IT安全運維 | 數據庫審計簡介

2020-04-27 13:16 作者：艾銻無限 瀏覽量：

 
一、數據庫審計是什么

數據庫審計是對數據庫訪問行為進行監管的系統，一般采用旁路部署的方式，通過鏡像或探針的方式采集所有數據庫的訪問流量，并基于SQL語法、語義的解析技術，記錄下數據庫的所有訪問和操作行為，例如訪問數據的用戶（IP、賬號、時間），操作（增、刪、改、查）、對象（表、字段）等。數據庫審計系統的主要價值有兩點，一是：在發生數據庫安全事件（例如數據篡改、泄露）后為事件的追責定責提供依據，供安全運維人員查看；二是，針對數據庫操作的風險行為進行時時告警,

二、數據庫審計怎么審

1、數據庫訪問流量采集

流量采集是數據庫審計系統的基礎，只有做到數據庫訪問流量的全采集，才能保證數據庫審計的可用性和價值，目前主要的流量采集方式主要有兩種：

鏡像方式：采用旁路部署通過鏡像方式獲取數據庫的所有訪問流量。一般適用于傳統IT架構，通過鏡像方式將所有訪問數據庫的流量轉發到數據庫審計系統，來實現數據庫訪問流量的獲取。

探針方式：為了適應“云環境”“虛擬化”及“一體機”數據庫審計需求，基于“探針”方式捕獲數據庫訪問流量。適用于復雜的網絡環境，在應用端或數據庫服務器部署Rmagent組件（產品提供），通過虛擬環境分配的審計管理網口進行數據傳輸，完成數據庫流量采集。

探針式數據采集，還可以進行數據庫本地行為審計，包括數據庫和應用系統同機審計和遠程登錄后的客戶端行為。實現原理如下：


2、語法、語義解析

SQL語法、語義的解析技術，是實現數據庫審計系統可用、易用的必要條件。準確的數據庫協議解析，能夠保障數據庫審計的全面性與易用性。全面的審計結果應該包括：訪問數據庫的應用層信息、客戶端信息、數據庫信息、對象信息、響應信息、登錄時間、操作時間、SQL響應時長等；高易用性的數據庫審計產品的審計結果和報告，應該能夠使用業務化的語言呈現出對數據庫的訪問行為，例如將數據庫中的要素客戶端IP、數據庫用戶、SQL 操作類型、數據庫表名稱、列名稱、過濾條件變成業務人員熟悉的要素：辦公地點、工作人員名稱、業務操作、業務對象、業務元素、某種類別的業務信息。這樣的是審計結果呈現即便是非專業的DBA或運維人員的管理者或業務人員也能夠看懂。

三、數據庫審計的價值

1、數據庫相關安全事件的追溯與定責

數據庫審計的核心價值是在發生數據庫安全事件后，為追責、定責提供依據，與此同時也可以對數據庫的攻擊和非法操作等行為起到震懾的作用。數據庫自身攜帶的審計功能，不僅會拖慢數據庫的性能，同時也有其自身的弊端，比如高權限用戶可以刪除審計日志，日志查看需要專業知識，日志分析復雜度高等。獨立的數據庫審計產品，可以有效避免以上弊端。三權分立原則可以避免針對審計日志的刪除和篡改，SQL語句解析技術，可以將審計結果翻譯成通俗易懂的業務化語言，使得一般的業務人員和管理者也能看懂。

2、數據庫風險行為發現與告警

數據庫審計系統還可以對于針對數據庫的攻擊和風險操作等進行實時告警，以便管理人員及時作出應對措施，從而避免數據被破壞或者竊取。這一功能的實現主要基于sql的語句準確解析技術，利用對SQL語句的特征分析，快速實現對語句的策略判定，從而發現數據庫入侵行為、數據庫異常行為、數據庫違規訪問行為，并通過短信、郵件、Syslog等多種方式實時告警。

3、滿足合規需求

滿足國家《網絡安全法》、等保規定以及各行業規定中對于數據庫審計的合規性需求。并可根據需求形成不同的審計報表，例如：綜合報表、合規性報表、專項報表、自定義報表等。
 
艾銻無限科技專業：IT外包、企業外包、北京IT外包、桌面運維、弱電工程、網站開發、wifi覆蓋方案,網絡外包,網絡管理服務,網管外包,綜合布線,服務器運維服務,中小企業it外包服務,服務器維保公司,硬件運維,網站運維服務
 
以上文章由北京艾銻無限科技發展有限公司整理