当前位置:文档之家 › Guardium 简介-数据库审计合规

Guardium 简介-数据库审计合规

  • 格式:pdf
  • 大小:5.21 MB
  • 文档页数:50

下载文档原格式

  / 50

合集下载

数据库审计是什么?有什么作用?

数据库审计是什么?有什么作用?

本文由梁老师精心编辑整理(营改增后知识点),感恩每一天的付出!
数据库审计是什么?有什么作用?
数据库审计:
数据库审计(简称DBAudit)能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。

它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。

数据库审计是数据库安全技术之一,数据库安全技术主要包括:数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

数据库审计作用:
数据库审计通过旁路部署,能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警。

它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规搜索报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。

数据库审计原理:
数据库审计系统对来自应用系统客户端和dba对数据库的访问行为进行全面审计,不仅审计sql语句,还对ftp、telnet等远程访问进行审计。

系统详细记录查询、删除、增加、修改等行为及操作结果,对危险操作还可实时预警,及时阻止,从而达到保护数据库的良好效果。

1。

数据库的数据追踪与审计说明书

数据库的数据追踪与审计说明书

数据库的数据追踪与审计说明书1. 引言数据库的数据追踪与审计是当今信息技术领域中的重要议题。

随着数据库在各个行业中的广泛应用,对数据的安全性和合规性要求也越来越高。

本说明书将重点介绍数据库中数据追踪与审计的基本概念、技术原理以及实施方法。

2. 数据追踪与审计的概述数据追踪与审计主要是指对数据库中的操作进行监控和记录,以便后续对数据的使用情况进行审计和分析。

通过数据追踪与审计,可以实现对数据的完整性、可追溯性和合规性的监控与管理。

3. 数据追踪与审计的基本原理3.1 数据追踪原理数据追踪主要通过在数据库中设置触发器、审计日志和审计跟踪等方式来实现。

当数据库中发生特定的操作时,触发器会记录相关信息并将其写入审计日志中,从而实现数据追踪的目的。

3.2 数据审计原理数据审计主要是通过对审计日志的分析和查询,了解数据库操作的细节和数据的使用情况。

审计日志中将记录用户的登录信息、操作的时间、执行的SQL语句等相关信息,以便后续进行审计和分析。

4. 数据追踪与审计的实施步骤4.1 确定审计需求在实施数据追踪与审计前,需要明确审计的目的和需求,包括对哪些操作进行审计、审计的时间范围和审计结果的输出方式等。

4.2 配置审计日志在数据库中配置审计日志,包括确定日志的位置、大小和保留周期等参数设置,以便后续对其进行分析和查询。

4.3 设置触发器和审计跟踪根据审计需求,在数据库中设置相关的触发器和审计跟踪,以便在特定操作发生时记录相关信息。

4.4 数据审计与分析根据配置的审计日志,对数据库中的操作进行审计与分析,了解数据的使用情况和操作的合规性。

5. 数据追踪与审计的应用场景数据追踪与审计可以应用于多个领域和行业,如金融、医疗、电商等。

在金融行业中,数据追踪与审计可以帮助监控交易流水、防范欺诈行为;在医疗行业中,可以追踪医疗记录、确保数据安全和隐私保护;在电商行业中,可以追踪用户购买行为、为市场营销提供数据支持等。

6. 结论数据库的数据追踪与审计是确保数据安全和合规性的重要手段。

数据库内部安全审计

数据库内部安全审计

数据库内部安全审计一、背景在信息系统的整体安全中,数据库往往是最吸引攻击者的目标,许多网络攻击的根本目的就是获取存放在数据库中的重要信息。

传统的数据库安全保障方法一定程度上提高了数据库系统的安全性,但是它们大多是被动的安全技术,以预防为主,无法有效地制止入侵行为,特别是对于数据库用户( 如数据库管理员等) 的权限滥用等内部攻击常常是无能为力的。

内部威胁问题具体表现为:(1)非故意的授权用户攻击,即用户不小心访问到了通常不访问的敏感信息,严重的是无意间将其错误地修改或者删除了;(2)盗取了正常用户信息的攻击者对数据库进行操作,他们拥有合法的访问权限,对数据库数据进行肆意的盗窃和破坏;(3)心怀不轨的内部工作人员对数据库的恶意攻击。

据统计,数据库安全问题近80%来自数据库系统内部,即数据库系统授权用户没有按照自身授权进行数据操作,而是跨越权限篡改或破坏数据。

根据2013年Verizon的数据泄露调查报告:所有数据泄露事件中76%源自授权用户对敏感数据的访问;在47000多件安全事故中,69%的攻击来自于内部人员。

京东发生的大型数据泄露事件造成5O亿条公民信息流出,导致用户损失数百万元,罪魁祸首就是内部工作人员。

内部原因造成的数据库损失发生率和影响度都远远超过人们的想象。

由于此类安全问题发生在系统集团内部,因此,对数据库的危害极大,并且传统的入侵检测方法和数据库安全规则都不能有效防御这些问题,即使一些防火墙软硬件也无法实时检测内部入侵。

因此,针对数据库系统中用户异常行为检测研究就显得尤为重要。

据统计,传统的数据安全模型是上个世纪 70 年代提出的,并且得到较好发展。

到目前为止,在数据库上实现的安全策略基本上没有变化,仍旧为访问控制、用户认证、审计和加密存储。

安全审计的任务是对用户已经完成的行为,给予回追式的分析,并对该行为的结果给出最终评价。

这些安全机制在数据库管理上取得了较好成绩,但是面对高素质攻击人员、多样化攻击手段和复杂的网络环境,这些安全机制将无法实时监测入侵行为,保护数据库与数据的安全。

数据库安全审计

数据库安全审计

数据库安全审计数据库安全审计是指对数据库系统中的数据进行审查,以确保敏感数据的安全性和合规性。

通过对数据库中的操作进行记录、分析和检测,能够及时发现潜在的安全风险,并采取相应的防护措施,保护企业的核心数据免受恶意攻击和不当使用的威胁。

一、审计的基本原理数据库安全审计的基本原理包括数据采集、数据分析与处理和异常报告。

1. 数据采集数据采集是数据库安全审计的第一步,主要通过对数据库操作的日志进行记录和收集。

常见的采集方式有日志审计、数据包捕获、主动监测和用户行为录像等。

采集到的数据包括用户登录信息、系统操作记录、数据库对象修改记录等。

2. 数据分析与处理数据分析与处理是审计的核心步骤,需要对采集到的数据进行清理、整理和分析。

其中清理的目的是去除无效数据和噪音,使数据更加准确和可靠。

整理过程中需要将数据进行分类、归档和标准化,便于后续的分析和检测。

数据分析主要包括模式分析、行为分析和关联分析等,通过分析可以发现潜在的安全风险和异常行为。

3. 异常报告异常报告是审计最终的输出结果,主要是对分析结果的总结和归纳。

审计人员需要将数据分析结果进行整合和概括,以便对异常行为进行监管和处置。

同时,可以将报告与相关人员共享,以便及时采取措施修复潜在的安全漏洞。

二、数据库安全审计的目的数据库安全审计的目的主要是保护数据库中存储的敏感数据,提高数据库的安全性和可靠性。

具体包括以下几点:1. 发现潜在的安全风险通过审计可以发现数据库中可能存在的安全隐患和漏洞,及时采取措施进行修复和防护。

例如,发现数据库默认账号密码未修改、权限设置过松等风险因素,可以及时修复,防止被攻击者利用。

2. 防范数据泄露和非法访问数据泄露是组织面临的重要威胁之一,数据库安全审计可以帮助发现存在数据泄露风险的操作和异常行为,及时采取措施进行预防和处理。

同时,审计记录的收集和分析还可以防范未授权的数据访问,保护数据库中的敏感信息。

3. 合规性审查与数据完整性对于一些行业和组织而言,数据的完整性和合规性是必须被关注的问题。

数据库审计的功能

数据库审计的功能

引言:数据库审计是一种重要的安全措施,用于监控和记录数据库操作活动,以保护敏感数据的安全性。

在上一篇文章中,我们已经介绍了数据库审计的基本概念和一些常见的审计功能。

本文将继续探讨数据库审计的功能,并详细阐述其中的五个重要方面。

概述:数据库审计的功能是多样的,它不仅可以监控数据库的读写活动,还可以跟踪敏感数据的访问情况,检测非法操作,提供合规性报告等。

下面将依次介绍数据库审计的五个重要功能。

正文内容:1.监控敏感数据的访问数据库审计可以对敏感数据的访问进行实时监控。

通过对数据库的配置,可以设置审计规则来定义哪些数据被认为是敏感数据,如个人身份信息、银行账户信息等。

一旦有用户或应用程序尝试访问这些敏感数据,审计系统就会记录并报告,以便管理员进一步分析和调查,确保敏感数据不被未授权的用户访问。

小点:1.1配置敏感数据审计规则1.2实时监控敏感数据的访问情况1.3记录并报告敏感数据的访问事件1.4分析和调查违规访问2.检测异常活动除了监控敏感数据的访问情况,数据库审计还可以检测并报告异常操作。

这些异常操作可能包括非法登录尝试、未授权的数据库对象访问、数据修改等。

通过实时监控数据库的活动,审计系统可以及时发现这些异常操作并记录下来,以便管理员进行进一步的分析和排查。

小点:2.1监控非法登录尝试2.2检测未授权的数据库对象访问2.3报告异常的数据修改或删除操作2.4提供实时警报功能3.提供合规性报告数据库审计对于满足合规性要求非常重要。

它可以详细的审计报告,用于满足各种合规性标准的审计要求,如PCIDSS、HIPAA 等。

这些报告通常包括用户操作、数据访问情况、安全事件等细节,可以供审核员进行审查,帮助组织确保其数据库操作符合法规和内部政策。

小点:3.1符合合规性要求的审计报告3.2包括用户操作、数据访问情况、安全事件等细节3.3供审核员进行审查和确认合规性3.4帮助组织遵守法规和内部政策4.防止数据泄漏数据库审计可以帮助防止数据泄漏风险。

数据库安全管理的合规要求与监控策略

数据库安全管理的合规要求与监控策略

数据库安全管理的合规要求与监控策略随着信息技术的快速发展,数据库在企业和组织中的作用愈发重要。

数据库包含了大量的敏感和重要的数据信息,如个人资料、财务数据等。

因此,数据库安全管理成为了保护这些数据的关键任务之一。

数据库安全管理要求合规性是确保数据库系统和数据得到保护的一项重要措施。

与此同时,制定适当的监控策略也是确保数据库安全的关键步骤之一。

本文将会探讨数据库安全管理的合规要求以及有效的监控策略。

数据库安全管理的合规要求通常可以归结为以下几个方面:1. 访问控制和权限管理:确保只有授权的用户能够访问和修改数据库中的数据。

这需要对用户进行身份验证和授权管理,以确保只有合法用户能够使用数据库。

2. 数据备份和恢复:为了应对意外事件和系统故障,数据库必须定期进行备份,并保证备份的完整性和安全性。

定期测试备份数据的恢复能力也是一项必要的工作。

3. 数据加密和解密:对数据库中的敏感数据应当采取加密的措施,以确保数据在传输和存储过程中的安全。

只有经过授权的用户才能够解密数据。

4. 审计和日志记录:数据库应支持审计功能,记录所有对数据库的访问和操作。

这包括谁、什么时间以及做了什么操作。

这些日志记录对于监控和检测异常行为非常重要。

5. 漏洞管理和补丁管理:数据库系统应该安装最新的安全补丁和软件更新,以防止已知的漏洞被利用。

同时,定期进行漏洞扫描和安全评估也是很有必要的。

为了确保数据库安全合规要求的实施和执行,组织和企业可以采取以下一些有效的监控策略:1. 实施详细的访问控制:只有授权的用户能够访问和操作数据库。

通过使用强密码、多重身份验证、访问审计和权限管理等工具和技术来限制和监控用户的访问权限。

2. 实时监控数据库活动:使用数据库管理系统提供的监控功能来实时监测数据库的活动,包括用户登录、查询和更新等。

及时检测和响应异常行为是防范潜在威胁的关键。

3. 日志分析和报警:对数据库的日志进行分析与监控,及时发现异常行为和潜在的安全威胁,并采取相应的措施。

数据库日志管理与审计工具比较研究

数据库日志管理与审计工具比较研究数据库是现代应用系统中最重要的组成部分之一,用于存储和管理大量的数据。

为了确保数据的安全和完整性,数据库日志管理和审计工具成为组织重要的考虑因素。

这些工具可以追踪和记录数据库中的所有操作,并提供监控和审计功能,以保护数据免受未经授权的访问和操纵。

在本文中,我们将比较和研究几种常见的数据库日志管理和审计工具。

1. Oracle Audit Vault and Database Firewall (AVDF)Oracle AVDF 是一个完全集成的数据库审计解决方案,支持多种数据库管理系统,包括Oracle、Microsoft SQL Server和IBM DB2。

它通过监控数据库日志,实时检测和预防非法数据访问和操纵。

AVDF 提供了完整的报告和警报功能,帮助用户及时发现潜在的安全威胁,并采取适当的措施。

2. IBM GuardiumIBM Guardium 是一套强大的数据库审计和保护工具,适用于多种数据库管理系统,包括Oracle、Microsoft SQL Server和MySQL等。

Guardium 提供了全面的审计功能,记录了数据库中的所有操作,并通过分析数据库访问模式来监控和识别潜在的数据风险。

它还支持实时报告和警报,帮助用户及时采取措施保护数据。

3. McAfee Database Activity Monitoring (DAM)McAfee DAM 是一款出色的数据库日志管理和审计工具,广泛用于Oracle、Microsoft SQL Server和IBM DB2等数据库管理系统。

它实时监控数据库操作,并记录关键活动,如登录、查询和更新等。

DAM 还提供了高级的识别和阻止功能,可以检测并阻止未经授权的操作,以保护敏感数据的安全。

4. Imperva SecureSphere Database SecurityImperva SecureSphere 是一种全球领先的数据库安全解决方案,适用于各种数据库管理系统和应用程序。

数据库审计工具及应用

数据库审计工具及应用数据库审计工具是一种用于监控和记录数据库系统操作的工具。

它通过收集关键信息、触发警报、生成审计报告等方式,帮助组织确保数据库的合规性、安全性和可靠性。

数据库审计工具的应用广泛,主要包括以下几个方面:1. 合规性监测:数据库审计工具可以跟踪和记录用户对敏感数据的访问和操作,确保组织的数据库操作符合法规和合规要求。

它可以识别未经授权的访问、异常活动和违反安全策略的行为,并及时触发警报通知管理员。

2. 安全防护:数据库审计工具可以监测数据库的入侵和未授权访问,防止恶意攻击和数据泄露。

它可以检测SQL注入、数据篡改、拒绝服务等安全风险,并提供实时报警和行为分析,帮助管理员及时采取措施保护数据库。

3. 性能优化:数据库审计工具可以收集和分析数据库的性能数据,识别潜在的性能问题和瓶颈,并提供数据可视化和报告,帮助管理员优化数据库的配置和调整系统参数,提升数据库的性能和响应速度。

4. 历史数据分析:数据库审计工具可以记录和存储数据库的操作日志和历史数据,提供强大的查询和分析能力,帮助管理员了解数据库的变化和趋势。

它可以用于查找特定的操作记录、查看数据更改历史、分析用户活动等,为组织的决策和业务分析提供支持。

5. 故障排查:数据库审计工具可以帮助管理员快速定位和解决数据库的故障和异常问题。

它可以记录和跟踪数据库的错误和警告信息,提供实时监控和告警功能,及时通知管理员并提供故障排查的指导,减少故障对数据库的影响。

在实际应用中,数据库审计工具可以与其他安全工具和系统集成,共同构建完善的安全防护体系。

例如,与入侵检测系统(IDS)结合,可以及时发现和响应数据库的攻击;与安全信息和事件管理系统(SIEM)集成,可以实现对数据库安全事件的全面管理和分析。

目前市场上有很多成熟的数据库审计工具,如IBM Security Guardium,Oracle Audit Vault and Database Firewall,Imperva SecureSphere,McAfee Database Security等。

Guardium培训


Check Policy On Appliance
Information Management
两种阻断方式
S-TAP Terminate – No Latency, limits risk Policy Violation Critical business Drop Connection Application servers Connection Partial results set Terminated SQL S-TAP SQL Connection terminated S-GATE Terminate– High security, some latency Prevent DBA’s from accessing sensitive data
Information Management
审计监控典型应用 – 实时警告
服务器IP 客户端IP
用户
App User
Application Server
10.10.9.244
Database Server 10.10.9.56
Alert! 有人从应用服务器以外的地方使用专用口令 访问数据库!
Information Management
为什么需要Guardium?
Information Management
2010 Verizon数据泄漏评估报告
/go/2010databreachreport/
• 数据泄漏在各行业的分布
• 数据库服务器 占受损失记录的 92%
Information Management
Source: 2010 Independent Oracle User Group (IOUG) Data Security Survey, based on survey of 430 members. /dm/offers/fy11/50651_2010_report_ioug_data_security_survey.pdf

数据库安全审计系统

数据库安全审计系统数据库安全审计系统是指通过对数据库操作进行监控和记录,以确保数据库的安全性和合规性。

随着数据库的使用范围不断扩大,数据库安全审计系统也变得越来越重要。

本文将介绍数据库安全审计系统的相关概念、功能和实施方法。

数据库安全审计系统的概念。

数据库安全审计系统是指对数据库的操作进行监控和记录,以便对数据库的使用情况进行审计和分析的系统。

通过数据库安全审计系统,可以实时监控数据库的操作,记录用户的操作行为,及时发现异常操作,并对数据库的使用情况进行分析和统计。

数据库安全审计系统可以帮助企业发现潜在的安全风险和合规问题,保护数据库的安全性和完整性。

数据库安全审计系统的功能。

数据库安全审计系统具有以下主要功能:1. 实时监控,实时监控数据库的操作,包括用户的登录、查询、修改、删除等操作,及时发现异常操作。

2. 操作记录,记录用户的操作行为,包括操作时间、操作内容、操作对象等信息,以便进行审计和分析。

3. 告警机制,对异常操作进行告警处理,及时通知管理员并采取相应的安全措施。

4. 数据分析,对数据库的使用情况进行分析和统计,发现潜在的安全风险和合规问题。

5. 审计报告,生成数据库的审计报告,包括用户的操作记录、安全事件的统计分析等内容,为企业的安全管理和合规审计提供依据。

数据库安全审计系统的实施方法。

实施数据库安全审计系统,需要考虑以下几个方面:1. 系统选择,选择适合企业实际需求的数据库安全审计系统,包括商业产品和开源产品等。

2. 配置部署,对数据库安全审计系统进行配置和部署,包括安装部署、参数设置、日志存储等。

3. 用户管理,对数据库安全审计系统进行用户管理,包括用户权限设置、用户操作审计等。

4. 监控告警,设置数据库安全审计系统的监控规则和告警机制,及时发现和处理异常操作。

5. 数据分析,对数据库安全审计系统的数据进行分析和统计,发现潜在的安全风险和合规问题。

6. 审计报告,定期生成数据库的审计报告,对数据库的使用情况进行审计和分析。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Technology partners
- BMC - IBM - EMC - NEON (mainframe) - NetApp (encryption)
第三方的认可
3
” “Dominance in this space space” #1 Scores for Current Offering, Corporate & Product Strategy
控制对系统和数据的访问
强制执行安全规范
防止外部攻击对数据的破坏
满足合规的要求
管理安全的复杂性
数据库安全的挑战
控制不够 => 不该有的风险
监控特权用户
E-Business Suite
全面的支持不同 数据库平台的审计
E-Business Suite
14
和数据库安全相关的规定
ISO 17799 (Basel II) NIST 800-53 (FISMA)
(GRANT



DDL = Data Definition Language (aka schema changes) DML = Data Manipulation Language (data value changes) DCL = Data Control Language
etc.)







3. 改变数据Data Changes (DML)
(Insert, Update, Delete)



4. 安全例外Security Exceptions
(Failed logins, SQL errors, etc.)








5. 账户、角色和许可Accounts, Roles & Permissions (DCL)
Guardium 行业领先的数据库安全、 审计、监控和合规解决方案
.
1
Guardium 简介
公司简介
愿景
建立确保跨越数据库和应用基础设施关键数据安全的企业级平台。
客户认可
最为广泛使用的数据库行为监控、安全和审计解决方案
适合扩容的企业级架构
100% 的可视性和信息,对性能没有影响,无需改变基础设施
Test Center Threat Watch: 10/23/08
• “From what we see, it's clear that continual review of passwords and password
policies still remain top items on network best-practices lists. The most persistent hits on the network here were attempts to break in to the master database of the network's SQL Server. The login attempts were made using the default SQL admin account "sa." There were two different originating IP addresses logged in these attempts. The first was an address that traces back to Beijing, China. The intrusion attempts from that location were made four times, and seemed to be attempts at hacking into the sa account by banking on a weak password.”
“5-Star Ratings: Easy installation, sophisticated reporting, strong policybased security.”
“Top of DBEP Class” “Practically every feature you'll need to lock down sensitive data.“
* The Forrester Wave: Enterprise Database Auditing And Real-Time Protection, Q4 2007, Oct. 2007
2
市场潜力
来自内部的威胁
/security/attacks/showArticle.jhtml?articleID =212201861
5
Guardium: 各行业市场的客户分布
• 金融: 世界三大银行、最大的信用卡公司、最大的共同基金公司 • 保险: 全球最大的五个保 险公司中的三个 • 零售业: 全球三大零售商中的两个 • 制造业: 最大饮料食品集团、最大PC制造商之一和最大的汽 车制造商 • 能源: 美国国家电网集团 • 电信: 12个全球主要的 电信运营商 • 交通: 主要铁路集团、航空公司和飞机场 • 政府: 美国和其它几个国家的政府机构 • 医疗卫生: 主要医疗服务机构之一 • 媒体: 美国主要媒体集 团之一
合规还是最佳做法?

“SOX 的影响超 过 了 证监 会所 监 管的企 业 。 尽管 在欧洲开始有些抵触,而且类似SOX的法案在美 国之外的国家 对违规 的 惩罚也不那 么严厉,但是 美国制定的审计标准已经开始被世界许多国家以 及许多非上市公司所采纳。”
• Gartner (2008年四月)
C-Sox
Test Center Threat Watch : 09/17/08
信息和网络安全的主要挑战
December 1, 2008
数据库安全的主要问题
主要挑战
防止内部人员偷窃
Guardium 如何应对
• 实时监控和报警 • 持续不断、细微的审计 (logging) • 数据层存取控制 (S-GATE) • 对特权用户Privileged user的监测 • 对应用系统用户的监测 (防范欺诈做假) • 关于权限的报表Entitlement reports • 由IT安全人员管理的详尽的规范 • 易于自定义 • 同SIEM产品的整合 • 确立基线 Baselining • 评估薄弱环节 Vulnerability assessment • 针对数据库的分析 analytics & forensics • 数据发现和分类 Data discovery & classification • 反映最佳做法的报表 (SOX, PCI, OMB, 数据隐私) • 自动化的审批签发、评论和问题升级 • 安全和跨越不同数据库系统的审计资料库 • 涵盖所有DBMS平台和应用系统单一的解决方案 • 自动化和中央化的控制 • 易于扩容的多层架构
13 个正在审批中的专利
全方位的支持 DBMS Applications
- Oracle EBS - Oracle - PeopleSoft, JDE - Microsoft - Siebel - IBM DB2 - SAP - IBM Informix - Sybase ASE, IQ - Custom & other - MySQL, Teradata packaged apps
C-Sox法案的要素
C-SOX法案的构成要素包括内部环境、内部监督、风险评估、 控制活动及信息与沟通五部分,而C-SOX法案的具体实施, 就是在整合“内部环境”的基础上,内部控制通过“内部监督” 实现“风险评估”和“控制活动”的良性循环,而“信息与沟通” 则贯穿于上述各个环节。所谓信息与沟通,即是利用IT技术, 使内部控制业务系统化,尽量减少个人因素的影响,把内部 控制各要素通过IT技术整合起来,这其中包括制度的确立、 信息的收集与处理,信息的披露、信息的集成、反舞弊机制 和举报制度。 IT手段的运用主要是为了加强内部控制和促进信息集成与共 享,内部管理实施过程中需要考虑投资最小化、准确性,通 过调整IT架构,满足新产品、软件的导入,完成内部PDCA循 环。(PDCA循环是现代管理学里质量管理所应遵循的科学 程序。PDCA是英语单词Plan(计划)、Do(执行)、Check(检 查)和Action(处理)的第一个字母,PDCA循环就是按照这样 的顺序进行质量管理,并且循环不止地进行下去的科学程 序。)
OS
- Solaris - HP-UX - AIX - z/OS - Linux - Windows
DB Protocols
- TCP - IPC - SHM - Named Pipes - Oracle BEQ - TLI
Authentication
- LDAP - Kerberos - RSA SecurID
“5-Star Ratings: Easy installation, sophisticated reporting, strong policy-based security.”
“Enterprise-class data security product that should be on every organization's radar."
C-SOX对应的IT市场规模
以上市公司数、GDP和IT服务市场规模3个变 量来对C-SOX对应的IT市场规模进行推算, 可以发现中国IT市场规模的容量今后将得到 飞速提升。目前中国IT服务市场的增长率保 持在15%左右,中国GDP增长也保持在10% 左右,可以预计C-SOX对应的IT市场规模将 会达到100亿日元~700亿日元(约合0.97亿 美元~6.77亿美元)。
2007 Editor's Choice Award in "Auditing and Compliance"