一�、數(shù)據(jù)庫審計是什么?
數(shù)據(jù)庫審計是對數(shù)據(jù)庫訪問行為進行監(jiān)管的系統(tǒng)���,一般采用旁路部署的方式��,通過鏡像或探針的方式采集所有數(shù)據(jù)庫的訪問流量��,并基于SQL語法�、語義的解析技術���,記錄下數(shù)據(jù)庫的所有訪問和操作行為�,例如訪問數(shù)據(jù)的用戶(IP����、賬號、時間)��,操作(增����、刪、改��、查)、對象(表�����、字段)等��。數(shù)據(jù)庫審計系統(tǒng)的主要價值有兩點����,一是:在發(fā)生數(shù)據(jù)庫安全事件(例如數(shù)據(jù)篡改、泄露)后為事件的追責定責提供依據(jù)���;二是,針對數(shù)據(jù)庫操作的風險行為進行時時告警����。
二、數(shù)據(jù)庫審計怎么審�?
1、數(shù)據(jù)庫訪問流量采集
流量采集是數(shù)據(jù)庫審計系統(tǒng)的基礎���,只有做到數(shù)據(jù)庫訪問流量的全采集��,才能保證數(shù)據(jù)庫審計的可用性和價值�,目前主要的流量采集方式主要有兩種:
鏡像方式:采用旁路部署通過鏡像方式獲取數(shù)據(jù)庫的所有訪問流量。一般適用于傳統(tǒng)IT架構����,通過鏡像方式將所有訪問數(shù)據(jù)庫的流量轉發(fā)到數(shù)據(jù)庫審計系統(tǒng),來實現(xiàn)數(shù)據(jù)庫訪問流量的獲取����。
探針方式:為了適應“云環(huán)境”“虛擬化”及“一體機”數(shù)據(jù)庫審計需求,基于“探針”方式捕獲數(shù)據(jù)庫訪問流量��。適用于復雜的網(wǎng)絡環(huán)境�����,在應用端或數(shù)據(jù)庫服務器部署Rmagent組件(產品提供)���,通過虛擬環(huán)境分配的審計管理網(wǎng)口進行數(shù)據(jù)傳輸���,完成數(shù)據(jù)庫流量采集。
探針式數(shù)據(jù)采集����,還可以進行數(shù)據(jù)庫本地行為審計,包括數(shù)據(jù)庫和應用系統(tǒng)同機審計和遠程登錄后的客戶端行為��。實現(xiàn)原理如下:
2、語法�、語義解析
SQL語法、語義的解析技術�����,是實現(xiàn)數(shù)據(jù)庫審計系統(tǒng)可用���、易用的必要條件�����。準確的數(shù)據(jù)庫協(xié)議解析���,能夠保障數(shù)據(jù)庫審計的全面性與易用性����。全面的審計結果應該包括:訪問數(shù)據(jù)庫的應用層信息、客戶端信息�����、數(shù)據(jù)庫信息����、對象信息�、響應信息��、登錄時間���、操作時間����、SQL響應時長等��;高易用性的數(shù)據(jù)庫審計產品的審計結果和報告�,應該能夠使用業(yè)務化的語言呈現(xiàn)出對數(shù)據(jù)庫的訪問行為,例如將數(shù)據(jù)庫中的要素客戶端IP����、數(shù)據(jù)庫用戶、SQL 操作類型��、數(shù)據(jù)庫表名稱���、列名稱�、過濾條件變成業(yè)務人員熟悉的要素:辦公地點、工作人員名稱��、業(yè)務操作�����、業(yè)務對象�����、業(yè)務元素����、某種類別的業(yè)務信息。這樣的是審計結果呈現(xiàn)即便是非專業(yè)的DBA或運維人員的管理者或業(yè)務人員也能夠看懂�����。
三��、數(shù)據(jù)庫審計的價值����?
1�����、數(shù)據(jù)庫相關安全事件的追溯與定責
數(shù)據(jù)庫審計的核心價值是在發(fā)生數(shù)據(jù)庫安全事件后,為追責�、定責提供依據(jù),與此同時也可以對數(shù)據(jù)庫的攻擊和非法操作等行為起到震懾的作用�。數(shù)據(jù)庫自身攜帶的審計功能,不僅會拖慢數(shù)據(jù)庫的性能�����,同時也有其自身的弊端����,比如高權限用戶可以刪除審計日志,日志查看需要專業(yè)知識����,日志分析復雜度高等。獨立的數(shù)據(jù)庫審計產品�����,可以有效避免以上弊端����。三權分立原則可以避免針對審計日志的刪除和篡改����,SQL語句解析技術����,可以將審計結果翻譯成通俗易懂的業(yè)務化語言,使得一般的業(yè)務人員和管理者也能看懂����。
2、數(shù)據(jù)庫風險行為發(fā)現(xiàn)與告警
數(shù)據(jù)庫審計系統(tǒng)還可以對于針對數(shù)據(jù)庫的攻擊和風險操作等進行實時告警�����,以便管理人員及時作出應對措施���,從而避免數(shù)據(jù)被破壞或者竊取����。這一功能的實現(xiàn)主要基于sql的語句準確解析技術�,利用對SQL語句的特征分析,快速實現(xiàn)對語句的策略判定�,從而發(fā)現(xiàn)數(shù)據(jù)庫入侵行為、數(shù)據(jù)庫異常行為�、數(shù)據(jù)庫違規(guī)訪問行為,并通過短信��、郵件��、Syslog等多種方式實時告警���。
3�、滿足合規(guī)需求
滿足國家《網(wǎng)絡安全法》�����、等保規(guī)定以及各行業(yè)規(guī)定中對于數(shù)據(jù)庫審計的合規(guī)性需求�����。并可根據(jù)需求形成不同的審計報表��,例如:綜合報表��、合規(guī)性報表��、專項報表����、自定義報表等���。
四、數(shù)據(jù)庫審計系統(tǒng)怎么選���?
1�、數(shù)據(jù)庫審計產品選型
? 兩類數(shù)據(jù)庫審計技術路線對比
? 數(shù)據(jù)庫審計如果審不準��,要它何用�?
? 從用戶視角看數(shù)據(jù)庫審計應該具備的功能
? 老產品 新活力�����,淺談數(shù)據(jù)庫審計新特性
? 數(shù)據(jù)庫審計系統(tǒng)分布式解決方案
? 安華金和數(shù)據(jù)庫審計產品演進之路
? 客戶證言:“安華金和數(shù)據(jù)庫審計很好玩”
2��、數(shù)據(jù)庫審計相關技術
? 縱論數(shù)據(jù)庫審計產品的三代演進
? 數(shù)據(jù)庫審計常見缺陷之一:概述
? 數(shù)據(jù)庫審計常見缺陷之二:長SQL語句漏審
? 數(shù)據(jù)庫審計常見缺陷之三:多語句無法分割
? 數(shù)據(jù)庫審計常見缺陷之四:對象解析錯誤
? 數(shù)據(jù)庫審計常見缺陷之五:參數(shù)審計錯誤
? 如何配置合理的數(shù)據(jù)庫審計策略
產品咨詢:4000 258 365 
