数据库审计的作用-k8凯发棋牌

　　数据库系统功能强大而丰富，对于一个数据库环境而言，我们可以生成很多类型的审计记录。知道有哪些审计类型以及如何实施这些审计有助于你满足合规需求。要实施完善的数据库审计，必须理解的一个关键问题是需求，从而知道可以使用哪些审计类型来满足自己的需求,下面以安华金和数据审计系统为例，进行详细阐述：
　　全面的数据库
　　【数据库支持的全面】
　　系统可审计的数据库类型涵盖国内外 12 种主流数据库，包括：
　　1)  国际主流：oracle、sql server、db2、sybase、informix、postgresql、cachedb；
　　2)  国内主流：gbase（南大通用）、dm（达梦）、kingbase（人大金仓）、oscar（神舟）；
　　为适应大数据分析的市场需求，针对 hadoop 大数据和非关系型数据库，提供完善的审计与监控能力。沿用关系型数据库的规则配置、业务分析流程，提高非关系型数据的分析能力。
　　【审计范围全面】
　　系统可审计的业务范畴全面，审计数据来源包括：
　　1)  旁路镜像审计；
　　2)  探针式数据采集；
　　3)  虚拟机 vds 引流；
　　4)  远程登录行为审计；
　　5)  本地回环口流量采集；
　　6)  telnet 行为记录；
　　7)  加密协议解析；
　　【审计内容全面】
　　系统的审计元素覆盖数据库整体交互过程，包括：
　　1)  应用层信息：应用账户、应用 ip；
　　2)  客户端信息：客户端 ip、主机名称、操作系统账号、客户端工具/应用程序；
　　3)  数据库信息：数据库 ip 地址、用户名、数据库类型、版本、字符集；
　　4)  对象信息：实例、schema、表、字段、包、存储过程、函数、视图；
　　5)  响应信息：应答错误码、影响行数、返回结果集等；
　　6)  其他信息：登录时间、操作时间、sql 响应时长等
　　【分析角度全面】
　　产品可提供的规则视角全面，可基于如下几个维度分析审计日志：
　　1)  全库\数据库组\单库
　　2)  语句与会话的关联审计
　　3)  区分数据库实例审计
　　4)  会话深度分析
　　5)  数据库性能异常分析（topsql 等）
　　【策略配置全面】
　　本系统支持全局策略配置，根据【数据库类型】和【业务类型】添加不同的规则组，可引用不同的数据库开启监控策略，提供全面的数据库攻击行为监控技术：
　　1)  漏洞攻击检测技术：针对 cve 公布的漏洞库，提供漏洞特征检测技术；
　　2)  sql 注入监控技术：提供 sql 注入特征库；
　　3)  口令攻击监控：针对指定周期内风险客户端 ip 和用户的频次性登录失败行为监控；
　　4)  高危访问监控技术：在指定时间周期内，根据不同的访问来源，如：客户单 ip、数据库用户、mac 地址、操作系统、主机名，以及应用关联的用户、ip 等元素设置访问策略；
　　5)  高危操作控制技术：针对不同访问来源，提供对数据库表、字段、函数、存储过程等对象的高危操作行为监控，并且根据关联表个数、执行时长、错误代码、关键字等元素进行限制；
　　6)  返回行超标监控技术：提供对敏感表的返回行数监控；
　　7)  sql 例外规则：根据不同的访问来源，结合指定的非法 sql 语句模板添加例外规则，以补充风险规则的不足，形成完善的审计策略。
　　快速的入库检索
　　本系统具备高效的日志检索能力，实现审计记录的快速查询。当设备旁路进入网络，即可对添加的数据库进行协议解析，并对解析内容快速入库建立索引文件，从而在审计分析时实现高效的查询机制，大型审计记录分析运算入库时间小于 30s，亿级别数据规模单条记录查询响应时间小于 10s，达到业界领先水平。索引文件和数据表文件如果损坏，系统会启用自动修复机制，以确保系统日志查询时的有效性和准确性。
　　准确的识别定位
　　传统数据库审计产品，存在巨大缺陷：
　　1)  对于复杂应用，无法有效关联参数和语句，造成大量漏审；
　　2)  对于复杂 sql 语句，无法有效解析，出现访问对象误报；
　　3)  基于三层关联技术的数据库审计产品，通过时间与参数实现模糊关联匹配，在并发量较高的系统下存在 20%以上的失真率，造成业务用户与 sql 语句的错误关联；
　　系统基于精确协议分析、完全 sql 解析、参数化匹配、长语句解析、多语句解析和100%应用关联技术，创造了业界准确的数据库审计产品，为可信审计追踪提供了坚实的基础。
　　本系统提供数据库行为建模能力和精确的应用关联分析功能。数据库行为模型以 sql语句为原点与应用层的请求行为关联，可以追溯到应用层的原始访问者和请求信息（如：操作发生的 url、客户端的 ip 等信息），从而实现 url 行为分析和应用系统识别。
　　节约合规成本
　　系统提供 3 级存储机制，包括在线存储库、历史压缩库和远程备份库，使千亿级数据存储不再困难。通过在线存储库保证高效响应，在历史压缩库中提供 10 倍以上压缩比，通过远程备份库完成第三方存储设备利用，并通过专项接口与外部高效存储阵列对接。
　　产品在硬件层面支持 raid 0/1/5 硬盘存储模型，并支持 ssd 固态硬盘提高 i/o 读写速率。系统在保障审计日志高效入库的同时，在硬件层面实现冗余存储。高端设备以可插拔硬盘方式实现存储空间的动态扩容，可实现 60t 硬盘存储。