審計(jì)是規(guī)則遵從和安全計(jì)劃的核心組成部分，也是目前IT部門中普遍實(shí)行的做法。關(guān)系數(shù)據(jù)庫(kù)是第一款嵌入審計(jì)功能、并將其作為本地平臺(tái)功能的企業(yè)級(jí)應(yīng)用程序。然而，這次嘗試卻給審計(jì)帶來(lái)了不好的名聲。廠商只是提供了最基本的功能，卻沒(méi)有給數(shù)據(jù)庫(kù)管理員提供所需要的性能和易管理性，因此管理員們至今仍對(duì)審計(jì)功能感到厭惡，并依舊抵制使用數(shù)據(jù)庫(kù)審計(jì)跟蹤功能。

　　數(shù)據(jù)庫(kù)管理員對(duì)本地審計(jì)功能感到厭惡是有其合理性的：本地審計(jì)的性能和數(shù)據(jù)管理效果曾帶給他們夢(mèng)魘般的遭遇，此外，審計(jì)跟蹤并不是為了目前它們所從事的任務(wù)而設(shè)計(jì)的。雖然存在著這些不足，但是法規(guī)遵從所需的精確、完整的交易記錄卻是關(guān)系數(shù)據(jù)庫(kù)審計(jì)跟蹤所能夠提供的。

　　安全和規(guī)則遵從的需要促使人們?nèi)ナ褂脭?shù)據(jù)庫(kù)審計(jì)功能，這些日志文件也給人們提供了洞察數(shù)據(jù)庫(kù)活動(dòng)的獨(dú)特視角。 數(shù)據(jù)庫(kù)廠商正致力于優(yōu)化產(chǎn)品的審計(jì)性能，減小歷史遺留問(wèn)題，但用戶依然需要謹(jǐn)慎部署，從而避免目前已知的問(wèn)題。

　　什么是數(shù)據(jù)庫(kù)審計(jì)

　　數(shù)據(jù)庫(kù)審計(jì)是指對(duì)審計(jì)和事務(wù)日志進(jìn)行審查，從而跟蹤數(shù)據(jù)和數(shù)據(jù)庫(kù)結(jié)構(gòu)的變化。數(shù)據(jù)庫(kù)可以這樣進(jìn)行設(shè)置：捕捉數(shù)據(jù)和元數(shù)據(jù)的改變，以及存儲(chǔ)這些資料的數(shù)據(jù)庫(kù)所做的修改。典型的審計(jì)報(bào)告應(yīng)該包括以下內(nèi)容：完成的數(shù)據(jù)庫(kù)操作、改變的數(shù)據(jù)值、執(zhí)行該項(xiàng)操作的人，以及其他幾項(xiàng)屬性。這些審計(jì)功能被植入到所有的關(guān)系數(shù)據(jù)庫(kù)平臺(tái)中，并確保生成的記錄文件具有較高的準(zhǔn)確性和完整性，就好像在數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)一樣。此外，審計(jì)跟蹤還能把一系列的語(yǔ)句轉(zhuǎn)化為合理的事務(wù)，并提供業(yè)務(wù)流程取證(forensic)分析所需的業(yè)務(wù)環(huán)境。

　　不過(guò)，審計(jì)功能也存在限制，例如不能對(duì)數(shù)據(jù)訪問(wèn)語(yǔ)句(通常稱之為SELECT語(yǔ)句)進(jìn)行審計(jì)。另外，本地?cái)?shù)據(jù)庫(kù)審計(jì)很難捕捉到用戶認(rèn)可的原始查詢(query)和變量(variables)，只能從綜合的角度對(duì)事件做出記錄，而日志則可以捕捉到改變前后的數(shù)據(jù)值。這也使得審計(jì)跟蹤在檢測(cè)已改變的內(nèi)容時(shí)，比檢測(cè)已訪問(wèn)的內(nèi)容更為有效。

　　對(duì)數(shù)據(jù)庫(kù)活動(dòng)和狀態(tài)進(jìn)行取證檢查時(shí)，審計(jì)可以準(zhǔn)確的把握事件的本質(zhì)。對(duì)SELECT語(yǔ)句(用戶查看數(shù)據(jù)時(shí)會(huì)使用)進(jìn)行檢查時(shí)，因?yàn)楸镜仄脚_(tái)缺乏對(duì)這些語(yǔ)句的收集能力，即便利用高級(jí)選項(xiàng)實(shí)現(xiàn)了這項(xiàng)操作，也會(huì)導(dǎo)致性能受到極大損失。既然有簡(jiǎn)單的方法可以高效地對(duì)SELECT語(yǔ)句進(jìn)行登記(cataloging)(例如，登入失敗、嘗試查看信用證信息)，為什么企業(yè)還要選擇在本地?cái)?shù)據(jù)庫(kù)審計(jì)功能上增加其他的數(shù)據(jù)收集資源。不管怎樣，內(nèi)置的數(shù)據(jù)庫(kù)審計(jì)功能可以生成事務(wù)認(rèn)證和法規(guī)控制的核心信息。

　　數(shù)據(jù)庫(kù)審計(jì)的促進(jìn)因素

　　在對(duì)一些特定的數(shù)據(jù)庫(kù)審計(jì)創(chuàng)建工具和收集工具進(jìn)行分析之前，讓我們先來(lái)探究一下為什么需要加入這些功能。你所在的企業(yè)可能存在下面所提的一項(xiàng)也或是所有需求。

　　規(guī)則遵從：法規(guī)控制在一些領(lǐng)域起著關(guān)鍵性的作用，例如在管理變動(dòng)、業(yè)務(wù)流程驗(yàn)證、系統(tǒng)故障，或生成具有一定準(zhǔn)確性和一致性的安全事件材料等方面。這也是數(shù)據(jù)庫(kù)審計(jì)在欺詐檢測(cè)方面如此重要的原因所在。此外，數(shù)據(jù)庫(kù)審計(jì)對(duì)與薩班斯-奧克斯利(Sarbanes-Oxley)法案相關(guān)的法規(guī)遵從也具有重大的意義。管理變動(dòng)、事務(wù)歷史記錄、特定事件報(bào)告通常都是法規(guī)控制所要求的。PCI-DSS額外控制也是非常重要的，因?yàn)橄到y(tǒng)權(quán)限更改、或管理行為和系統(tǒng)功能的變更都需要進(jìn)行仔細(xì)的審查。

　　你需要時(shí)刻謹(jǐn)記的是，數(shù)據(jù)庫(kù)審計(jì)并沒(méi)有在各種規(guī)則遵從(包括SOX、PCI-DSS、HIPAA、FERPA或美國(guó)國(guó)家隱私條例)中被明確地列為一項(xiàng)必須具備的要求。在實(shí)踐中，審計(jì)為政策執(zhí)行所必要的元素(如，業(yè)務(wù)流程、數(shù)據(jù)使用、以及管理任務(wù))都提供了精確、簡(jiǎn)潔的歷史記錄。因?yàn)樗衅髽I(yè)應(yīng)用程序都需要數(shù)據(jù)庫(kù)的支持，并且是數(shù)據(jù)狀態(tài)(業(yè)務(wù)處理的凈結(jié)果)的唯一權(quán)威，所以數(shù)據(jù)庫(kù)是實(shí)行控制最合理、也最有效的地方。因此，大多數(shù)以跟蹤特定用戶群體、對(duì)象或數(shù)據(jù)元素為核心任務(wù)的審計(jì)工作都需要進(jìn)行數(shù)據(jù)庫(kù)審計(jì)。

　　安全：數(shù)據(jù)的安全和隱私是使用數(shù)據(jù)庫(kù)審計(jì)功能的另一個(gè)主要促進(jìn)因素，比以上所述的幾點(diǎn)因素重要得多。捕捉失敗的登入、查詢，以及管理功能的誤用是對(duì)系統(tǒng)探查能力進(jìn)行檢測(cè)的一種途徑。對(duì)能夠暴露數(shù)據(jù)的視窗(views)插件進(jìn)行監(jiān)控、使用系統(tǒng)功能的公共許可、為普通用戶提供管理能力的權(quán)限更改，這些都是很常見(jiàn)的使用案例。對(duì)誰(shuí)在何時(shí)、何地進(jìn)行了何種操作等屬性進(jìn)行取證分析，能夠提供非常不錯(cuò)的提示信息，以顯示數(shù)據(jù)庫(kù)的使用是否合法，或是否有可能受到潛在的攻擊。為防止數(shù)據(jù)庫(kù)被篡改，審計(jì)跟蹤提供了足夠的信息以確定更改的類型，并幫助用戶理解必需的糾正措施。通常情況下，審計(jì)跟蹤用于輔助SIEM(安全信息和事件管理)以及日志管理等安全工具，進(jìn)行相關(guān)性和安全事件的通知。

　　操作: 數(shù)據(jù)庫(kù)審計(jì)功能最初是為幫助數(shù)據(jù)庫(kù)管理員審查數(shù)據(jù)庫(kù)活動(dòng)而設(shè)計(jì)的，使得他們可以理解如何分配資源以及對(duì)何處的查詢做出調(diào)整。盡管目前已經(jīng)有了完成上述任務(wù)的工具，并且性能也不錯(cuò)，數(shù)據(jù)庫(kù)審計(jì)仍然在進(jìn)行著故障分析和業(yè)務(wù)流程分析，從而確保數(shù)據(jù)庫(kù)的可靠性。因?yàn)槟憧梢栽O(shè)想下述場(chǎng)景：當(dāng)災(zāi)難性的故障發(fā)生了，你會(huì)問(wèn)“剛才發(fā)生了什么事?”，此時(shí)，如果進(jìn)行審計(jì)跟蹤的話，你可以極為簡(jiǎn)便的恢復(fù)系統(tǒng)。

【編輯推薦】

1. 了解數(shù)據(jù)庫(kù)安全審計(jì)工具（下）：什么是數(shù)據(jù)庫(kù)審計(jì)