一、數(shù)據(jù)安全的核心

隨著《數(shù)據(jù)安全法》草案的審議通過，數(shù)據(jù)安全被提升到了國家安全級別的重要地位，數(shù)據(jù)變成如同水電一般重要的生產(chǎn)要素。保障數(shù)據(jù)安全發(fā)展和利用，是各個生產(chǎn)部門，監(jiān)管單位的重要責任。

[[344997]]

數(shù)據(jù)安全能力建設也緊緊圍繞著數(shù)據(jù)這一關鍵要素的生存周期來展開，以此理念而誕生的DSMM框架逐漸成為主流建設規(guī)范。數(shù)據(jù)庫作為數(shù)據(jù)的核心載體，其安全防護是重中之重，而數(shù)據(jù)庫審計則是數(shù)據(jù)庫安全防御體系的重要組成部分。本文將嘗試從“以數(shù)據(jù)為中心”的角度來重新梳理數(shù)據(jù)庫審計的技術進化方向。

二、數(shù)據(jù)庫審計的重要性

數(shù)據(jù)庫審計在gartner咨詢機構2019年發(fā)布的安全產(chǎn)品超生存周期圖譜中，與數(shù)據(jù)庫加密等產(chǎn)品一起劃到了成熟期產(chǎn)品里。作為一款指向性很強，基本不太容易走偏的安全產(chǎn)品，其發(fā)展路程經(jīng)歷了數(shù)據(jù)庫日志審計、數(shù)據(jù)庫流量審計、數(shù)據(jù)庫業(yè)務審計與防護等多個階段。在數(shù)據(jù)庫安全防御矩陣中起到了核心角色作用，也是等保合規(guī)建設中的“基本款”。

三、數(shù)據(jù)庫審計的不足

數(shù)據(jù)庫審計發(fā)展成熟，其作為單品已經(jīng)完備而且基本滿足客戶需求，就如同20世紀初湯姆生說的，物理大廈已經(jīng)建成，天空一片晴朗，只有那兩朵烏云遮罩。在這兩年的數(shù)據(jù)安全新的發(fā)展形勢下，這兩朵烏云逐漸放大、彌漫，我們從業(yè)人員已經(jīng)不得不對其保持高度重視態(tài)度。

1. 重行為，輕數(shù)據(jù)的審計思路

傳統(tǒng)的數(shù)據(jù)庫審計注重上行流量審計，關注用戶做什么，怎么做。這不止是安全企業(yè)的實現(xiàn)思路問題，相關安全審計國標要求里也是大篇幅描述操作行為審計。在傳統(tǒng)的網(wǎng)絡安全中，注重操作的合規(guī)性，這可以理解，但是這一側重點違背了以數(shù)據(jù)為中心的核心理念。我們以一個小偷入室偷竊為例子，備案重點記錄小偷是否入室，用的什么工具，何時何地作案等行為，然后才關注小偷的作案金額數(shù)量。

如果基于數(shù)據(jù)安全的理念，備案應優(yōu)先重點關注家里的物品是否損失，包括偷看，偷摸，偷盜，銷毀等造成個人財產(chǎn)損失的資產(chǎn)信息。這種理念的差異會導致案情界定的不一致。對于數(shù)據(jù)庫操作來說也是一樣的，數(shù)據(jù)庫審計可以輕易判斷sql語句是否有危害，但是針對同一個操作語句，比如 “select * from AA;”，卻缺乏判斷依據(jù)，其本身從行為上看對數(shù)據(jù)庫無害，但如果AA是存儲用戶帳號的表，那么執(zhí)行這條語句就可能會引發(fā)一起敏感數(shù)據(jù)泄漏事故。

所以必須依靠查詢的表對象和字段列表來判斷，而這個偏業(yè)務的信息靠人工梳理，效率低且難以實現(xiàn)。在這種輕數(shù)據(jù)的設計思路下，難以發(fā)揮出數(shù)據(jù)庫審計最佳的效果。

2. 業(yè)務審計，只是三層關聯(lián)怎么夠

目前各家產(chǎn)品都實現(xiàn)了業(yè)務審計。所謂業(yè)務審計主要靠三層關聯(lián)審計，從人-應用-數(shù)據(jù)庫這三層的訪問鏈路關聯(lián)來進一步定位源訪問信息。三層審計主要實現(xiàn)思路包括兩大類。一種是基于web流量和數(shù)據(jù)庫流量，從操作語句特征、訪問時間戳等維度進行擬合。這種方式在并發(fā)量高的時候準確度低下，基本無法匹配上。另一種是基于agent方式，利用JAVA的特性，hook底層jdbc訪問層，實現(xiàn)web信息和數(shù)據(jù)庫信息的自動關聯(lián)。通過將數(shù)據(jù)日志傳輸?shù)綌?shù)據(jù)庫審計系統(tǒng)統(tǒng)一存儲和展示。

這種實現(xiàn)方式精度高，基本無誤報漏報，對于業(yè)務方也無需做網(wǎng)絡改造和業(yè)務改造。但是需要在應用系統(tǒng)加載插件，共享一個進程，會帶來一定的性能損耗和穩(wěn)定性風險。用戶對這一方法的接受度也不太高。所以目前雖然說三層關聯(lián)，但是真正落地產(chǎn)生價值的并不多。

三、數(shù)據(jù)庫審計新技術思路

通過以上分析，我們總結了一些技術點，在數(shù)據(jù)安全時代，可以讓數(shù)據(jù)庫審計發(fā)揮更大的價值。

(1) 突顯數(shù)據(jù)審計

數(shù)據(jù)庫審計下行流量帶有大量的敏感信息。充分利用數(shù)據(jù)分類分級管理成果，建立一套成熟有效的更新機制，對訪問敏感的數(shù)據(jù)庫表、字段進行重點審計。建立一套依賴于AI能力的數(shù)據(jù)基線，從用戶帳號、獲取敏感數(shù)據(jù)量、執(zhí)行時間段、流量等各個維度綜合判斷異常。由于現(xiàn)實中，存儲能力有限，應該根據(jù)分類分級的字段列表，選擇性的存儲關鍵表、關鍵字段。

(2) 全面擁抱業(yè)務審計

業(yè)務關聯(lián)有利于提升整體的審計價值，追溯定位到真正的人。如前所述，兩種主流實現(xiàn)方式都有自己的弊端。如果我們從數(shù)據(jù)自身出發(fā)，不再追求操作行為的一致性，那么問題似乎會好解決一些。比如：用戶通過瀏覽器發(fā)起一個請求，返回了一串手機號列表，同時后臺數(shù)據(jù)庫也發(fā)生了一起查詢事件，返回了一串手機號列表。通過判斷二者數(shù)據(jù)的強關聯(lián)性，自動將訪問信息和數(shù)據(jù)庫操作行為關聯(lián)綁定，盡管二者在內(nèi)部業(yè)務實現(xiàn)邏輯上是不一致的。不斷的從二者返回數(shù)據(jù)中進行模式匹配，不再基于時間戳和訪問特征的擬合，準確率會大大提高，真正的做到業(yè)務關聯(lián)審計。

(3) 擁抱大數(shù)據(jù)時代

不管是自建大數(shù)據(jù)分析引擎、引入UEBA技術理念，進行用戶行為分析，刻畫用戶畫像還是將數(shù)據(jù)轉發(fā)給第三方大數(shù)據(jù)分析平臺，自身退化成流量探針，對于數(shù)據(jù)庫審計來說，審計結果展示和利用智能化都不可避免。隨著審計數(shù)據(jù)量的暴漲，傳統(tǒng)的存儲引擎不再適用，大數(shù)據(jù)分布式存儲引擎正在大規(guī)模的引入。在數(shù)據(jù)安全背景下，數(shù)據(jù)庫審計探針化、SDK化幾乎不可避免。

四、總結

數(shù)據(jù)庫審計是一個成熟化很高的產(chǎn)品，短期內(nèi)看不到具有挑戰(zhàn)性的發(fā)展路線圖。在數(shù)據(jù)安全治理背景下，需要主動適應，做一些改變，才能更好的發(fā)揮數(shù)據(jù)庫安全價值。