数据库审计方案.docx

1
2
3
4
数据库审计
数据泄密途径及原因分析
数据库审计系统概述
数据库审计基本要求
全面的数据库审计
简易部署
业务操作实时监控回放
数据库审计系统主要功能
全方位的数据库审计
多数据库系统Server 2000 / 2005 / 2008
IBM DB2 / /
IBM Informix Dynamic Server / /
Sybase /
MySQL / /
国产数据库，例如达梦
产品能够审计的数据库运行平台包括：Windows、Linux、HP-UX. Solaris、AIX。

数据库审计系统能够深入细致地对数据库的各种操作及其内容进行审计，并且能够用户通 过各种方式访问数据库的行为。
系统审计的行为包括DDL、DML、DCL,以及其它操作等行为；审计的内容可以细化到库、
表、记录、用户、存储过程、函数、调用参数，等等。如下表所示：
操作行为
内容和描述
用户行为
数据库用户的登录、注销
数据定义语言（DDL ）操作
CREATE、ALTER、DROP等创建、修改或者删除数据库对象（表、索引、 视图、存储过程、触发器、域，等等）的SQL指令
数据操作语言（DML ）操作
SELECT、DELETE、UPDATE、INSERT等用于检索或者修改数据的SQL
指令
数据控制语言（DCL ）操作
GRANT，REVOKE等定义数据库用户的权限的SQL指令
其它操作
包括EXECUTE、COMMIT、ROLLBACK等事务操作指令
实时回放数据库操作
传统的数据库或者网络审计系统都采用基于指令的操作分析（ Command-based Record Analysis）技术，可以显示出所有与数据库主机相关的操作，但是这些操作都是一条条孤立的 指令,无法体现这些操作之间的关联,例如是否是同一用户的操作、以及操作的时间先后,审 计员被迫从大量的操作记录中自行寻找蛛丝马迹，效率低下。借助基于会话的行为分析
（Session-based Behavior Analysis）技术，审计员可以对当前网络中所有访问者进行基于
时间的审查，了解每个访问者任意一段时间内先后进行了什么操作，并支持访问过程回放。数
据库审计系统真正实现了对“谁、什么时间段内、对什么（数据）、进行了哪些操作、结果如
何”的全程审计。
事件精准定位
在信息安全及虚拟化背景时代下，单靠某一个信息去定位违规操作者已经成为不可能，如 内网用户大多采用DHCP分配IP地址，没有做IP-MAC绑定及相应的准入规则，用户可通过更 改操作系统名、IP地址、MAC地址等方式逃避追踪，传统的数据库审计定位往往局限于IP地 址和MAC地址，很多时候不具备可信性。因此只有通过关联尽可能多的身份定位信息进行定位 以及做一定的准入权限设置，其审计结果才具有可靠性，才能作为电子证据。数据库审计系统 产品可以对IP、MAC、操作系统用户名、使用的工具、应用系统账号等一系列进行关联分析， 从而追踪到具体人。
事件关联分析
数据库审计系统可对响应事件进行关联，如根据IP关联出某