审计局如何审计数据库

第一节 电子数据的获取 审计人员采用审计软件进行审计，须先取会计电子数据。如何取得电子数据，应根据不同的网络环境和工作平台，采取不同的方式来处理。 1 、确定客户是单机还是网络型数据库。客户使用的是单机或网络数据库是由客户所使用的会计软件所决定，会计软件有单机版和网络版之分，一般来讲大中型企业，应用网络版较多，中小企业使用单机版较多，审计人员可以通过询问了解，确定该客户使用会计软件是单机版还是网络版。 2 、确认客户的工作平台。工作平台一般有三种，常见平台有：第一种 DOS 环境，第二种 WINDOWS 系列，第三种 UNIX 系统。 3 、会计数据库指定。 DOS 或 WINDOWS 环境下的单机版，首先找到数据库文件，确定数据库文件名，将该文件拷贝到审计工作区即可。如何找到数据库文件呢？一般来讲，单机数据库是以文件形式存的，确定该文件的位置，将其拷贝至审计工作区即完成会计数据的指定。 方法一：根据数据库的后缀可确定数据库的类型，如，后缀和数据库类型对照如下表。 后缀名 数据库类型 DBF DBASE 或 FOXPRO DB PARADOX ， SYBASE 单机版 MDB ACCESS TXT 文本类型 方法二：审计人员也可以通过输入几张凭证来查找出存放会计数据的数据库，有可能根据文件更新的时间来确定数据库。 方法三：主要通过和会计人员交谈，来确定数据库的位置，也可通过询问软件公司或软件设计人员来确定其位置。 4 、网络型数据的获取数据方法。 方法一：通过 ODBC 连接，用数据库所提供的终端驱动来直接连接至数据库，读取数据。 用友V-8.0 采集 .doc 方法二：大型数据库一般具有输出成其它数据库格式的功能，能将所需数据表转换为其它数据库格式文件。 如： SQLSEVER 中输出数据的功能项为 Import and Export Data 执行 ， 待出现 Data transformation Servies Wizard .第一， Source 选择界面中最底行 database 选所要访问的数据库。第二， . 执行下一步会出现 Destination 界面与 Source 界面相似。只是 Destination 数据而已。选择所导出的数据库类型。注：若选择 Access 等需是已建立的空库如 DB1.MDB .随后一步步执行即可。 Sqlserver 数据库导出介绍 .doc 5 、 UNIX *** 作系统下数据库的利用。装有 WINDOWS 终端时或可装 WINDOWSNT 终端，通过数据库所提供的终端驱动来直接连接至数据库，读取数据。转成单机数据库，首先在该 UNIX *** 作系统下将数据转换成单机数据库。然后，在 UNIX *** 作系统下可用命令 ‘ DOSCOPY ' 或’ DSCOPY '来将数据拷贝成 DOS 文件格式。 第二节 数据获取案例 一。数据获取举例： 1 . 用友 6 用友V6 采集 .doc 2 . 用友 7 3 . 用友 8 用友V-8.0 采集 .doc Sqlserver 数据库导出介绍 .doc 4 . 金蝶 6 5 . 金蝶 8 类似用友 8 6 . 天翼。软件本身有 exchange.exe， 可将数据导出为 DBF 型 数据。 7 . 邮政。软件本身有导出为 DBF 数据库的功能。 8 . 远光， SQLSEVER 数据库。 9 . 金算盘 ， 单机板数据库为 ACCESS 型 *.mdb， 口令为“ gold ”。网络版本为 Oracle 输出为文本文件。 10 . 安易财务软件单机版为 DBASE ，网络版为 SQLSEVER . 11 . 以浪潮软件为例，在软件中有数据导出功能，可将帐务数据导出为文本文件。 12 . 通用财务软件为 ACCESS97 数据库 ， 但其数据文件后缀为 ，*.DB 其它各类软件，不外乎以下各类数据库，现归纳如下。 第三节 各类数据库导数方法 1. Access ACCESS 数据的导入 .doc 1）。 导入其它数据库 2 ）导入文本文件 3 ） ODBC 导入 2. Execl 如何运用 EXCEL 读取文本文件 .doc 1 ）打开 DBASE 文件 2 ）导入文本文件 3. SQLSEVER 4. Oracle 1） ODBC 设置ODBC 用 ACCESS 导出较为常用 ， 参见 ACCESS 数据导入。 2） 文本文件 由系统管理员用 SQLPLUS 引出数据为文本文件。 5. Sybase 1 ） ODBC 2 ） 导出为文本文件如，浪潮软件系列。 6. Db2 1 ） ODBC 2 ）文本文件 7. BDE 第四节 数据转移方法 1 . 软盘。压缩工具 rar 、 zip 、 arj 等工具。在光盘工具目录下有各压缩工具。 1） 在 windows 环境下推荐使用 winzip，rar 来压缩和解压，要求在客户机上能使用 winzip 或 rar .审计人员应掌握以上软件的用法，特别是文件较大时，压缩至多张盘的用法。选项中注意明确文件名为长文件名，文件类型为 win95/98， 多张盘压缩时可直接压缩至 A 盘。 2） 用软件拷贝，如， dos 环境下可用 ARJ 先将数据压缩成一张软盘大小可容纳的文件，然后拷贝至软盘。具体 *** 作命令： ARJ a test *.* 解释：将该目录下所有文件压缩至 test.arj （压缩好的文件名） . 若数据较大，需压缩至多张软盘，具体 *** 作命令： ARJ a – r – v1440 test *.* 解释：将该目录下的所有文件，包括下级目录下的文件，压缩至 test.arj， test.a01， …。然后将压缩好的文件 test.arj， test.a01， …分别拷贝至软盘。 解压命令为： ARJ x test.arj 多张盘解压命令为： ARJ x – vv test.arj . 2 .双机互连线，前提是双机须有网卡 ， 用特制网线连接，双机域名，工作组名相同，双机可看见，若看不见，须互相查找以传递数据。特制网线的制作和一般网线稍有不同， A 机的端口中的第 1 和 2 根线对应 B 机的第 3 和 6 根线，同样 B 机的第 1 和 2 根线对应 A 机的第 3 和 6 根线。 3 . 网络传送。将该机设为网络终端，以终端身份访问网络中的服务器或其它机器。 4 . 优盘。大小为 32M ， 64M ， 128M . 5 . USB 连线。须安装驱动程序。 6 . 移动硬盘。 取得会计电子数据后，即可对其进行审计分析相关热词：审计人员获取审计数据

数据库审计是对数据库访问行为进行监管的系统，一般采用旁路部署的方式，通过镜像或探针的方式采集所有数据库的访问流量，并基于SQL语法、语义的解析技术，记录下数据库的所有访问和 *** 作行为，例如访问数据的用户（IP、账号、时间）， *** 作（增、删、改、查）、对象（表、字段）等。数据库审计系统的主要价值有两点，一是：在发生数据库安全事件（例如数据篡改、泄露）后为事件的追责定责提供依据；二是，针对数据库 *** 作的风险行为进行时时告警。

二、数据库审计怎么审？

1、数据库访问流量采集

流量采集是数据库审计系统的基础，只有做到数据库访问流量的全采集，才能保证数据库审计的可用性和价值，目前主要的流量采集方式主要有两种：

镜像方式：采用旁路部署通过镜像方式获取数据库的所有访问流量。一般适用于传统IT架构，通过镜像方式将所有访问数据库的流量转发到数据库审计系统，来实现数据库访问流量的获取。

探针方式：为了适应“云环境”“虚拟化”及“一体机”数据库审计需求，基于“探针”方式捕获数据库访问流量。适用于复杂的网络环境，在应用端或数据库服务器部署Rmagent组件（产品提供），通过虚拟环境分配的审计管理网口进行数据传输，完成数据库流量采集。

探针式数据采集，还可以进行数据库本地行为审计，包括数据库和应用系统同机审计和远程登录后的客户端行为。

2、语法、语义解析

SQL语法、语义的解析技术，是实现数据库审计系统可用、易用的必要条件。准确的数据库协议解析，能够保障数据库审计的全面性与易用性。全面的审计结果应该包括：访问数据库的应用层信息、客户端信息、数据库信息、对象信息、响应信息、登录时间、 *** 作时间、SQL响应时长等；高易用性的数据库审计产品的审计结果和报告，应该能够使用业务化的语言呈现出对数据库的访问行为，例如将数据库中的要素客户端IP、数据库用户、SQL *** 作类型、数据库表名称、列名称、过滤条件变成业务人员熟悉的要素：办公地点、工作人员名称、业务 *** 作、业务对象、业务元素、某种类别的业务信息。这样的是审计结果呈现即便是非专业的DBA或运维人员的管理者或业务人员也能够看懂。

三、数据库审计的价值？

1、数据库相关安全事件的追溯与定责

数据库审计的核心价值是在发生数据库安全事件后，为追责、定责提供依据，与此同时也可以对数据库的攻击和非法 *** 作等行为起到震慑的作用。数据库自身携带的审计功能，不仅会拖慢数据库的性能，同时也有其自身的弊端，比如高权限用户可以删除审计日志，日志查看需要专业知识，日志分析复杂度高等。独立的数据库审计产品，可以有效避免以上弊端。三权分立原则可以避免针对审计日志的删除和篡改，SQL语句解析技术，可以将审计结果翻译成通俗易懂的业务化语言，使得一般的业务人员和管理者也能看懂。

2、数据库风险行为发现与告警

数据库审计系统还可以对于针对数据库的攻击和风险 *** 作等进行实时告警，以便管理人员及时作出应对措施，从而避免数据被破坏或者窃取。这一功能的实现主要基于sql的语句准确解析技术，利用对SQL语句的特征分析，快速实现对语句的策略判定，从而发现数据库入侵行为、数据库异常行为、数据库违规访问行为，并通过短信、邮件、Syslog等多种方式实时告警。

3、满足合规需求

满足国家《网络安全法》、等保规定以及各行业规定中对于数据库审计的合规性需求。并可根据需求形成不同的审计报表，例如：综合报表、合规性报表、专项报表、自定义报表等。

以计算机网络技术的应用为基础的企业信息系统将逐步成为注册会计师的主要审计对象。对这种网络化的信息系统的审计需要多种多样的网络审计技术，目前，这些审计技术都在探索和研究中。本文仅就对网络化环境下的网络数据库、网络信息系统软件和电子签章三类关键要素的审计技术作一简要介绍。

一、网络交易数据库的审计技术

在信息网络化的环境下，会计数据的无纸化和网络数据库化是一种发展的趋势。对网络信息系统的网络数据库或数据文件的审计是注册会计师亟待解决的问题。从传统的手工审计习惯出发，注册会计师往往最关注的是：如何应用计算机审计技术获取所需的审计证据，并对这些证据进行评价，进而判断数据是否真实、可靠、完备和合法合规。解决这个问题的方法和技术很多，本文仅简要介绍以下四种技术。

(一)计算机抽样取证、计算比较与综合分析

这项技术作为审计软件中的一个基本功能程序块，可被设计成灵活的通用程序。注册会计师在使用时，根据需要选择抽取数据的条件和参数，就可立即获得所要抽取的业务数据。这种技术可用于平时的监督(如内部审计人员或外部的注册会计师作为系统的一个终端用户)，也可用于外部审计的年度审计。传统审计中，注册会计师一般是在一批业务发生后，才来审查这批业务是否合规和真实。在计算机审计技术普遍应用的今天，注册会计师可实时调取网络系统的业务或需要关注的重大经济业务，以便及时提出内部控制的建议来保障数据的完整性。

1.计算机抽样取证。譬如，对电子购销业务的审查，要审查的业务是赊销额大于5万元或售价低于正常售价的15%的销售业务；或要审查购入的原材料比标准价高出5%的业务。这些业务的条件是根据需要而定，有时条件是相当复杂的，用计算机进行 *** 作往往能提高效率。

2.计算机计算比较和综合分析。计算机按指定的审计条件从业务数据库中抽取的业务记录并直接由计算机程序自动计算金额数据项的合计额，并与标准或正常业务进行比较，反映出差异等必要的信息和可能的线索。同时，审计软件也可对这些不同的业务抽样审计进行综合分析得到较综合的审计证据。在此基础上，注册会计师可做出判断和对被审计的网络信息系统数据库及其系统提出及时的建议。

(二)利用嵌入实时审计软件

网络信息系统需要经常性和实时监督，注册会计师一般可设计一个程序块嵌入被审查的系统中，采集审计所关心的关键数据。同时，嵌入的审计程序本身具有隐蔽性、安全性和稳定性，非注册会计师不能看到这些审计程序和自动形成的审计数据。所以，注册会计师应用这些审计程序就能自动记载所要收集的审计证据，还可随时调阅这些证据文件，并利用这些审计证据可适时判断系统运行情况和提出审计建议。

用嵌入的程序采集的审计证据文件，一般分如下几种：不合法而进入使用有口令的程序(如数据修改程序)；未经批准而调用某数据文件；超权限使用系统；擅自调阅或修改审计线索数据项或审计证据文件。这项技术对于符合性测试是非常有效的，同时，在某些特殊的情况下也可用于实质性测试。由于这种技术要求在系统设计时，就要把这一嵌入的审计程序块结合进去，因此需要在网络信息系统软件设计标准中对这类审计线索生成的程序进行必要的强制规范。

(三)网络数据实时备份加密技术

网络实时备份如同手工开具销售发票复写几份一样，在不同计算机硬盘上同时记录业务发生的数据备份。而且这些备份数据中至少有一份是由审计鉴证机构保存和适当加密，以便保持其数据的真实性和可靠性。这种方法也是保留审计线索的一种重要手段。但这种技术的应用需要预先建立一个具备备份能力的网络服务器系统，而且有一套备份数据的加密制度。

(四)专设审计控制字段

插入审计控制字段是指利用特殊的控制字段与被查的网络信息系统数据文件的记录或业务建立一种关系或将发生的业务的关键数据加密并加以存储，审计时根据这一特征就能容易地收集到所需的审计证据。插入控制字段指单独设置一个字段(数据项)存放关系函数和有关加密的关键数据。这一字段可专门用于审计鉴证。但是，它可在程序和业务编码设计时结合在一起，把控制内容融合在网络信息系统中，以保证控制字段记载的内容真实和可靠。这种控制字段经常用于在线业务的处理，避免在线 *** 作人员进行不合法的数据篡改或伪造。如果把审计控制字段与业务编码、程序设计密切联系在一起，就可增加一种可靠的应用控制手段，当然也给审计提供了方便的审计线索。这种技术强调在系统设计时，注册会计师应当充分考虑各种处理特性和修改线索保留的措施，并融合到信息系统的设计内容中去，以便确保系统数据的安全性。

---