数据库审计审计层面
现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的有效性和公正性。此外,对于海量数据的挖掘和迅速定位也是任何审计系统必须面对和解决的一个问题之一。
伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大
市级数据库集中管理平台价格
数据库审计审计层面
现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难于体现审计信息的有效性和公正性。此外,对于海量数据的挖掘和迅速定位也是任何审计系统必须面对和解决的一个问题之一。
伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如违规越权操作、恶意导致信息泄漏,但事后却无法有效追溯和审计。美国等很多的公开法案都对数据信息的安全有很明确的规定,其中比较的是Sarbanes-Oxley萨班斯—奥克斯利法案,PCI (Payment Card Industry data standard) 规定。
数据库审计风险监控
数据库审计系统的“风险监控能力”,是企业安全部门关注的重点,包括是否存在对数据资产的攻击、口令猜测、数据泄露、第三方违规操作、不明访问来源等安全风险。因此,系统需要支持更加、灵活的策略规则配置,准确的规则触发与及时告警的能力,从而在时间发现并解决风险问题,避免事件规模及危害的进一步扩大。此外,数据库审计系统应具备自动化、智能化的学习能力,通过对重要数据资产访问来源和访问行为等的“学习”,建立起访问来源和访问行为的基线,并以此作为进一步发现异常访问和异常行为的基础。
数据库内置的审计功能
这种审计系统利用数据库本身内置的审计功能,能够审计绝大多数数据库操作。但是审计的细粒度很低,而且也很难还原SQL操作本身。比如:对于一个数据删除操作;假设表EMP满足条件的记录数有100条,那么在数据库审计系统中会有100条DELETE操作,而不是真正的SQL语句:并且大多数现有的数据库无法准确审计DDL语句,如:ALTER TABLE XXX ADD (col...),个别数据库产品可以审计DDL语句,但是那都是靠创建数据库级别的触发器实现的。
数据库审计风险识别
数据库审计不仅具备识别风险的能力,而且还可以发出告警,管理者和运维工程师及时处理风险。建立数审体系,无论是外部还是内部,只要出现了针对数据库的恶意操作,数据库审计就能够时间识别并发出告警,让管理者时间进行处理,能够有效降低甚至避免损失。所以,数据库审计对于数据安全防护来说是必要一环。
(作者: 来源:)
