1、前言

随着互联网的快速发展，企业通过各种应用产生在数据库中的所有关于商业以及公共安全性的数据，已经成为各企事业单位最具有价值的资产。通常企业为了防止这些敏感数据被竞争对手或者黑客非法获取，用以谋求不正当的利益，都会通过各种方式将这些信息严密保护起来。

但是，根据星瑞格软件统计显示：企业绝大多数重要的敏感的数据存储于数据库，90%以上敏感信息泄露源于数据库。而外泄的敏感信息主要是个人信息泄露，包括：用户名、用户密码、电子邮件、电话号码、银行账号、个人财产信息等。对于数据泄露的方式，主要包括：外包商滥用、离职员工窃取、管理者滥用、使用者误操作、内部人员窃取以及黑客窃取等。这也表明，企业对数据库防护并没有想象中的那么完美，而是面临各种安全风险的挑战。

数据库安全审计主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。它可以监控和审计用户对数据库中的数据库表 、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等，分析的内容可以精确到SQL操作语句一级。它还可以根据设置的规则，智能的判断出违规操作数据库的行为，并对违规行为进行记录、报警。由于数据库安全审计系统是以网络旁路的方式工作于数据库主机所在的网络，因此它可以在根本不改变数据库系统的任何设置的情况下对数据库的操作实现跟踪记录、定位，实现数据库的在线监控，在不影响数据库系统自身性能的前提下，实现对数据库的在线监控和保护，及时地发现网络上针对数据库的违规操作行为并进行记录、报警和实时阻断，有效地弥补现有应用业务系统在数据库安全使用上的不足，为数据库系统的安全运行提供了有力保障。

2、简介

星瑞格软件自主研发数据库安全审计系统（Sinoregal dbAudit) ，产品基于网络通讯协议精确分析与SQL完全解析技术，记录并审计所有访问者对数据库的访问轨迹，产品满足网络安全法等相关法律法规，精准识别应用系统终端用户及其访问数据库的行为，达到人、事、时、地、物（SW）五个面向的追踪。为数据安全提供有效的证据链，是数据安全的最后一道防线。

星瑞格软件自主研发数据库安全审计系统可同时监控审计多种数据库产品及版本如Informix、Oracle、DB2、Sybase、MS SQL, MySQL, MariaDB、MongoDB、 PostgreSQL, Greenplum及国产数据库SinoDB、达梦、人大金仓等；支持UNIX、LINUX及Windows等国内外主流操作系统；支持监控AS400平台的系统、数据库及文件系统。

3、功能特性

3.1业务关联及双向审计

·       业务三层关联审计

dbAudit拥有终端用户识别与自动关联访问SQL的专利技术，无论系统架构是集中式、主从式、三层式或是多层式架构，都能获取从浏览器与WEB服务器、WEB服务器与数据库服务器之间通讯的http事件和SQL事件，并进行业务关联，识终端用户的真实身份及其访问数据库的行为，自动关联找出SQL命令是由哪个终端用户所为，精准定位事件发生的源头、访问及操作。

·       双向审计

dbAudit可精准识别敏感表格的存取活动，并且可记录敏感表格的SQL回传值（Return Data），当SQL回传值记录下来后，通过中、英文字符串搜寻回传值内容，可快速精准定位访问该数据的人、事、时、地，做为准确有力的证据。

3.2完整的会话解析

数据库审计还支持对会语的完整还原，详细解析会话申的每一条独立SQL语句，便于在事件中回溯使用者操作轨迹。

3.3特权账号审计

dbAudit提供代理程序安装于数据库服务器端，可监控特权用户登入数据库服务器本机端的操作行为，并可配置安全策略，即时发现提权、越权、高危命令；对违规操作进行告警，及时敏感信息泄露。

3.4攻击防御告警

具备数据库风险告警能力，提供SQL注入攻击自动发现，自动告警，防御黑客利用数据库漏洞攻击，盗用系统账号、密码，进一步窃取敏感数据。

3.5审计合规策略

dbAudit可以预先配置数据集对应法规法条，也可自行添加，可对照法规条文快速生成合规报表与告警，符合网络安全法、等级保护基本要求、ISO27001, ISO27011, ISO17799，新巴赛尔协定（Basel ll、lll)，塞班斯法案（SOX），健康保险流通与责任法案(HIPAA)，支付卡行业数据安全标准（PCIDSS），格莱姆·布里勒法案（GLBA）等国内、外信息安全相关法律规章要求。

3.6可视化安全趋势分析

提供折线图、区域图、柱状图及饼图等图形化报表分析功能。

· 提供安全仪表盘功能：

以图形化表示整体审计收录与信息安全状况，包含网络采集流量、收录SQL数量、警示事件统计、审计主机CPU、I/O、内存等使用情形。

· 图形化审计记录：

可以图形化显示审计记录，以挖掘信息安全异常事件发生的详细信息，透过缩小范围查询，逐步深化到触发异常事件发生的该笔记录信息。

· 图形化统计：

可以显示TopN统计图形，可选择针对应用系统、数据库、服务器IP、客户端IP、用户名、连线数、数据影响笔数、SQL完成时间等显示统计图形，并且可配置统计图的资料起始、结束时间区间。

3.7全面审计、弹性部署

数据库审计的全面监控访问行为轨迹，不仅限于网络端和本机瑞更适用于大型网络中的分布式部署。

· 网络旁路镜像采集

通过网络交换机旁路镜像收集网络端数据库访问行为；

·本机端代理程序（Agent）采集

通过安装本机端代理程序收集数据库本机端的访问行为。

两种监控模式可根据实际需求弹性搭配，做到全面监控不遗漏。

· 分布式采集

大型业务系统适用部署分布式数据库审计，通过分布式dbAudit分别审计不同业务系统，并汇总至数据分析中心进行分析， 数据分析中心可全面长期留存业务审计数据。