數據庫審計是什么

本篇內容主要講解“數據庫審計是什么”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學習“數據庫審計是什么”吧!

數據庫審計工具及其應用程序

有四種基本平臺可以用于創建、收集和分析數據庫審計，它們是：本地數據庫平臺、系統信息/事件管理及其日志管理、數據庫活動監控和數據庫審計平臺。

1. 本地審計：指的是使用本地數據庫來進行數據獲取，但使用數據庫系統本身對事件進行存儲、分類、過濾和報告。IBM、微軟、甲骨文和Sybase針對這種情況都提供各自不同的解決方案，但本質上都是去獲取相同的信息。雖然數據通常存儲在數據庫中，但卻可以導出到純文本文件、或以XML數據形式提供給其它的應用程序。本地功能的使用節省了與獲取、部署和管理專用審計工具相關的成本，但卻使得數據庫產生了額外的性能開銷，對基本的收集和存儲也只能進行有限的管理，并且需要人為的進行管理。本地審計發生在數據庫范圍內，并且只適用于對安置在單個設施內的數據庫進行分析。

2. SIEM和日志管理：安全信息和事件管理（SIEM），以及與之類似的日志管理工具都具備了收集審計文件的能力，但卻比本地數據庫工具提供了更多的功能。請記住，這些工具不會像本地審計那樣會導致數據庫的開銷，從而減輕了數據庫的大部分負擔，但這需要一個專門的服務器對其進行存儲和處理。除了數據庫審計日志，這些工具還從網絡設備、操作系統、防火墻和應用程序中收集信息。SIEM 和日志管理可以提供綜合報告、數據收集、異構數據庫支持，數據聚合和壓縮能力，這些都是本地數據庫審計所不具備的優點。LogLogic和Splunk等公司推出的日志管理系統，專門設計成能夠容納大量數據的系統，并且更專注于管理和報告。而由ArcSight公司和EMC公司安全部門RSA等廠商所推出的SIEM，則被設計成更適用于接近實時的網絡安全設備監視，從而更深入地分析事件之間的關聯和安全報警等信息。然而，SIEM和日志管理之間的區別可能會逐漸模糊起來，這是因為大多數的廠商都能同時提供兩個平臺，盡管兩者沒有完全整合在一起。

3. DAM：數據庫活動監控平臺被設計成用于監控數據庫活動中的威脅，并執行規則遵從控制。諸如Application Security、Fortinet、IBM、Netezza和甲骨文這樣的供應商，提供了異構數據庫中的事件獲取。大多數供應商提供了多種方式來獲取信息，包括收集來自網絡、數據庫所在的操作系統和數據庫審計日志等多方查詢（queries）信息。DAM 工具被專門用于高速數據檢索和實時政策執行。像SIEM工具一樣，DAM 工具可以收集來自異構數據庫和多數據源的數據，并被設計成用于分析和報警。而與SIEM不同的是，DAM并不是專為數據庫而設計的，它更加專注于在應用程序級進行數據庫分析，而不是在網絡級或系統級上進行。除了對數據庫的操作進行取證（forensic）分析，DAM還提供了諸如活動阻塞、虛擬打補丁、過濾（filtering）和評估等高級功能。

4. 數據庫審計平臺：一些數據庫廠商提供了專門數據庫，這與日志管理服務器很相似。這些數據庫由一個專用的平臺組成，它存儲從本地數據庫審計中獲取的日志文件，并把多個數據庫的日志文件收集到一個中央位置上。其中一些平臺還提供了異構數據庫日志文件收集器。報告、取證分析、把日志文件聚集為共同的格式，以及安全存儲，這都是此種平臺可以帶來的好處。雖然這些平臺不提供多數據來源、或像DAM那樣進行細致的分析，不具備SIEM那樣的關聯和分析能力,也不像日志管理簡單易用，但對于那些專注于數據庫審計的IT運營而言，這是一個性價比很高的方法，可以用來生成安全報告和存儲取證方面的安全數據。

數據庫審計的選擇過程

為了有助于進行數據庫審計的選擇過程，你需要考慮以下各平臺類型的特點，以及每個供應商的解決方案。按重要性排序如下：

數據來源：在本文中所描述的信息主要來源是數據庫的審計日志，這是由數據庫引擎創建的。然而，審計日志隨數據庫的不同而有所變化，在某些情況下有多種信息都可以歸在審計日志這一類。此外，一些平臺可以創建某個用戶對數據庫操作的活動日志。雖然這種日志并不如本地平臺所創建的那樣準確，但它卻能包含所有SELECT語句，并具有更好的引導性能。你需要仔細檢查來自不同數據源的哪些數據可用，并看看信息是否足夠滿足你的安全、運營和規則遵從的要求。

規則遵從：由于依照產業和政府的法規是采用數據庫審計解決方案的主要動力，你需要審查政策和供應商提供的產品報告。這些報告能幫助你迅速滿足規則遵從的要求，并降低在定制方面的成本。

部署：用戶對所有解決方案描述***的投訴是部署時需要面對很多難題。安裝、配置、政策管理、減少誤報、自定義報告或數據管理，這些也是用戶需要解決的問題。正是由于這個原因，你需要將資源集中從而進行實地比較，以評估工具的優劣。此外，針對一兩個數據庫的部署進行測試是不夠的，你需要在多個數據庫之間制定計劃以進行一些可擴展性測試，從而模擬真實世界的情景。當然，這增加了概念驗證（proof-of-concept）過程的負擔，但從長遠來看這是值得的，因為廠商存在的UI問題、政策管理和體系結構的不合理選擇，只會在實際測試中才會表現出來。

性能：它與供應商平臺的關系不是很大，但和數據庫本身的數據審計選項聯系得更加緊密。目前存在著多個版本和選項，并且本地審計的性能變化也很快，因此你需要運行一些測試。你可能還需要平衡你想收集的數據和你需要的數據，并尋找以制定最少的政策來滿足需求的途徑，因為政策越多意味著在所有系統上花的經費也更多。

整合：你需要對合作供應商在工作流程、故障報告（trouble-ticketing）、系統與政策管理產品的整合方面進行驗證。

審計日志包含很多對審計人員、安全專家和數據庫管理員有幫助的信息，但是它們會影響到性能。對于數據庫審計可以的提供任何新奇事物，你都需要通過了解其可能增加的負擔。審計會引起一些性能上的損失，而根據你執行的情況，損失可能會很嚴重。但是，這些問題是可以緩解的，并且對于一些商業問題而言，數據庫審計日記是規則遵從和安全分析必不可少的環節。

除了本地數據庫審計（位于數據庫資源上層），我們描述的所有工具都被部署為一個獨立的設備或軟件。所有數據庫審計都提供了中央政策（central policy）和數據管理、報告，并提供數據聚合（data aggregation）功能。SIEM（安全信息和事件管理）、日志管理和數據庫活動監控供應商為可擴展性提供了一個層次部署模型，在該模型中多臺服務器或設備被分布在大型的IT組織中，以改善用戶對處理和存儲的需求。

聚合數據使得正被收集的巨大數據量的管理和報告變得容易。此外，信息收集被放在中央服務器中可以保護處理日記不被篡改。

究竟那種方法更適合你，這取決于你的需求、你需要解決的業務問題，以及你愿意為解決問題而投入多少時間和金錢。一個好消息是你可以有大量的選擇，比如讓自己的數據庫管理員去進行數據庫本地審計從而獲得基礎的信息，或者對成千上萬的設備進行數據聚合操作。

到此，相信大家對“數據庫審計是什么”有了更深的了解，不妨來實際操作一番吧！這里是億速云網站，更多相關內容可以進入相關頻道進行查詢，關注我們，繼續學習！