IT安全運(yùn)維 | 數(shù)據(jù)庫審計(jì)簡介 

一、數(shù)據(jù)庫審計(jì)是什么

數(shù)據(jù)庫審計(jì)是對(duì)數(shù)據(jù)庫訪問行為進(jìn)行監(jiān)管的系統(tǒng)，一般采用旁路部署的方式，通過鏡像或探針的方式采集所有數(shù)據(jù)庫的訪問流量，并基于SQL語法、語義的解析技術(shù)，記錄下數(shù)據(jù)庫的所有訪問和操作行為，例如訪問數(shù)據(jù)的用戶（IP、賬號(hào)、時(shí)間），操作（增、刪、改、查）、對(duì)象（表、字段）等。數(shù)據(jù)庫審計(jì)系統(tǒng)的主要價(jià)值有兩點(diǎn)，一是：在發(fā)生數(shù)據(jù)庫安全事件（例如數(shù)據(jù)篡改、泄露）后為事件的追責(zé)定責(zé)提供依據(jù)，供安全運(yùn)維人員查看；二是，針對(duì)數(shù)據(jù)庫操作的風(fēng)險(xiǎn)行為進(jìn)行時(shí)時(shí)告警,

二、數(shù)據(jù)庫審計(jì)怎么審

1、數(shù)據(jù)庫訪問流量采集

流量采集是數(shù)據(jù)庫審計(jì)系統(tǒng)的基礎(chǔ)，只有做到數(shù)據(jù)庫訪問流量的全采集，才能保證數(shù)據(jù)庫審計(jì)的可用性和價(jià)值，目前主要的流量采集方式主要有兩種：

鏡像方式：采用旁路部署通過鏡像方式獲取數(shù)據(jù)庫的所有訪問流量。一般適用于傳統(tǒng)IT架構(gòu)，通過鏡像方式將所有訪問數(shù)據(jù)庫的流量轉(zhuǎn)發(fā)到數(shù)據(jù)庫審計(jì)系統(tǒng)，來實(shí)現(xiàn)數(shù)據(jù)庫訪問流量的獲取。

探針方式：為了適應(yīng)“云環(huán)境”“虛擬化”及“一體機(jī)”數(shù)據(jù)庫審計(jì)需求，基于“探針”方式捕獲數(shù)據(jù)庫訪問流量。適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境，在應(yīng)用端或數(shù)據(jù)庫服務(wù)器部署Rmagent組件（產(chǎn)品提供），通過虛擬環(huán)境分配的審計(jì)管理網(wǎng)口進(jìn)行數(shù)據(jù)傳輸，完成數(shù)據(jù)庫流量采集。

探針式數(shù)據(jù)采集，還可以進(jìn)行數(shù)據(jù)庫本地行為審計(jì)，包括數(shù)據(jù)庫和應(yīng)用系統(tǒng)同機(jī)審計(jì)和遠(yuǎn)程登錄后的客戶端行為。實(shí)現(xiàn)原理如下：

2、語法、語義解析

SQL語法、語義的解析技術(shù)，是實(shí)現(xiàn)數(shù)據(jù)庫審計(jì)系統(tǒng)可用、易用的必要條件。準(zhǔn)確的數(shù)據(jù)庫協(xié)議解析，能夠保障數(shù)據(jù)庫審計(jì)的全面性與易用性。全面的審計(jì)結(jié)果應(yīng)該包括：訪問數(shù)據(jù)庫的應(yīng)用層信息、客戶端信息、數(shù)據(jù)庫信息、對(duì)象信息、響應(yīng)信息、登錄時(shí)間、操作時(shí)間、SQL響應(yīng)時(shí)長等；高易用性的數(shù)據(jù)庫審計(jì)產(chǎn)品的審計(jì)結(jié)果和報(bào)告，應(yīng)該能夠使用業(yè)務(wù)化的語言呈現(xiàn)出對(duì)數(shù)據(jù)庫的訪問行為，例如將數(shù)據(jù)庫中的要素客戶端IP、數(shù)據(jù)庫用戶、SQL 操作類型、數(shù)據(jù)庫表名稱、列名稱、過濾條件變成業(yè)務(wù)人員熟悉的要素：辦公地點(diǎn)、工作人員名稱、業(yè)務(wù)操作、業(yè)務(wù)對(duì)象、業(yè)務(wù)元素、某種類別的業(yè)務(wù)信息。這樣的是審計(jì)結(jié)果呈現(xiàn)即便是非專業(yè)的DBA或運(yùn)維人員的管理者或業(yè)務(wù)人員也能夠看懂。

三、數(shù)據(jù)庫審計(jì)的價(jià)值

1、數(shù)據(jù)庫相關(guān)安全事件的追溯與定責(zé)

數(shù)據(jù)庫審計(jì)的核心價(jià)值是在發(fā)生數(shù)據(jù)庫安全事件后，為追責(zé)、定責(zé)提供依據(jù)，與此同時(shí)也可以對(duì)數(shù)據(jù)庫的攻擊和非法操作等行為起到震懾的作用。數(shù)據(jù)庫自身攜帶的審計(jì)功能，不僅會(huì)拖慢數(shù)據(jù)庫的性能，同時(shí)也有其自身的弊端，比如高權(quán)限用戶可以刪除審計(jì)日志，日志查看需要專業(yè)知識(shí)，日志分析復(fù)雜度高等。獨(dú)立的數(shù)據(jù)庫審計(jì)產(chǎn)品，可以有效避免以上弊端。三權(quán)分立原則可以避免針對(duì)審計(jì)日志的刪除和篡改，SQL語句解析技術(shù)，可以將審計(jì)結(jié)果翻譯成通俗易懂的業(yè)務(wù)化語言，使得一般的業(yè)務(wù)人員和管理者也能看懂。

2、數(shù)據(jù)庫風(fēng)險(xiǎn)行為發(fā)現(xiàn)與告警

數(shù)據(jù)庫審計(jì)系統(tǒng)還可以對(duì)于針對(duì)數(shù)據(jù)庫的攻擊和風(fēng)險(xiǎn)操作等進(jìn)行實(shí)時(shí)告警，以便管理人員及時(shí)作出應(yīng)對(duì)措施，從而避免數(shù)據(jù)被破壞或者竊取。這一功能的實(shí)現(xiàn)主要基于sql的語句準(zhǔn)確解析技術(shù)，利用對(duì)SQL語句的特征分析，快速實(shí)現(xiàn)對(duì)語句的策略判定，從而發(fā)現(xiàn)數(shù)據(jù)庫入侵行為、數(shù)據(jù)庫異常行為、數(shù)據(jù)庫違規(guī)訪問行為，并通過短信、郵件、Syslog等多種方式實(shí)時(shí)告警。

3、滿足合規(guī)需求

滿足國家《網(wǎng)絡(luò)安全法》、等保規(guī)定以及各行業(yè)規(guī)定中對(duì)于數(shù)據(jù)庫審計(jì)的合規(guī)性需求。并可根據(jù)需求形成不同的審計(jì)報(bào)表，例如：綜合報(bào)表、合規(guī)性報(bào)表、專項(xiàng)報(bào)表、自定義報(bào)表等。

以上內(nèi)容由北京艾銻無限科技發(fā)展有限公司整理