首先來(lái)分析分析數(shù)據(jù)庫(kù)安全現(xiàn)狀：

大學(xué)數(shù)據(jù)庫(kù)原理教科書(shū)中，數(shù)據(jù)庫(kù)是這樣被解釋的：數(shù)據(jù)庫(kù)是計(jì)算機(jī)應(yīng)用系統(tǒng)中的一種專(zhuān)門(mén)管理數(shù)據(jù)庫(kù)資源的系統(tǒng)。數(shù)據(jù)具有多種形式，如文字/數(shù)碼/符號(hào)/圖形/圖象以及聲音。數(shù)據(jù)庫(kù)系統(tǒng)立足于數(shù)據(jù)本身的管理，將所有的數(shù)據(jù)保存于數(shù)據(jù)庫(kù)中，進(jìn)行科學(xué)地組織，借助于數(shù)據(jù)庫(kù)管理系統(tǒng)，并以此為中介，與各種應(yīng)用程序或應(yīng)用系統(tǒng)接口，使之能方便地使用并管理數(shù)據(jù)庫(kù)中的數(shù)據(jù)，如數(shù)據(jù)查詢(xún)/添加/刪除/修改等。

　　數(shù)據(jù)庫(kù)無(wú)所不在。海量的數(shù)據(jù)信息因?yàn)閿?shù)據(jù)庫(kù)的產(chǎn)生而變得更加容易管理和使用。政府、金融、運(yùn)營(yíng)商、公安、能源、稅務(wù)、工商、社保、交通、衛(wèi)生、教育、電子商務(wù)及企業(yè)等行業(yè)，紛紛建立起各自的數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)，以便隨時(shí)對(duì)數(shù)據(jù)庫(kù)中海量的數(shù)據(jù)進(jìn)行管理和使用，國(guó)家/社會(huì)的發(fā)展帶入信息時(shí)代。同時(shí)，隨著互聯(lián)網(wǎng)的發(fā)展，數(shù)據(jù)庫(kù)作為網(wǎng)絡(luò)的重要應(yīng)用，在網(wǎng)站建設(shè)和網(wǎng)絡(luò)營(yíng)銷(xiāo)中發(fā)揮著重要的作用，包括信息收集/信息查詢(xún)及搜索/產(chǎn)品或業(yè)務(wù)管理/新聞發(fā)布/BBS論壇等等。

　　然而，信息技術(shù)是一把雙刃劍，為社會(huì)的進(jìn)步和發(fā)展帶來(lái)遍歷的同時(shí)，也帶來(lái)了許多的安全隱患。對(duì)數(shù)據(jù)庫(kù)而言，其存在的安全隱患存在更加難以估計(jì)的風(fēng)險(xiǎn)值，數(shù)據(jù)庫(kù)安全事件曾出不窮：

　　某系統(tǒng)開(kāi)發(fā)工程師通過(guò)互聯(lián)網(wǎng)入侵移動(dòng)中心數(shù)據(jù)庫(kù)，盜取沖值卡

　　某醫(yī)院數(shù)據(jù)庫(kù)系統(tǒng)遭到非法入侵，導(dǎo)致上萬(wàn)名患者私隱信息被盜取

　　某網(wǎng)游公司內(nèi)部數(shù)據(jù)庫(kù)管理人員通過(guò)違規(guī)修改數(shù)據(jù)庫(kù)數(shù)據(jù)盜竊網(wǎng)游點(diǎn)卡

　　黑客利用SQL注入攻擊，入侵某防病毒軟件數(shù)據(jù)庫(kù)中心，竊取大量機(jī)密信息，導(dǎo)致該防病毒軟件公司嚴(yán)重?fù)p失

　　某證券交易所內(nèi)部數(shù)據(jù)庫(kù)造黑客股民入侵，盜竊證券交易內(nèi)部報(bào)告

　　……

　　數(shù)據(jù)庫(kù)安全面臨內(nèi)部惡意操作以及外部惡意入侵兩大夾擊。如何有效保護(hù)數(shù)據(jù)庫(kù)信息成為當(dāng)前信息安全界最為關(guān)注的課題。

　　數(shù)據(jù)庫(kù)安全分析

　　三大安全風(fēng)險(xiǎn)

　　數(shù)據(jù)庫(kù)是任何商業(yè)和公共安全中最具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的商業(yè)伙伴和客戶(hù)信息，這些信息需要被保護(hù)起來(lái)，以防止競(jìng)爭(zhēng)者和其他非法者獲取?；ヂ?lián)網(wǎng)的急速發(fā)展使得企業(yè)數(shù)據(jù)庫(kù)信息的價(jià)值及可訪(fǎng)問(wèn)性得到了提升，同時(shí)，也致使數(shù)據(jù)庫(kù)信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)，概括起來(lái)主要表現(xiàn)在以下三個(gè)層面：

　　管理層面：主要表現(xiàn)為人員的職責(zé)、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時(shí)，無(wú)法追溯并定位真實(shí)的操作者。

　　技術(shù)層面：現(xiàn)有的數(shù)據(jù)庫(kù)內(nèi)部操作不明，無(wú)法通過(guò)外部的任何安全工具(比如：防火墻、IDS、IPS等)來(lái)阻止內(nèi)部用戶(hù)的惡意操作、濫用資源和泄露企業(yè)機(jī)密信息等行為。

　　審計(jì)層面：現(xiàn)有的依賴(lài)于數(shù)據(jù)庫(kù)日志文件的審計(jì)方法，存在諸多的弊端,比如:數(shù)據(jù)庫(kù)審計(jì)功能的開(kāi)啟會(huì)影響數(shù)據(jù)庫(kù)本身的性能、數(shù)據(jù)庫(kù)日志文件本身存在被篡改的風(fēng)險(xiǎn)，難于體現(xiàn)審計(jì)信息的真實(shí)性。

　　伴隨著數(shù)據(jù)庫(kù)信息價(jià)值以及可訪(fǎng)問(wèn)性提升，使得數(shù)據(jù)庫(kù)面對(duì)來(lái)自?xún)?nèi)部和外部的安全風(fēng)險(xiǎn)大大增加，如違規(guī)越權(quán)操作、惡意入侵導(dǎo)致機(jī)密信息竊取泄漏，但事后卻無(wú)法有效追溯和審計(jì)。

　　傳統(tǒng)數(shù)據(jù)庫(kù)安全方案缺陷

　　傳統(tǒng)的審計(jì)方案，或多或少存在一些缺陷，主要表現(xiàn)在以下兩個(gè)方面。

　　傳統(tǒng)網(wǎng)絡(luò)安全方案：依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻及入侵保護(hù)系統(tǒng)(IPS)，在網(wǎng)絡(luò)中檢查并實(shí)施數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)控制策略。但 是網(wǎng)絡(luò)防火墻只能實(shí)現(xiàn)對(duì)IP地址、端口及協(xié)議的訪(fǎng)問(wèn)控制，無(wú)法識(shí)別特定用戶(hù)的具體數(shù)據(jù)庫(kù)活動(dòng)(比如：某個(gè)用戶(hù)使用數(shù)據(jù)庫(kù)客戶(hù)端刪除某張數(shù)據(jù)庫(kù)表);而 IPS雖然可以依賴(lài)特征庫(kù)有限阻止數(shù)據(jù)庫(kù)軟件已知漏洞的攻擊，但他同樣無(wú)法判別具體的數(shù)據(jù)庫(kù)用戶(hù)活動(dòng)，更談不上細(xì)粒度的審計(jì)。因此，無(wú)論是防火墻，還是 IPS都不能解決數(shù)據(jù)庫(kù)特權(quán)濫用等問(wèn)題。

　　基于日志收集方案：需要數(shù)據(jù)庫(kù)軟件本身開(kāi)啟審計(jì)功能，通過(guò)采集數(shù)據(jù)庫(kù)系統(tǒng)日志信息的方法形成審計(jì)報(bào)告，這樣的審計(jì)方案受限于數(shù)據(jù)庫(kù)的審計(jì)日志功能和訪(fǎng)問(wèn)控制功能，在審計(jì)深度、審計(jì)響應(yīng)的實(shí)時(shí)性方面都難以獲得很好的審計(jì)效果。同時(shí)，開(kāi)啟數(shù)據(jù)庫(kù)審計(jì)功能，一方面會(huì)增加數(shù)據(jù)庫(kù)服務(wù)器的資源消耗，嚴(yán)重影響數(shù)據(jù)庫(kù)性能;另一方面審計(jì)信息的真實(shí)性、完整性也無(wú)法保證。

　　其他諸如應(yīng)用程序修改、數(shù)據(jù)源觸發(fā)器、統(tǒng)一認(rèn)證系統(tǒng)授權(quán)等等方式，均只能記錄有限的信息，更加無(wú)法提供細(xì)料度的數(shù)據(jù)庫(kù)操作審計(jì)。

　　數(shù)據(jù)庫(kù)審計(jì)

　　數(shù)據(jù)庫(kù)審計(jì)概念

　　審計(jì)，英文稱(chēng)之為“audit”，檢查、驗(yàn)證目標(biāo)的準(zhǔn)確性和完整性，用以防止虛假數(shù)據(jù)和欺騙行為，以及是否符合既定的標(biāo)準(zhǔn)、標(biāo)竿和其它審計(jì)原則。

　　審計(jì)概念最早用于財(cái)務(wù)系統(tǒng)，主要是獲取金融體系和金融記錄的公司或企業(yè)的財(cái)務(wù)報(bào)表的相關(guān)信息。隨著科技信息技術(shù)的發(fā)展，大部份的企業(yè)、機(jī)構(gòu)和組織的財(cái)務(wù)系統(tǒng)都運(yùn)行在信息系統(tǒng)上面，所以信息手段成為財(cái)務(wù)審計(jì)的一種技術(shù)的同時(shí)，財(cái)務(wù)審計(jì)也帶動(dòng)了通用信息系統(tǒng)的審計(jì)。審計(jì)已開(kāi)始包括信息技術(shù)審計(jì)。

　　信息技術(shù)審計(jì)，是一個(gè)信息技術(shù)( IT )基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計(jì)是一個(gè)通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過(guò)程。

　　數(shù)據(jù)庫(kù)審計(jì)作為信息安全審計(jì)的重要組成部分，同時(shí)也是數(shù)據(jù)庫(kù)管理系統(tǒng)安全性重要的一部分。通過(guò)審計(jì)功能，凡是與數(shù)據(jù)庫(kù)安全性相關(guān)的操作均可被記錄下來(lái)。只要檢測(cè)審計(jì)記錄，系統(tǒng)安全員便可掌握數(shù)據(jù)庫(kù)被使用狀況。例如，檢查庫(kù)中實(shí)體的存取模式，監(jiān)測(cè)指定用戶(hù)的行為。審計(jì)系統(tǒng)可以跟蹤用戶(hù)的全部操作，這也使審計(jì)系統(tǒng)具有一種威懾力，提醒用戶(hù)安全使用數(shù)據(jù)庫(kù)。

　　數(shù)據(jù)庫(kù)審計(jì)立法

　　《薩班斯-奧克斯利法案(2002 Sarbanes-Oxley Act)》的第302條款和第404條款中，強(qiáng)調(diào)通過(guò)內(nèi)部控制加強(qiáng)公司治理，包括加強(qiáng)與財(cái)務(wù)報(bào)表相關(guān)的IT系統(tǒng)內(nèi)部控制，其中，IT系統(tǒng)內(nèi)部控制就是面向具體的業(yè)務(wù)，它是緊密?chē)@信息安全審計(jì)這一核心的。

　　《企業(yè)內(nèi)部控制規(guī)范--基本規(guī)范的內(nèi)部審計(jì)機(jī)制》，中國(guó)的薩班斯法案，提出健全內(nèi)部審計(jì)機(jī)構(gòu)、加強(qiáng)內(nèi)部審計(jì)監(jiān)督是營(yíng)造守法、公平、正直的內(nèi)部環(huán)境的重要保證。企業(yè)應(yīng)當(dāng)加強(qiáng)內(nèi)部審計(jì)工作，在企業(yè)內(nèi)部形成有權(quán)必有責(zé)、用權(quán)受監(jiān)督的良好氛圍。

　　ISO7498《信息處理系統(tǒng)開(kāi)放系統(tǒng)互連——基本參考模型》第二部分安全體系結(jié)構(gòu)在“安全服務(wù)與安全機(jī)制的一般描述”中指出安全審計(jì)跟蹤提供了一種不可忽視的安全機(jī)制，它的潛在價(jià)值在于經(jīng)事后的安全審計(jì)得以檢測(cè)和調(diào)查安全的漏洞。安全審計(jì)就是對(duì)系統(tǒng)的記錄與行為進(jìn)行獨(dú)立的品評(píng)考查, 目的是測(cè)試系統(tǒng)的控制是否恰當(dāng), 保證與既定策略和操作堆積的協(xié)調(diào)一致, 有助于作出損害評(píng)估, 以及對(duì)在控制、策略與規(guī)程中指明的改變作出評(píng)價(jià).安全審計(jì)要求在安全審計(jì)跟蹤中記錄有關(guān)安全的信息, 分析和報(bào)告從安全審計(jì)跟蹤中得來(lái)的信息。這種日志記錄或記錄被認(rèn)為是一種安全機(jī)制并在本條中予以描述, 而把分析和報(bào)告視為一種安全管理功能。

　　《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理技術(shù)要求》是計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求系列標(biāo)準(zhǔn)之一，詳細(xì)說(shuō)明了計(jì)算機(jī)信息系統(tǒng)為實(shí)現(xiàn)GB17859所提出的安全等級(jí)保護(hù)要求對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)的安全技術(shù)要求，以及確保這些安全技術(shù)所實(shí)現(xiàn)的安全功能達(dá)到其應(yīng)有的安全性而采取的保證措施。其在 “數(shù)據(jù)庫(kù)安全審計(jì)”中明確要求：

　　數(shù)據(jù)庫(kù)管理系統(tǒng)的安全審計(jì)應(yīng)建立獨(dú)立的安全審計(jì)系統(tǒng);定義與數(shù)據(jù)庫(kù)安全相關(guān)的審計(jì)事件;設(shè)置專(zhuān)門(mén)的安全審計(jì)員;設(shè)置專(zhuān)門(mén)用于存儲(chǔ)數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)數(shù)據(jù)的安全審計(jì)庫(kù);提供適用于數(shù)據(jù)庫(kù)系統(tǒng)的安全審計(jì)設(shè)置、分析和查閱的工具。

　　明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)

　　明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)是杭州安恒信息技術(shù)有限公司結(jié)合多年數(shù)據(jù)庫(kù)安全的理論和實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上，結(jié)合各類(lèi)法令法規(guī)對(duì)數(shù)據(jù)庫(kù)審計(jì)的要求，自主研發(fā)完成的業(yè)界首創(chuàng)細(xì)粒度審計(jì)、精準(zhǔn)化行為回溯、全方位風(fēng)險(xiǎn)控制的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品。以獨(dú)立硬件審計(jì)的工作模式，靈活的審計(jì)策略配置，解決企業(yè)核心數(shù)據(jù)庫(kù)面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅，滿(mǎn)足各類(lèi)法令法規(guī)對(duì)數(shù)據(jù)庫(kù)審計(jì)的要求，廣泛適用于“政府、金融、運(yùn)營(yíng)商、公安、能源、稅務(wù)、工商、社保、交通、衛(wèi)生、教育、電子商務(wù)及企業(yè)”等所有使用數(shù)據(jù)庫(kù)的各個(gè)行業(yè)。支持Oracle、MS-SQL Server、DB2、Sybase、Informix等業(yè)界主流數(shù)據(jù)庫(kù)，提升數(shù)據(jù)庫(kù)運(yùn)行監(jiān)控的透明度，降低人工審計(jì)成本，真正實(shí)現(xiàn)數(shù)據(jù)庫(kù)運(yùn)行可視化、日常操作可監(jiān)控、危險(xiǎn)操作可控制、所有行為可審計(jì)、安全事件可追溯。

　　主要功能

　　明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)主要的功能模塊包括“靜態(tài)審計(jì)、實(shí)時(shí)監(jiān)控與風(fēng)險(xiǎn)控制、動(dòng)態(tài)審計(jì)(全方位、細(xì)粒度)、審計(jì)報(bào)表、安全事件回放、綜合管理”。

以上詳細(xì)講解了數(shù)據(jù)庫(kù)安全審計(jì)的具體內(nèi)容，認(rèn)真閱讀后從中會(huì)能學(xué)到好多東西，以后自家的計(jì)算機(jī)需要數(shù)據(jù)庫(kù)安全審計(jì)時(shí)就不用發(fā)愁啦，希望能幫到大家。

【編輯推薦】

1. 數(shù)據(jù)庫(kù)安全審計(jì)
2. 了解數(shù)據(jù)庫(kù)安全審計(jì)工具
3. 解析數(shù)據(jù)庫(kù)安全審計(jì)
4. 網(wǎng)絡(luò)監(jiān)聽(tīng)成數(shù)據(jù)庫(kù)安全審計(jì)的最佳手段