数据库安全审计

 

数据库是任何商业和公共安全中最具有战略性的资产，通常都保存着重要的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战。

数据库审计（简称DBAudit）以安全事件为中心，以全面审计和精确审计为基础，实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行实时告警。它通过对用户访问数据库行为的记录、分析和汇报，来帮助用户事后生成合规报告、事故追根溯源，同时通过大数据搜索技术提供高效查询审计报告，定位事件原因，以便日后查询、分析、过滤，实现加强内外部数据库网络行为的监控与审计，提高数据资产安全。除此之外，数据库审计还能对数据库遭受到的风险行为进行告警，如：数据库漏洞攻击、SQL注入攻击、高危风险操作等。

数据库审计的核心价值是在发生数据库安全事件后，为追责、定责提供依据，与此同时也可以对数据库的攻击和非法操作等行为起到震慑的作用。数据库审计系统还可以对于针对数据库的攻击和风险操作等进行实时告警，以便管理人员及时作出应对措施，从而避免数据被破坏或者窃取。这一功能的实现主要基于SQL的语句准确解析技术，利用对SQL语句的特征分析，快速实现对语句的策略判定，从而发现数据库入侵行为、数据库异常行为、数据库违规访问行为，并通过短信、邮件、Syslog等多种方式实时告警。

数据库审计技术采用旁路部署，通过镜像流量或探针的方式采集流量，获取到访问数据库的报文，再对报文进行深度解析，提取针对数据库的操作信息（用户、SQL操作、表、字段等），进而实时掌握来自各个层面的所有数据库活动，包括：普通用户和超级用户的访问行为请求，以及使用数据库客户端工具执行的操作。在采集与分析的基础上，最终对操作信息与操作活动进行风险识别后存储下来，用于审计记录查询和风险报表展示。