數據庫審計技術的演進
截至目前,數據庫審計系統的技術演進可大體分為三代:
第一代
系統能記錄對數據庫的訪問,且審計結果可查詢并展現;而對于審計全面性、準確性的要求則比較簡單,有時甚至不太關注是否能夠做到全面審計。
第二代
系統能全面、準確地識別數據庫訪問操作及來源,并在此基礎上提供風險識別與告警能力;特別是對各種主流關系型數據庫系統的兼容能力和審計準確性提出了較高要求。
第三代
系統能在全面、準確審計的基礎之上,通過對數據庫訪問行為的智能業務分析,建立業務模型,以發現數據訪問過程中的惡意行為與風險操作;同時,隨著大數據技術的高速發展,系統要能兼容對大數據平臺組件的審計能力,并通過充分利用大數據平臺的能力優勢,對大規模數據資產的審計數據進行集中化管理、檢索和分析;此外,為了更好地適應云平臺和虛擬化等場景,需要更加完善的、基于探針的審計能力。
如今,數據庫審計正處于第三代階段;歷經多年演進,一款“稱職”的系統所需具備的能力也“水漲船高”,主要體現在以下七點:
全:
1. 審計的內容全:能夠全面記錄會話和語句信息等;
2. 兼容的數據庫類型全:能夠兼容各種主流的關系型、非關系型數據庫(NoSQL),以及大數據平臺組件等。
準:
1. 審計內容準確:由于應用系統和中間件的復雜性,使得對數據庫操作所采用的技術也呈現出多樣性和復雜性,這就要求審計系統具備針對復雜操作和協議的精確還原與審計能力,從而確保不丟失審計內容;
2. 規則命中準確:為了能夠及時發現風險和異常,要求審計系統具備全面、靈活的策略規則能力,以及準確的規則觸發機制。
靈活:
1. 部署與流量采集方式靈活:能夠應對復雜的IT環境,包括云、虛擬化及傳統數據中心等;
2. 權限體系靈活:能夠滿足大規模客戶復雜的組織結構對審計系統的權限管理要求;
3. 審計策略規則靈活:允許用戶根據自身需求,方便靈活的設置審計規則,例如自行定義哪些行為、對象的操作需要審計,而哪些不需要審計等等,從而減少因大量無用審計記錄帶來的干擾,有效降低審計壓力。
大規模:
大數據技術的高速發展與普及應用,向數據庫審計系統提出了對更大規模審計數據的管理要求;利用大數據技術實現對審計數據的存儲、管理、檢索和分析成為重要發展方向。
自動化:
IT系統的復雜性和數據的流動性,要求審計系統的部署、應用具備更加自動化、開箱即用的能力,以降低用戶對系統的操作門檻。
智能:
用戶行為分析(UEBA)、數據風險可視化(態勢感知)愈發為人所關注,希望借此更加智能化的滿足合規運營、風險事件監測和風險趨勢分析等需求。
探針化:
1. 在云環境和虛擬化環境下,愈發需要通過部署流量審計探針來采集訪問流量并進行審計;
2. 數據庫本地操作的訪問行為審計受到更多關注,而這同樣需要通過在數據庫服務器部署探針進行相關采集工作,探針化審計的能力和需求日趨重要。
對數據庫審計的能力需求
歷經多年演進與應用,今天的數據庫審計系統已能夠滿足用戶在“合規審計、風險監控、系統監測”等不同方面的需求:
1、合規審計
數據庫審計系統能否滿足國家數據安全相關法律法規以及各行業監管的“合規性要求”,是企業風控部門關注的重點。近年來,針對個人隱私和敏感數據保護的要求不斷提高,包括金融、教育和互聯網在內的重要行業紛紛加強了對個人信息保護的關注和投入力度,一系列面向個人信息保護的法律、規范和要求也相繼推出。在此背景下,一款合格的數據庫審計系統需要根據“合規性要求”,形成具有針對性的監測與審計報告,幫助企業全面了解合規風險與合規狀況。
2、風險監控
數據庫審計系統的“風險監控能力”,是企業安全部門關注的重點,包括是否存在對數據資產的攻擊、口令猜測、數據泄露、第三方違規操作、不明訪問來源等安全風險。因此,系統需要支持更加全面、靈活的策略規則配置,準確的規則觸發與及時告警的能力,從而在第一時間發現并解決風險問題,避免事件規模及危害的進一步擴大。此外,數據庫審計系統應具備自動化、智能化的學習能力,通過對重要數據資產訪問來源和訪問行為等的“學習”,建立起訪問來源和訪問行為的基線,并以此作為進一步發現異常訪問和異常行為的基礎。
3、系統檢測
數據庫審計系統的“系統監測能力”,是企業運維部門關注的重點,包括數據資產是否存在異常訪問、失敗訪問或異常操作,以及數據訪問詳情和系統性能等運維管理問題。因此,需要通過審計系統的監測告警能力,及時發現系統風險或異常運行狀況,從而進一步規范運維過程、提升運維效率。
【產品手冊】
【擴展閱讀】
產品咨詢:4000 258 365 
