配置审计记录及报告.doc

配置审计记录及报告 篇一：配置管理过程 配置管理过程 版本：1.2 发布时间： 文件变更记录 本文档描述了软件开发项目的标准软件配置管理过程。该过程向软件开发项目中与配置管理有关的人员提供说明和行动指南，使开发人员、测试人员、项目管理者、质量保证人员以及客户能方便地通过软件配置管理获得有用的信息。 2. 适用范围 2.1 机构：质量部、产品部、开发部 2.2 业务：软件项目的配置管理活动。 3. 概述 本过程包括建立配置库设置访问权限、组建CCB、制定配置管理计划、发布基线、基线变更管理、配置状态记录、配置审计、备份配置库、产品发布、移交项目资产入资产库十个子过程。 本过程是描述项目如何计划配置管理活动，并在整个软件的生命周期中如何执行配置管理活动的。软件配置管理是CMMI的一个重要组成部分，其目在于建立和维护在项目的整个生命周期内软件项目产品的完整性。 4. 名词术语 基线：已经通过正式的同级评审而获得认可，可以作为一个基本纲领为今后工作服务并且只能通过正式的变更控制过程才可改变的一个或多个软件配置项。 定义基线：在项目策划过程中，对基线的个数、时间和条件，以及包含工作产品的定义。 建立基线：根据项目计划中的定义，在实施过程中，经由评审组评审和软件配置控制委员会批准，建立起来的由特定工作产品组成的基线。 配置项：由配置管理视为一个单一整体而进行处理的工作产品（例如：在软件生存周期各阶段所产生的各种形式和各种版本的文档、程序、数据等）以及完成工作产品所需的软件工具和支持系统。 软件配置控制委员会：Configuration Control Board ，简称CCB，负责评价和批准（或不批准）建立基线，评价和批准（或不批准）对基线化配置项所提出的变更，并负责保证那些已批准的变更能得到实施的组。 物理配置审计：Physical audits authenticate ，简称PCA ，审计软件产品的完整性，以确保其包含全部应有的元素、文档与数据。 功能配置审计：Functional configuration audit ，简称FCA，审计软件产品的正确性，以确保其性能和基线化的需求相一致。 6. 过程定义 6.1 6.2 6.3 篇二：数据库审计方案 数据库审计与风险控制解决方案 1 概述 1.1 数据库面临的安全挑战 数据库是企业核心业务开展过程中最具有战略性的资产，通常都保存着重要的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。互联网的急速发展使得企业的数据库信息价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表现在以下三个层面： 管理层面：主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。 技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具(比如：防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。 审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性。 伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。 1.2 数据库审计的客观需求 数据库审计与风险控制的目的概括来说主要是三个方面：一是确保数据的完整性;二是让管理者全面了解数据库实际发生的情况;三是在可疑行为发生时可以自动启动预先设置的告警流程，防范数据库风险的发生。因此，如何采取一种可信赖的综合途径，确保数据库活动记录的100%捕获是极为重要的，任何一种遗漏关键活动的行为，都会导致数据库安全上的错误判断，并且干扰数据库在运行时的性能。只有充分理解企业对数据库安全审计的客观需求，才能够给出行之有效的解决方案： 捕捉数据访问：不论在什么时间、以什么方式、只要数据被修改或查看了就需要自动对其进行追踪; 捕捉数据库配置变化：当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化时，需要进行自动追踪; 自动防御：当探测到值得注意的情况时，需要自动启动事先设置的告警策略，以便数据库安全管理员及时采取有效应对措施，对于严重影响业务运行的高风险行为甚至可以立即阻断; 审计策略的灵活配置和管理：提供一种直截了当的方法来配置所有目标服务器的审计形式、具体说明关注的活动以及风险来临时采取的动作; 审计记录的管理：将从多个层面追踪到的信息自动整合到一个便于管理的，长期通用的数据存储中，且这些数