隨著“金審工程”的不斷深入推進，各級審計機關(guān)信息化進程不斷加快，計算機審計已成為最基本的審計工作方式，廣大審計人員在工作中不斷接觸、利用各種數(shù)據(jù)庫的同時，應(yīng)注重數(shù)據(jù)庫的安全性。

　　數(shù)據(jù)庫的安全性主要是指保護數(shù)據(jù)庫，防止由于非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。這涉及許多方面的問題，如軟硬件控制、口令保密、操作系統(tǒng)安全、機房安全以及社會倫理道德等。數(shù)據(jù)庫的安全保護措施是否有效，是數(shù)據(jù)庫系統(tǒng)的主要性能指標之一。

　　一、數(shù)據(jù)安全的層次

　　在數(shù)據(jù)庫系統(tǒng)中，數(shù)據(jù)的安全被劃分為三個層次：存儲安全、管理安全和網(wǎng)絡(luò)安全。

　　1、數(shù)據(jù)的存儲安全

　　存儲設(shè)備和存儲介質(zhì)的損壞是數(shù)據(jù)安全面臨的主要威脅之一，自然災(zāi)害也是造成數(shù)據(jù)丟失的重要方面。存儲設(shè)備、介質(zhì)的質(zhì)量、使用時間等，都可能造成存儲設(shè)備和介質(zhì)失效，導(dǎo)致數(shù)據(jù)丟失。

　　2、數(shù)據(jù)的管理安全

　　單位內(nèi)部人員操作的失誤，人為竊取、破壞是數(shù)據(jù)安全面臨的又一個主要威脅。數(shù)據(jù)的操作失誤主要是用戶擁有合法的數(shù)據(jù)操作權(quán)限，主觀上不存在惡意的訪問，只是因為在操作過程中由于誤操作給數(shù)據(jù)庫造成破壞或泄露。

　　3、數(shù)據(jù)的網(wǎng)絡(luò)安全

　　當前，基于網(wǎng)絡(luò)的數(shù)據(jù)庫系統(tǒng)（C/S，B/S數(shù)據(jù)庫）的應(yīng)用日益廣泛。由于數(shù)據(jù)庫暴露在公共網(wǎng)絡(luò)中，不可避免地遭到來自于網(wǎng)絡(luò)的攻擊。數(shù)據(jù)庫系統(tǒng)必須建立完善的網(wǎng)絡(luò)安全策略，防止黑客對數(shù)據(jù)的竊取、篡改、偽造和破壞。

　　在威脅數(shù)據(jù)安全的因素中，數(shù)據(jù)存儲安全是最基本的，數(shù)據(jù)的網(wǎng)絡(luò)安全是最高層次的，三個層次之間相互聯(lián)系、相互支撐，共同構(gòu)成數(shù)據(jù)庫的安全體系。

　　二、數(shù)據(jù)庫的安全機制

　　數(shù)據(jù)庫管理系統(tǒng)常用的安全措施主要包括用戶標識和鑒別、存取控制、審計及數(shù)據(jù)庫加密等。

　　1、用戶標識和鑒別

　　任何數(shù)據(jù)庫用戶要訪問數(shù)據(jù)庫時，都要先聲明自己的用戶標識。系統(tǒng)首先檢查該用戶標識是否存在。若不存在，就拒絕此用戶進入系統(tǒng)；但即使存在，系統(tǒng)還要進一步核實該用戶是否確實是具有此用戶標識的用戶，只有通過核實的用戶才能進入系統(tǒng)。主要的鑒別方法有口令、個人特征、磁卡等。

　　2、存取控制

　　對于通過鑒別的合法用戶，系統(tǒng)根據(jù)其存取權(quán)限定義對他的各種操作請求進行控制，確保他只執(zhí)行合法的操作。這就是存取控制。主要分為自主存取控制（DAC）和強制存取控制(MAC)，它們共同構(gòu)成了數(shù)據(jù)庫系統(tǒng)的安全機制。系統(tǒng)首先進行DAC檢查，對通過DAC檢查允許存取的數(shù)據(jù)對象，再由系統(tǒng)自動進行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象才能被存取。

　　3、審計

　　審計功能是數(shù)據(jù)庫安全性方面的重要組成部分，它是一種監(jiān)視措施，把用戶對數(shù)據(jù)庫的所有操作都自動記錄下來，放入審計日志。事后，數(shù)據(jù)庫管理員可利用審計日志的記錄，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)狀的一系列事件，找出非法存取數(shù)據(jù)的人、時間和內(nèi)容等。同時，審計也有助于發(fā)現(xiàn)系統(tǒng)安全方面的漏洞和弱點，在未產(chǎn)生問題時分析有無潛在的問題。

　　4、數(shù)據(jù)庫加密

　　對于特別重要和高度敏感的數(shù)據(jù)，例如軍事數(shù)據(jù)、商業(yè)秘密、國家機密等，除以上所提及的安全措施外，必須考慮到各種非法存取或破壞數(shù)據(jù)的可能性，在這種情況下，可以采用數(shù)據(jù)庫加密技術(shù)，以密碼形式存儲和傳輸數(shù)據(jù)。即使非法存取者進入了系統(tǒng)，竊取了數(shù)據(jù)，沒有密鑰也不能對數(shù)據(jù)進行解密。因此，數(shù)據(jù)加密是防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段。

　　三、數(shù)據(jù)庫安全性的管理策略

　?。ㄒ唬?、對用戶的管理

　　在數(shù)據(jù)庫管理系統(tǒng)中，通常對用戶分為以下幾個級別：

　　1、系統(tǒng)管理員：負責整個系統(tǒng)的安全，其權(quán)限最高，管理整個網(wǎng)絡(luò)資源、數(shù)據(jù)庫資源及文件服務(wù)器資源等。

　　2、數(shù)據(jù)庫管理員：負責數(shù)據(jù)庫的安全，主要管理數(shù)據(jù)庫資源。

　　3、開發(fā)人員：在安全授權(quán)下使用各種資源，可以在本地工作站及開發(fā)所涉及的數(shù)據(jù)、文件、設(shè)備等擁有最高的權(quán)限。

　　4、用戶：在安全授權(quán)下使用指定的資源，對本地工作站擁有一定的權(quán)限，可使用本地的一部分資源。

　　通過對以上四類人員的合理管理實現(xiàn)對資源的有效控制，杜絕對數(shù)據(jù)的非法操作。

　　（二）、對密鑰的管理

　　密鑰的管理對于加密的數(shù)據(jù)庫的安全起著決定性的作用，主要包括生成密鑰所需的特征，讓需要使用密鑰的特定系統(tǒng)事先知道密鑰，保護密鑰不被泄露或替換。主要的管理方法有：密鑰的建立、密鑰的備份和恢復(fù)、密鑰的替換和更新、密鑰的吊銷以及密鑰的期滿和終止等。

　　審計工作中連接、采集、使用的各種數(shù)據(jù)庫中涉及到國家、單位和個人的大量數(shù)據(jù)，其中很多數(shù)據(jù)可能是非常關(guān)鍵的、機密的或者涉及個人隱私。因此，審計人員必須要對數(shù)據(jù)庫的安全性有所了解，掌握基本的安全機制和安全管理策略，嚴格保證數(shù)據(jù)的安全。