讓數據庫運維審計安全無死角

是誰修改了我的數據，動了我那些數據？

什么時候操作的？都有那些資產被修改了？

登錄和修改得到批準了嗎？如何獲取到這個權限賬號的？

針對以上問題，光有日志審計是完全不夠的，無法及時定位故障點和追溯。而使用專業的數據庫審計產品又缺乏對運維人員的審計，于是數據庫運維審計產品成為最佳選擇。

   一、 行為監管與記錄

數據庫運維審計是針對管理員、操作員訪問數據庫的行為進行監管與記錄，包括操作行為所對應的操作對象、操作賬戶、操作時間、操作內容等相關信息，用以監控操控行為，并對發生的威脅事件進行溯源與追責。

數據庫審計有多種方法，如報表審計、命令審計、語句審計、對象審計等，審計日志對不同審計人員的價值不同，針對不同用戶的權限制定相對應的審計策略，同時從特定角度呈現相關信息才能輸出高效的審計結果，降低系統的潛在風險。

二、 五個關鍵點

1、 賬號統一管理

首先采集數據中心所有數據庫內賬號密碼，通過尚思特權系統PAM進行統一管理，定期改密巡檢來消除賬號風險。

2、 訪問控制

相關人員在維護數據庫前必須申請自己的訪問對象（數據庫實例/端口/賬號/…），批準之后方可通過數據庫運維審計系統進行訪問，以此對維護行為進行記錄，避免越權訪問、權限濫用等風險。

3、 單點登錄

維護不同的數據庫需要用到不同的客戶端，理論上使用人員禁止直接登錄系統后臺訪問。以MySQL為例，有些人員在維護時習慣使用Nait工具，有的則習慣在命令行直連。因此，在使用人員選擇要維護的數據庫實例后，數據庫運維審計自動完成客戶端或者命令行工具的登錄過程。

4、 操作完整審計

通過獨有的技術手段，在不影響性能的情況下解析出流量中的SQL語句。針對目標用戶行為、系統命令等事件，進行細粒度的語句解析，并根據審計人員需求生成審計報表。

5、 運維過程中的訪問控制

在運維過程中，存在繞過訪問權限的風險。以Oracle為例，通常使用人員習慣用PL/SQL工具進行運維，在連接上目標數據庫實例后，使用人員理論上可以通過PL/SQL工具二次連接到其他的數據庫實例，從而繞過。諸如此類的安全風險問題，通過權限上收、賬號密碼上收，不給使用人員下發數據庫賬號密碼，只分配運維審計系統賬號，這樣使用人員只能通過運維審計系統登陸從而實現訪問控制。

數據庫審計過程中，一方面需要保證審計的完整性和準確性，另一方面，也需要確保數據本身的安全性。在諸如醫院收銀系統等存取敏感信息的數據庫中，安全要求非常嚴格。運維安全審計產品滿足網絡安全法、等保2.0以及其它政策法規，剔除繁瑣的操作和降低維護成本的同時，保證數據的可靠性和安全性。