審計是規(guī)則遵從和安全計劃的核心組成部分，也是目前IT部門中普遍實行的做法。關(guān)系數(shù)據(jù)庫是第一款嵌入審計功能、并將其作為本地平臺功能的企業(yè)級應(yīng)用程序。然而，這次嘗試卻給審計帶來了不好的名聲。廠商只是提供了最基本的功能，卻沒有給數(shù)據(jù)庫管理員提供所需要的性能和易管理性，因此管理員們至今仍對審計功能感到厭惡，并依舊抵制使用數(shù)據(jù)庫審計跟蹤功能。

數(shù)據(jù)庫管理員對本地審計功能感到厭惡是有其合理性的：本地審計的性能和數(shù)據(jù)管理效果曾帶給他們夢魘般的遭遇，此外，審計跟蹤并不是為了目前它們所從事的任務(wù)而設(shè)計的。雖然存在著這些不足，但是法規(guī)遵從所需的精確、完整的交易記錄卻是關(guān)系數(shù)據(jù)庫審計跟蹤所能夠提供的。

安全和規(guī)則遵從的需要促使人們?nèi)ナ褂脭?shù)據(jù)庫審計功能，這些日志文件也給人們提供了洞察數(shù)據(jù)庫活動的獨特視角。 數(shù)據(jù)庫廠商正致力于優(yōu)化產(chǎn)品的審計性能，減小歷史遺留問題，但用戶依然需要謹(jǐn)慎部署，從而避免目前已知的問題。

什么是數(shù)據(jù)庫審計

數(shù)據(jù)庫審計是指對審計和事務(wù)日志進行審查，從而跟蹤數(shù)據(jù)和數(shù)據(jù)庫結(jié)構(gòu)的變化。數(shù)據(jù)庫可以這樣進行設(shè)置：捕捉數(shù)據(jù)和元數(shù)據(jù)的改變，以及存儲這些資料的數(shù)據(jù)庫所做的修改。典型的審計報告應(yīng)該包括以下內(nèi)容：完成的數(shù)據(jù)庫操作、改變的數(shù)據(jù)值、執(zhí)行該項操作的人，以及其他幾項屬性。這些審計功能被植入到所有的關(guān)系數(shù)據(jù)庫平臺中，并確保生成的記錄文件具有較高的準(zhǔn)確性和完整性，就好像在數(shù)據(jù)庫中存儲的數(shù)據(jù)一樣。此外，審計跟蹤還能把一系列的語句轉(zhuǎn)化為合理的事務(wù)，并提供業(yè)務(wù)流程取證（forensic）分析所需的業(yè)務(wù)環(huán)境。

不過，審計功能也存在限制，例如不能對數(shù)據(jù)訪問語句（通常稱之為SELECT語句）進行審計。另外，本地數(shù)據(jù)庫審計很難捕捉到用戶認(rèn)可的原始查詢（query）和變量（variables），只能從綜合的角度對事件做出記錄，而日志則可以捕捉到改變前后的數(shù)據(jù)值。這也使得審計跟蹤在檢測已改變的內(nèi)容時，比檢測已訪問的內(nèi)容更為有效。

對數(shù)據(jù)庫活動和狀態(tài)進行取證檢查時，審計可以準(zhǔn)確的把握事件的本質(zhì)。對SELECT語句（用戶查看數(shù)據(jù)時會使用）進行檢查時，因為本地平臺缺乏對這些語句的收集能力，即便利用高級選項實現(xiàn)了這項操作，也會導(dǎo)致性能受到極大損失。既然有簡單的方法可以高效地對SELECT語句進行登記（cataloging）（例如，登入失敗、嘗試查看信用證信息），為什么企業(yè)還要選擇在本地數(shù)據(jù)庫審計功能上增加其他的數(shù)據(jù)收集資源。不管怎樣，內(nèi)置的數(shù)據(jù)庫審計功能可以生成事務(wù)認(rèn)證和法規(guī)控制的核心信息。

數(shù)據(jù)庫審計的促進因素

在對一些特定的數(shù)據(jù)庫審計創(chuàng)建工具和收集工具進行分析之前，讓我們先來探究一下為什么需要加入這些功能。你所在的企業(yè)可能存在下面所提的一項也或是所有需求。

規(guī)則遵從：法規(guī)控制在一些領(lǐng)域起著關(guān)鍵性的作用，例如在管理變動、業(yè)務(wù)流程驗證、系統(tǒng)故障，或生成具有一定準(zhǔn)確性和一致性的安全事件材料等方面。這也是數(shù)據(jù)庫審計在欺詐檢測方面如此重要的原因所在。此外，數(shù)據(jù)庫審計對與薩班斯-奧克斯利（Sarbanes-Oxley）法案相關(guān)的法規(guī)遵從也具有重大的意義。管理變動、事務(wù)歷史記錄、特定事件報告通常都是法規(guī)控制所要求的。PCI-DSS額外控制也是非常重要的，因為系統(tǒng)權(quán)限更改、或管理行為和系統(tǒng)功能的變更都需要進行仔細的審查。

你需要時刻謹(jǐn)記的是，數(shù)據(jù)庫審計并沒有在各種規(guī)則遵從（包括SOX、PCI-DSS、HIPAA、FERPA或美國國家隱私條例）中被明確地列為一項必須具備的要求。在實踐中，審計為政策執(zhí)行所必要的元素（如，業(yè)務(wù)流程、數(shù)據(jù)使用、以及管理任務(wù)）都提供了精確、簡潔的歷史記錄。因為所有企業(yè)應(yīng)用程序都需要數(shù)據(jù)庫的支持，并且是數(shù)據(jù)狀態(tài)（業(yè)務(wù)處理的凈結(jié)果）的唯一權(quán)威，所以數(shù)據(jù)庫是實行控制最合理、也最有效的地方。因此，大多數(shù)以跟蹤特定用戶群體、對象或數(shù)據(jù)元素為核心任務(wù)的審計工作都需要進行數(shù)據(jù)庫審計。

安全：數(shù)據(jù)的安全和隱私是使用數(shù)據(jù)庫審計功能的另一個主要促進因素，比以上所述的幾點因素重要得多。捕捉失敗的登入、查詢，以及管理功能的誤用是對系統(tǒng)探查能力進行檢測的一種途徑。對能夠暴露數(shù)據(jù)的視窗（views）插件進行監(jiān)控、使用系統(tǒng)功能的公共許可、為普通用戶提供管理能力的權(quán)限更改，這些都是很常見的使用案例。對誰在何時、何地進行了何種操作等屬性進行取證分析，能夠提供非常不錯的提示信息，以顯示數(shù)據(jù)庫的使用是否合法，或是否有可能受到潛在的攻擊。為防止數(shù)據(jù)庫被篡改，審計跟蹤提供了足夠的信息以確定更改的類型，并幫助用戶理解必需的糾正措施。通常情況下，審計跟蹤用于輔助SIEM（安全信息和事件管理）以及日志管理等安全工具，進行相關(guān)性和安全事件的通知。

操作: 數(shù)據(jù)庫審計功能最初是為幫助數(shù)據(jù)庫管理員審查數(shù)據(jù)庫活動而設(shè)計的，使得他們可以理解如何分配資源以及對何處的查詢做出調(diào)整。盡管目前已經(jīng)有了完成上述任務(wù)的工具，并且性能也不錯，數(shù)據(jù)庫審計仍然在進行著故障分析和業(yè)務(wù)流程分析，從而確保數(shù)據(jù)庫的可靠性。因為你可以設(shè)想下述場景：當(dāng)災(zāi)難性的故障發(fā)生了，你會問“剛才發(fā)生了什么事？”，此時，如果進行審計跟蹤的話，你可以極為簡便的恢復(fù)系統(tǒng)。

數(shù)據(jù)庫審計工具及其應(yīng)用程序

有四種基本平臺可以用于創(chuàng)建、收集和分析數(shù)據(jù)庫審計，它們是：本地數(shù)據(jù)庫平臺、系統(tǒng)信息/事件管理及其日志管理、數(shù)據(jù)庫活動監(jiān)控和數(shù)據(jù)庫審計平臺。

1. 本地審計：指的是使用本地數(shù)據(jù)庫來進行數(shù)據(jù)獲取，但使用數(shù)據(jù)庫系統(tǒng)本身對事件進行存儲、分類、過濾和報告。IBM、微軟、甲骨文和Sybase針對這種情況都提供各自不同的解決方案，但本質(zhì)上都是去獲取相同的信息。雖然數(shù)據(jù)通常存儲在數(shù)據(jù)庫中，但卻可以導(dǎo)出到純文本文件、或以XML數(shù)據(jù)形式提供給其它的應(yīng)用程序。本地功能的使用節(jié)省了與獲取、部署和管理專用審計工具相關(guān)的成本，但卻使得數(shù)據(jù)庫產(chǎn)生了額外的性能開銷，對基本的收集和存儲也只能進行有限的管理，并且需要人為的進行管理。本地審計發(fā)生在數(shù)據(jù)庫范圍內(nèi)，并且只適用于對安置在單個設(shè)施內(nèi)的數(shù)據(jù)庫進行分析。

2. SIEM和日志管理：安全信息和事件管理（SIEM），以及與之類似的日志管理工具都具備了收集審計文件的能力，但卻比本地數(shù)據(jù)庫工具提供了更多的功能。請記住，這些工具不會像本地審計那樣會導(dǎo)致數(shù)據(jù)庫的開銷，從而減輕了數(shù)據(jù)庫的大部分負擔(dān)，但這需要一個專門的服務(wù)器對其進行存儲和處理。除了數(shù)據(jù)庫審計日志，這些工具還從網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、防火墻和應(yīng)用程序中收集信息。SIEM 和日志管理可以提供綜合報告、數(shù)據(jù)收集、異構(gòu)數(shù)據(jù)庫支持，數(shù)據(jù)聚合和壓縮能力，這些都是本地數(shù)據(jù)庫審計所不具備的優(yōu)點。LogLogic和Splunk等公司推出的日志管理系統(tǒng)，專門設(shè)計成能夠容納大量數(shù)據(jù)的系統(tǒng)，并且更專注于管理和報告。而由ArcSight公司和EMC公司安全部門RSA等廠商所推出的SIEM，則被設(shè)計成更適用于接近實時的網(wǎng)絡(luò)安全設(shè)備監(jiān)視，從而更深入地分析事件之間的關(guān)聯(lián)和安全報警等信息。然而，SIEM和日志管理之間的區(qū)別可能會逐漸模糊起來，這是因為大多數(shù)的廠商都能同時提供兩個平臺，盡管兩者沒有完全整合在一起。#p#

3. DAM：數(shù)據(jù)庫活動監(jiān)控平臺被設(shè)計成用于監(jiān)控數(shù)據(jù)庫活動中的威脅，并執(zhí)行規(guī)則遵從控制。諸如Application Security、Fortinet、IBM、Netezza和甲骨文這樣的供應(yīng)商，提供了異構(gòu)數(shù)據(jù)庫中的事件獲取。大多數(shù)供應(yīng)商提供了多種方式來獲取信息，包括收集來自網(wǎng)絡(luò)、數(shù)據(jù)庫所在的操作系統(tǒng)和數(shù)據(jù)庫審計日志等多方查詢（queries）信息。DAM 工具被專門用于高速數(shù)據(jù)檢索和實時政策執(zhí)行。像SIEM工具一樣，DAM 工具可以收集來自異構(gòu)數(shù)據(jù)庫和多數(shù)據(jù)源的數(shù)據(jù)，并被設(shè)計成用于分析和報警。而與SIEM不同的是，DAM并不是專為數(shù)據(jù)庫而設(shè)計的，它更加專注于在應(yīng)用程序級進行數(shù)據(jù)庫分析，而不是在網(wǎng)絡(luò)級或系統(tǒng)級上進行。除了對數(shù)據(jù)庫的操作進行取證（forensic）分析，DAM還提供了諸如活動阻塞、虛擬打補丁、過濾（filtering）和評估等高級功能。

4. 數(shù)據(jù)庫審計平臺：一些數(shù)據(jù)庫廠商提供了專門數(shù)據(jù)庫，這與日志管理服務(wù)器很相似。這些數(shù)據(jù)庫由一個專用的平臺組成，它存儲從本地數(shù)據(jù)庫審計中獲取的日志文件，并把多個數(shù)據(jù)庫的日志文件收集到一個中央位置上。其中一些平臺還提供了異構(gòu)數(shù)據(jù)庫日志文件收集器。報告、取證分析、把日志文件聚集為共同的格式，以及安全存儲，這都是此種平臺可以帶來的好處。雖然這些平臺不提供多數(shù)據(jù)來源、或像DAM那樣進行細致的分析，不具備SIEM那樣的關(guān)聯(lián)和分析能力,也不像日志管理簡單易用，但對于那些專注于數(shù)據(jù)庫審計的IT運營而言，這是一個性價比很高的方法，可以用來生成安全報告和存儲取證方面的安全數(shù)據(jù)。

數(shù)據(jù)庫審計的選擇過程

為了有助于進行數(shù)據(jù)庫審計的選擇過程，你需要考慮以下各平臺類型的特點，以及每個供應(yīng)商的解決方案。按重要性排序如下：

數(shù)據(jù)來源：在本文中所描述的信息主要來源是數(shù)據(jù)庫的審計日志，這是由數(shù)據(jù)庫引擎創(chuàng)建的。然而，審計日志隨數(shù)據(jù)庫的不同而有所變化，在某些情況下有多種信息都可以歸在審計日志這一類。此外，一些平臺可以創(chuàng)建某個用戶對數(shù)據(jù)庫操作的活動日志。雖然這種日志并不如本地平臺所創(chuàng)建的那樣準(zhǔn)確，但它卻能包含所有SELECT語句，并具有更好的引導(dǎo)性能。你需要仔細檢查來自不同數(shù)據(jù)源的哪些數(shù)據(jù)可用，并看看信息是否足夠滿足你的安全、運營和規(guī)則遵從的要求。

規(guī)則遵從：由于依照產(chǎn)業(yè)和政府的法規(guī)是采用數(shù)據(jù)庫審計解決方案的主要動力，你需要審查政策和供應(yīng)商提供的產(chǎn)品報告。這些報告能幫助你迅速滿足規(guī)則遵從的要求，并降低在定制方面的成本。

部署：用戶對所有解決方案描述最大的投訴是部署時需要面對很多難題。安裝、配置、政策管理、減少誤報、自定義報告或數(shù)據(jù)管理，這些也是用戶需要解決的問題。正是由于這個原因，你需要將資源集中從而進行實地比較，以評估工具的優(yōu)劣。此外，針對一兩個數(shù)據(jù)庫的部署進行測試是不夠的，你需要在多個數(shù)據(jù)庫之間制定計劃以進行一些可擴展性測試，從而模擬真實世界的情景。當(dāng)然，這增加了概念驗證（proof-of-concept）過程的負擔(dān)，但從長遠來看這是值得的，因為廠商存在的UI問題、政策管理和體系結(jié)構(gòu)的不合理選擇，只會在實際測試中才會表現(xiàn)出來。

性能：它與供應(yīng)商平臺的關(guān)系不是很大，但和數(shù)據(jù)庫本身的數(shù)據(jù)審計選項聯(lián)系得更加緊密。目前存在著多個版本和選項，并且本地審計的性能變化也很快，因此你需要運行一些測試。你可能還需要平衡你想收集的數(shù)據(jù)和你需要的數(shù)據(jù)，并尋找以制定最少的政策來滿足需求的途徑，因為政策越多意味著在所有系統(tǒng)上花的經(jīng)費也更多。

整合：你需要對合作供應(yīng)商在工作流程、故障報告（trouble-ticketing）、系統(tǒng)與政策管理產(chǎn)品的整合方面進行驗證。

審計日志包含很多對審計人員、安全專家和數(shù)據(jù)庫管理員有幫助的信息，但是它們會影響到性能。對于數(shù)據(jù)庫審計可以的提供任何新奇事物，你都需要通過了解其可能增加的負擔(dān)。審計會引起一些性能上的損失，而根據(jù)你執(zhí)行的情況，損失可能會很嚴(yán)重。但是，這些問題是可以緩解的，并且對于一些商業(yè)問題而言，數(shù)據(jù)庫審計日記是規(guī)則遵從和安全分析必不可少的環(huán)節(jié)。

除了本地數(shù)據(jù)庫審計（位于數(shù)據(jù)庫資源上層），我們描述的所有工具都被部署為一個獨立的設(shè)備或軟件。所有數(shù)據(jù)庫審計都提供了中央政策（central policy）和數(shù)據(jù)管理、報告，并提供數(shù)據(jù)聚合（data aggregation）功能。SIEM（安全信息和事件管理）、日志管理和數(shù)據(jù)庫活動監(jiān)控供應(yīng)商為可擴展性提供了一個層次部署模型，在該模型中多臺服務(wù)器或設(shè)備被分布在大型的IT組織中，以改善用戶對處理和存儲的需求。

聚合數(shù)據(jù)使得正被收集的巨大數(shù)據(jù)量的管理和報告變得容易。此外，信息收集被放在中央服務(wù)器中可以保護處理日記不被篡改。

究竟那種方法更適合你，這取決于你的需求、你需要解決的業(yè)務(wù)問題，以及你愿意為解決問題而投入多少時間和金錢。一個好消息是你可以有大量的選擇，比如讓自己的數(shù)據(jù)庫管理員去進行數(shù)據(jù)庫本地審計從而獲得基礎(chǔ)的信息，或者對成千上萬的設(shè)備進行數(shù)據(jù)聚合操作。

【編輯推薦】

1. 數(shù)據(jù)庫安全最佳實踐：數(shù)據(jù)庫審計工具調(diào)優(yōu)
2. 高?；ヂ?lián)網(wǎng)合規(guī)審計解決方案
3. 證券行業(yè)日志審計需求分析，產(chǎn)品選型和實施建議
4. 5招對數(shù)據(jù)庫安全審計產(chǎn)品的正確選購