文/陳翼 宓

數(shù)據(jù)審計：把脈海量信息數(shù)據(jù)

評價信息系統(tǒng)好壞的首要標(biāo)準(zhǔn)是要保證安全。保障信息安全有很多技術(shù)手段，大部分技術(shù)方法都是預(yù)防性的。限制、預(yù)防的手段對于系統(tǒng)安全是不夠的，一旦遇到問題必須要能夠進行事后排查，追根溯源，數(shù)據(jù)審計就是一種事后審查的方法。信息系統(tǒng)要能夠通過數(shù)據(jù)審計方法事后排查問題，必然要求在系統(tǒng)設(shè)計、開發(fā)和實施過程中。采取預(yù)先設(shè)置的技術(shù)方案。這樣的技術(shù)方案對信息系統(tǒng)核心業(yè)務(wù)數(shù)據(jù)及集成數(shù)據(jù)的質(zhì)量也提出了更高的要求。

什么是數(shù)據(jù)審計

隨著大型企業(yè)或組織的日常運作越來越依賴信息系統(tǒng)，保證信息系統(tǒng)安全變得越來越重要，信息系統(tǒng)審計機制也成為信息安全的重要環(huán)節(jié)。信息系統(tǒng)審計（Information Systems Audit）是記錄信息系統(tǒng)中用戶行為的一種機制，它不但能夠識別是誰訪問了系統(tǒng)，還能記錄系統(tǒng)是被怎樣使用，從而為安全事件的事后處理提供了基于操作日志的依據(jù)信息系統(tǒng)審計，也是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)安全、數(shù)據(jù)完整，以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標(biāo)的過程。

表1 數(shù)據(jù)操作的要素

信息系統(tǒng)審計的范圍主要包括網(wǎng)絡(luò)運行審計、操作系統(tǒng)運行審計、應(yīng)用系統(tǒng)運行審計以及數(shù)據(jù)審計四個方面。網(wǎng)絡(luò)運行審計和操作系統(tǒng)運行審計主要側(cè)重于信息系統(tǒng)運行的基礎(chǔ)設(shè)施方面，應(yīng)用系統(tǒng)運行審計和數(shù)據(jù)審計側(cè)重于信息系統(tǒng)日常操作和使用方面。數(shù)據(jù)審計（Data Auditing）是根據(jù)每一次數(shù)據(jù)操作的記錄進行事后審查，要求數(shù)據(jù)操作發(fā)生時，記錄何人、何時、何地對何數(shù)據(jù)進行了何種操作的信息。根據(jù)數(shù)據(jù)的存放形式，數(shù)據(jù)審計又分為文件系統(tǒng)數(shù)據(jù)審計和數(shù)據(jù)庫數(shù)據(jù)審計。由于關(guān)系型數(shù)據(jù)庫是信息系統(tǒng)數(shù)據(jù)存放的最主要形式，以下討論將主要基于關(guān)系型數(shù)據(jù)庫的數(shù)據(jù)審計。

表2 某同學(xué)的選課日志記錄

數(shù)據(jù)審計方法論

我們可以通過多種數(shù)據(jù)清洗途徑驗證數(shù)據(jù)的完整性和準(zhǔn)確性。比如通過不同來源的同一數(shù)據(jù)進行相互驗證，或者通過明細數(shù)據(jù)的概率分布情況發(fā)現(xiàn)異常值。但數(shù)據(jù)審計的要求超出了一般的數(shù)據(jù)清洗，要能夠定位、追蹤問題數(shù)據(jù)的來源，因此提出了基于操作日志的數(shù)據(jù)審計方法。

對數(shù)據(jù)庫管理系統(tǒng)（Database Management System DBMS）的數(shù)據(jù)操作可以表示為6個要素：操作者；操作時間；操作地點；操作行為；操作對象和操作方式。其中特別須要注意的是，這里的操作者并不一定等同于實際操作的執(zhí)行者，而是系統(tǒng)記錄中執(zhí)行該操作的授權(quán)用戶。由于數(shù)據(jù)審計工作往往針對非正?；虿缓戏ǖ臄?shù)據(jù)操作，而非法數(shù)據(jù)操作總是會想方設(shè)法盜用、冒用他人的合法賬戶。是否能通過數(shù)據(jù)審計發(fā)現(xiàn)真正的操作執(zhí)行者，對信息系統(tǒng)設(shè)計提出了比較高的要求。表1是對數(shù)據(jù)操作要素的說明：

數(shù)據(jù)審計并非信息系統(tǒng)實施之后的孤立事件，數(shù)據(jù)審計的前提是信息系統(tǒng)在規(guī)劃和設(shè)計階段就考慮到對重要的數(shù)據(jù)操作通過后臺程序自動記錄以上操作要素。當(dāng)被審計數(shù)據(jù)發(fā)生實際操作時，系統(tǒng)能實現(xiàn)對操作者、操作時間、操作地點、操作對象和操作行為等信息自動記錄日志，并保證日志的安全性。系統(tǒng)管理員可以查詢、統(tǒng)計日志，并依據(jù)日志進一步審核有關(guān)操作行為。

數(shù)據(jù)審計與質(zhì)量檢驗

以下結(jié)合應(yīng)用實例，進一步闡明基于操作日志的核心業(yè)務(wù)數(shù)據(jù)審計方法。

“選課系統(tǒng)”是高校里常見的用于學(xué)生選課的信息系統(tǒng)。選課系統(tǒng)的核心業(yè)務(wù)相對單一，學(xué)生通過該系統(tǒng)完成每學(xué)期的選課、退課操作。由于修讀課程是學(xué)生在校學(xué)習(xí)的核心內(nèi)容，課程方面產(chǎn)生任何差錯都會對學(xué)生產(chǎn)生重大影響。因此選課過程一旦發(fā)生爭議，必須要能夠通過選課系統(tǒng)的操作數(shù)據(jù)審查清楚。以下是處理選課爭議的一個實例：

學(xué)號0730***5同學(xué)（因牽涉?zhèn)€人隱私，對學(xué)號、IP地址、課號作了處理，下同）發(fā)現(xiàn)2008～2009學(xué)年第1學(xué)期的課程在選課系統(tǒng)關(guān)閉后所選課程全部消失，遂向有關(guān)部門反映問題。管理人員審查了選課系統(tǒng)核心業(yè)務(wù)的日志記錄，表2是學(xué)號0730***5從2008年9月11日至13日的操作日志。

從日志中可以看出，退課操作集中在選課系統(tǒng)關(guān)閉前一天晚上的短短幾分鐘（9月12日23:41至23:45），IP為116.*.*.65。查詢該學(xué)號所有操作日志，發(fā)現(xiàn)此前從未使用過該IP地址。查詢所有日志中與該IP地址相關(guān)的操作如下：

從表3可以看出，0730***5退課操作完成后僅隔短短3分鐘，另一學(xué)號0730***7從同一IP地址登錄系統(tǒng)并操作。查詢所有選課日志，僅有這兩個學(xué)號使用過該IP地址，而且間隔時間足夠短，因此疑似退課操作是0730***7利用了0730***5的密碼在同一臺電腦上所為。有關(guān)部門據(jù)此做了進一步調(diào)查，最終調(diào)查結(jié)果驗證了上述判斷。經(jīng)過類似的幾個案例的成功查證，用戶對應(yīng)用系統(tǒng)可靠性的信心大為增強，信息系統(tǒng)安全也得到了有效保障。

表3 某IP地址的選課日志記錄

集成數(shù)據(jù)的審計

上述實例的數(shù)據(jù)審計過程相對比較簡單，在實際應(yīng)用場景中，往往要根據(jù)多個系統(tǒng)的操作日志對比分析。比如事務(wù)處理系統(tǒng)有基于操作的日志，電子郵件系統(tǒng)有發(fā)送Email的日志，訪問任何集成到統(tǒng)一身份認證服務(wù)的系統(tǒng)都會留下登錄日志，甚至使用網(wǎng)絡(luò)也會留下?lián)芴?、認證的記錄。這些記錄的核心都是用戶ID、時間和IP地址等要素。在系統(tǒng)集成的層面進行數(shù)據(jù)審計，就是把所有能獲取的日志集成到一起，根據(jù)特定時間和地點進行綜合比對分析。通過這樣的綜合業(yè)務(wù)數(shù)據(jù)審計，可以發(fā)揮數(shù)據(jù)集成的優(yōu)勢，快速排查、定位各類核心業(yè)務(wù)數(shù)據(jù)問題。

本文闡述了數(shù)據(jù)審計的概念和方法，并結(jié)合具體實例從數(shù)據(jù)審計這一全新角度說明了信息系統(tǒng)規(guī)劃和設(shè)計時的全面要求?；谛畔⑾到y(tǒng)核心業(yè)務(wù)操作日志的數(shù)據(jù)審計從具體方法上來看，只是相對簡單的日志查詢和比對，并無多少技術(shù)難度。但本文不僅要說明核心業(yè)務(wù)數(shù)據(jù)審計的實踐方法，更集中反映了信息系統(tǒng)設(shè)計和集成中須要注意的幾個關(guān)鍵問題：

1. 對于信息系統(tǒng)中重要的事務(wù)處理操作，一定要通過后臺程序記錄日志。如果沒有這些日志記錄，上述實例中反映的問題將無從審計，事后的安全保障也就無從談起；

2. 在數(shù)據(jù)庫設(shè)計時，要增加足夠多的支撐屬性，這些支撐屬性的值可以通過程序自動記錄。比如上述日志中的操作日期、時間、IP地址等。這些支撐屬性對于確認數(shù)據(jù)的惟一性、實際操作的執(zhí)行人等有重要的價值；

3. 數(shù)據(jù)審計不單指對孤立信息系統(tǒng)進行審計，更普遍的情況是對集成數(shù)據(jù)進行綜合審計。要實現(xiàn)對集成的數(shù)據(jù)進行審計，不僅要整合單體系統(tǒng)的支撐屬性，在集成過程中還要進一步增加與集成相關(guān)的支撐屬性，以保障集成的數(shù)據(jù)來源可查明，問題可追溯；

4. 數(shù)據(jù)審計的需求來自于實際業(yè)務(wù)，在系統(tǒng)設(shè)計和開發(fā)初期可能不會想到所有的數(shù)據(jù)審計場景，但盡可能完善數(shù)據(jù)庫設(shè)計，提高業(yè)務(wù)數(shù)據(jù)和集成數(shù)據(jù)的質(zhì)量，最大程度地記錄能夠獲取的所有信息，是信息系統(tǒng)分析與設(shè)計的基本原則。

（作者單位為復(fù)旦大學(xué)信息化辦公室）