sqlserver審計
SQLSERVER2008新增的審核功能
在sqlserver2008新增了審核功能,可以對伺服器級別和資料庫級別的操作進行審核/審計,事實上,事件通知、更改跟蹤、變更數據捕獲(CDC)
都不是用來做審計的,只是某些人亂用這些功能,也正因為亂用這些功能導致踩坑
事件通知:性能跟蹤
更改跟蹤:用Sync Services來構建偶爾連接的系統
變更數據捕獲(CDC):數據倉庫的ETL 中的數據抽取(背後使用logreader)
而審核是SQLSERVER專門針對資料庫安全的進行的審核,記住,他是專門的!
我們看一下審核的使用方法
審核對象
步驟一:創建審核對象,審核對象是跟保存路徑關聯的,所以如果你需要把審核操作日誌保存到不同的路徑就需要創建不同的審核對象
我們把審核操作日誌保存在文件系統里,在創建之前我們還要在相關路徑先創建好保存的文件夾,我們在D盤先創建sqlaudits文件夾,然後執行下面語句
--創建審核對象之前需要切換到master資料庫
USE [master]
GO
CREATE SERVER AUDIT MyFileAudit TO FILE(FILEPATH='D:\sqlaudits') --這里指定文件夾不能指定文件,生成文件都會保存在這個文件夾
GO
實際上,我們在創建審核對象的同時可以指定審核選項,下面是相關腳本
把日誌放在磁碟的好處是可以使用新增的TVF:sys.[fn_get_audit_file] 來過濾和排序審核數據,如果把審核數據保存在Windows 事件日誌里查詢起來非常麻煩
USE [master]
GO
CREATE SERVER AUDIT MyFileAudit TO FILE(
FILEPATH='D:\sqlaudits',
MAXSIZE=4GB,
MAX_ROLLOVER_FILES=6)
WITH (
ON_FAILURE=CONTINUE,
QUEUE_DELAY=1000);
ALTER SERVER AUDIT MyFileAudit WITH(STATE =ON)
MAXSIZE:指明每個審核日誌文件的最大大小是4GB
MAX_ROLLOVER_FILES:指明滾動文件數目,類似於SQL ERRORLOG,達到多少個文件之後刪除前面的歷史文件,這里是6個文件
ON_FAILURE:指明當審核數據發生錯誤時的操作,這里是繼續進行審核,如果指定shutdown,那麼將會shutdown整個實例
queue_delay:指明審核數據寫入的延遲時間,這里是1秒,最小值也是1秒,如果指定0表示是實時寫入,當然性能也有一些影響
STATE:指明啟動審核功能,STATE這個選項不能跟其他選項共用,所以只能單獨一句
在修改審核選項的時候,需要先禁用審核,再開啟審核
ALTER SERVER AUDIT MyFileAudit WITH(STATE =OFF)
ALTER SERVER AUDIT MyFileAudit WITH(QUEUE_DELAY =1000)
ALTER SERVER AUDIT MyFileAudit WITH(STATE =ON)
審核規范
在SQLSERVER審核裡面有審核規范的概念,一個審核對象只能綁定一個審核規范,而一個審核規范可以綁定到多個審核對象
我們來看一下腳本
CREATE SERVER AUDIT SPECIFICATION CaptureLoginsToFile
FOR SERVER AUDIT MyFileAudit
ADD (failed_login_group),
ADD (successful_login_group)
WITH (STATE=ON)
GO
CREATE SERVER AUDIT MyAppAudit TO APPLICATION_LOG
GO
ALTER SERVER AUDIT MyAppAudit WITH(STATE =ON)
ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE=OFF)
GO
ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile
FOR SERVER AUDIT MyAppAudit
ADD (failed_login_group),
ADD (successful_login_group)
WITH (STATE=ON)
GO
我們創建一個伺服器級別的審核規范CaptureLoginsToFile,然後再創建多一個審核對象MyAppAudit ,這個審核對象會把審核日誌保存到Windows事件日誌的應用程序日誌里
我們禁用審核規范CaptureLoginsToFile,修改審核規范CaptureLoginsToFile屬於審核對象MyAppAudit ,修改成功
而如果要把多個審核規范綁定到同一個審核對象則會報錯
CREATE SERVER AUDIT SPECIFICATION CaptureLoginsToFileA
FOR SERVER AUDIT MyFileAudit
ADD (failed_login_group),
ADD (successful_login_group)
WITH (STATE=ON)
GO
CREATE SERVER AUDIT SPECIFICATION CaptureLoginsToFileB
FOR SERVER AUDIT MyFileAudit
ADD (failed_login_group),
ADD (successful_login_group)
WITH (STATE=ON)
GO
--消息 33230,級別 16,狀態 1,第 86 行
--審核 'MyFileAudit' 的審核規范已經存在。
這里要說一下 :審核對象和審核規范的修改 ,無論是審核對象還是審核規范,在修改他們的相關參數之前,他必須要先禁用,後修改,再啟用
--禁用審核對象
ALTER SERVER AUDIT MyFileAudit WITH(STATE =OFF)
--禁用伺服器級審核規范
ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE=OFF)
GO
--禁用資料庫級審核規范
ALTER DATABASE AUDIT SPECIFICATION CaptureDBLoginsToFile WITH (STATE=OFF)
GO
--相關修改選項操作
--啟用審核對象
ALTER SERVER AUDIT MyFileAudit WITH(STATE =ON)
--啟用伺服器級審核規范
ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE=ON)
GO
--啟用資料庫級審核規范
ALTER DATABASE AUDIT SPECIFICATION CaptureDBLoginsToFile WITH (STATE=ON)
GO
審核伺服器級別事件
審核服務級別事件,我們一般用得最多的就是審核登錄失敗的事件,下面的腳本就是審核登錄成功事件和登錄失敗事件
CREATE SERVER AUDIT SPECIFICATION CaptureLoginsToFile
FOR SERVER AUDIT MyFileAudit
ADD (failed_login_group),
ADD (successful_login_group)
WITH (STATE=ON)
GO
修改審核規范
--跟審核對象一樣,更改審核規范時必須將其禁用
ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE =OFF)
ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile
ADD (login_change_password_gourp),
DROP (successful_login_group)
ALTER SERVER AUDIT SPECIFICATION CaptureLoginsToFile WITH (STATE =ON)
GO
審核操作組
每個審核操作組對應一種操作,在SQLSERVER2008里一共有35個操作組,包括備份和還原操作,資料庫所有權的更改,從伺服器和資料庫角色中添加或刪除登錄用戶
添加審核操作組的只需在審核規范里使用ADD,下面語句添加了登錄用戶修改密碼操作的操作組
ADD (login_change_password_gourp)
這里說一下伺服器審核的內部實際上使用的是SQL2008新增的擴展事件裡面的其中一個package:SecAudit package,當然他內部也是使用擴展事件來收集伺服器信息
審核資料庫級別事件
資料庫審核規范存在於他們的資料庫中,不能審核tempdb中的資料庫操作
CREATE DATABASE AUDIT SPECIFICATION和ALTER DATABASE AUDIT SPECIFICATION
工作方式跟伺服器審核規范一樣
在SQLSERVER2008里一共有15個資料庫級別的操作組
7個資料庫級別的審核操作是:select ,insert,update,delete,execute,receive,references
相關腳本如下:
--創建審核對象
USE [master]
GO
CREATE SERVER AUDIT MyDBFileAudit TO FILE(FILEPATH='D:\sqldbaudits')
GO
ALTER SERVER AUDIT MyDBFileAudit WITH (STATE=ON)
GO
--創建資料庫級別審核規范
USE [sss]
GO
CREATE DATABASE AUDIT SPECIFICATION CaptureDBActionToEventLog
FOR SERVER AUDIT MyDBFileAudit
ADD (database_object_change_group),
ADD (SELECT ,INSERT,UPDATE,DELETE ON schema::dbo BY PUBLIC)
WITH (STATE =ON)
我們先在D盤創建sqldbaudits文件夾
第一個操作組對資料庫中所有對象的DDL語句create,alter,drop等進行記錄
第二個語句監視由任何public用戶(也就是所有用戶)對dbo架構的任何對象所做的DML操作
創建完畢之後可以在SSMS里看到相關的審核
② 審計軟體下載的sql用戶不存在
查看安全性選項卡。
把SQLSERVER身份驗證方式改成SQLSERVER和Windows,然後新建立一個用戶。
授權相應的資料庫及許可權,再登錄時填建立的用戶名和密碼登錄即可。
③ sqlserver里出現好多的Audit Logout請問高手如何解決
檢查程序的連接字元串,設定最大連接池並發數量,這個十之八九是程序的問題
另外伺服器是否開啟了審計功能,關閉試試.
④ 資料庫審計 支持審計資料庫包括哪些
安華金和資料庫審計產品支持市面上30多種資料庫類型,關系型資料庫類型包含Oracle、MySQL、SQLServer、DB2、Postgres、Sybase、DM、Gbase8A、Kingbase、Informix、Oscar神通、CacheDB、Gbase8T、MariaDB、Percona、Greenplum、Teradata、Hana、SG-RDB_MySQL、SG-RDB_PostgreSQL
等等,非關系型資料庫包含HBase、MongoDB、Hive、Impala、Sentry、Redis、HDFS、ElasticSearch、Spark SQL等等,去年做交流的時候聊過,還特意留了一張支持資料庫的表格,現在是不是又有新的資料庫也可以支持,你跟安華了解下,他們是業界支持資料庫類型最多的一家廠商,還不明白自己網路下。
⑤ 我的電腦是Win7家庭版,現在要裝SQLServer,用來做審計的,請問裝哪個版本好
在家審計,肯定是有配套的財務軟體了(用友之類的),所以需求的版本應該以該軟體的要求為准,同時,為了保證兼容性,最好是和企業的sqlserver版本一致(或者比企業的版本高,否則數據無法導入)
另外還要考慮你自己機器的系統和配置,版本越高,對系統的要求越高,沒特殊需求,盡量裝低版本。
⑥ 如何實現資料庫存儲過程操作審計
--禁用C2 審核跟蹤和只限成功的登錄
EXEC sys.sp_configure N'c2 audit mode', N'0'
GO
RECONFIGURE WITH OVERRIDE
GO
USE [master]
GO
EXEC xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'AuditLevel', REG_DWORD, 1
GO
SQLSERVER2008新增的審核功能
在sqlserver2008新增了審核功能,可以對伺服器級別和資料庫級別的操作進行審核/審計,事實上,事件通知、更改跟蹤、變更數據捕獲(CDC)
都不是用來做審計的,只是某些人亂用這些功能,也正因為亂用這些功能導致踩坑
事件通知:性能跟蹤
更改跟蹤:用Sync Services來構建偶爾連接的系統
變更數據捕獲(CDC):數據倉庫的ETL 中的數據抽取(背後使用logreader)
而審核是SQLSERVER專門針對資料庫安全的進行的審核,記住,他是專門的!
⑦ 計算機審計專員應掌握的專業知識與技能
計算機審計專員應掌握的專業知識與技能
《審計法》第十二條規定:審計人員應當具備與其從事的審計工作相適應的專業知識和業務能力。審計工作是一項綜合性很強的工作,客觀需要其人員的知識結構層次呈現多學科、多領域的狀態。因此,審計人員必須隨著時代的發展,不斷學習,盡快實現知識更新換代,努力達到一專多能、精益求精的要求。隨著計算機信息技術和會計電算化的迅猛發展,計算機輔助審計技術在審計實務中得到了廣泛應用和推廣,計算機審計在提高審計效率和審計質量方面發揮著越來越重要的作用,同時也對廣大審計人員特別是從事計算機輔助審計工作的人員在知識技能方面提出了更高的要求。筆者認為,一名合格的計算機審計人員至少應具備以下專業知識與技能。
一、計算機專業知識。
作為一名計算機審計人員,首先必須掌握扎實的計算機專業知識,這是計算機審計人員與一般審計人員在專業知識要求上的最大差別。一般審計人員能夠熟練運用AO軟體進行計算分析、查詢匯總等操作即可,而計算機審計人員則必須掌握更高層次的計算機知識,具體包括:一是系統相關知識,包括計算機軟、硬體系統的構成及工作原理,操作系統及常用軟體的安裝、使用及維護等。二是資料庫系統相關知識。計算機審計人員必須掌握資料庫的基礎理論知識,了解資料庫系統的組成、結構以及關系資料庫理論基礎等相關知識,熟悉常見的Access、SqlServer、db2、Oracle等資料庫系統的數據操作及不同資料庫之間數據的相互轉換。三是計算機網路相關知識。包括數據交換技術、TCP/IP協議、常見網路互聯設備的使用、網路連接與配置等。四是計算機語言相關知識。
計算機審計人員應熟練掌握SQL語句、審計腳本語言(ASL)等計算機語言,能夠運用計算機語言進行審計數據分析、查找審計疑點。五是信息系統相關知識。計算機審計人員應了解信息系統的基本構成及設計原理,熟悉信息系統審計的內容及開展信息系統審計的主要技術方法。筆者認為,計算機審計人員的計算機專業知識應保證計算機審計人員具備以下五種能力:
一是能打開被審計單位的資料庫並將被審計單位資料庫轉換過來。計算機審計人員需要熟悉被審計單位的計算機操作系統和資料庫管理系統,能夠進行基本的資料庫操作,對資料庫進行備份、恢復或導入導出等,要能將被審計單位資料庫業務數據和財務數據轉換到審計人員熟悉的資料庫系統或審計軟體中。二是能採取多種方式進行數據分析。除使用專門的審計軟體外,最好還能夠掌握資料庫客戶端軟體的使用,可以更加靈活地進行數據分析。三是能在審計現場搭建臨時網路。臨時網路主要是利用伺服器運算速度快、存儲容量大的特點來提高數據分析效率,發揮協同辦公作用,尤其適合數據量大的項目,同時也有利於數據的安全管理。四是能排除常見的軟硬體故障。在數據採集和分析過程中,計算機審計人員要具備一些解決操作系統和資料庫管理系統基本故障能力,解決操作過程中出現的小問題,使數據採集和分析工作順利開展。五是能夠運用信息系統了解、描述、測試的相關方法對被審計單位信息系統開展信息系統內部控制、信息系統組成部分及信息系統生命周期的審計。
二、審計專業知識。
審計方法選擇恰當與否,不但會直接影響到審計工作效率的提高,而且還會對審計質量、結果產生很大影響。計算機審計人員首先是一名審計人員,因此,必須熟悉和掌握審計專業相關知識。一是必須熟練掌握並靈活運用各種審計方法,如審閱法、核對法、查詢法、比較法、分析法、順查法、逆查法、詳查法、抽查法、盤點法、調節法、觀察法等,熟知並在實踐中實施審計全過程。二是熟知審計實施全過程的程序及內容。就國家審計而言,審計實施階段可劃分為三個階段:審計准備階段、審計實施階段、審計終結階段。(1)審計准備階段。其工作主要包括:①了解被審計單位的基本情況。②下達審計通知書。③初步評價被審計單位的內部控制制度,分析審計風險。④編制審計計劃。(2)審計實施階段。審計實施階段是審計全過程的中心環節,其主要工作是:①按照審計計劃要求,對被審計單位內部控制系統的建立及其遵守情況進行檢查。②對會計報表項目實施重點、細致地檢查。③收集審計證據並編制審計工作底稿。(3)審計終結階段。審計終結階段是報表項目審計工作的結束。其主要工作有:①整理、評價審計過程收集的審計證據。②復核審計工作底稿。③評價審計結果。④編寫審計報告。
三、會計專業知識。
會計專業知識是開展審計工作的基礎知識,在一定程度上影響著審計工作質量的`提高。因此,計算機審計人員還應熟悉掌握《財務會計》、《財務管理》等會計專業的相關知識,通過審查分析財務會計數據,反映被審計單位管理過程中的利弊得失,為改進被審計單位的財務管理工作提出合理化建議和措施。同時,計算機審計人員應了解會計信息系統的基本核算原理、存儲程序控制原理與構成、主要數據文件分類以及輔助核算等相關知識,熟悉信息化條件下的會計專業知識。
四、法律法規知識。
開展計算機審計的過程就是將審計思路轉化為計算機語言並執行的過程。而要針對被審計單位的財務或業務數據確定審計思路,首先必須熟悉國家的法律法規和相關行業的規章制度。例如在開展五項社保基金審計時,計算機審計人員首先應該掌握和了解與五項社保有關的法律法規制度,能夠把握社保資金管理使用中的熱點和重點,充分利用計算機實現審計目標。再如在開展新農合基金審計時,如果不了解國家及當地政府關於新農合基金管理的相關規定,就無法確定對被審計單位電子數據應該進行哪些分析,設定何種條件查找哪些疑點數據。因此,計算機審計人員必須熟悉相關的法律法規,因為這是確定審計思路的基礎。
在法律法規的具體使用方面,應從以下幾個方面把握:一是定性依據要注意法律、法規的層次性。法律、法規范圍廣,有國家立法機關制定的法律,有國務院頒布的行政法規,有地方立法機關和行政機構制定的地方性法律、法規,有行業、部門制定的規章制度,層次越高的政策法規覆蓋面越大,宏觀指導性越強,而政策法規的層次越低,其針對性、適用性越強。在具體引用時,應從實際出發,具體問題具體對待,一般情況下,宜從低層次向高層次選擇,若遇到低層次法規與高層次法規相抵觸時,應適用高層次法規。二是要注意法律、法規的時效性。審計定性時,應以審計事項發生時適用的法規、制度作為衡量標准,而不能以現時或過時的法規、制度作為衡量標准。三是要注意法律、法規的地域性。有些法規只在一定的地區有效,不能把其他地區制定的地方性法規作為本地區審計定性的依據。
五、表達溝通能力。
對一個審計項目而言,審計項目質量的高低,需要審計組集體的智慧,計算機審計人員作為審計組的成員,需要將審計組的審計思路和個人的計算機技術融合起來,才能充分發揮作用,這就需要計算機審計人員能夠通過與其他審計人員的溝通,將審計思路轉化為計算機語言去執行;在對被審計單位信息系統進行調查了解以及提出數據採集要求時,計算機審計人員必須向被審計單位相關人員進行必要的說明。這些都要求計算機審計人員有較強的表達溝通能力,具體應達到一下幾點要求:一是審計內容、審計目標能夠說清楚。不僅是向領導匯報工作時要把情況說清楚,對被審計單位或者進行調查取證時,更要把審計內容、審計目標或者意圖說清楚,以建立起和諧的審計關系,營造良好的審計執法環境。二是審計事實要說清楚。不能憑經驗、憑感覺進行審計,更不能搞合理推測。對每個審計問題都必須搞清來龍去脈,做到一事一證,事實清楚,證據確鑿。三是審計定性依據、處理結果能夠說清楚。對被審計單位的意見與要求能夠說得明白。四是審計建議能夠說清楚。要能對審計中查出的問題或現象,進行深入地剖析,查找深層次的原因,提出有針對性、可操作的審計意見和建議,以滿足不同層面的需求,促進審計成果轉化。
六、文字寫作能力。
計算機審計人員要能夠對審計過程中利用計算機審計發現問題的事實、定性、處理處罰以及審計建議在審計報告中進行准確的表述,同時,計算機審計人員還應該及時總結開展計算機審計的方法及經驗,編寫AO應用實例及計算機審計方法,這些都需要計算機審計人員具有較強的文字寫作能力,對審計專業方面的內容能夠准確、清晰、簡練的進行表述。具體來說,應達到三項要求:一是要重視謀劃布局。審計文書不是資料的簡單堆積,更不是任意地羅列。要精心設計撰寫提綱,按公文要求分清段落,突出層次性,增強審計文書的內在邏輯性。同時,要筆墨均衡,保證文章的整體性。二是要簡明扼要、通俗易懂。審計文書實質是法律文書的一種,簡明扼要、嚴謹是法律文書的共性。切不可冗長,總怕別人看不明白,畫蛇添足。
同時,要注意改進文風,切不可數字連串、專業術語連篇。對於報告中涉及到的比較生疏的專業術語或一些主要數據的勾稽關系,一定要加以註明,防止讓人越看越糊塗,不得要領。三是用詞規范、嚴謹。不用或盡可能少用形容詞、詞意表達不準確的詞或生疏的字、詞。對問題的定性語要認真推敲,從法律角度、政策規定角度進行考證。
;⑧ 如何保證SQLServer資料庫安全
目前,針對SQL Server資料庫的應用級入侵已經變得越來越肆無忌憚,像SQL注入、跨站點腳本攻擊和未經授權的用戶訪問等。所有這些入侵都有可能繞過前台安全系統並對資料庫系統攻擊。對於資料庫管理來說,保護數據不受內部和外部侵害是一項重要的工作。SQL Server 正日益廣泛的使用於各部門內外,作為資料庫系統管理員,需要深入的理解SQL Server的安全性控制策略,以實現管理安全性的目標。那麼,如何確保SQL Server資料庫的安全性呢,我們可以從以下兩方面考慮。it培訓機構
首先、採取業界已存在的且比較成熟的資料庫審計解決方案來實現
實時記錄用戶對資料庫系統的所有操作(如:插入、刪除、更新、用戶自定義操作等),並還原SQL操作命令包括源IP地址、目的IP地址、訪問時間、用戶名、資料庫操作類型、資料庫表名、欄位名等,如此,可實現對資料庫安全事件准確全程跟蹤定位。
實時檢查資料庫不安全配置、資料庫潛在弱點、資料庫用戶弱口令、資料庫軟體補丁層次、資料庫潛藏木馬等。
進行全方位的多層(應用層、中間層、資料庫層)的訪問審計,通過多層業務審計,實現數據操作原始訪問者的精確定位。
針對於資料庫的操作行為進行實時檢測,並預設置風險控制策略,結合對資料庫活動的實時監控信息,進行特徵檢測,任何嘗試性的攻擊操作都將被檢測到並進行阻斷或告警;並支持通過郵件、簡訊、SYSLOG、SNMP、屏幕等方式告警。
其次、制定相關的資料庫管理流程
不同的人員對資料庫的操作職責不一樣,所有人員對資料庫的操作均需要事前審批,對一些非常重要的操作需要二級以上審批。申請操作時,需明確在什麼人,什麼時間,因為何事,對哪個資料庫(或表),進行什麼樣的操作,可能有什麼樣的風險及採取的補救措施等。
資料庫數據的丟失以及資料庫被非法用戶的侵入使得資料庫管理員身心疲憊不堪,資料庫安全性問題對於資料庫管理員來說簡直就是噩夢。對於資料庫數據的安全問題。本文對圍繞資料庫的安全性問題提出了一些安全性策略,希望對資料庫管理員有所幫助。
⑨ 資料庫審計系統是什麼,有什麼作用
資料庫審計是對資料庫訪問行為進行監管的系統,一般採用旁路部署的方式,通過鏡像或探針的方式採集所有資料庫的訪問流量,並基於SQL語法、語義的解析技術,記錄下資料庫的所有訪問和操作行為,例如訪問數據的用戶(IP、賬號、時間),操作(增、刪、改、查)、對象(表、欄位)等。資料庫審計系統的主要價值有兩點,一是:在發生資料庫安全事件(例如數據篡改、泄露)後為事件的追責定責提供依據;二是,針對資料庫操作的風險行為進行時時告警。
二、資料庫審計怎麼審?
1、資料庫訪問流量採集
流量採集是資料庫審計系統的基礎,只有做到資料庫訪問流量的全採集,才能保證資料庫審計的可用性和價值,目前主要的流量採集方式主要有兩種:
鏡像方式:採用旁路部署通過鏡像方式獲取資料庫的所有訪問流量。一般適用於傳統IT架構,通過鏡像方式將所有訪問資料庫的流量轉發到資料庫審計系統,來實現資料庫訪問流量的獲取。
探針方式:為了適應「雲環境」「虛擬化」及「一體機」資料庫審計需求,基於「探針」方式捕獲資料庫訪問流量。適用於復雜的網路環境,在應用端或資料庫伺服器部署Rmagent組件(產品提供),通過虛擬環境分配的審計管理網口進行數據傳輸,完成資料庫流量採集。
探針式數據採集,還可以進行資料庫本地行為審計,包括資料庫和應用系統同機審計和遠程登錄後的客戶端行為。
2、語法、語義解析
SQL語法、語義的解析技術,是實現資料庫審計系統可用、易用的必要條件。准確的資料庫協議解析,能夠保障資料庫審計的全面性與易用性。全面的審計結果應該包括:訪問資料庫的應用層信息、客戶端信息、資料庫信息、對象信息、響應信息、登錄時間、操作時間、SQL響應時長等;高易用性的資料庫審計產品的審計結果和報告,應該能夠使用業務化的語言呈現出對資料庫的訪問行為,例如將資料庫中的要素客戶端IP、資料庫用戶、SQL 操作類型、資料庫表名稱、列名稱、過濾條件變成業務人員熟悉的要素:辦公地點、工作人員名稱、業務操作、業務對象、業務元素、某種類別的業務信息。這樣的是審計結果呈現即便是非專業的DBA或運維人員的管理者或業務人員也能夠看懂。
三、資料庫審計的價值?
1、資料庫相關安全事件的追溯與定責
資料庫審計的核心價值是在發生資料庫安全事件後,為追責、定責提供依據,與此同時也可以對資料庫的攻擊和非法操作等行為起到震懾的作用。資料庫自身攜帶的審計功能,不僅會拖慢資料庫的性能,同時也有其自身的弊端,比如高許可權用戶可以刪除審計日誌,日誌查看需要專業知識,日誌分析復雜度高等。獨立的資料庫審計產品,可以有效避免以上弊端。三權分立原則可以避免針對審計日誌的刪除和篡改,SQL語句解析技術,可以將審計結果翻譯成通俗易懂的業務化語言,使得一般的業務人員和管理者也能看懂。
2、資料庫風險行為發現與告警
資料庫審計系統還可以對於針對資料庫的攻擊和風險操作等進行實時告警,以便管理人員及時作出應對措施,從而避免數據被破壞或者竊取。這一功能的實現主要基於sql的語句准確解析技術,利用對SQL語句的特徵分析,快速實現對語句的策略判定,從而發現資料庫入侵行為、資料庫異常行為、資料庫違規訪問行為,並通過簡訊、郵件、Syslog等多種方式實時告警。
3、滿足合規需求
滿足國家《網路安全法》、等保規定以及各行業規定中對於資料庫審計的合規性需求。並可根據需求形成不同的審計報表,例如:綜合報表、合規性報表、專項報表、自定義報表等。