近兩年，拖庫(kù)現(xiàn)象頻發(fā)，黑客盜取數(shù)據(jù)庫(kù)的技術(shù)在不斷提升。雖然數(shù)據(jù)庫(kù)的防護(hù)能力也在提升，但相比黑客的手段來(lái)說(shuō)，單純的數(shù)據(jù)庫(kù)防護(hù)還是心有余而力不足。數(shù)據(jù)庫(kù)審計(jì)已經(jīng)不是一種新興的技術(shù)手段，但是卻在數(shù)據(jù)庫(kù)安全事件頻發(fā)的今天給我們以新的啟示。數(shù)據(jù)庫(kù)受到的威脅大致有這么幾種：

一、內(nèi)部人員錯(cuò)誤

數(shù)據(jù)庫(kù)安全的一個(gè)潛在風(fēng)險(xiǎn)就是“非故意的授權(quán)用戶攻擊”和內(nèi)部人員錯(cuò)誤。這種安全事件類型的最常見(jiàn)表現(xiàn)包括：由于不慎而造成意外刪除或泄漏，非故意的規(guī)避安全策略。在授權(quán)用戶無(wú)意訪問(wèn)敏感數(shù)據(jù)并錯(cuò)誤地修改或刪除信息時(shí)，就會(huì)發(fā)生第一種風(fēng)險(xiǎn)。在用戶為了備份或“將工作帶回家”而作了非授權(quán)的備份時(shí)，就會(huì)發(fā)生第二種風(fēng)險(xiǎn)。雖然這并不是一種惡意行為，但很明顯，它違反了公司的安全策略，并會(huì)造成數(shù)據(jù)存放到存儲(chǔ)設(shè)備上，在該設(shè)備遭到惡意攻擊時(shí)，就會(huì)導(dǎo)致非故意的安全事件。例如，筆記本電腦就能造成這種風(fēng)險(xiǎn)。

二、社交工程

由于攻擊者使用的高級(jí)釣魚技術(shù)，在合法用戶不知不覺(jué)地將安全機(jī)密提供給攻擊者時(shí)，就會(huì)發(fā)生大量的嚴(yán)重攻擊。這些新型攻擊的成功，意味著此趨勢(shì)在 2012年繼續(xù)。在這種情況下，用戶會(huì)通過(guò)一個(gè)受到損害的網(wǎng)站或通過(guò)一個(gè)電子郵件響應(yīng)將信息提供給看似合法的請(qǐng)求。應(yīng)當(dāng)通知雇員這種非法的請(qǐng)求，并教育他們不要做出響應(yīng)。此外，企業(yè)還可以通過(guò)適時(shí)地檢測(cè)可疑活動(dòng)，來(lái)減輕成功的釣魚攻擊的影響。數(shù)據(jù)庫(kù)活動(dòng)監(jiān)視和審計(jì)可以使這種攻擊的影響最小化。

三、內(nèi)部人員攻擊

很多數(shù)據(jù)庫(kù)攻擊源自企業(yè)內(nèi)部。當(dāng)前的經(jīng)濟(jì)環(huán)境和有關(guān)的裁員方法都有可能引起雇員的不滿，從而導(dǎo)致內(nèi)部人員攻擊的增加。這些內(nèi)部人員受到貪欲或報(bào)復(fù)欲的驅(qū)使，且不受防火墻及入侵防御系統(tǒng)等的影響，容易給企業(yè)帶來(lái)風(fēng)險(xiǎn)。

四、錯(cuò)誤配置

黑客可以使用數(shù)據(jù)庫(kù)的錯(cuò)誤配置控制“肉機(jī)”訪問(wèn)點(diǎn)，借以繞過(guò)認(rèn)證方法并訪問(wèn)敏感信息。這種配置缺陷成為攻擊者借助特權(quán)提升發(fā)動(dòng)某些攻擊的主要手段。如果沒(méi)有正確的重新設(shè)置數(shù)據(jù)庫(kù)的默認(rèn)配置，非特權(quán)用戶就有可能訪問(wèn)未加密的文件，未打補(bǔ)丁的漏洞就有可能導(dǎo)致非授權(quán)用戶訪問(wèn)敏感數(shù)據(jù)。

五、未打補(bǔ)丁的漏洞

如今攻擊已經(jīng)從公開(kāi)的漏洞利用發(fā)展到更精細(xì)的方法，并敢于挑戰(zhàn)傳統(tǒng)的入侵檢測(cè)機(jī)制。漏洞利用的腳本在數(shù)據(jù)庫(kù)補(bǔ)丁發(fā)布的幾小時(shí)內(nèi)就可以被發(fā)到網(wǎng)上。當(dāng)即就可以使用的漏洞利用代碼，再加上幾十天的補(bǔ)丁周期（在多數(shù)企業(yè)中如此），實(shí)質(zhì)上幾乎把數(shù)據(jù)庫(kù)的大門完全打開(kāi)了。

六、高級(jí)持續(xù)性威脅

之所以稱其為高級(jí)持續(xù)性威脅，是因?yàn)閷?shí)施這種威脅的是有組織的專業(yè)公司或政府機(jī)構(gòu)，它們掌握了威脅數(shù)據(jù)庫(kù)安全的大量技術(shù)和技巧，而且是“咬定青山不放松”“立根原在"金錢（有資金支持）"中”，“千磨萬(wàn)擊還堅(jiān)勁，任爾東西南北風(fēng)”。這是一種正甚囂塵上的風(fēng)險(xiǎn)：熱衷于竊取數(shù)據(jù)的公司甚至外國(guó)政府專門竊取存儲(chǔ)在數(shù)據(jù)庫(kù)中的大量關(guān)鍵數(shù)據(jù)，不再滿足于獲得一些簡(jiǎn)單的數(shù)據(jù)。特別是一些個(gè)人的私密及金融信息，一旦失竊，這些數(shù)據(jù)記錄就可以在信息黑市上銷售或使用，并被其它政府機(jī)構(gòu)操縱。鑒于數(shù)據(jù)庫(kù)攻擊涉及到成千上萬(wàn)甚至上百萬(wàn)的記錄，所以其日益增長(zhǎng)和普遍。通過(guò)鎖定數(shù)據(jù)庫(kù)漏洞并密切監(jiān)視對(duì)關(guān)鍵數(shù)據(jù)存儲(chǔ)的訪問(wèn)，數(shù)據(jù)庫(kù)的專家們可以及時(shí)發(fā)現(xiàn)并阻止這些攻擊。#p#

數(shù)據(jù)庫(kù)審計(jì)不但可以在發(fā)生數(shù)據(jù)泄露和損壞之前，起到一定的防護(hù)作用，更重要的是數(shù)據(jù)庫(kù)審計(jì)能夠詳細(xì)的記錄數(shù)據(jù)庫(kù)訪問(wèn)的歷史記錄，可以真實(shí)的還原數(shù)據(jù)泄露的過(guò)程，再現(xiàn)事件當(dāng)事人的行為細(xì)節(jié)，為日后法律責(zé)任追究建立有效的證據(jù)，防止事態(tài)擴(kuò)大化。一般來(lái)講，數(shù)據(jù)庫(kù)審計(jì)能夠起到如下的作用：

滿足合規(guī)性要求，順利通過(guò)IT審計(jì)

目前，越來(lái)越多的單位面臨一種或者幾種合規(guī)性要求。比如，在美上市的中國(guó)移動(dòng)集團(tuán)公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求；而商業(yè)銀行則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國(guó)有企業(yè)則要遵循等級(jí)保護(hù)的合規(guī)性要求。

有效減少核心信息資產(chǎn)的破壞和泄露

對(duì)單位的業(yè)務(wù)系統(tǒng)來(lái)說(shuō)，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個(gè)關(guān)鍵系統(tǒng)和關(guān)鍵服務(wù)器上，能夠加強(qiáng)對(duì)這些關(guān)鍵系統(tǒng)的訪問(wèn)控制與審計(jì)，從而有效地減少核心信息資產(chǎn)的破壞和泄露。

有效控制運(yùn)維操作風(fēng)險(xiǎn)，便于事后追查原因與界定責(zé)任

一個(gè)單位里負(fù)責(zé)運(yùn)維的部門通常擁有目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的最高權(quán)限，因而也承擔(dān)著很高的風(fēng)險(xiǎn)（誤操作或者是個(gè)別人員的惡意破壞）?；诮巧脑L問(wèn)控制與審計(jì)，有效地控制運(yùn)維操作風(fēng)險(xiǎn)，還能夠有效地區(qū)分不同維護(hù)人員的身份，便于事后追查原因與界定責(zé)任。

有效控制業(yè)務(wù)運(yùn)行風(fēng)險(xiǎn)，直觀掌握業(yè)務(wù)系統(tǒng)運(yùn)行的安全狀況

業(yè)務(wù)系統(tǒng)的正常運(yùn)行需要一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。提供審計(jì)事件及會(huì)話的統(tǒng)計(jì)分析功能，能夠直觀地反映網(wǎng)絡(luò)環(huán)境的安全狀況。

實(shí)現(xiàn)獨(dú)立審計(jì)與三權(quán)分立，完善IT內(nèi)控機(jī)制

從內(nèi)控的角度來(lái)看，IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。實(shí)現(xiàn)獨(dú)立的審計(jì)與三權(quán)分立，在三權(quán)分立的基礎(chǔ)上實(shí)施內(nèi)控與審計(jì)，有效地控制操作風(fēng)險(xiǎn)（包括業(yè)務(wù)操作風(fēng)險(xiǎn)與運(yùn)維操作風(fēng)險(xiǎn)），完善IT內(nèi)控機(jī)制。