数据库审计是监控数据库访问行为的系统。 一般采用旁路部署,通过镜像或探针收集所有数据库访问流量,并基于SQL语法和语义解析技术记录所有数据库访问。 数据库审计系统的主要价值是双重的。 首先,为数据库安全事件(如数据篡改、泄#)发生后确定事件责任提供依据; 其次,它对数据库操作中的风险行为提供实时警报。
2、如何进行数据库审计?
1、数据库访问流量采集
流量采集是数据库审计系统的基础。 只有收集所有数据库访问流量,才能保证数据库审计的可用性和价值。 目前流量采集方式主要有两种:
镜像方式:采用旁路部署,通过镜像获取数据库的所有访问流量。 一般适用于传统IT架构,所有数据库访问流量通过镜像转发到数据库审计系统,实现数据库访问流量的获取。
探针法:为了适应“云环境”、“虚拟化”、“一体机”的数据库审计需求,基于“探针”法捕获数据库访问流量。 适用于复杂的网络环境,在应用端或数据库服务器上部署组件(由产品提供),通过虚拟环境分配的审计管理网口传输数据,完成数据库流量采集。
基于探针的数据采集还可以进行数据库本地行为审计,包括数据库和应用系统同机审计以及远程登录后的客户端行为。 实现原理如下:
2. 语法和语义分析
SQL语法和语义解析技术是使数据库审计系统可用、易用的必要条件。 准确的数据库协议分析可以保证数据库审计的全面性和易用性。 综合审计结果应包括:访问数据库的应用层信息、客户端信息、数据库信息、对象信息、响应信息、登录时间、操作时间、SQL响应时间等; 高可用的数据库审计产品的审计结果和报告应该能够用业务语言呈现对数据库的访问行为,如转向客户端IP、数据库用户、SQL操作类型、数据库表名、列名等将数据库中的条件过滤成业务人员熟悉的元素。 :办公地点、员工姓名、业务运营、业务对象、业务要素、某些类别的业务信息。 这样,即使是非专业的DBA、运维人员、管理人员或业务人员也能了解审计结果。
3、数据库审计的价值是什么?
1、数据库安全事件溯源及责任认定
数据库审计的核心价值是为数据库安全事件发生后的问责和责任确定提供依据。 同时,还可以对数据库攻击和非法操作起到震慑作用。 数据库本身携带的审计功能不仅会拖慢数据库的性能,而且也有其自身的弊端。 例如,高权限用户可以删除审计日志、日志查看需要专业知识、日志分析高度复杂等。 独立的数据库审计产品可以有效避免上述缺点。 分权原则可以避免审计日志的删除和篡改。 SQL语句解析技术可以将审计结果翻译成易于理解的业务语言,以便普通业务人员和管理人员能够理解。
2、数据库风险行为发现与预警
数据库审计系统还可以对数据库的攻击和危险操作提供实时警报,以便管理人员及时采取应对措施,避免数据被破坏或被盗。 该功能的实现主要是基于SQL语句的精确解析技术。 它利用SQL语句的特征分析,快速实现语句的策略判断,从而发现数据库入侵行为、数据库异常行为、数据库非法访问行为,并通过短信和电子邮件的方式。 、等方式进行实时报警。
3.满足合规要求
满足国家《网络安全法》、《A级保护条例》以及各类行业法规对数据库审计的合规要求。 可根据需要形成不同的审计报告,如:综合报告、合规报告、专题报告、定制报告等。
4、如何选择数据库审计系统?
1.数据库审计产品选择
▪ 两类数据库审计技术路线比较
▪ 如果数据库审计不准确,那它还有什么用呢?
▪ 从用户角度看数据库审计应具备的功能
▪ 老产品焕发新活力,浅谈数据库审计新特性
▪ 数据库审计系统分布式解决方案
▪ Avago 数据库审计产品的演变
▪ 客户评价:“头像和数据库审核很有趣”
2、数据库审计相关技术
▪ 浅谈数据库审计产品的三代演进
▪ 数据库审计的常见陷阱之一:概述
▪ 数据库审计的第二个常见缺陷:缺少长SQL语句
▪ 数据库审计的第三个常见缺陷:多条语句无法分离
▪ 数据库审计常见缺陷之四:对象解析错误
▪ 数据库审计常见缺陷之五:参数审计错误
▪ 如何配置合理的数据库审计策略