数据库审计系统简介

什么是数据库审计？

数据库审计是记录数据库被访问行为的日志系统。

访问数据库的一般有两种行为，一种是应用服务区的访问，一种是数据库运维人员的访问。

数据库审计（简称DBAudit）能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。

数据库审计是数据库安全技术之一，数据库安全技术主要包括：数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

黑客的SQL注入攻击行为，可以通过数据库审计发现。

数据库审计系统能干什么？

性能监控

SQL吞吐、会话监控、性能瓶颈
攻击预警

对漏洞攻击、SQL注入、敏感语句、风险操作等进行预警。
事后追溯

具有基本行为审计、应用关联分析、记录全、准、可读性高。
告警通知

一般可通过短信、邮件、SNMP、Syslog进行告警通知。

数据库审计主要功能

数据审计经历的技术:

第一阶段：流量行为审计

实现了对OSI七层模型中的网络层到会话层的覆盖，主要对数据库访问行为进行分析和统计
第二阶段：内容审计阶段

实现了OSI七层模型中的表示层到应用层的覆盖，利用关键字进行模糊匹配，对数据库访问行为实现内容记录，如登陆账户、SQL语句等
第三阶段：语法解析阶段

主要集中在应用层，实现对SQL语句的语义分析，尽可能的将操作数据库的SQL语句进行细颗粒解析，比如账户名、数据名等等
第四阶段：大数据审计阶段

解决面向对象的M语言安全设计问题，全面支持大数据审计，Hive、HBASE、MogoDB等

数据审计系统可审计的风险项：

功能项	策略元素
登录风险	对IP、MAC、客户端、用户名、登录密码、时间等进行风险告警
影响行风险	对超过指定行数的更新、删除、查询和导出行为进行告警
权限风险	对用户、操作（DML、DDL、DCL）和对象进行访问控制风险定义。增加Update Nowhere和Delete Nowhere等高危操作的风险告警
漏洞攻击	对符合CVE上公开的数据库漏洞攻击特征的访问进行告警
SQL注入	对符合SQL注入特征的访问行为进行告警
SQL黑名单	精确地描述，出现了哪些语句就要进行告警（比如是一个要求授权很高的语句）
登录许可	通过IP、MAC、客户端、用户名、时间等因素描述信任的，不需要告警的登录

SQL白名单	大量的应用SQL语句属于来自于应用的正常访问，可以不需要告警
白名单规则	通过用户、操作、对象、时间等因素描述许可以信任不需要告警的访问

双向审计：

通过对双向数据包的解析、识别及还原，不仅对数据库操作请求进行实时审计，而且还可对数据库系统返回结果进行完整的还原和审计，包括数据库命令执行时长、执行的结果集等内容；

操作行为	内容和描述
用户行为	数据库用户的登录、注销
数据定义语言（DDL）操作	Create、Alter、Drop等创建、修改或者删除数据库对象（表、索引、视图、存储过程、触发器、域等等）的SQL指令
数据操作语言（DML）操作	Select、Delete、Updata、Insert等用户检索或者修改数据的SQL指令
数据控制语言（DCL）操作	Grant、Revoke定义数据库用户的权限的SQL指令
其他操作	包括Execute、Commit、Rollback等事务操作指令

数据库审计系统的主要功能架构：

图：数据库审计系统的主要功能架构

5W1H的行为审计：

数据安全需求	描述
Who(谁干的）	数据库用户名、操作系统用户名、应用用户名
Where(在什么地方）	数据库客户端IP+MAC、应用客户端IP
When(什么时间）	发生时间、耗时时长
What（干了些什么）	操作对象是谁、操作是什么
How（怎么干的）	SQL语句、参数
结果怎么样	是否成功、影响行数、性能情况

数据库审计系统部署方式

流镜像部署：

数据库审计系统主要原理是，将所有访问数据库的流量镜像给审计系统，然后进行分析数据包，从而进行记录。

审计系统采用旁路部署，不需要再数据库服务器上安装插件，不影响网络和业务系统的结构。
无需与业务系统对接，与数据库服务器没有数据交互，不需要数据库服务器提供用户名密码。
用户预留增加额外网络设备，也无需对现有的网络结构进行改造。

Agent代理客户端部署：

Agent部署方式一般是因为：当Web应用和数据库在同一台物理服务器上的话，那么Web应用访问数据库的流量都是在本地产生的，没法通过交换机来镜像到数据库审计，此时需要在这种主机上安装agent代理，主动监听Web应用访问数据库的流量，从而主动推送给数据库审计系统。

不需要云环境底层支持流量镜像，只需要安装Agent即可完成云环境数据库的安全审计，支持主流的云环境中的主流的linux和windows等虚拟主机，单台审计设备可以同时支持多个数据库的审计。

反向代理方式部署：

反向代理适用于流量不能到审计设备，又不允许安装agent代理软件的情况。它的原理是直接把审计设备当作一个代理，客户端数据库连接直接连接到审计设备，通过审计设备再到达数据库，从而达到审计数据库的目的。

是针对云环境中的共享数据库专门开发的一种部署模式，主要是为了解决公有云和私有云环境中共享数据库无法安装agent提供的一种解决方案，主要是通过tcp层协议代理实现。

数据库审计系统基本原理与部署方式相关推荐

数据库服务器审计系统部署方式,数据库审计系统D2020，agent方式审计如何配置...
客户端(101.1.12.2): 用于访问数据库审计系统管理界面,进行数据库审计系统的相关配置. 数据库审计系统: 管理口IP(183.1.10.52):被访问的,实现数据库审计系统的管理. 业务口I ...
数据库审计系统的功能有哪些？
随着大数据.云计算.物联网和人工智能等新一代网络信息技术的飞速发展,数字化和全球化已经成为无可逆转的发展潮流.作为存储用户最核心要素的数据库自然成为了机构信息安全最重要的关注部分.同样的犯罪分子也发现 ...
数据安全入门产品——数据库审计系统详解
文章目录前言 1.数据库审计系统为什么会出现? 1.1合法权限滥用的监控需求 1.2高危操作访问数据库的监控 1.3安全合规需求 2.数据库审计系统是什么? 3.技术原理 4.性能指标参考 5.部署 ...
数据库审计系统-数据库安全审计工具
安华金和数据库审计系统是基于数据库通讯协议准确分析和SQL完全解析技术的数据库安全审计系统.主要目的是对数据库操作.访问用户及外部应用用户的审计,可以用于安全合规.用户行为分析.运维监控.风控审计.事 ...
日志审计系统的基本原理与部署方式
来源 | http://rrd.me/g6P3V 日志审计系统简介什么是日志审计? 综合日志审计平台,通过集中采集信息系统中的系统安全事件.用户访问记录.系统运行日志.系统运行状态等各类信息,经过规 ...
数据库审计系统在加密传输场景下的应用（SinoDB）
1. 简介在这个万物互联的时代,任何一家企业的发展都离不开数据,数据是每一个互联网企业的核心资产.在互联网安全事故频发的今天,如何保护企业的数据资产安全,避免客户隐私泄露,是每一家企业都重点关注和 ...
数据库审计系统在加密传输场景下的应用-SinoDB
1. 简介在这个万物互联的时代,任何一家企业的发展都离不开数据,数据是每一个互联网企业的核心资产.在互联网安全事故频发的今天,如何保护企业的数据资产安全,避免客户隐私泄露,是每一家企业都重点关注和 ...
绿盟数据库审计系统hive_数据库审计系统
产品简介: 中安威士数据库审计系统(简称VS-AD),是由中安威士(北京)科技有限公司开发的具有完全自主知识产权的数据安全防护产品.该系统通过监控数据库的多重状态和通信内容,不仅能准确评估数据库所面临 ...
数据库审计系统提供服务器,数据库审计系统通用解决方案
背景需求: 根据对其业务系统.数据中心的数据库系统的威胁与风险分析,用户数据库安全需求主要集中在以下方面:对一般操作行为如数据库的登录.注销动作,特定的操作如对数据表的插入.删除.修改,执行特定的存贮 ...

数据库审计系统基本原理与部署方式