近兩年，拖庫現(xiàn)象頻發(fā)，黑客盜取數(shù)據(jù)庫的技術(shù)在不斷提升。雖然數(shù)據(jù)庫的防護(hù)能力也在提升，但相比黑客的手段來說，單純的數(shù)據(jù)庫防護(hù)還是心有余而力不足。數(shù)據(jù)庫審計已經(jīng)不是一種新興的技術(shù)手段，但是卻在數(shù)據(jù)庫安全事件頻發(fā)的今天給我們以新的啟示。數(shù)據(jù)庫受到的威脅大致有這么幾種：

一、內(nèi)部人員錯誤

數(shù)據(jù)庫安全的一個潛在風(fēng)險就是“非故意的授權(quán)用戶攻擊”和內(nèi)部人員錯誤。這種安全事件類型的最常見表現(xiàn)包括：由于不慎而造成意外刪除或泄漏，非故意的規(guī)避安全策略。在授權(quán)用戶無意訪問敏感數(shù)據(jù)并錯誤地修改或刪除信息時，就會發(fā)生第一種風(fēng)險。在用戶為了備份或“將工作帶回家”而作了非授權(quán)的備份時，就會發(fā)生第二種風(fēng)險。雖然這并不是一種惡意行為，但很明顯，它違反了公司的安全策略，并會造成數(shù)據(jù)存放到存儲設(shè)備上，在該設(shè)備遭到惡意攻擊時，就會導(dǎo)致非故意的安全事件。例如，筆記本電腦就能造成這種風(fēng)險。

二、社交工程

由于攻擊者使用的高級釣魚技術(shù)，在合法用戶不知不覺地將安全機密提供給攻擊者時，就會發(fā)生大量的嚴(yán)重攻擊。這些新型攻擊的成功，意味著此趨勢在 2012年繼續(xù)。在這種情況下，用戶會通過一個受到損害的網(wǎng)站或通過一個電子郵件響應(yīng)將信息提供給看似合法的請求。應(yīng)當(dāng)通知雇員這種非法的請求，并教育他們不要做出響應(yīng)。此外，企業(yè)還可以通過適時地檢測可疑活動，來減輕成功的釣魚攻擊的影響。數(shù)據(jù)庫活動監(jiān)視和審計可以使這種攻擊的影響最小化。

三、內(nèi)部人員攻擊

很多數(shù)據(jù)庫攻擊源自企業(yè)內(nèi)部。當(dāng)前的經(jīng)濟環(huán)境和有關(guān)的裁員方法都有可能引起雇員的不滿，從而導(dǎo)致內(nèi)部人員攻擊的增加。這些內(nèi)部人員受到貪欲或報復(fù)欲的驅(qū)使，且不受防火墻及入侵防御系統(tǒng)等的影響，容易給企業(yè)帶來風(fēng)險。

四、錯誤配置

黑客可以使用數(shù)據(jù)庫的錯誤配置控制“肉機”訪問點，借以繞過認(rèn)證方法并訪問敏感信息。這種配置缺陷成為攻擊者借助特權(quán)提升發(fā)動某些攻擊的主要手段。如果沒有正確的重新設(shè)置數(shù)據(jù)庫的默認(rèn)配置，非特權(quán)用戶就有可能訪問未加密的文件，未打補丁的漏洞就有可能導(dǎo)致非授權(quán)用戶訪問敏感數(shù)據(jù)。

五、未打補丁的漏洞

如今攻擊已經(jīng)從公開的漏洞利用發(fā)展到更精細(xì)的方法，并敢于挑戰(zhàn)傳統(tǒng)的入侵檢測機制。漏洞利用的腳本在數(shù)據(jù)庫補丁發(fā)布的幾小時內(nèi)就可以被發(fā)到網(wǎng)上。當(dāng)即就可以使用的漏洞利用代碼，再加上幾十天的補丁周期（在多數(shù)企業(yè)中如此），實質(zhì)上幾乎把數(shù)據(jù)庫的大門完全打開了。

六、高級持續(xù)性威脅

之所以稱其為高級持續(xù)性威脅，是因為實施這種威脅的是有組織的專業(yè)公司或政府機構(gòu)，它們掌握了威脅數(shù)據(jù)庫安全的大量技術(shù)和技巧，而且是“咬定青山不放松”“立根原在"金錢（有資金支持）"中”，“千磨萬擊還堅勁，任爾東西南北風(fēng)”。這是一種正甚囂塵上的風(fēng)險：熱衷于竊取數(shù)據(jù)的公司甚至外國政府專門竊取存儲在數(shù)據(jù)庫中的大量關(guān)鍵數(shù)據(jù)，不再滿足于獲得一些簡單的數(shù)據(jù)。特別是一些個人的私密及金融信息，一旦失竊，這些數(shù)據(jù)記錄就可以在信息黑市上銷售或使用，并被其它政府機構(gòu)操縱。鑒于數(shù)據(jù)庫攻擊涉及到成千上萬甚至上百萬的記錄，所以其日益增長和普遍。通過鎖定數(shù)據(jù)庫漏洞并密切監(jiān)視對關(guān)鍵數(shù)據(jù)存儲的訪問，數(shù)據(jù)庫的專家們可以及時發(fā)現(xiàn)并阻止這些攻擊。#p#

數(shù)據(jù)庫審計不但可以在發(fā)生數(shù)據(jù)泄露和損壞之前，起到一定的防護(hù)作用，更重要的是數(shù)據(jù)庫審計能夠詳細(xì)的記錄數(shù)據(jù)庫訪問的歷史記錄，可以真實的還原數(shù)據(jù)泄露的過程，再現(xiàn)事件當(dāng)事人的行為細(xì)節(jié)，為日后法律責(zé)任追究建立有效的證據(jù)，防止事態(tài)擴大化。一般來講，數(shù)據(jù)庫審計能夠起到如下的作用：

滿足合規(guī)性要求，順利通過IT審計

目前，越來越多的單位面臨一種或者幾種合規(guī)性要求。比如，在美上市的中國移動集團公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求；而商業(yè)銀行則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國有企業(yè)則要遵循等級保護(hù)的合規(guī)性要求。

有效減少核心信息資產(chǎn)的破壞和泄露

對單位的業(yè)務(wù)系統(tǒng)來說，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個關(guān)鍵系統(tǒng)和關(guān)鍵服務(wù)器上，能夠加強對這些關(guān)鍵系統(tǒng)的訪問控制與審計，從而有效地減少核心信息資產(chǎn)的破壞和泄露。

有效控制運維操作風(fēng)險，便于事后追查原因與界定責(zé)任

一個單位里負(fù)責(zé)運維的部門通常擁有目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的最高權(quán)限，因而也承擔(dān)著很高的風(fēng)險（誤操作或者是個別人員的惡意破壞）?；诮巧脑L問控制與審計，有效地控制運維操作風(fēng)險，還能夠有效地區(qū)分不同維護(hù)人員的身份，便于事后追查原因與界定責(zé)任。

有效控制業(yè)務(wù)運行風(fēng)險，直觀掌握業(yè)務(wù)系統(tǒng)運行的安全狀況

業(yè)務(wù)系統(tǒng)的正常運行需要一個安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。提供審計事件及會話的統(tǒng)計分析功能，能夠直觀地反映網(wǎng)絡(luò)環(huán)境的安全狀況。

實現(xiàn)獨立審計與三權(quán)分立，完善IT內(nèi)控機制

從內(nèi)控的角度來看，IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。實現(xiàn)獨立的審計與三權(quán)分立，在三權(quán)分立的基礎(chǔ)上實施內(nèi)控與審計，有效地控制操作風(fēng)險（包括業(yè)務(wù)操作風(fēng)險與運維操作風(fēng)險），完善IT內(nèi)控機制。