一、什么是数据库审计?
数据库审计是监督数据库访问行为的系统,一般采用旁路配置方式,通过镜像或探针收集所有数据库访问流量,基于SQL语法、语义分析技术,记录数据库的所有访问和操作行为,如访问数据的用户(IP、账户、时间)数据库审计系统的主要价值有两点。一是数据库安全事件(例如数据篡改、泄露)发生后,为事件追究责任提供依据,二是对数据库操作的风险行为进行时警告。
二、数据库审计如何审查?
1、数据库访问流量采集。流量收集是数据库审计系统的基础,只有实现数据库访问流量的全收集,才能保证数据库审计的可用性和价值。目前主要的流量收集方式主要有两种。镜像方式:旁路部署通过镜像获得数据库的所有访问流量。一般适用于传统的IT架构,通过镜像将所有访问数据库的流量转移到数据库审计系统,实现数据库访问流量的获得。探针方式:为了适应云环境虚拟化和一体化数据库的审计需求,以探针方式捕获数据库访问流量。适用于复杂的网络环境,在应用终端或数据库服务器上部署Rmagent组件(产品提供),通过虚拟环境分配的审计管理站点进行数据传输,完成数据库流量收集。探针式数据采集还可以进行数据库当地行为审计,包括数据库和应用系统同机审计和远程登录后的客户端行为。
2.语法、语义分析。SQL语法、语义分析技术是实现数据库审计系统可用、易用的必要条件。正确的数据库协议分析可以保证数据库审计的全面性和易用性。易用的数据库审计产品,如访问数据库的应用层信息、客户信息、数据库信息、对象信息、响应信息、注册时间、操作时间、SQL响应时间等,应用层综合审计结果应包括访问数据库的应用层信息、客户信息、数据库信息、对象信息、响应信息、注册时间等。比如,客户IP、数据库用户、SQL操作类型、数据库表名称、列名、过滤条件在数据库中被业务人员所熟悉:办公室、雇员名、业务操作、业务对象、业务要素、业务要素、某些业务信息。这样,即使是非专业的DBA和运输人员的管理者和营业员也能理解审计结果。
三、数据库审计的价值?
1、数据库相关安全事件的追踪和责任。数据库审计的核心价值在数据库安全事件发生后,为追究责任、决定责任提供依据,同时也可以抑制数据库的攻击和非法操作等行为。数据库本身携带的审计功能不仅会延迟数据库的性能,还会有自己的缺点。比如,高权限用户可以删除审核日志、需要专门技术的日志、复杂的日志分析等等。独立数据库审核产品,可有效避免以上弊端。权限分立原则可避免删除和篡改审计日志,SQL语言分析技术可将审计结果转换为可理解的业务语言,从而使一般业务人员和管理人员都能理解。
2.数据库风险行为的发现和警告。
数据库审计系统还可以实时警告数据库的攻击和风险操作,管理者可以立即采取对策,以免数据被破坏或被盗。该功能的实现主要基于sql的语句精确分析技术,利用对SQL语句的特点分析,迅速实现语句的战略判定,发现数据库入侵行为、数据库异常行为、数据库违反访问行为,通过邮件、邮件、Syslog等多种方式实时警告。3.满足合规性的需要。满足国家《网络安全法》、等保证规定和各行业规定对数据库审计的合规性需求。可以根据需要形成综合报告、合规报告、特别报告、定制报告等审计报告。