀書的興趣，讓每一個(gè)學(xué)生都想讀書、愛讀書、會(huì)讀書，從小養(yǎng)成熱愛書籍，博覽群書的好習(xí)慣，并在讀書實(shí)踐活動(dòng)中陶冶情操，獲取真知，樹立理想！二、活動(dòng)目標(biāo)：1、通過活動(dòng)，建立起以學(xué)校班級(jí)、個(gè)人為主的班級(jí)圖書角和個(gè)人小書庫(kù)。2、通過活動(dòng)，在校園內(nèi)形成熱愛讀書的良好風(fēng)氣。3、通過活動(dòng)，使學(xué)生養(yǎng)成博覽群書的好習(xí)慣。4、通過活動(dòng)，促進(jìn)學(xué)生知識(shí)更新、思維活躍、綜合實(shí)踐能力的提高。三、活動(dòng)實(shí)施的計(jì)劃1、做好讀書登記簿（1）每個(gè)學(xué)生結(jié)合個(gè)人實(shí)際，準(zhǔn)備一本讀書登記簿，具體格式可讓學(xué)生根據(jù)自己喜好來設(shè)計(jì)、裝飾，使其生動(dòng)活潑、各具特色，其中要有讀書的內(nèi)容、容量、實(shí)現(xiàn)時(shí)間、好詞佳句集錦、心得體會(huì)等欄目，高年級(jí)可適當(dāng)作讀書筆記。（2）每個(gè)班級(jí)結(jié)合學(xué)生的計(jì)劃和班級(jí)實(shí)際情況，也制定出相應(yīng)的班級(jí)讀書目標(biāo)和讀書成長(zhǎng)規(guī)劃書，其中要有措施、有保障、有效果、有考評(píng)，簡(jiǎn)潔明了，易于操作。（3）中隊(duì)會(huì)組織一次“讀書交流會(huì)”展示同學(xué)們的讀書登記簿并做出相應(yīng)評(píng)價(jià)。2、舉辦讀書展覽：各班級(jí)定期舉辦“讀書博覽會(huì)”，以“名人名言”、格言、諺語、經(jīng)典名句、“書海拾貝”、“我最喜歡的＿＿＿”、“好書推薦”等形式，向同學(xué)們介紹看過的新書、好書、及書中的部分內(nèi)容交流自己在讀書活動(dòng)中的心得體會(huì),在班級(jí)中形成良好的讀書氛圍。3、出讀書小報(bào)：3、通過活動(dòng)，使學(xué)生養(yǎng)成博覽群書的好習(xí)慣。B比率分析法和比較分析法不能測(cè)算出各因素的影響程度?！?/p>

C采用約當(dāng)產(chǎn)量比例法，分配原材料費(fèi)用與分配加工費(fèi)用所用的完工率都是一致的。ＸC采用直接分配法分配輔助生產(chǎn)費(fèi)用時(shí)，應(yīng)考慮各輔助生產(chǎn)車間之間相互提供產(chǎn)品或勞務(wù)的情況。錯(cuò)C產(chǎn)品的實(shí)際生產(chǎn)成本包括廢品損失和停工損失?！藽成本報(bào)表是對(duì)外報(bào)告的會(huì)計(jì)報(bào)表?！罜成本分析的首要程序是發(fā)現(xiàn)問題、分析原因?！罜成本會(huì)計(jì)的對(duì)象是指成本核算?！罜成本計(jì)算的輔助方法一般應(yīng)與基本方法結(jié)合使用而不單獨(dú)使用。√

C成本計(jì)算方法中的最基本的方法是分步法。X

D當(dāng)車間生產(chǎn)多種產(chǎn)品時(shí)，“廢品損失”、“停工損失”的借方余額，月末均直接記入該產(chǎn)品的產(chǎn)品成本中?！罝定額法是為了簡(jiǎn)化成本計(jì)算而采用的一種成本計(jì)算方法?！罠“廢品損失”賬戶月末沒有余額。√F廢品損失是指在生產(chǎn)過程中發(fā)現(xiàn)和入庫(kù)后發(fā)現(xiàn)的不可修復(fù)廢品的生產(chǎn)成本和可修復(fù)廢品的修復(fù)費(fèi)用。ＸF分步法的一個(gè)重要特點(diǎn)是各步驟之間要進(jìn)行成本結(jié)轉(zhuǎn)。(√)G各月末在產(chǎn)品數(shù)量變化不大的產(chǎn)品，可不計(jì)算月末在產(chǎn)品成本。錯(cuò)G工資費(fèi)用就是成本項(xiàng)目。(×)G歸集在基本生產(chǎn)車間的制造費(fèi)用最后均應(yīng)分配計(jì)入產(chǎn)品成本中。對(duì)J計(jì)算計(jì)時(shí)工資費(fèi)用，應(yīng)以考勤記錄中的工作時(shí)間記錄為依據(jù)。(√)J簡(jiǎn)化的分批法就是不計(jì)算在產(chǎn)品成本的分批法。(×)J簡(jiǎn)化分批法是不分批計(jì)算在產(chǎn)品成本的方法。對(duì)J加班加點(diǎn)工資既可能是直接計(jì)人費(fèi)用，又可能是間接計(jì)人費(fèi)用。√

J接生產(chǎn)工藝過程的特點(diǎn)，工業(yè)企業(yè)的生產(chǎn)可分為大量生產(chǎn)、成批生產(chǎn)和單件生產(chǎn)三種，X

K可修復(fù)廢品是指技術(shù)上可以修復(fù)使用的廢品。錯(cuò)K可修復(fù)廢品是指經(jīng)過修理可以使用，而不管修復(fù)費(fèi)用在經(jīng)濟(jì)上是否合算的廢品。ＸP品種法只適用于大量大批的單步驟生產(chǎn)的企業(yè)。×Q企業(yè)的制造費(fèi)用一定要通過“制造費(fèi)用”科目核算。ＸQ企業(yè)職工的醫(yī)藥費(fèi)、醫(yī)務(wù)部門、職工浴室等部門職工的工資，均應(yīng)通過“應(yīng)付工資”科目核算。ＸS生產(chǎn)車間耗用的材料，全部計(jì)入“直接材料”成本項(xiàng)目。ＸS適應(yīng)生產(chǎn)特點(diǎn)和管理要求，采用適當(dāng)?shù)某杀居?jì)算方法，是成本核算的基礎(chǔ)工作。(×)W完工產(chǎn)品費(fèi)用等于月初在產(chǎn)品費(fèi)用加本月生產(chǎn)費(fèi)用減月末在產(chǎn)品費(fèi)用。對(duì)Y“預(yù)提費(fèi)用”可能出現(xiàn)借方余額，其性質(zhì)屬于資產(chǎn)，實(shí)際上是待攤費(fèi)用。對(duì)Y引起資產(chǎn)和負(fù)債同時(shí)減少的支出是費(fèi)用性支出。X

Y以應(yīng)付票據(jù)去償付購(gòu)買材料的費(fèi)用，是成本性支出。X

Y原材料分工序一次投入與原材料在每道工序陸續(xù)投入，其完工率的計(jì)算方法是完全一致的。ＸY運(yùn)用連環(huán)替代法進(jìn)行分析，即使隨意改變各構(gòu)成因素的替換順序，各因素的影