1、數(shù)據(jù)庫審計系統(tǒng)核心指標淺析隨著企業(yè)信息化系統(tǒng)業(yè)務(wù)的不斷發(fā)展，數(shù)據(jù)庫應(yīng)用范圍越來越廣。 數(shù)據(jù)庫系統(tǒng)承載著企業(yè)的賬務(wù)數(shù)據(jù)、貿(mào)易記錄、工程數(shù)據(jù)等重要信息, 然企業(yè)數(shù)據(jù)庫面臨的安全威脅日漸增加。 近年來不斷發(fā)生的重要敏感 數(shù)據(jù)被竊取、篡改問題，已經(jīng)引起各方面的高度重視，成為迫切需要 解決的問題，因此，如何選擇一款合適的數(shù)據(jù)審計系統(tǒng)已經(jīng)提上了政 府、企事業(yè)單位、運營商的日程?；緲藴试u價是否能夠幫助管理者完成對數(shù)據(jù)庫訪問行為的監(jiān)測是評判數(shù)據(jù)庫 安全審計系統(tǒng)的基本標準。一個完善的安全審計系統(tǒng)應(yīng)該從幾個方面 評價：一、是否具有全面豐富的數(shù)據(jù)庫審計類型；二、是否具有細粒度的數(shù)據(jù)庫操作內(nèi)容審計；三、能否準確及時

2、的違規(guī)操作告警響應(yīng)；四、是否具有全面詳細的審計信息，豐富可定制的報表分析系統(tǒng)；五、其自身的安全性高，不易遭受攻擊。由此可見，數(shù)據(jù)庫審計系統(tǒng)應(yīng)該能通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、 識別，實時監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)庫的所有訪問操作， 同時支持自定義內(nèi)容關(guān) 鍵字庫，實現(xiàn)數(shù)據(jù)庫操作的內(nèi)容監(jiān)測識別， 發(fā)現(xiàn)各種違規(guī)數(shù)據(jù)庫操作 行為，及時報警響應(yīng)、全過程操作還原，從而實現(xiàn)安全事件的準確全 程跟蹤定位，全面保障數(shù)據(jù)庫系統(tǒng)安全。產(chǎn)品特性分析1、全面豐富的審計類型系統(tǒng)應(yīng)該能夠支持 SQL-92標準，覆蓋ORALCE、SQL SERVER MY SQL、DB2、Sybase Infomix等主流數(shù)據(jù)庫系統(tǒng)，具有廣泛的適 用能力。2

3、、精細靈活的審計策略系統(tǒng)應(yīng)支持基于內(nèi)容關(guān)鍵字、IP地址、用戶/用戶組、時間、數(shù)據(jù) 庫類型、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等精細組合數(shù)據(jù)庫審 計策略，從而全面監(jiān)測發(fā)現(xiàn)各種非法操作及合法用戶的違規(guī)操作。3、精細數(shù)據(jù)庫操作信息還原系統(tǒng)應(yīng)能夠?qū)崟r審計用戶對數(shù)據(jù)庫系統(tǒng)的所有操作 （如：插入、刪 除、更新、用戶自定義操作等），精細還原SQL操作命令包括源IP 地址、目的IP地址、訪問時間、用戶名、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫 表名、字段名等，實現(xiàn)安全事件準確全程跟蹤定位，為事后追查取證 提供有力支持。4、多種業(yè)務(wù)運維操作審計系統(tǒng)應(yīng)支持對TELNET、FTP等操作的命令級審計和全過程記錄。5、審計信息零管理從

4、實時升級系統(tǒng)到報表系統(tǒng)，從審計告警到日志備份，所有管理 員需要日常進行的操作均可由系統(tǒng)定時自動后臺運行；系統(tǒng)應(yīng)提供全面的數(shù)據(jù)庫審計事件信息的備份、恢復、清除、歸 并等功能；日志信息保存到SQL Server, Oracle等大型數(shù)據(jù)庫中；提供豐富的數(shù)據(jù)查詢檢索功能。支持基于時間、IP地址、數(shù)據(jù)庫服務(wù)器IP地址、用戶名、數(shù)據(jù)庫操作命令、數(shù)據(jù)庫表名/字段名等多 種豐富的查詢檢索條件；系統(tǒng)應(yīng)提供詳細的綜合分析報表、自定義三種類型10多個類別的 報表模板，支持生成：日、周、月、季度、年度綜合報表。報表支持 MS Word、Html、JPG等格式導出。6 .強大豐富的管理能力系統(tǒng)應(yīng)支持采用旁路監(jiān)聽部署模

5、式，完全不影響數(shù)據(jù)庫系統(tǒng)自身 運行與性能；支持分布式部署集中管理模式，具有三種管理模式：單級管理、多級管理、主輔管理；支持B/S和C/S兩種管理方式，管理方便靈活；支持多種響應(yīng)方式，包括發(fā)送郵件、安全中心顯示、日志數(shù)據(jù)庫 記錄、打印機輸出、運行用戶自定義命令、TCPKiller等方式及時報警響應(yīng)。7 .高可靠的自身安全性系統(tǒng)需采用安全、可靠、高效的硬件運行平臺；采用強加密的SSL 加密傳輸告警日志與控制命令，避免可能存在地嗅探行為，保證數(shù)據(jù) 傳輸?shù)陌踩?；設(shè)備應(yīng)支持熱插拔的冗余雙電源，避免電源硬件故障時設(shè)備宕機， 提高設(shè)備可用性。典型部署及效果典型的數(shù)據(jù)庫審計部署拓撲圖:通過在內(nèi)網(wǎng)核心交換機上，

6、旁路部署安全審計系統(tǒng)網(wǎng)絡(luò)引擎， 實時 審計所有用戶對數(shù)據(jù)庫服務(wù)器的操作；在網(wǎng)絡(luò)管理區(qū)部署1臺服務(wù)器 作為安全審計系統(tǒng)的安全中心，具有系統(tǒng)監(jiān)控和日志管理功能，管理 安全審計系統(tǒng)網(wǎng)絡(luò)引擎。通過部署安全審計系統(tǒng)將幫助實現(xiàn)：實時監(jiān)控數(shù)據(jù)庫各種賬戶（如超級管理員、臨時賬戶等）的數(shù)據(jù)庫操 作行為，準確發(fā)現(xiàn)各種非法、違規(guī)操作，并及時告警響應(yīng)處理，降低 數(shù)據(jù)庫安全風險，保護數(shù)據(jù)庫資產(chǎn)安全；全面記錄還原數(shù)據(jù)庫操作信息，提供豐富的審計信息查詢方式和報 表，方便安全事件定位分析，事后追查取證。結(jié)束語根據(jù)對數(shù)據(jù)庫系統(tǒng)的威脅與風險分析，數(shù)據(jù)庫安全需求主要集中在 以下方面:一是全面監(jiān)測數(shù)據(jù)庫超級賬戶、臨時賬戶等重要賬戶的數(shù)據(jù)庫操作；二是實時監(jiān)測數(shù)據(jù)庫操作行為，發(fā)現(xiàn)非法違規(guī)操作能及時告警響應(yīng)；三是詳細記錄數(shù)據(jù)庫操作信息，并提供豐富的審計信息查詢方式和 報表，方便安全事件定位分析，事后追查取證。因此通過