数据库审计系统工作原理及策略规划

数据库审计系统工作原理及策略规划

1、数据库审计系统工作原理

数据库安全审计系统主要通过旁路监控并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作、恶意攻击事件信息记入审计数据库中以便日后进行查询、分析，实现对目标数据库系统操作的监控和审计。其工作原理图如下所示：

数据库审计系统采用旁路侦听的方式进行工作，因此部署十分方便，即插即用，不必对业务网络结构做任何更改，对业务网络没有任何影响。数据库审系统利用业务协议分析检测技术，能够识别各类数据库的访问协议、FTP协议、TELNET 协议、VNC协议、文件共享协议，以及其它20多种应用层协议，经过审计系统的智能分析，发现网络入侵和操作违规行为。

由于工作在网络层，审计系统产品拥有较好的平台兼容性，能够对多种操作系统平台（Windows、Linux、HP-UX、Solaris、AIX）下各个版本的SQL Server、Oracle、DB2、Sybase、MySQL 等数据库进行审计。审计的行为包括DDL、DML、DCL，以及其它操作等行为；审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数，等等。

2、数据库审计策略规划

通过在核心数据区域部署数据库审计系统来实现对核心数据库的实时审计和保护，系统以旁路的方式部署在网络中，具备对2到7层网络的线速、深度检测能力，同时利用智能分析能力，发现网络入侵和操作违规行为，具体策略包括: （1）数据访问审计

记录所有对保护数据的访问信息，包括主机访问，文件操作，数据库执行SQL 语句或存储过程等。系统审计所有用户对关键数据的访问行为，防止外部黑客入侵访问和内部人员非法获取敏感信息。

（2）数据变更审计

审计和查询所有被保护数据的变更记录，包括核心业务数据库表结构、关键数据文件的修改操作，等等，防止外部和内部人员非法篡改重要的业务数据。

（3）用户操作审计：

统计和查询所有用户的主机、数据库和应用系统的登录成功记录和登录失败尝试记录，记录所有用户的访问操作和用户配置信息及其权限变更情况，可以用于事故和故障的追踪和诊断。

（4）违规访问行为审计

记录和发现用户违规访问。系统可以设定用户黑白名单，以及定义复杂的合规规则（例如定义合法的访问时间段、合法的源IP地址库、合法的用户账号库），可以设置合理的审计策略进行告警和阻断。

（5）恶意攻击审计

记录和发现利用主机，数据库的漏洞对资源的攻击行为，例如主机扫描、DoS/DDoS攻击、ARP欺骗和攻击等，并可以对攻击行为进行告警和阻断。