審計是規(guī)則遵從和安全計劃的核心組成部分，也是目前IT部門中普遍實行的做法。關(guān)系數(shù)據(jù)庫是第一款嵌入審計功能、并將其作為本地平臺功能的企業(yè)級應(yīng)用程序。然而，這次嘗試卻給審計帶來了不好的名聲。廠商只是提供了最基本的功能，卻沒有給數(shù)據(jù)庫管理員提供所需要的性能和易管理性，因此管理員們至今仍對審計功能感到厭惡，并依舊抵制使用數(shù)據(jù)庫審計跟蹤功能。

　　數(shù)據(jù)庫管理員對本地審計功能感到厭惡是有其合理性的：本地審計的性能和數(shù)據(jù)管理效果曾帶給他們夢魘般的遭遇，此外，審計跟蹤并不是為了目前它們所從事的任務(wù)而設(shè)計的。雖然存在著這些不足，但是法規(guī)遵從所需的精確、完整的交易記錄卻是關(guān)系數(shù)據(jù)庫審計跟蹤所能夠提供的。

　　安全和規(guī)則遵從的需要促使人們?nèi)ナ褂脭?shù)據(jù)庫審計功能，這些日志文件也給人們提供了洞察數(shù)據(jù)庫活動的獨特視角。 數(shù)據(jù)庫廠商正致力于優(yōu)化產(chǎn)品的審計性能，減小歷史遺留問題，但用戶依然需要謹慎部署，從而避免目前已知的問題。

　　什么是數(shù)據(jù)庫審計

　　數(shù)據(jù)庫審計是指對審計和事務(wù)日志進行審查，從而跟蹤數(shù)據(jù)和數(shù)據(jù)庫結(jié)構(gòu)的變化。數(shù)據(jù)庫可以這樣進行設(shè)置：捕捉數(shù)據(jù)和元數(shù)據(jù)的改變，以及存儲這些資料的數(shù)據(jù)庫所做的修改。典型的審計報告應(yīng)該包括以下內(nèi)容：完成的數(shù)據(jù)庫操作、改變的數(shù)據(jù)值、執(zhí)行該項操作的人，以及其他幾項屬性。這些審計功能被植入到所有的關(guān)系數(shù)據(jù)庫平臺中，并確保生成的記錄文件具有較高的準(zhǔn)確性和完整性，就好像在數(shù)據(jù)庫中存儲的數(shù)據(jù)一樣。此外，審計跟蹤還能把一系列的語句轉(zhuǎn)化為合理的事務(wù)，并提供業(yè)務(wù)流程取證(forensic)分析所需的業(yè)務(wù)環(huán)境。

　　不過，審計功能也存在限制，例如不能對數(shù)據(jù)訪問語句(通常稱之為SELECT語句)進行審計。另外，本地數(shù)據(jù)庫審計很難捕捉到用戶認可的原始查詢(query)和變量(variables)，只能從綜合的角度對事件做出記錄，而日志則可以捕捉到改變前后的數(shù)據(jù)值。這也使得審計跟蹤在檢測已改變的內(nèi)容時，比檢測已訪問的內(nèi)容更為有效。

　　對數(shù)據(jù)庫活動和狀態(tài)進行取證檢查時，審計可以準(zhǔn)確的把握事件的本質(zhì)。對SELECT語句(用戶查看數(shù)據(jù)時會使用)進行檢查時，因為本地平臺缺乏對這些語句的收集能力，即便利用高級選項實現(xiàn)了這項操作，也會導(dǎo)致性能受到極大損失。既然有簡單的方法可以高效地對SELECT語句進行登記(cataloging)(例如，登入失敗、嘗試查看信用證信息)，為什么企業(yè)還要選擇在本地數(shù)據(jù)庫審計功能上增加其他的數(shù)據(jù)收集資源。不管怎樣，內(nèi)置的數(shù)據(jù)庫審計功能可以生成事務(wù)認證和法規(guī)控制的核心信息。

　　數(shù)據(jù)庫審計的促進因素

　　在對一些特定的數(shù)據(jù)庫審計創(chuàng)建工具和收集工具進行分析之前，讓我們先來探究一下為什么需要加入這些功能。你所在的企業(yè)可能存在下面所提的一項也或是所有需求。

　　規(guī)則遵從：法規(guī)控制在一些領(lǐng)域起著關(guān)鍵性的作用，例如在管理變動、業(yè)務(wù)流程驗證、系統(tǒng)故障，或生成具有一定準(zhǔn)確性和一致性的安全事件材料等方面。這也是數(shù)據(jù)庫審計在欺詐檢測方面如此重要的原因所在。此外，數(shù)據(jù)庫審計對與薩班斯-奧克斯利(Sarbanes-Oxley)法案相關(guān)的法規(guī)遵從也具有重大的意義。管理變動、事務(wù)歷史記錄、特定事件報告通常都是法規(guī)控制所要求的。PCI-DSS額外控制也是非常重要的，因為系統(tǒng)權(quán)限更改、或管理行為和系統(tǒng)功能的變更都需要進行仔細的審查。

　　你需要時刻謹記的是，數(shù)據(jù)庫審計并沒有在各種規(guī)則遵從(包括SOX、PCI-DSS、HIPAA、FERPA或美國國家隱私條例)中被明確地列為一項必須具備的要求。在實踐中，審計為政策執(zhí)行所必要的元素(如，業(yè)務(wù)流程、數(shù)據(jù)使用、以及管理任務(wù))都提供了精確、簡潔的歷史記錄。因為所有企業(yè)應(yīng)用程序都需要數(shù)據(jù)庫的支持，并且是數(shù)據(jù)狀態(tài)(業(yè)務(wù)處理的凈結(jié)果)的唯一權(quán)威，所以數(shù)據(jù)庫是實行控制最合理、也最有效的地方。因此，大多數(shù)以跟蹤特定用戶群體、對象或數(shù)據(jù)元素為核心任務(wù)的審計工作都需要進行數(shù)據(jù)庫審計。

　　安全：數(shù)據(jù)的安全和隱私是使用數(shù)據(jù)庫審計功能的另一個主要促進因素，比以上所述的幾點因素重要得多。捕捉失敗的登入、查詢，以及管理功能的誤用是對系統(tǒng)探查能力進行檢測的一種途徑。對能夠暴露數(shù)據(jù)的視窗(views)插件進行監(jiān)控、使用系統(tǒng)功能的公共許可、為普通用戶提供管理能力的權(quán)限更改，這些都是很常見的使用案例。對誰在何時、何地進行了何種操作等屬性進行取證分析，能夠提供非常不錯的提示信息，以顯示數(shù)據(jù)庫的使用是否合法，或是否有可能受到潛在的攻擊。為防止數(shù)據(jù)庫被篡改，審計跟蹤提供了足夠的信息以確定更改的類型，并幫助用戶理解必需的糾正措施。通常情況下，審計跟蹤用于輔助SIEM(安全信息和事件管理)以及日志管理等安全工具，進行相關(guān)性和安全事件的通知。

　　操作: 數(shù)據(jù)庫審計功能最初是為幫助數(shù)據(jù)庫管理員審查數(shù)據(jù)庫活動而設(shè)計的，使得他們可以理解如何分配資源以及對何處的查詢做出調(diào)整。盡管目前已經(jīng)有了完成上述任務(wù)的工具，并且性能也不錯，數(shù)據(jù)庫審計仍然在進行著故障分析和業(yè)務(wù)流程分析，從而確保數(shù)據(jù)庫的可靠性。因為你可以設(shè)想下述場景：當(dāng)災(zāi)難性的故障發(fā)生了，你會問“剛才發(fā)生了什么事?”，此時，如果進行審計跟蹤的話，你可以極為簡便的恢復(fù)系統(tǒng)。

【編輯推薦】

1. 了解數(shù)據(jù)庫安全審計工具（下）：什么是數(shù)據(jù)庫審計