数据库安全审计

随着互联网的快速发展，企业经过各类应用产生在数据库中的全部关于商业以及公共安全性的数据，已经成为各企事业单位最具备价值的资产。一般企业为了防止这些敏感数据被竞争对手或者黑客非法获取，用以谋求不正当的利益，都会经过各类方式将这些信息严密保护起来。
 

可是，根据星瑞格软件统计显示：企业绝大多数重要的敏感的数据存储于数据库，90%以上敏感信息泄露源于数据库。而外泄的敏感信息主要是我的信息泄露，包括：用户名、用户密码、电子邮件、电话号码、银行帐号、我的财产信息等。对于数据泄露的方式，主要包括：外包商滥用、离职员工窃取、管理者滥用、使用者误操做、内部人员窃取以及黑客窃取等。这也代表，企业对数据库防御并无想象中的那么完美，而是面临各类安全风险的挑战。

而数据库安全审计系统能够对数据的访问操做行为作一个完整的记录，以备违反安全规则的事件发生后，能有效的追查责任和分析缘由，必要时还能够为惩罚恶意攻击行为提供必要的证据。这就对数据库安全审计产品提出了一个最基本的要求：完整的纪录。

法规控制在一些领域起了关键性的做用，例如在业务变动、业务流程验证、系统故障、人为违规操做等方面。由于数据库做为各项资产或者业务的核心，因此数据库审计在各种标准法规中很是重要。

《萨班斯法案》强调增强与财务报表相关的IT系统内部控制，其中，IT系统内部控制是紧密围绕信息安全审计这一核心的。

巴赛尔新资本协定(Basel II)要求全球银行必须作好风险控管(risk management)，而这项“金融做业风险”的防范正须要业务信息安全审计为依托。

《企业内部控制具体规范》明确要求计算机信息系统应采起权责分配及职责分工、创建访问安全策略等审计措施以增强提升信息系统的可靠性、稳定性、安全性及数据的完整性和准确性。

《等级保护数据库管理技术要求》 第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应：创建独立的安全审计系统;定义与数据库安全相关的审计事件;设置专门的安全审计员;设置专门用于存储数据库系统审计数据的安全审计库;提供适用于数据库系统的安全审计设置、分析和查阅的工具。

《ISO15408-2 安全功能要求》明确要求数据库安全审计应包括：识别、记录、存储和分析 那些与安全相关活动(即由TSP 控制的活动)有关的信息;检查审计记录结果可用来判断发生了哪些安全相关活动以及哪一个用户要对这些活动负责。

主要特性
一、全面的数据库审计

数据库审计系统可以针对目前主流的数据库(ORACLE、MSSQL、MYSQL、POSTGRESQL、Caché、….)的各类操做进行详细的、实时的记录，并以报表和数据库列表的形式呈现给客户!

可以审计的内容包括：

审计用户对数据库的登陆、注销

审计用户到数据库表的查询、插入、修改、删除、建立……

可以监控各种数据库的链接客户的操做

支持的数据库类型包括：ORACEL、DB二、INFORMIX、SYBASE、MSSQL Server、MYSQL、POSTGRESQL、Caché

二、远程服务器操做审计

数据库审计系统支持主流的远程服务器访问操做，包括对Telnet、FTP、Rlogin、X11等操做的审计，可以全程记录远程访问用户的各类操做。

三、丰富的报警设置

用户能够自定义各类报警事件，并设置报警事件的类别。当数据库遭遇到攻击、定制报警策略促发时，系统会自动的告警出来!目前报警为高级、较高、中级、低级四个级别。

四、灵活的审计策略

数据库审计系统使用审计引擎对全部的数据库活动、数据库服务器远程操做进行实时的、动态的审计，并根据审计到客户端(IP、MAC、用户名……)、中间件(操做语句)、服务端(返回值、响应时间……)信息，自定义策略，实现审计可视化、可管理行。

五、系统管理

数据库审计系统的管理控制台集中管理应用审计系统，审计人员能够经过管控平台是实时监控应用审计设备的各类状态，包括：

系统运行状态，CPU、内存、硬盘的消耗等。

系统自身运行的各类日志信息。

优点
数据库审计系统经过网络彻底独立地采集审计数据，这使得数据库维护或开发小组，安全审计小组的工做进行适当的分离。并且，审计工做不影响数据库的性能、稳定性或平常管理流程。审计结果独立存储于昂楷数据库安全审计系统自带的存储空间中，避免了数据库特权用户或恶意入侵数据库服务器用户，干扰审计信息的公正性。

一、全跟踪细腻度审计

全面性：针对业务层、应用层、数据库等各个层面的操做进行跟踪定位，包括数据库SQL执行状况、数据库返回值等;

细粒度：精确到表、对象、记录内容的细粒度审计策略，实现对敏感信息的精细监控;

独立性：基于独立监控审计的工做模式，实现了数据库管理与审计的分离，保证了审计结果的真实性、完整性、公正性。

二、权限分离

数据库审计系统设置了权限角色分离，如系统管理员负责设备的运行设置;审计员负责查看相关审计记录及规则违反状况;日志员负责查看总体设备的操做日志及规则的修改状况等。

三、事件准肯定位

传统的数据库审计定位每每局限于IP地址和MAC地址，不少时候不具有可信性。昂楷数据库审计系统能够对IP、MAC、用户名、服务端等一系列进行关联分析，从而追踪到具体人。

四、独特报表功能

(1)合规性报表

数据库审计系统报表会根据合规性要求，输出不一样类型的报表。例如，可根据等级保护三级要求，输出符合等保相关项目知足的度的报表。

(2)策略定制化报表

根据审计人员关系的主要问题，定制符合需求的策略规则输出报告，使审计人员可以迅速的获得本身须要的审计信息。

(3)完备的自身安全

数据库审计系统全方位确保设备自己的高可用性，主要包括：硬件级安全冗余、系统级防攻击策略、告警措施等。
用户管理，管理各类用户的权限，以及用户对审计设备的操做情况。

部署方式
为了彻底不影响数据库系统自身性能与运行，数据库审计系统支持采用旁路监听或模式，具体可分为核心交换机网络监听模式、网桥模式和数据库系统主机上实施监听模式。

一、交换机网络监听模式
 

经过在核心交换机上设置端口镜像模式或采用TAP分流监听模式，使安全审计引擎可以监听到全部用户经过交换机与数据库进行通信的所有操做。

 

二、数据库系统主机网络监听模式

经过在数据库系统主机上部署网络监听的审计接入模块，审计接入模块可以监听全部用户与数据库系统进行的所有通讯，得到对数据库系统的全部访问操做，审计接入模块发送给审计系统，并记录在审计系统中。

网络监听模式最大的优势就是与现有数据库系统无关，部署过程不会给数据库系统带来性能上的负担，即便数据库审计系统出现故障也不会影响数据库系统的正常运行，具有易部署、无风险的特色。可是，其部署的实现原理决定了网络监听技术在针对加密协议时，只能实现到会话级别审计(便可以审计到时间、源IP、源端口、目的IP、目的端口等信息)，而无法对内容进行审计。