《(2020年){财务管理内部审计}基于技术的数据库审计管理系统的设计与实现》由会员分享,可在线阅读,更多相关《(2020年){财务管理内部审计}基于技术的数据库审计管理系统的设计与实现(83页珍藏版)》请在金锄头文库上搜索。
1、财务管理内部审计基于技术的数据库审计管理系统的设计与实现基于Web2.0技术的数据库审计管理系统的设计与实现徐国智TheDesignandImplementationofDatabase-auditManagementSystemBasedonWeb2.0ThesisSubmittedtoTsinghuaUniversityinpartialfulfillmentoftherequirementfortheprofessionaldegreeofMasterofEngineeringbyXuGuozhi(SoftwareEngineering)ThesisSupervisor:Professo
2、rLuoPingMay,2012关于学位论文使用授权的说明本人完全了解清华大学有关保留、使用学位论文的规定,即:清华大学拥有在著作权法规定范围内学位论文的使用权,其中包括:(1)已获学位的研究生必须按学校规定提交学位论文,学校可以采用影印、缩印或其他复制手段保存研究生上交的学位论文;(2)为教学和科研目的,学校可以将公开的学位论文作为资料在图书馆、资料室等场所供校内师生阅读,或在校园网上供校内师生浏览部分内容。本人保证遵守上述规定。(保密的论文在解密后遵守此规定)作者签名: 导师签名: 日期: 日期: 摘要摘要近年来,由于数据库用户的非法操作和外界的恶意入侵造成数据破坏和泄露的事件屡见不鲜。数
3、据库的安全机制不但应该预防来自外部的威胁更有必要监管来自内部的各种问题。可以说,数据库审计系统就是为了满足这种需要而产生的。数据库审计系统能够记录对数据库服务器进行的各种操作,并对操作日志进行语法解析和语义分析,以达到监控用户行为、审计用户操作、发现非法入侵的目的。对于发现的入侵行为或违反审计规则的行为能够实时记录、报警。并且可以根据操作记录查询到被非法利用的用户账号、IP地址等信息,以此追溯入侵的源头,追究入侵者的责任和修改数据库系统的安全策略。近些年,随着人们越来越重视数据库安全,数据库审计系统也开始呈现出市场产品化的态势。一个成熟的软件产品不仅要提供必需的审计功能,更需要具有友好的用户界
4、面,为用户提供便捷的操作、适当的功能。本文比较了国内外市场上现有的数据库审计系统,并且调研了用户对数据库审计系统的需求。结合国家关于安全审计产品的要求标准,分析了数据库审计系统的功能性和非功能性要求,设计了数据库审计系统的系统结构和数据库结构。实现了数据库审计的管理系统,并以统计报告模块为代表介绍了审计系统的实现细节。本文还讨论了B/S结构的软件在交互设计中应该遵守的原则。为了提高用户体验,研究了Web2.0技术在数据库审计系统中的应用,充分利用了Ajax、jQuery、Flash等技术提供了便捷用户交互手段和展现方式。最后,设计并实现了三权分立的用户访问控制模型和防拷贝验证模块,加强审计系统
5、的自身安全。关键词:数据库安全;审计;Web2.0;用户体验69AbstractAbstractInrecentyears,duetotheillegaloperationofthedatabaseuserandoutsidemaliciousintrusion,databreachesandleaksarebeingmoreandmoremon.Databasesecuritymechanismsshouldnotonlypreventthethreatsfromoutside,thethreatsfromwithinshouldbepaidmoreattentionto.Databasea
6、uditsystemistomeetthisneed.Databasesecurityauditsystemcanmonitorandrecordoperationstothedatabaseserver,andcanparseandanalyzetheseoperationstodetectdatabaseintrusionortrackusertrails.Itcanintelligentlydeterminetheillegaloperationstodatabasesystems,andcanrecordandalarmthesebehaviors.Andcantracethesour
7、ceoftheinvasion,usinguseraccounts,IPaddressesandotherinformationdependingontheoperatingrecord.Organizationscanmodifythedatabasesystemssecuritypolicyaccordingtotheseauditresults.Amaturesoftwareproductsnotonlytoprovidethenecessaryauditfunction,butalsohasafriendlyuserinterfacetoprovideuserswithconvenie
8、ntoperationandappropriatefunctions.Inthispaper,Iparedsomedatabasesecurityauditproductstofindoutmondefects.AndthenIresearchedthefunctionalandnonfunctionalrequirementsofthedatabaseauditsystem.AndIdesignedthesystemarchitectureanddatabasestructureofthedatabasesecurityauditsystem.Amanagementplatformforda
9、tabaseauditsystemwasimplemented.Statistical&reportingmodulewasintroducedbytherepresentativeoftheimplementationdetailsofthesystem.ThispaperalsodiscussedprinciplesofinteractiondesigninginsoftwareusingB/Sstructure.Inordertoimprovetheuserexperience,Web2.0technologieswereusedinthedatabaseauditsystem.Neww
10、ebdevelopingtechnologiessuchasAjax,jQuery,Flash,etc.wereusedtoprovideaconvenientmeansofuserinteractionandrichwaytoshow.Finally,thispaperanalyzedsecurityofdatabaseauditingsystemitsself,designedandimplementedauseraccesscontrolmodelofseparationofpowers,tostrengthentheauditsystemofmanagingsecurity.Keywo
11、rds:DatabaseSecurity;Audit;Web2.0;Userexperience目录目录第1章引言11.1选题背景及意义11.2文献综述31.3国内外产品概述61.4主要工作和组织结构91.4.1主要工作91.4.2本文的组织结构11第2章相关技术介绍122.1Web2.0122.2AJAX技术122.3jQuery142.3.1jQuery选择器142.3.2jQuery与AJAX162.4本章总结17第3章数据库审计系统的分析与设计183.1系统需求分析183.1.1系统设计目标183.1.2功能性需求分析193.1.3安全性需求分析223.2系统架构233.3数据库设计2
12、43.3.1审计规则配置243.3.2审计事件记录253.3.3用户权限263.4本章总结27第4章数据库审计管理系统的界面设计284.1结构设计294.2交互设计304.3视觉设计324.4本章总结34第5章统计报告的设计与实现355.1模块设计355.2交互设计395.3RSS405.4本章总结41第6章系统自身安全的实现426.1访问控制426.1.1基于角色的访问控制426.1.2三权分立的RBAC模型446.1.3访问控制过程456.2系统授权模块的实现466.2.1认证码的生成466.2.2授权文件的生成476.2.3验证过程476.3本章总结49第7章总结与展望507.1总结50
13、7.2下一步的工作50参考文献52致谢54声明55个人简历、在学期间发表的学术论文与研究成果56第1章 引言第1章引言1.1选题背景及意义随着信息技术的飞速发展,数据库得到了广泛的应用,已经成为政府机关、企事业单位、团体以及个人组织和管理数据的重要方式。网络的普及又使得这些机构和个人的办公设备、数据内容等不可避免地接入互联网,这便使得大量的信息甚至是私密数据可以通过网络访问。由于这些数据库中往往保存着大量的保密信息,这些信息通常具有很高的价值,攻击这些数据库、窃取甚至破坏这些保密信息,就成了网络攻击者的主要目的之一。根据中国国家信息安全漏洞库通报,2012年2月发现的漏洞中其中SQL注入、权限
14、许可和访问控制、信息泄露等与数据库数据安全相关的漏洞占漏洞总数的17.78%1。数据库系统自身存在的软件漏洞和管理漏洞使这些入侵者有机可乘。近年来,由于数据库用户的非法操作和外界的恶意入侵造成数据破坏和泄露的事件屡见不鲜。2011年12月CSDN网站和天涯社区等多个著名站点的用户名、密码泄露事件在整个互联网行业引起了巨大的恐慌,虽然当时整个业界和广大网民所诟病的大多是这些网站用明文保存用户密码,但是事件背后更值得我们关注的应该是如何保护数据的安全。数据库安全问题,根据来源可以分为由于管理不善所带来的内部问题和由于恶意入侵而产生的外部问题。传统意义上的数据库安全机制主要以口令验证、权限控制、数据
15、加密、传输加密等为主。这些安全机制通过对数据库用户的身份验证和权限约束来保证用户操作的合法性,防止用户使用非法权限进行数据库操作,其重点在于预防。然而,这些数据库安全机制并不能完全保证数据库安全,而且这些安全机制无法及时发现入侵行为,尤其是来自于组织内部的数据非法操作、身份滥用等行为。在实际应用中,数据库安全问题主要集中在五个方面:软件安全、备份安全、访问安全、防护安全、管理安全等2。软件安全,是指数据库软件产品本身是否安全,软件的补丁是否及时更新,bug是否及时修复。备份安全,是指是否有及时有效的数据库备份机制,能否对遭到破坏的数据库及时恢复。访问安全,是指用户是否以安全的访问方式访问数据库,以及用户来源是否安全。防护安全,是指数据库是否有数据加密、安全审计、数据库防火墙等防护手动。管理安全,是指数据库的日常维护是否安全可靠。显而易见,这些安全方面大多数都与内部安全问题密切相关。Deloitte发布的2011年年度安全报告指出,被认为具有高风险的信息安全问题中,有20%是由于内部员工在工作中的错误和忽视造成的,有
