数据库审计技术的演进
截至目前,数据库审计系统的技术演进可大体分为三代:
第一代
系统能记录对数据库的访问,且审计结果可查询并展现;而对于审计全面性、准确性的要求则比较简单,有时甚至不太关注是否能够做到全面审计。
第二代
系统能全面、准确地识别数据库访问操作及来源,并在此基础上提供风险识别与告警能力;特别是对各种主流关系型数据库系统的兼容能力和审计准确性提出了较高要求。
第三代
系统能在全面、准确审计的基础之上,通过对数据库访问行为的智能业务分析,建立业务模型,以发现数据访问过程中的恶意行为与风险操作;同时,随着大数据技术的高速发展,系统要能兼容对大数据平台组件的审计能力,并通过充分利用大数据平台的能力优势,对大规模数据资产的审计数据进行集中化管理、检索和分析;此外,为了更好地适应云平台和虚拟化等场景,需要更加完善的、基于探针的审计能力。
如今,数据库审计正处于第三代阶段;历经多年演进,一款“称职”的系统所需具备的能力也“水涨船高”,主要体现在以下七点:
全:
1. 审计的内容全:能够全面记录会话和语句信息等;
2. 兼容的数据库类型全:能够兼容各种主流的关系型、非关系型数据库(nosql),以及大数据平台组件等。
准:
1. 审计内容准确:由于应用系统和中间件的复杂性,使得对数据库操作所采用的技术也呈现出多样性和复杂性,这就要求审计系统具备针对复杂操作和协议的精确还原与审计能力,从而确保不丢失审计内容;
2. 规则命中准确:为了能够及时发现风险和异常,要求审计系统具备全面、灵活的策略规则能力,以及准确的规则触发机制。
灵活:
1. 部署与流量采集方式灵活:能够应对复杂的it环境,包括云、虚拟化及传统数据中心等;
2. 权限体系灵活:能够满足大规模客户复杂的组织结构对审计系统的权限管理要求;
3. 审计策略规则灵活:允许用户根据自身需求,方便灵活的设置审计规则,例如自行定义哪些行为、对象的操作需要审计,而哪些不需要审计等等,从而减少因大量无用审计记录带来的干扰,有效降低审计压力。
大规模:
大数据技术的高速发展与普及应用,向数据库审计系统提出了对更大规模审计数据的管理要求;利用大数据技术实现对审计数据的存储、管理、检索和分析成为重要发展方向。
自动化:
it系统的复杂性和数据的流动性,要求审计系统的部署、应用具备更加自动化、开箱即用的能力,以降低用户对系统的操作门槛。
智能:
用户行为分析(ueba)、数据风险可视化(态势感知)愈发为人所关注,希望借此更加智能化的满足合规运营、风险事件监测和风险趋势分析等需求。
探针化:
1. 在云环境和虚拟化环境下,愈发需要通过部署流量审计探针来采集访问流量并进行审计;
2. 数据库本地操作的访问行为审计受到更多关注,而这同样需要通过在数据库服务器部署探针进行相关采集工作,探针化审计的能力和需求日趋重要。
对数据库审计的能力需求
历经多年演进与应用,今天的数据库审计系统已能够满足用户在“合规审计、风险监控、系统监测”等不同方面的需求:
1、合规审计
数据库审计系统能否满足国家数据安全相关法律法规以及各行业监管的“合规性要求”,是企业风控部门关注的重点。近年来,针对个人隐私和敏感数据保护的要求不断提高,包括金融、教育和互联网在内的重要行业纷纷加强了对个人信息保护的关注和投入力度,一系列面向个人信息保护的法律、规范和要求也相继推出。在此背景下,一款合格的数据库审计系统需要根据“合规性要求”,形成具有针对性的监测与审计报告,帮助企业全面了解合规风险与合规状况。
2、风险监控
数据库审计系统的“风险监控能力”,是企业安全部门关注的重点,包括是否存在对数据资产的攻击、口令猜测、数据泄露、第三方违规操作、不明访问来源等安全风险。因此,系统需要支持更加全面、灵活的策略规则配置,准确的规则触发与及时告警的能力,从而在第一时间发现并解决风险问题,避免事件规模及危害的进一步扩大。此外,数据库审计系统应具备自动化、智能化的学习能力,通过对重要数据资产访问来源和访问行为等的“学习”,建立起访问来源和访问行为的基线,并以此作为进一步发现异常访问和异常行为的基础。
3、系统检测
数据库审计系统的“系统监测能力”,是企业运维部门关注的重点,包括数据资产是否存在异常访问、失败访问或异常操作,以及数据访问详情和系统性能等运维管理问题。因此,需要通过审计系统的监测告警能力,及时发现系统风险或异常运行状况,从而进一步规范运维过程、提升运维效率。
【产品手册】
【扩展阅读】
试用申请