云端數(shù)據(jù)安全，是云安全中最核心的問(wèn)題之一。要實(shí)現(xiàn)云數(shù)據(jù)安全，需要從多個(gè)角度去努力。對(duì)數(shù)據(jù)訪問(wèn)情況的跟蹤記錄審計(jì)，是云數(shù)據(jù)安全的最基本要求。本文從數(shù)據(jù)源頭——數(shù)據(jù)庫(kù)的保護(hù)角度，以幾個(gè)問(wèn)題的問(wèn)答方式，分析數(shù)據(jù)庫(kù)的安全審計(jì)問(wèn)題。

1.什么是云端數(shù)據(jù)庫(kù)?

廣義的說(shuō)，云端數(shù)據(jù)庫(kù)就是把數(shù)據(jù)庫(kù)放到了云端。這里包括三類：1)公有云服務(wù)商以SAAS的方式，提供給租戶的數(shù)據(jù)庫(kù)服務(wù)器;2)私有云上預(yù)先搭建好的SAAS方式的數(shù)據(jù)庫(kù)服務(wù)器;3)租戶租用云端服務(wù)器，自己安裝和搭建的數(shù)據(jù)庫(kù)。而狹義的說(shuō)，僅指公有云服務(wù)商提供的SAAS形式的數(shù)據(jù)庫(kù)服務(wù)器，通常包含一個(gè)虛擬機(jī)系統(tǒng)和已經(jīng)安裝在上面的數(shù)據(jù)庫(kù)系統(tǒng)。本文后續(xù)部分如果沒(méi)有特別指出，云端數(shù)據(jù)庫(kù)僅指公有云端的SAAS數(shù)據(jù)庫(kù)。至于數(shù)據(jù)庫(kù)的種類，在每個(gè)云平臺(tái)上有所區(qū)別，但是主要的有關(guān)系型數(shù)據(jù)庫(kù)RDB以及非關(guān)系型數(shù)據(jù)庫(kù)NOSQL。

2.云端數(shù)據(jù)庫(kù)有哪些特殊性?

得益于云計(jì)算的特性，相比于傳統(tǒng)環(huán)境下的數(shù)據(jù)庫(kù)，在云端的數(shù)據(jù)庫(kù)具有如下優(yōu)勢(shì)：

1) 搭建速度快。云服務(wù)商預(yù)先搭建好數(shù)據(jù)庫(kù)模板，租戶只需要根據(jù)需求，操作鼠標(biāo)調(diào)整各種參數(shù)，在秒級(jí)時(shí)間內(nèi)，就能夠快速部署好所需要的數(shù)據(jù)庫(kù);

2) 構(gòu)建成本低。不需要一次性投入，只需要按照實(shí)際使用的計(jì)算資源和使用時(shí)間付費(fèi);

3) 彈性可伸縮。數(shù)據(jù)庫(kù)服務(wù)器的性能參數(shù)，可以根據(jù)實(shí)際情況動(dòng)態(tài)調(diào)整;

4) 可靠性高。云服務(wù)商已經(jīng)解決了硬件設(shè)備和數(shù)據(jù)的容災(zāi)和備份問(wèn)題，可靠性很高;

5) 維護(hù)量小。租戶只需要少量對(duì)數(shù)據(jù)的維護(hù)，不需要對(duì)服務(wù)器硬件、OS等進(jìn)行維護(hù)。

除去以上優(yōu)勢(shì)，云端數(shù)據(jù)庫(kù)的一個(gè)問(wèn)題是可控性較低。這里說(shuō)的可控性是指租戶對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的控制能力。云服務(wù)商為了實(shí)現(xiàn)如上優(yōu)勢(shì)，云端數(shù)據(jù)庫(kù)通常只對(duì)租戶開(kāi)放數(shù)據(jù)庫(kù)訪問(wèn)接口。就是說(shuō)租戶對(duì)數(shù)據(jù)庫(kù)的所有訪問(wèn)和維護(hù)，都只能通過(guò)這個(gè)接口進(jìn)行。租戶甚至不能登錄到數(shù)據(jù)庫(kù)所在的操作系統(tǒng)，以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的更多管理。

3.云端數(shù)據(jù)庫(kù)面臨哪些安全問(wèn)題?

數(shù)據(jù)庫(kù)存儲(chǔ)著系統(tǒng)的核心數(shù)據(jù)，其安全方面的問(wèn)題在傳統(tǒng)環(huán)境中已經(jīng)很突出，成為數(shù)據(jù)泄漏的重要根源。而在云端，數(shù)據(jù)庫(kù)所面臨的威脅被進(jìn)一步的放大。其安全問(wèn)題主要來(lái)自于以下幾方面：

1) 云運(yùn)營(yíng)商的“上帝之手”。如上所述，云端數(shù)據(jù)庫(kù)的租戶對(duì)數(shù)據(jù)庫(kù)的可控性是很低的，而云運(yùn)營(yíng)商卻具有對(duì)數(shù)據(jù)庫(kù)的所有權(quán)限。從技術(shù)上來(lái)說(shuō)，云運(yùn)營(yíng)商完全可以在租戶毫無(wú)察覺(jué)的情況下進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng);或者進(jìn)入數(shù)據(jù)庫(kù)服務(wù)器所在的虛擬機(jī);或者進(jìn)入虛擬機(jī)所在的宿主物理服務(wù)器;或者直接獲取到數(shù)據(jù)庫(kù)文件所在的存儲(chǔ)設(shè)備。也就是說(shuō)，任何租戶的數(shù)據(jù)，對(duì)云運(yùn)營(yíng)商來(lái)說(shuō)，幾乎是完全開(kāi)放的。而對(duì)于有商業(yè)價(jià)值的數(shù)據(jù)，對(duì)云運(yùn)營(yíng)商的眾多技術(shù)人員來(lái)說(shuō)，絕對(duì)有足夠的吸引力;

2) 來(lái)自于其它租戶的攻擊。同一個(gè)云平臺(tái)上的其它租戶，有可能通過(guò)虛擬機(jī)逃逸等攻擊方法，得到數(shù)據(jù)庫(kù)中的數(shù)據(jù);

3) 來(lái)自租戶自身內(nèi)部人員的威脅。租戶內(nèi)部人員能夠直接使用帳號(hào)密碼登錄到云數(shù)據(jù)庫(kù)，從而進(jìn)行越權(quán)或者違規(guī)的數(shù)據(jù)操作;

4) 更廣泛的攻擊。有價(jià)值的數(shù)據(jù)放在云上之后，各種來(lái)源的攻擊者，都“惦記”著這些數(shù)據(jù)。可能通過(guò)各種方法來(lái)進(jìn)行攻擊以獲取數(shù)據(jù)，如近年來(lái)頻發(fā)的SQL注入攻擊事件，就導(dǎo)致了大量云端數(shù)據(jù)的泄漏。

4.為什么需要數(shù)據(jù)庫(kù)審計(jì)?

要解決如上所述的數(shù)據(jù)安全問(wèn)題，需要多方面的防御手段。但是對(duì)數(shù)據(jù)庫(kù)訪問(wèn)情況的記錄和審計(jì)，是最基本的安全需求。租戶需要清楚的知道，自己的數(shù)據(jù)庫(kù)，在什么時(shí)間，被什么人，以什么工具，具體做什么訪問(wèn)，又拿到了什么數(shù)據(jù)。并且需要知道什么時(shí)候出現(xiàn)了攻擊行為和異常的訪問(wèn)情況。這些功能，正是合格數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品所必須具有的功能。

5.誰(shuí)需要數(shù)據(jù)庫(kù)審計(jì)?

云運(yùn)營(yíng)商：云運(yùn)營(yíng)商需要引入數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品，以方便快捷的方式，為其租戶提供數(shù)據(jù)安全服務(wù)。這既是提高其云平臺(tái)競(jìng)爭(zhēng)力的手段，同時(shí)也是“自證清白”的有效途徑。

租戶：租戶需要數(shù)據(jù)庫(kù)審計(jì)，以增強(qiáng)數(shù)據(jù)安全防護(hù)能力。

6.云端數(shù)據(jù)庫(kù)審計(jì)有哪些特殊要求?

跟傳統(tǒng)環(huán)境相比較，對(duì)于部署在云端的數(shù)據(jù)庫(kù)審計(jì)，具有一些特殊的要求。具體體現(xiàn)在：

1)高性能。“性能、性能、性能”，重要的事說(shuō)三遍。在云上，對(duì)性能的要求是苛刻的。最主要的原因就在于云計(jì)算“資源即費(fèi)用”的收費(fèi)模式。對(duì)于同樣的數(shù)據(jù)庫(kù)審計(jì)能力，產(chǎn)品性能越低，需要的計(jì)算資源越高，費(fèi)用自然就越高。反之，產(chǎn)品性能越高，需要的計(jì)算資源越少，費(fèi)用自然就越低。

2)中立性。對(duì)于云端的數(shù)據(jù)安全措施，最好的方式就是第三方的。所謂的“第三方”，就是指這種安全措施，不是由云運(yùn)營(yíng)商提供的，而是由其它獨(dú)立廠家提供的。之所以這樣要求的原因很簡(jiǎn)單，就好比云運(yùn)營(yíng)商給了我們一把鎖和一把鑰匙來(lái)保護(hù)你的數(shù)據(jù)，我們?cè)趺茨鼙ＷC他沒(méi)有另一把鑰匙呢?況且這個(gè)鎖每天就放在他們?cè)鹤永?。顯然，數(shù)據(jù)庫(kù)審計(jì)最好也是第三方的。

3)與云平臺(tái)解耦。也就是產(chǎn)品的實(shí)現(xiàn)獨(dú)立于具體的云平臺(tái)，不需要云運(yùn)營(yíng)商的研發(fā)做對(duì)接即可完成。這樣的好處是既能減少了云運(yùn)營(yíng)商的工作量，方便今后的升級(jí);同時(shí)也能減少云運(yùn)營(yíng)商對(duì)審計(jì)過(guò)程進(jìn)行干擾的可能性，進(jìn)一步的保證中立性;而對(duì)數(shù)據(jù)庫(kù)審計(jì)提供商來(lái)說(shuō)，則可以低成本、快速的在多個(gè)云平臺(tái)上進(jìn)行部署。

4)審計(jì)內(nèi)容不會(huì)泄漏。這涉及到審計(jì)產(chǎn)品獲取數(shù)據(jù)的方式以及部署的方式。如果審計(jì)產(chǎn)品通過(guò)流量復(fù)制(鏡像)的方式獲取數(shù)據(jù)庫(kù)通信內(nèi)容，那么這些被復(fù)制的通信內(nèi)容就存在被泄漏的可能，而這些內(nèi)容中含有大量的敏感內(nèi)容。或者，如果采用由數(shù)據(jù)庫(kù)審計(jì)服務(wù)商集中管理所有租戶審計(jì)內(nèi)容的方式，那么審計(jì)服務(wù)商則有機(jī)會(huì)看到所有租戶審計(jì)內(nèi)容中的敏感信息，同樣存在泄漏的可能。

5)審計(jì)所有訪問(wèn)數(shù)據(jù)庫(kù)的途徑。合格的云端數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品，應(yīng)該能夠?qū)徲?jì)到如下幾個(gè)途徑對(duì)數(shù)據(jù)的訪問(wèn)：

a) 云運(yùn)營(yíng)商直接登錄數(shù)據(jù)庫(kù)所在服務(wù)器，訪問(wèn)數(shù)據(jù)庫(kù)，即所謂的“上帝之手”;

b) 其它租戶通過(guò)虛擬機(jī)逃逸，連接到數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn);

c) 租戶內(nèi)部人員對(duì)數(shù)據(jù)庫(kù)的所有訪問(wèn);

d) 外部攻擊者通過(guò)SQL注入、網(wǎng)站后門(mén)等方式對(duì)數(shù)據(jù)庫(kù)的違規(guī)訪問(wèn);

e) 應(yīng)用程序正常的數(shù)據(jù)庫(kù)訪問(wèn)。

7.如何選擇云端數(shù)據(jù)庫(kù)審計(jì)?

云端數(shù)據(jù)庫(kù)審計(jì)提供彈性審計(jì)能力，以及以"審計(jì)即服務(wù)"的方式進(jìn)行交付，保證了快速的交付和低成本。但是在具體選擇云端數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的時(shí)候，還需要從以下幾個(gè)方面進(jìn)行考慮。

1)選擇中立性的廠商。在云端，包括數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品在內(nèi)的所有數(shù)據(jù)安全產(chǎn)品的廠家都應(yīng)該是絕對(duì)中立的，也就是說(shuō)云服務(wù)商自身不能是數(shù)據(jù)庫(kù)安全廠家，甚至不能與數(shù)據(jù)庫(kù)安全廠家有過(guò)于緊密的利益關(guān)系，比如股權(quán)合作。云服務(wù)廠家也應(yīng)該優(yōu)先推薦中立公司的數(shù)據(jù)安全產(chǎn)品。

另外，租戶可以選擇在多個(gè)云平臺(tái)上都已成功部署的廠家，這也能部分的確保其中立性。

2)選擇高性能的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品。在云端，數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的性能越高，租戶投入的成本越低。在對(duì)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品進(jìn)行性能評(píng)估的時(shí)候，租戶需要搞清楚三個(gè)性能，以確保選擇到心儀的產(chǎn)品。

其一是連續(xù)處理性能。這是最最重要的性能，甚至是很多租戶需要真正關(guān)心的唯一性能，也是數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的首要質(zhì)量因素。所謂的連續(xù)處理性能很好理解，就是產(chǎn)品能一直以這個(gè)性能進(jìn)行長(zhǎng)時(shí)間的工作，不會(huì)出現(xiàn)漏審現(xiàn)象。技術(shù)上講，連續(xù)處理包括收包、協(xié)議解析、SQL解析、規(guī)則匹配和風(fēng)險(xiǎn)識(shí)別、入庫(kù)等處理環(huán)節(jié)。我們需要所有這些處理環(huán)節(jié)都達(dá)到一個(gè)穩(wěn)定的性能，不存在性能瓶頸。

很多廠家宣傳時(shí)候，避重就輕，只宣傳峰值處理能力，而不提連續(xù)處理能力。其所謂的峰值處理能力，一般指收包的能力，或者最多到規(guī)則匹配的能力。這個(gè)能力，實(shí)際并不是產(chǎn)品的真正處理能力，其產(chǎn)品很可能存在性能瓶頸。因?yàn)槭瞻蛘咛幚砗芸欤遣荒芗磿r(shí)完成分析、入庫(kù)，結(jié)果就是在流量稍大于其性能瓶頸時(shí)造成漏審。用戶在選擇數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品時(shí)，需要識(shí)別出其連續(xù)處理性能，而不要被峰值性能混淆。比如市場(chǎng)上某幾款產(chǎn)品的入庫(kù)性能即是其連續(xù)處理性能。

其二是內(nèi)容檢索性能。這是第二重要的性能，直接關(guān)系到租戶的體驗(yàn)和產(chǎn)品的價(jià)值。對(duì)于分析存儲(chǔ)后的審計(jì)內(nèi)容，需要在隨時(shí)以高效的速度進(jìn)行檢索。而且，這種檢索必須是任意關(guān)鍵字的檢索，因?yàn)槲覀冃枰獧z索數(shù)據(jù)庫(kù)訪問(wèn)日志中的具體內(nèi)容。比如檢索“張三”、“李四”、STUDENT(表名)等的訪問(wèn)情況。如果檢索性能很低，那么存儲(chǔ)的審計(jì)內(nèi)容越多，產(chǎn)品的可用性就越低，產(chǎn)品的價(jià)值就越低。

很多廠家在宣傳的時(shí)候，宣稱檢索性能很快，實(shí)際指的并不是這種任意關(guān)鍵字檢索的性能，而是對(duì)對(duì)結(jié)構(gòu)化部分內(nèi)容的檢索。對(duì)于諸如IP地址、用戶名、時(shí)間等結(jié)構(gòu)化的內(nèi)容，幾乎所有的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品能夠達(dá)到很高的檢索性能。但是任意關(guān)鍵字檢索才是租戶真正關(guān)心的功能，其功能和性能都必須單獨(dú)提出，不能被回避。

其三是存儲(chǔ)性能。云端的存儲(chǔ)也是需要付費(fèi)的，所以我們希望單位硬盤(pán)空間能夠存儲(chǔ)的審計(jì)內(nèi)容越多越好。很多廠家在宣傳的時(shí)候，都只說(shuō)能存儲(chǔ)多少條SQL，但是沒(méi)有明確用了多大的硬盤(pán)空間。我們需要明確知道單位硬盤(pán)空間的存儲(chǔ)能力，比如1TB硬盤(pán)空間能夠存儲(chǔ)多少條SQL日志。

3)選擇能夠?qū)徲?jì)“上帝之手”的產(chǎn)品。“上帝之手”的存在，是每個(gè)云租戶的夢(mèng)魘。云端數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品必須能夠?qū)徲?jì)到上帝之手對(duì)數(shù)據(jù)的訪問(wèn)，這是云廠家和租戶都關(guān)心的功能。這就要求審計(jì)產(chǎn)品有特殊的內(nèi)容獲取方式。有些廠家通過(guò)軟件定義網(wǎng)絡(luò)，以旁路復(fù)制(鏡像)流量的方式獲取數(shù)據(jù)庫(kù)訪問(wèn)流量，這種方法既不安全，也容易丟包，更不能防止這種“上帝之手”。因?yàn)樯系壑衷L問(wèn)數(shù)據(jù)庫(kù)時(shí)，完全可以繞開(kāi)這種審計(jì)機(jī)制。

4)選擇風(fēng)險(xiǎn)識(shí)別能力高的產(chǎn)品。云數(shù)據(jù)庫(kù)審計(jì)關(guān)系到云端數(shù)據(jù)安全的問(wèn)題，風(fēng)險(xiǎn)識(shí)別能力一定要高。由于產(chǎn)品防護(hù)內(nèi)容的特殊性，需要在應(yīng)用層進(jìn)行規(guī)則設(shè)置，這比傳統(tǒng)的防火墻的配置更復(fù)雜。這就要求產(chǎn)品具有細(xì)粒度的風(fēng)險(xiǎn)識(shí)別能力，包括表、字段、語(yǔ)句級(jí)，并且這些規(guī)則最好是由產(chǎn)品自動(dòng)學(xué)習(xí)完成的。此處“語(yǔ)句”級(jí)是最細(xì)的一個(gè)粒度，代表數(shù)據(jù)能夠被合法訪問(wèn)的最具體的方式。目前絕大多數(shù)的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品，都還不支持語(yǔ)句級(jí)粒度，租戶要注意分辨。

5)選擇租戶可以完全控制的系統(tǒng)。數(shù)據(jù)庫(kù)安全產(chǎn)品保護(hù)敏感數(shù)據(jù)，最好是租戶可以完全控制的。這就要求：首先，數(shù)據(jù)庫(kù)安全廠商交付給租戶的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品，應(yīng)該是一個(gè)獨(dú)立的虛擬機(jī)，就好像傳統(tǒng)環(huán)境中的一個(gè)獨(dú)立設(shè)備，從而可以控制審計(jì)內(nèi)容的存儲(chǔ)主體;其次，這個(gè)虛擬機(jī)應(yīng)該部署于租戶的虛擬局域網(wǎng)中，從而防止審計(jì)內(nèi)容外發(fā);然后，這個(gè)虛擬機(jī)的登錄口令應(yīng)該完全由租戶掌握，只有租戶自己能夠登錄。

8.中安威士的云端數(shù)據(jù)庫(kù)審計(jì)是個(gè)什么樣的產(chǎn)品?

中安威士云端數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品發(fā)布于2016年10月，得益于產(chǎn)品的優(yōu)秀特質(zhì)，迅速的完成了阿里云、騰訊云、華為云、青云等多個(gè)公有云平臺(tái)的上線。目前在公有云上的覆蓋率遙居第一位，并且與多個(gè)私有云實(shí)現(xiàn)了商業(yè)合作。具體來(lái)說(shuō)，中安威士云端數(shù)據(jù)庫(kù)審計(jì)具有以下特質(zhì)。

1)完全中立的第三方審計(jì)。為了給市場(chǎng)提供可信賴的產(chǎn)品，中安威士在早期發(fā)展中堅(jiān)持“不站隊(duì)”的策略，既不接受安全廠商的投資，也不接受云廠家的投資。在多個(gè)公有云的迅速快速上線，也間接的證明了這種中立性;

2)業(yè)界最高性能。得益于技術(shù)團(tuán)隊(duì)深厚的技術(shù)積累和十年磨一劍的決心，中安威士數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品具有業(yè)界最高的處理能力，傲視群雄，“不服跑個(gè)分?”。

• 連續(xù)處理性能方面，在低配I3-CPU配置下，能夠?qū)崿F(xiàn)每秒超過(guò)3萬(wàn)條SQL語(yǔ)句的連續(xù)處理能力，在I7-CPU配置下，能夠?qū)崿F(xiàn)每秒超過(guò)10萬(wàn)條SQL語(yǔ)句的連續(xù)處理能力。而且峰值能力更是達(dá)到連續(xù)處理能力的2倍以上;
• 內(nèi)容檢索性能方面，在低配I3-CPU配置下，從1億條審計(jì)內(nèi)容中檢索任意關(guān)鍵字，能在在5秒之內(nèi)完成;
• 存儲(chǔ)性能方面，得益于獨(dú)有的數(shù)據(jù)壓縮技術(shù)，每TB硬盤(pán)空間能夠存儲(chǔ)30-70億條SQL。
• 并發(fā)處理能力方面，配備I3-CPU的低配版本也能輕松突破10萬(wàn)。

3)嚴(yán)防“上帝之手”。得益于特殊的審計(jì)內(nèi)容獲取技術(shù)，中安威士數(shù)據(jù)庫(kù)審計(jì)能夠?qū)徲?jì)一切租戶對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)，包括加密連接和云平臺(tái)的“上帝之手”。

4)風(fēng)險(xiǎn)識(shí)別能力高。中安威士數(shù)據(jù)庫(kù)審計(jì)能以自動(dòng)學(xué)習(xí)的方式完成表、字段、語(yǔ)句級(jí)的規(guī)則設(shè)置。其中語(yǔ)句級(jí)規(guī)則能夠嚴(yán)格的描述合規(guī)訪問(wèn)的模式，具有非常高的風(fēng)險(xiǎn)識(shí)別能力。目前國(guó)內(nèi)只有極少數(shù)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品能做到這一粒度。

5)租戶完全控制。中安威士數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)以獨(dú)立的虛擬設(shè)備方式，部署于租戶的虛擬局域網(wǎng)內(nèi)。所有的審計(jì)內(nèi)容不會(huì)轉(zhuǎn)發(fā)到局域網(wǎng)之外，并且僅有租戶可以正常登錄訪問(wèn)審計(jì)系統(tǒng)，由此確保了租戶對(duì)審計(jì)設(shè)備的完全控制權(quán)。

9.對(duì)于云數(shù)據(jù)庫(kù)安全，僅僅數(shù)據(jù)庫(kù)審計(jì)夠嗎?

云端的數(shù)據(jù)防護(hù)是個(gè)系統(tǒng)工程。數(shù)據(jù)庫(kù)審計(jì)是一個(gè)非常有必要的、基礎(chǔ)性的數(shù)據(jù)安全策略。但是僅有數(shù)據(jù)庫(kù)審計(jì)是遠(yuǎn)遠(yuǎn)不夠的。比如，數(shù)據(jù)庫(kù)審計(jì)雖然能發(fā)現(xiàn)來(lái)自“上帝之手”、租戶管理員、外部攻擊者的SQL注入等違規(guī)和攻擊，但是卻不能實(shí)時(shí)的阻止。又比如，數(shù)據(jù)庫(kù)審計(jì)也不能阻止“上帝之手”直接分析數(shù)據(jù)庫(kù)服務(wù)器的存儲(chǔ)文件系統(tǒng)，獲得數(shù)據(jù)庫(kù)內(nèi)容。

中安威士將繼續(xù)發(fā)布云端數(shù)據(jù)庫(kù)防火墻、云端數(shù)據(jù)庫(kù)加密等云端數(shù)據(jù)庫(kù)安全產(chǎn)品，進(jìn)一步解決如上數(shù)據(jù)安全問(wèn)題。