審計(jì)是規(guī)則遵從和安全計(jì)劃的核心組成部分，也是目前IT部門(mén)中普遍實(shí)行的做法。關(guān)系數(shù)據(jù)庫(kù)是第一款嵌入審計(jì)功能、并將其作為本地平臺(tái)功能的企業(yè)級(jí)應(yīng)用程序。然而，這次嘗試卻給審計(jì)帶來(lái)了不好的名聲。廠商只是提供了最基本的功能，卻沒(méi)有給數(shù)據(jù)庫(kù)管理員提供所需要的性能和易管理性，因此管理員們至今仍對(duì)審計(jì)功能感到厭惡，并依舊抵制使用數(shù)據(jù)庫(kù)審計(jì)跟蹤功能。

數(shù)據(jù)庫(kù)管理員對(duì)本地審計(jì)功能感到厭惡是有其合理性的：本地審計(jì)的性能和數(shù)據(jù)管理效果曾帶給他們夢(mèng)魘般的遭遇，此外，審計(jì)跟蹤并不是為了目前它們所從事的任務(wù)而設(shè)計(jì)的。雖然存在著這些不足，但是法規(guī)遵從所需的精確、完整的交易記錄卻是關(guān)系數(shù)據(jù)庫(kù)審計(jì)跟蹤所能夠提供的。

安全和規(guī)則遵從的需要促使人們?nèi)ナ褂脭?shù)據(jù)庫(kù)審計(jì)功能，這些日志文件也給人們提供了洞察數(shù)據(jù)庫(kù)活動(dòng)的獨(dú)特視角。 數(shù)據(jù)庫(kù)廠商正致力于優(yōu)化產(chǎn)品的審計(jì)性能，減小歷史遺留問(wèn)題，但用戶(hù)依然需要謹(jǐn)慎部署，從而避免目前已知的問(wèn)題。

什么是數(shù)據(jù)庫(kù)審計(jì)

數(shù)據(jù)庫(kù)審計(jì)是指對(duì)審計(jì)和事務(wù)日志進(jìn)行審查，從而跟蹤數(shù)據(jù)和數(shù)據(jù)庫(kù)結(jié)構(gòu)的變化。數(shù)據(jù)庫(kù)可以這樣進(jìn)行設(shè)置：捕捉數(shù)據(jù)和元數(shù)據(jù)的改變，以及存儲(chǔ)這些資料的數(shù)據(jù)庫(kù)所做的修改。典型的審計(jì)報(bào)告應(yīng)該包括以下內(nèi)容：完成的數(shù)據(jù)庫(kù)操作、改變的數(shù)據(jù)值、執(zhí)行該項(xiàng)操作的人，以及其他幾項(xiàng)屬性。這些審計(jì)功能被植入到所有的關(guān)系數(shù)據(jù)庫(kù)平臺(tái)中，并確保生成的記錄文件具有較高的準(zhǔn)確性和完整性，就好像在數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)一樣。此外，審計(jì)跟蹤還能把一系列的語(yǔ)句轉(zhuǎn)化為合理的事務(wù)，并提供業(yè)務(wù)流程取證（forensic）分析所需的業(yè)務(wù)環(huán)境。

不過(guò)，審計(jì)功能也存在限制，例如不能對(duì)數(shù)據(jù)訪問(wèn)語(yǔ)句（通常稱(chēng)之為SELECT語(yǔ)句）進(jìn)行審計(jì)。另外，本地?cái)?shù)據(jù)庫(kù)審計(jì)很難捕捉到用戶(hù)認(rèn)可的原始查詢(xún)（query）和變量（variables），只能從綜合的角度對(duì)事件做出記錄，而日志則可以捕捉到改變前后的數(shù)據(jù)值。這也使得審計(jì)跟蹤在檢測(cè)已改變的內(nèi)容時(shí)，比檢測(cè)已訪問(wèn)的內(nèi)容更為有效。

對(duì)數(shù)據(jù)庫(kù)活動(dòng)和狀態(tài)進(jìn)行取證檢查時(shí)，審計(jì)可以準(zhǔn)確的把握事件的本質(zhì)。對(duì)SELECT語(yǔ)句（用戶(hù)查看數(shù)據(jù)時(shí)會(huì)使用）進(jìn)行檢查時(shí)，因?yàn)楸镜仄脚_(tái)缺乏對(duì)這些語(yǔ)句的收集能力，即便利用高級(jí)選項(xiàng)實(shí)現(xiàn)了這項(xiàng)操作，也會(huì)導(dǎo)致性能受到極大損失。既然有簡(jiǎn)單的方法可以高效地對(duì)SELECT語(yǔ)句進(jìn)行登記（cataloging）（例如，登入失敗、嘗試查看信用證信息），為什么企業(yè)還要選擇在本地?cái)?shù)據(jù)庫(kù)審計(jì)功能上增加其他的數(shù)據(jù)收集資源。不管怎樣，內(nèi)置的數(shù)據(jù)庫(kù)審計(jì)功能可以生成事務(wù)認(rèn)證和法規(guī)控制的核心信息。

數(shù)據(jù)庫(kù)審計(jì)的促進(jìn)因素

在對(duì)一些特定的數(shù)據(jù)庫(kù)審計(jì)創(chuàng)建工具和收集工具進(jìn)行分析之前，讓我們先來(lái)探究一下為什么需要加入這些功能。你所在的企業(yè)可能存在下面所提的一項(xiàng)也或是所有需求。

規(guī)則遵從：法規(guī)控制在一些領(lǐng)域起著關(guān)鍵性的作用，例如在管理變動(dòng)、業(yè)務(wù)流程驗(yàn)證、系統(tǒng)故障，或生成具有一定準(zhǔn)確性和一致性的安全事件材料等方面。這也是數(shù)據(jù)庫(kù)審計(jì)在欺詐檢測(cè)方面如此重要的原因所在。此外，數(shù)據(jù)庫(kù)審計(jì)對(duì)與薩班斯-奧克斯利（Sarbanes-Oxley）法案相關(guān)的法規(guī)遵從也具有重大的意義。管理變動(dòng)、事務(wù)歷史記錄、特定事件報(bào)告通常都是法規(guī)控制所要求的。PCI-DSS額外控制也是非常重要的，因?yàn)橄到y(tǒng)權(quán)限更改、或管理行為和系統(tǒng)功能的變更都需要進(jìn)行仔細(xì)的審查。

你需要時(shí)刻謹(jǐn)記的是，數(shù)據(jù)庫(kù)審計(jì)并沒(méi)有在各種規(guī)則遵從（包括SOX、PCI-DSS、HIPAA、FERPA或美國(guó)國(guó)家隱私條例）中被明確地列為一項(xiàng)必須具備的要求。在實(shí)踐中，審計(jì)為政策執(zhí)行所必要的元素（如，業(yè)務(wù)流程、數(shù)據(jù)使用、以及管理任務(wù)）都提供了精確、簡(jiǎn)潔的歷史記錄。因?yàn)樗衅髽I(yè)應(yīng)用程序都需要數(shù)據(jù)庫(kù)的支持，并且是數(shù)據(jù)狀態(tài)（業(yè)務(wù)處理的凈結(jié)果）的唯一權(quán)威，所以數(shù)據(jù)庫(kù)是實(shí)行控制最合理、也最有效的地方。因此，大多數(shù)以跟蹤特定用戶(hù)群體、對(duì)象或數(shù)據(jù)元素為核心任務(wù)的審計(jì)工作都需要進(jìn)行數(shù)據(jù)庫(kù)審計(jì)。

安全：數(shù)據(jù)的安全和隱私是使用數(shù)據(jù)庫(kù)審計(jì)功能的另一個(gè)主要促進(jìn)因素，比以上所述的幾點(diǎn)因素重要得多。捕捉失敗的登入、查詢(xún)，以及管理功能的誤用是對(duì)系統(tǒng)探查能力進(jìn)行檢測(cè)的一種途徑。對(duì)能夠暴露數(shù)據(jù)的視窗（views）插件進(jìn)行監(jiān)控、使用系統(tǒng)功能的公共許可、為普通用戶(hù)提供管理能力的權(quán)限更改，這些都是很常見(jiàn)的使用案例。對(duì)誰(shuí)在何時(shí)、何地進(jìn)行了何種操作等屬性進(jìn)行取證分析，能夠提供非常不錯(cuò)的提示信息，以顯示數(shù)據(jù)庫(kù)的使用是否合法，或是否有可能受到潛在的攻擊。為防止數(shù)據(jù)庫(kù)被篡改，審計(jì)跟蹤提供了足夠的信息以確定更改的類(lèi)型，并幫助用戶(hù)理解必需的糾正措施。通常情況下，審計(jì)跟蹤用于輔助SIEM（安全信息和事件管理）以及日志管理等安全工具，進(jìn)行相關(guān)性和安全事件的通知。

操作: 數(shù)據(jù)庫(kù)審計(jì)功能最初是為幫助數(shù)據(jù)庫(kù)管理員審查數(shù)據(jù)庫(kù)活動(dòng)而設(shè)計(jì)的，使得他們可以理解如何分配資源以及對(duì)何處的查詢(xún)做出調(diào)整。盡管目前已經(jīng)有了完成上述任務(wù)的工具，并且性能也不錯(cuò)，數(shù)據(jù)庫(kù)審計(jì)仍然在進(jìn)行著故障分析和業(yè)務(wù)流程分析，從而確保數(shù)據(jù)庫(kù)的可靠性。因?yàn)槟憧梢栽O(shè)想下述場(chǎng)景：當(dāng)災(zāi)難性的故障發(fā)生了，你會(huì)問(wèn)“剛才發(fā)生了什么事？”，此時(shí)，如果進(jìn)行審計(jì)跟蹤的話，你可以極為簡(jiǎn)便的恢復(fù)系統(tǒng)。

數(shù)據(jù)庫(kù)審計(jì)工具及其應(yīng)用程序

有四種基本平臺(tái)可以用于創(chuàng)建、收集和分析數(shù)據(jù)庫(kù)審計(jì)，它們是：本地?cái)?shù)據(jù)庫(kù)平臺(tái)、系統(tǒng)信息/事件管理及其日志管理、數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控和數(shù)據(jù)庫(kù)審計(jì)平臺(tái)。

1. 本地審計(jì)：指的是使用本地?cái)?shù)據(jù)庫(kù)來(lái)進(jìn)行數(shù)據(jù)獲取，但使用數(shù)據(jù)庫(kù)系統(tǒng)本身對(duì)事件進(jìn)行存儲(chǔ)、分類(lèi)、過(guò)濾和報(bào)告。IBM、微軟、甲骨文和Sybase針對(duì)這種情況都提供各自不同的解決方案，但本質(zhì)上都是去獲取相同的信息。雖然數(shù)據(jù)通常存儲(chǔ)在數(shù)據(jù)庫(kù)中，但卻可以導(dǎo)出到純文本文件、或以XML數(shù)據(jù)形式提供給其它的應(yīng)用程序。本地功能的使用節(jié)省了與獲取、部署和管理專(zhuān)用審計(jì)工具相關(guān)的成本，但卻使得數(shù)據(jù)庫(kù)產(chǎn)生了額外的性能開(kāi)銷(xiāo)，對(duì)基本的收集和存儲(chǔ)也只能進(jìn)行有限的管理，并且需要人為的進(jìn)行管理。本地審計(jì)發(fā)生在數(shù)據(jù)庫(kù)范圍內(nèi)，并且只適用于對(duì)安置在單個(gè)設(shè)施內(nèi)的數(shù)據(jù)庫(kù)進(jìn)行分析。

2. SIEM和日志管理：安全信息和事件管理（SIEM），以及與之類(lèi)似的日志管理工具都具備了收集審計(jì)文件的能力，但卻比本地?cái)?shù)據(jù)庫(kù)工具提供了更多的功能。請(qǐng)記住，這些工具不會(huì)像本地審計(jì)那樣會(huì)導(dǎo)致數(shù)據(jù)庫(kù)的開(kāi)銷(xiāo)，從而減輕了數(shù)據(jù)庫(kù)的大部分負(fù)擔(dān)，但這需要一個(gè)專(zhuān)門(mén)的服務(wù)器對(duì)其進(jìn)行存儲(chǔ)和處理。除了數(shù)據(jù)庫(kù)審計(jì)日志，這些工具還從網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、防火墻和應(yīng)用程序中收集信息。SIEM 和日志管理可以提供綜合報(bào)告、數(shù)據(jù)收集、異構(gòu)數(shù)據(jù)庫(kù)支持，數(shù)據(jù)聚合和壓縮能力，這些都是本地?cái)?shù)據(jù)庫(kù)審計(jì)所不具備的優(yōu)點(diǎn)。LogLogic和Splunk等公司推出的日志管理系統(tǒng)，專(zhuān)門(mén)設(shè)計(jì)成能夠容納大量數(shù)據(jù)的系統(tǒng)，并且更專(zhuān)注于管理和報(bào)告。而由ArcSight公司和EMC公司安全部門(mén)RSA等廠商所推出的SIEM，則被設(shè)計(jì)成更適用于接近實(shí)時(shí)的網(wǎng)絡(luò)安全設(shè)備監(jiān)視，從而更深入地分析事件之間的關(guān)聯(lián)和安全報(bào)警等信息。然而，SIEM和日志管理之間的區(qū)別可能會(huì)逐漸模糊起來(lái)，這是因?yàn)榇蠖鄶?shù)的廠商都能同時(shí)提供兩個(gè)平臺(tái)，盡管兩者沒(méi)有完全整合在一起。#p#

3. DAM：數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控平臺(tái)被設(shè)計(jì)成用于監(jiān)控?cái)?shù)據(jù)庫(kù)活動(dòng)中的威脅，并執(zhí)行規(guī)則遵從控制。諸如Application Security、Fortinet、IBM、Netezza和甲骨文這樣的供應(yīng)商，提供了異構(gòu)數(shù)據(jù)庫(kù)中的事件獲取。大多數(shù)供應(yīng)商提供了多種方式來(lái)獲取信息，包括收集來(lái)自網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)所在的操作系統(tǒng)和數(shù)據(jù)庫(kù)審計(jì)日志等多方查詢(xún)（queries）信息。DAM 工具被專(zhuān)門(mén)用于高速數(shù)據(jù)檢索和實(shí)時(shí)政策執(zhí)行。像SIEM工具一樣，DAM 工具可以收集來(lái)自異構(gòu)數(shù)據(jù)庫(kù)和多數(shù)據(jù)源的數(shù)據(jù)，并被設(shè)計(jì)成用于分析和報(bào)警。而與SIEM不同的是，DAM并不是專(zhuān)為數(shù)據(jù)庫(kù)而設(shè)計(jì)的，它更加專(zhuān)注于在應(yīng)用程序級(jí)進(jìn)行數(shù)據(jù)庫(kù)分析，而不是在網(wǎng)絡(luò)級(jí)或系統(tǒng)級(jí)上進(jìn)行。除了對(duì)數(shù)據(jù)庫(kù)的操作進(jìn)行取證（forensic）分析，DAM還提供了諸如活動(dòng)阻塞、虛擬打補(bǔ)丁、過(guò)濾（filtering）和評(píng)估等高級(jí)功能。

4. 數(shù)據(jù)庫(kù)審計(jì)平臺(tái)：一些數(shù)據(jù)庫(kù)廠商提供了專(zhuān)門(mén)數(shù)據(jù)庫(kù)，這與日志管理服務(wù)器很相似。這些數(shù)據(jù)庫(kù)由一個(gè)專(zhuān)用的平臺(tái)組成，它存儲(chǔ)從本地?cái)?shù)據(jù)庫(kù)審計(jì)中獲取的日志文件，并把多個(gè)數(shù)據(jù)庫(kù)的日志文件收集到一個(gè)中央位置上。其中一些平臺(tái)還提供了異構(gòu)數(shù)據(jù)庫(kù)日志文件收集器。報(bào)告、取證分析、把日志文件聚集為共同的格式，以及安全存儲(chǔ)，這都是此種平臺(tái)可以帶來(lái)的好處。雖然這些平臺(tái)不提供多數(shù)據(jù)來(lái)源、或像DAM那樣進(jìn)行細(xì)致的分析，不具備SIEM那樣的關(guān)聯(lián)和分析能力,也不像日志管理簡(jiǎn)單易用，但對(duì)于那些專(zhuān)注于數(shù)據(jù)庫(kù)審計(jì)的IT運(yùn)營(yíng)而言，這是一個(gè)性?xún)r(jià)比很高的方法，可以用來(lái)生成安全報(bào)告和存儲(chǔ)取證方面的安全數(shù)據(jù)。

數(shù)據(jù)庫(kù)審計(jì)的選擇過(guò)程

為了有助于進(jìn)行數(shù)據(jù)庫(kù)審計(jì)的選擇過(guò)程，你需要考慮以下各平臺(tái)類(lèi)型的特點(diǎn)，以及每個(gè)供應(yīng)商的解決方案。按重要性排序如下：

數(shù)據(jù)來(lái)源：在本文中所描述的信息主要來(lái)源是數(shù)據(jù)庫(kù)的審計(jì)日志，這是由數(shù)據(jù)庫(kù)引擎創(chuàng)建的。然而，審計(jì)日志隨數(shù)據(jù)庫(kù)的不同而有所變化，在某些情況下有多種信息都可以歸在審計(jì)日志這一類(lèi)。此外，一些平臺(tái)可以創(chuàng)建某個(gè)用戶(hù)對(duì)數(shù)據(jù)庫(kù)操作的活動(dòng)日志。雖然這種日志并不如本地平臺(tái)所創(chuàng)建的那樣準(zhǔn)確，但它卻能包含所有SELECT語(yǔ)句，并具有更好的引導(dǎo)性能。你需要仔細(xì)檢查來(lái)自不同數(shù)據(jù)源的哪些數(shù)據(jù)可用，并看看信息是否足夠滿(mǎn)足你的安全、運(yùn)營(yíng)和規(guī)則遵從的要求。

規(guī)則遵從：由于依照產(chǎn)業(yè)和政府的法規(guī)是采用數(shù)據(jù)庫(kù)審計(jì)解決方案的主要?jiǎng)恿?，你需要審查政策和供?yīng)商提供的產(chǎn)品報(bào)告。這些報(bào)告能幫助你迅速滿(mǎn)足規(guī)則遵從的要求，并降低在定制方面的成本。

部署：用戶(hù)對(duì)所有解決方案描述最大的投訴是部署時(shí)需要面對(duì)很多難題。安裝、配置、政策管理、減少誤報(bào)、自定義報(bào)告或數(shù)據(jù)管理，這些也是用戶(hù)需要解決的問(wèn)題。正是由于這個(gè)原因，你需要將資源集中從而進(jìn)行實(shí)地比較，以評(píng)估工具的優(yōu)劣。此外，針對(duì)一兩個(gè)數(shù)據(jù)庫(kù)的部署進(jìn)行測(cè)試是不夠的，你需要在多個(gè)數(shù)據(jù)庫(kù)之間制定計(jì)劃以進(jìn)行一些可擴(kuò)展性測(cè)試，從而模擬真實(shí)世界的情景。當(dāng)然，這增加了概念驗(yàn)證（proof-of-concept）過(guò)程的負(fù)擔(dān)，但從長(zhǎng)遠(yuǎn)來(lái)看這是值得的，因?yàn)閺S商存在的UI問(wèn)題、政策管理和體系結(jié)構(gòu)的不合理選擇，只會(huì)在實(shí)際測(cè)試中才會(huì)表現(xiàn)出來(lái)。

性能：它與供應(yīng)商平臺(tái)的關(guān)系不是很大，但和數(shù)據(jù)庫(kù)本身的數(shù)據(jù)審計(jì)選項(xiàng)聯(lián)系得更加緊密。目前存在著多個(gè)版本和選項(xiàng)，并且本地審計(jì)的性能變化也很快，因此你需要運(yùn)行一些測(cè)試。你可能還需要平衡你想收集的數(shù)據(jù)和你需要的數(shù)據(jù)，并尋找以制定最少的政策來(lái)滿(mǎn)足需求的途徑，因?yàn)檎咴蕉嘁馕吨谒邢到y(tǒng)上花的經(jīng)費(fèi)也更多。

整合：你需要對(duì)合作供應(yīng)商在工作流程、故障報(bào)告（trouble-ticketing）、系統(tǒng)與政策管理產(chǎn)品的整合方面進(jìn)行驗(yàn)證。

審計(jì)日志包含很多對(duì)審計(jì)人員、安全專(zhuān)家和數(shù)據(jù)庫(kù)管理員有幫助的信息，但是它們會(huì)影響到性能。對(duì)于數(shù)據(jù)庫(kù)審計(jì)可以的提供任何新奇事物，你都需要通過(guò)了解其可能增加的負(fù)擔(dān)。審計(jì)會(huì)引起一些性能上的損失，而根據(jù)你執(zhí)行的情況，損失可能會(huì)很?chē)?yán)重。但是，這些問(wèn)題是可以緩解的，并且對(duì)于一些商業(yè)問(wèn)題而言，數(shù)據(jù)庫(kù)審計(jì)日記是規(guī)則遵從和安全分析必不可少的環(huán)節(jié)。

除了本地?cái)?shù)據(jù)庫(kù)審計(jì)（位于數(shù)據(jù)庫(kù)資源上層），我們描述的所有工具都被部署為一個(gè)獨(dú)立的設(shè)備或軟件。所有數(shù)據(jù)庫(kù)審計(jì)都提供了中央政策（central policy）和數(shù)據(jù)管理、報(bào)告，并提供數(shù)據(jù)聚合（data aggregation）功能。SIEM（安全信息和事件管理）、日志管理和數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控供應(yīng)商為可擴(kuò)展性提供了一個(gè)層次部署模型，在該模型中多臺(tái)服務(wù)器或設(shè)備被分布在大型的IT組織中，以改善用戶(hù)對(duì)處理和存儲(chǔ)的需求。

聚合數(shù)據(jù)使得正被收集的巨大數(shù)據(jù)量的管理和報(bào)告變得容易。此外，信息收集被放在中央服務(wù)器中可以保護(hù)處理日記不被篡改。

究竟那種方法更適合你，這取決于你的需求、你需要解決的業(yè)務(wù)問(wèn)題，以及你愿意為解決問(wèn)題而投入多少時(shí)間和金錢(qián)。一個(gè)好消息是你可以有大量的選擇，比如讓自己的數(shù)據(jù)庫(kù)管理員去進(jìn)行數(shù)據(jù)庫(kù)本地審計(jì)從而獲得基礎(chǔ)的信息，或者對(duì)成千上萬(wàn)的設(shè)備進(jìn)行數(shù)據(jù)聚合操作。

【編輯推薦】

1. 數(shù)據(jù)庫(kù)安全最佳實(shí)踐：數(shù)據(jù)庫(kù)審計(jì)工具調(diào)優(yōu)
2. 高?；ヂ?lián)網(wǎng)合規(guī)審計(jì)解決方案
3. 證券行業(yè)日志審計(jì)需求分析，產(chǎn)品選型和實(shí)施建議
4. 5招對(duì)數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品的正確選購(gòu)