文/陈翼 宓

数据审计：把脉海量信息数据

评价信息系统好坏的首要标准是要保证安全。保障信息安全有很多技术手段，大部分技术方法都是预防性的。限制、预防的手段对于系统安全是不够的，一旦遇到问题必须要能够进行事后排查，追根溯源，数据审计就是一种事后审查的方法。信息系统要能够通过数据审计方法事后排查问题，必然要求在系统设计、开发和实施过程中。采取预先设置的技术方案。这样的技术方案对信息系统核心业务数据及集成数据的质量也提出了更高的要求。

什么是数据审计

随着大型企业或组织的日常运作越来越依赖信息系统，保证信息系统安全变得越来越重要，信息系统审计机制也成为信息安全的重要环节。信息系统审计（Information Systems Audit）是记录信息系统中用户行为的一种机制，它不但能够识别是谁访问了系统，还能记录系统是被怎样使用，从而为安全事件的事后处理提供了基于操作日志的依据信息系统审计，也是一个获取并评价证据，以判断信息系统是否能够保证资产安全、数据完整，以及有效率地利用组织的资源并有效果地实现组织目标的过程。

表1 数据操作的要素

信息系统审计的范围主要包括网络运行审计、操作系统运行审计、应用系统运行审计以及数据审计四个方面。网络运行审计和操作系统运行审计主要侧重于信息系统运行的基础设施方面，应用系统运行审计和数据审计侧重于信息系统日常操作和使用方面。数据审计（Data Auditing）是根据每一次数据操作的记录进行事后审查，要求数据操作发生时，记录何人、何时、何地对何数据进行了何种操作的信息。根据数据的存放形式，数据审计又分为文件系统数据审计和数据库数据审计。由于关系型数据库是信息系统数据存放的最主要形式，以下讨论将主要基于关系型数据库的数据审计。

表2 某同学的选课日志记录

数据审计方法论

我们可以通过多种数据清洗途径验证数据的完整性和准确性。比如通过不同来源的同一数据进行相互验证，或者通过明细数据的概率分布情况发现异常值。但数据审计的要求超出了一般的数据清洗，要能够定位、追踪问题数据的来源，因此提出了基于操作日志的数据审计方法。

对数据库管理系统（Database Management System DBMS）的数据操作可以表示为6个要素：操作者；操作时间；操作地点；操作行为；操作对象和操作方式。其中特别须要注意的是，这里的操作者并不一定等同于实际操作的执行者，而是系统记录中执行该操作的授权用户。由于数据审计工作往往针对非正常或不合法的数据操作，而非法数据操作总是会想方设法盗用、冒用他人的合法账户。是否能通过数据审计发现真正的操作执行者，对信息系统设计提出了比较高的要求。表1是对数据操作要素的说明：

数据审计并非信息系统实施之后的孤立事件，数据审计的前提是信息系统在规划和设计阶段就考虑到对重要的数据操作通过后台程序自动记录以上操作要素。当被审计数据发生实际操作时，系统能实现对操作者、操作时间、操作地点、操作对象和操作行为等信息自动记录日志，并保证日志的安全性。系统管理员可以查询、统计日志，并依据日志进一步审核有关操作行为。

数据审计与质量检验

以下结合应用实例，进一步阐明基于操作日志的核心业务数据审计方法。

“选课系统”是高校里常见的用于学生选课的信息系统。选课系统的核心业务相对单一，学生通过该系统完成每学期的选课、退课操作。由于修读课程是学生在校学习的核心内容，课程方面产生任何差错都会对学生产生重大影响。因此选课过程一旦发生争议，必须要能够通过选课系统的操作数据审查清楚。以下是处理选课争议的一个实例：

学号0730***5同学（因牵涉个人隐私，对学号、IP地址、课号作了处理，下同）发现2008～2009学年第1学期的课程在选课系统关闭后所选课程全部消失，遂向有关部门反映问题。管理人员审查了选课系统核心业务的日志记录，表2是学号0730***5从2008年9月11日至13日的操作日志。

从日志中可以看出，退课操作集中在选课系统关闭前一天晚上的短短几分钟（9月12日23:41至23:45），IP为116.*.*.65。查询该学号所有操作日志，发现此前从未使用过该IP地址。查询所有日志中与该IP地址相关的操作如下：

从表3可以看出，0730***5退课操作完成后仅隔短短3分钟，另一学号0730***7从同一IP地址登录系统并操作。查询所有选课日志，仅有这两个学号使用过该IP地址，而且间隔时间足够短，因此疑似退课操作是0730***7利用了0730***5的密码在同一台电脑上所为。有关部门据此做了进一步调查，最终调查结果验证了上述判断。经过类似的几个案例的成功查证，用户对应用系统可靠性的信心大为增强，信息系统安全也得到了有效保障。

表3 某IP地址的选课日志记录

集成数据的审计

上述实例的数据审计过程相对比较简单，在实际应用场景中，往往要根据多个系统的操作日志对比分析。比如事务处理系统有基于操作的日志，电子邮件系统有发送Email的日志，访问任何集成到统一身份认证服务的系统都会留下登录日志，甚至使用网络也会留下拨号、认证的记录。这些记录的核心都是用户ID、时间和IP地址等要素。在系统集成的层面进行数据审计，就是把所有能获取的日志集成到一起，根据特定时间和地点进行综合比对分析。通过这样的综合业务数据审计，可以发挥数据集成的优势，快速排查、定位各类核心业务数据问题。

本文阐述了数据审计的概念和方法，并结合具体实例从数据审计这一全新角度说明了信息系统规划和设计时的全面要求。基于信息系统核心业务操作日志的数据审计从具体方法上来看，只是相对简单的日志查询和比对，并无多少技术难度。但本文不仅要说明核心业务数据审计的实践方法，更集中反映了信息系统设计和集成中须要注意的几个关键问题：

1. 对于信息系统中重要的事务处理操作，一定要通过后台程序记录日志。如果没有这些日志记录，上述实例中反映的问题将无从审计，事后的安全保障也就无从谈起；

2. 在数据库设计时，要增加足够多的支撑属性，这些支撑属性的值可以通过程序自动记录。比如上述日志中的操作日期、时间、IP地址等。这些支撑属性对于确认数据的惟一性、实际操作的执行人等有重要的价值；

3. 数据审计不单指对孤立信息系统进行审计，更普遍的情况是对集成数据进行综合审计。要实现对集成的数据进行审计，不仅要整合单体系统的支撑属性，在集成过程中还要进一步增加与集成相关的支撑属性，以保障集成的数据来源可查明，问题可追溯；

4. 数据审计的需求来自于实际业务，在系统设计和开发初期可能不会想到所有的数据审计场景，但尽可能完善数据库设计，提高业务数据和集成数据的质量，最大程度地记录能够获取的所有信息，是信息系统分析与设计的基本原则。

（作者单位为复旦大学信息化办公室）