【51CTO.com 綜合消息】近年來，有關數(shù)據庫的安全事故可謂層出不窮，諸如銀行內部數(shù)據信息泄露造成的賬戶資金失密、信用卡信息被盜用導致的信用卡偽造、企業(yè)內部機密數(shù)據泄露引起的競爭力下降……，這些情況無不說明了實施數(shù)據庫安全審計的必要。

那么，首先讓我們來了解一下部署數(shù)據庫安全審計產品能給用戶帶來的益處：

1.  滿足合規(guī)性要求，順利通過IT審計

目前，越來越多的單位面臨一種或者幾種合規(guī)性要求。比如，在美上市的中國移動集團公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求；而商業(yè)銀行則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國有企業(yè)則有遵循等級保護、分級保護的合規(guī)性要求。

數(shù)據庫審計系統(tǒng)為用戶核心系統(tǒng)提供了獨立的審計解決方案，有助于完善組織的IT內控體系，從而滿足各種合規(guī)性要求，并且使組織能夠順利通過IT審計。

2. 有效減少核心信息資產的破壞和泄漏

對單位的業(yè)務系統(tǒng)來說，真正重要的核心信息資產往往存放在少數(shù)幾個關鍵系統(tǒng)上（如數(shù)據庫服務器、應用服務器等），通過使用數(shù)據庫安全審計產品，能夠加強對這些關鍵系統(tǒng)的審計，從而有效地減少對核心信息資產的破壞和數(shù)據泄漏。

3. 追蹤溯源，便于事后追查原因與界定責任

一個單位里負責運維的部門通常擁有數(shù)據庫管理系統(tǒng)的最高權限（掌握DBA帳號的口令），因而也承擔著很高的風險（誤操作或者是個別人員的惡意破壞）。審計系統(tǒng)能夠幫助企業(yè)進行事后追查原因與界定責任。

4. 直觀掌握業(yè)務系統(tǒng)運行的安全狀況

業(yè)務系統(tǒng)的正常運行需要一個安全、穩(wěn)定的網絡環(huán)境。對管理部門來說，網絡環(huán)境的安全狀況事關重大。審計系統(tǒng)提供業(yè)務流量監(jiān)控與審計事件統(tǒng)計分析功能，能夠直觀地反映網絡環(huán)境的安全狀況。

5. 實現(xiàn)獨立審計，完善IT內控機制

從內控的角度來看，IT系統(tǒng)的使用權、管理權與監(jiān)督權必須三權分立。審計系統(tǒng)實現(xiàn)獨立審計，幫助監(jiān)督人員獲得有效的技術手段，從而完善企業(yè)IT內控機制。

沿著安全審計的發(fā)展軌跡了解數(shù)據庫安全審計的由來  

無庸質疑，數(shù)據庫安全審計已經成為現(xiàn)如今很多企事業(yè)單位的必需技術及產品，那么，接下來就讓我們從歷史軌跡的角度，了解一下數(shù)據庫安全審計技術的由來。

安全審計技術源于1980年4月James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》（計算機安全威脅監(jiān)控與監(jiān)視）的技術報告，他提出了一種對計算機系統(tǒng)風險和威脅的分類方法，并將威脅分為外部滲透、內部滲透和不法行為三種，還提出了利用審計跟蹤數(shù)據監(jiān)視威脅活動的思想。

1990年加州大學戴維斯分校的L. T. Heberlein等人開發(fā)出了NSM（Network Security Monitor）。該系統(tǒng)第一次直接將網絡流作為審計數(shù)據來源，因而可以在不將審計數(shù)據轉換成統(tǒng)一格式的情況下監(jiān)控異種主機。由此，衍生出了網絡監(jiān)聽審計技術，該技術通過將對數(shù)據庫系統(tǒng)的訪問流鏡像到交換機某一個端口，然后通過專用硬件設備對該端口流量進行分析和還原，從而實現(xiàn)對數(shù)據庫訪問的審計。

總的來講，網絡監(jiān)聽審計技術在數(shù)據庫審計的應用發(fā)展上經歷了三個主要階段，分別如下： 

◆第一階段：流量行為審計，該階段實現(xiàn)了對OSI七層模型中的網絡層到會話層的覆蓋，主要對數(shù)據庫訪問行為進行分析和統(tǒng)計，如IP、端口、連接次數(shù)等，一些產品甚至還提供了原始IP報文分析的手段；用戶可以利用該技術實現(xiàn)對數(shù)據庫訪問流量進行分析和統(tǒng)計，能夠讓用戶及時了解各應用消耗的網絡資源和TOP N流量來源，幫助用戶在網絡規(guī)劃、監(jiān)控、優(yōu)化、故障診斷等方面做出決策。 

◆第二階段：內容審計，該階段實現(xiàn)了對OSI七層模型中的表示層到應用層的覆蓋，利用關鍵字對SQL整個語句的進行模糊匹配，主要對數(shù)據庫訪問行為實現(xiàn)內容記錄，如數(shù)據庫登陸賬號、SQL語句等；用戶可以利用該技術實現(xiàn)對SQL操作進行記錄、分析和統(tǒng)計，該階段能夠滿足對數(shù)據庫審計的基本需求，但是在響應和分析的精度上存在較大誤差，難以滿足大中型用戶對數(shù)據庫審計的需求； 

◆第三階段：語法解析階段，該階段集中在應用層，實現(xiàn)對SQL語句的語義分析，盡可能的將操作數(shù)據庫的SQL語句進行細粒度解析，比如賬號名、數(shù)據庫名、數(shù)據表名、字段名、字段值、返回碼等，以滿足針對各種違規(guī)行為的精確檢測、響應和審計，如表1所示：  

表1 數(shù)據庫審計記錄

需要特別指出的是，判斷數(shù)據庫審計是否達到語法解析階段的主要指標有三個方面：

首先是能夠將SQL語句分解成多個字段進行響應和記錄，任意一列都可以單獨設定審計規(guī)則，單獨查詢，這樣就可以滿足用戶精確響應和精確查詢的要求。

其次是能夠實現(xiàn)對綁定變量傳輸情況下的字段與數(shù)值的自匹配解析，通過對字段值的解析、設定字段數(shù)值條件。在大多數(shù)情況下，數(shù)據表關鍵字段往往對應著現(xiàn)實世界中資金或物品的數(shù)量及額度，對關鍵字段改變操作的精確檢測非常重要。

最后是語法解析的完整性，SQL操作對象有多種類別，如Database、table、view、index、trigger、procedure、domain、schema、user、cursor、transaction等，在實際應用中，各數(shù)據庫系統(tǒng)（比如Oracle、DB2、MSQL）在SQL-92標準的基礎上具體實現(xiàn)也有所差異，滿足不同種類數(shù)據庫系統(tǒng)、滿足不同版本的數(shù)據庫系統(tǒng)、滿足不同通訊協(xié)議下的數(shù)據庫環(huán)境，滿足對各操作對象及DML、DCL、DDL命令支持是審計完整性的重要指標之一。

5大因素幫你選出好的數(shù)據庫安全審計產品

結合以上對數(shù)據庫審計技術的闡述，在數(shù)據庫審計產品的選擇上，主要從以下5個方面進行考慮： 

◆部署安全：系統(tǒng)應采用網絡監(jiān)聽審計技術，部署過程中不對原有系統(tǒng)進行干擾，即無需在客戶端或服務器端安裝代理、也無需在整個通訊鏈路中串聯(lián)設備，改變原有通訊方式，數(shù)據庫審計產品的故障不會造成原有系統(tǒng)出現(xiàn)問題； 

◆策略靈活：業(yè)務系統(tǒng)數(shù)據在數(shù)據庫中進行集中存儲，故對于數(shù)據庫的操作審計需要細化到數(shù)據庫指令、表名、視圖、字段等，同時能夠審計數(shù)據庫返回的錯誤代碼、響應時間等，這樣一方面能夠對關鍵業(yè)務數(shù)值進行重點審計，另一方面能夠在數(shù)據庫出現(xiàn)關鍵錯誤時及時響應，避免由于數(shù)據庫故障帶來的業(yè)務損失；數(shù)據庫審計產品需要提供缺省的審計策略，具備良好的開放性，能夠根據用戶的業(yè)務特點進行審計策略的定義和修改； 

◆事件完整：數(shù)據庫審計產品應能支持主流數(shù)據庫的審計，符合SQL-92標準，滿足對常見數(shù)據庫系統(tǒng)如Oracle、DB2、Microsoft SQL-Server、Sybase、Informix、Teradata、Mysql的審計；同時由于業(yè)務系統(tǒng)對數(shù)據庫的業(yè)務操作是大量而頻繁的，這就要求安全審計產品具備較高的性能，避免由于審計事件無法入庫而導致數(shù)據完整性缺失帶來的無法取證問題，大多數(shù)安全審計產品應達到每秒5000條左右的平均入庫速度，每秒10000條左右的峰值入庫速度，日處理審計事件性能不低于1000萬條； 

◆自身安全：通過三權分立機制，實現(xiàn)對管理員、審計員、操作員進行權限劃分，規(guī)定各角色用戶只能在其權限范圍內對數(shù)據庫審計產品進行操作，同時對整個操作進行自身審計；產品自身應保證其安全性，需要結合安全加固、硬件令牌、訪問控制等多種安全手段提高自身的安全性； 

◆獨立可靠：審計事件的存儲不依賴被審計對象，同時為了保證審計溯源的準確性，應提供時間同步功能，避免各審計組件時間不一致帶來的誤差。