数据库安全审计技术及应用探讨

王彦

摘要：随着计算机和网络技术的发展，网络信息系统的应用越来越广泛。数据库作为业务平台信息技术的核心和基础，承载着越来越多的关键数据，其安全性也越来越重要。因此对于数据库安全技术的研究及应用也受到我们的高度重视，本文主要阐述数据库安全审计技术的研究应用情况。

关键词：数据库;安全;审计

中图分类号：TP181        文献标识码：A

文章编号：1009-3044（2020）28-0044-02

1 概述

随着政府部门、金融机构、企事业单位、商业组织等对重要数据库业务系统和数据库应用系统依赖程度的日益增强，数据库安全及数据安全的问题受到普遍关注。

数据库是存储很多重要数据和一些敏感数据的系统，且会对很多用户开放增删改查等权限。由于访问者众多，所以泄露的路径也会变多，且泄露后无法溯源泄露路径，重要数据和敏感数据的泄露会给企事业单位造成重大损失，所以必须采取适当的措施进行数据库内数据的防护。

同时由于信息化建设、业务增长、系统上云等因素，在各系统中的数据库服务器也不断增加，对数据库的管理的方式和通道也日趋复杂多样，数据安全问题日益突出，引发了诸如滥用特权账号、滥用合法权限、身份验证不规范、敏感数据泄露、安全防护措施不足等各类安全问题，并加大了安全管理的难度。

以威瑞森电信公司（Verizon）发布的《2019年数据泄露调查报告》统计：

受害者范围：16%的受害者是公共部门实体;15%为医疗行业单位;10%是金融行业;43%是小企业受害者。

在违规行为的使用策略方面：28%涉及恶意软件;15%的安全事件与被授权用户滥用有关;21%的违规行为是触发式的;4%的违规行为中存在肢体动作。33%的安全事件包括社交攻击;52%的漏洞以黑客攻击为特点。

在幕后黑客方面：69%的安全事件是外部人员所为;34%的安全事件是内部参与者违规操作所为;39%的违法行为是有组织的犯罪集团所为;23%的违规行为被确定为民族国家或国有企业的角色参与。2%的安全事件是合作伙伴所为;5%为多方当事人。

在其他共同点方面：71%的数据泄露事件是出于经济动机;25%的数据泄露事件是间谍活动，为了获得战略优势。32%的数据泄露事件涉及钓鱼网络;29%的数据泄露事件涉及账号信息被盗;56%的数据泄露事件需要数月或更长时间才能发现。

数据安全任重道远，如何在互联网发展的大潮下同时确保信息安全，已经成为全世界各行业普遍关注的焦点问题。目前市场上有很多的网络安全产品，也可以对通过网络泄露数据起到一些防护作用，但是由于这些技术只能对网络进行安全防护，距离数据库较远，无法从根本上防止这些数据库泄密风险。只有在现有的安全防护体系中，补充对数据库的防护这一环节，部署“术业有专攻”的数据安全管理系统，才能从根本上解决数据安全问题。

2 数据库安全的功能需求

1）了解数据资产的分布。需要通过技术手段对数据的资产进行分类分级，定位出敏感数据并标识。

2）数据库状态监控。需要能对数据库的运行状态进行实时的监控，了解数据库的并发量等状态，在状态不正常时进行提前预警，防止业务瘫痪，保障业务系统的连续可用性。

3）数据库风险监控。需要能通过系统漏洞、配置风险等扫描的方式，评估出数据库系统的风险。

4）数据活动情况监控。需要实时监控数据的活动情况，记录数据的增、删、改、查等行为，能实现对数据库的直接访问和通过Web和应用对数据库的间接访问对敏感数据进行全面监控。

3 数据库安全审计技术的总体设计与功能实现

3.1 总体设计

数据库审计以旁路方式部署于网络中靠近数据库服务器的位置，根据5W原则—— Who、Where、When、How、What，实时监控业务系统及管理员等用户对数据库的所有操作行为，根据多种安全策略判定访问操作的风险等级，并根据风险等级选择性的告警，实现完全独立于数据库的审计与追溯功能，便于事后查因定责，为数据安全筑起最后一道防线。功能实现示意图如下：

3.2 功能实现

3.2.1 技术概述

数据库审计系统以旁路部署侦听的工作模式，能对主流数据库进行深度解析与审计分析，可以提升数据库运行监控的透明度，真正实现数据库全业务运行状态的可视化、各种数据库日常操作可监控、对于高风险操作实时阻断、安全事件事后可追溯。

數据库审计系统基于五“W”理念，即：什么人在什么时间在数据库的什么地方做了什么操作是如何操作的。设计出针对数据库安全的专业解决能力，可以解决以下问题：识别越权使用、权限滥用，管理数据库帐号权限;自动跟踪敏感数据访问行为，及时发现敏感数据泄漏;自动检测数据库系统运行弱点、发现SQL注入等漏洞;自动创建数据库业务模型、及时发现异常SQL;实时监测SQL交互量、TCP会话、风险行为等态势;为数据库管理与优化提供决策依据满足法律、法规要求，提供符合性报告;低成本且有效推行IT管理制度。

数据库审计系统还提供灵活的告警策略、细粒度的审计日志和合规性的报表，解决数据库面临的“越权操作、权限盗用、权限滥用”等数据泄露安全事件的威胁。

3.2.2  数据库采用技术

数据库审计系统采用了SQL语法分析技术，分析、过滤发往数据库的SQL语句。根据预先制定的策略决定是否对某SQL语句或访问行为进行记录，这种审计方式可以避免记录大量无用的、无风险的日志，减少占用空间并提高发现问题的准确度。预先制定的策略包括：

白名单规则，即遇到该名单认可的SQL语句时，防火墙就将其看作正常语句，不做记录。

黑名单规则，即专门记录该名单未授权的SQL语句。

例外规则，即可以灵活地让适用的安全策略无效。

属性规则，即通过主客体的属性记录访问行为，如一天中的时间、IP地址、用户和SQL类等属性。

3.2.3 数据库状态监控

数据库状态监控的目的是保证数据库系统一直处于健康、稳定的运行状态。通过监控数据库系统的内存使用状况、缓冲区管理统计、连接统计、Cache信息、锁信息、SQL统计信息、数据库信息、计划任务、线程信息、键效率、缓冲区命中率等信息来判断数据库系统运行是否出现异常，出现任何异常会立刻告警通知管理员，防止数据库系统崩溃。

3.2.4 数据库风险扫描

数据库风险扫描中将数据库中潜在的风险或漏洞，进行全面的扫描，以减少数据库被攻击或数据泄露的风险。功能包括：

弱口令检测，即保证数据库账号的口令强度和更换周期，确保不存在缺省口令、弱口令和长期口令。

软件漏洞扫描，即检测数据库系统存在的各种软件漏洞，如缓冲区溢出漏洞。

权限分配风险，即对各个数据库账号的权限进行分析，及时发现权限分配不合理的情况。

数据库配置风险，即根据安全策略检测数据库系统中各种配置参数的安全性。

操作系统相关风险，即根据安全策略检测操作系统中各种配置参数（与数据库相关配置）的安全性。

通过数据库风险扫描功能可以减少、弱化大多数人为与非人为造成的数据库风险，提高数据库的安全性。

4 数据库安全审计技术的应用

1）实时会话展现。不仅可以实时展现实时在线的会话，而且可以实时展现会话中的风险级别数据，让数据库的访问和数据库的风险“一目了然”。

2）细粒度的SQL审计日志。通过5“W”的设计理念，最终实现能审计详细的SQL日志信息，包括但不限于支持对执行时间、数据库账号、来源IP、来源端口、来源MAC、客户端工具、目标IP、目标端口、目标MAC、数据库实例名、SQL语句、执行时长、SQL类型、SQL命令、操作对象、二级操作对象、SQL行数、SQL状态等至少25个条件进行审计。

3）多条件的全文检索机制。数据库审计系统不仅可以做细粒度的审计，而且提供了丰富的检索条件，包括但不限于：来源信息、目标信息、操作类型、操作内容、关键字、响应时间、返回行数、风险级别等。

4）智能的数据分析技术。数据库审计系统利用secsmart审计引擎，内置了智能的自动建模机制，最终实现正常与异常的数据分析能力;不仅帮助客户梳理常态化的数据类型，而且可以有效快速地发现异常访问;一旦发现异常则及时告警并通知管理员。

5）数据自发现、自告警功能。数据库审计系统中内置了丰富多样的威胁特征库和风险规则库，可以有效地对SQL注入、缓冲区溢出、暴力破解数据库等行为进行及时告警，为管理层提供风险分析依据。

5 数据库安全审计技术的价值意义

通过上述解决方案，将有效解决用户所面临的数据安全治理的需求：使数据安全可视、使数据安全合规。可以带来如下价值：

1）实现对数据库的全面监控。用户通过部署审计系统可以了解数据资产的分布情况，对数据系统的可用性、风险性以及对数据的操作都一目了然;并结合企业对于数据安全的管理要求加以监督，从而达到提高员工安全意识，强化员工操作规范目的。

2）满足法律法规的要求。随着竞争压力的不断提高以及客户的法律意识不断加强，各监管机构也出台了与信息安全特别是敏感数据保护相关的各种合规要求，因此需要通过相应的技术手段合规落地。

3）便于责任认定。对于出现的违规事件可以完整记录，并在必要时加以追溯，同时记录的事件可确保其完整性、防篡改性及不可否认性，以满足审计部門的要求。

4）提升数据安全管理能力。简化业务治理，提高数据安全管理能力。完善纵深防御体系，提升整体安全防护能力。减少核心数据泄漏，保障业务连续性。

参考文献：

[1] 贺桂英，周杰，王旅.数据库安全技术[M].北京：人民邮电出版社，2018.

[2] 黄水萍，马振超.数据库安全技术[M].北京：机械工业出版社，2019.

[3] 刘昉.数据库应用与安全管理[M].北京：机械工业出版社，2020.

[4] 杨茹.计算机网络数据库的安全管理技术探讨[J].内蒙古科技与经济，2019（23）：57.

[5] 洪亚兰.计算机网络数据库的安全管理技术分析[J].电脑编程技巧与维护，2019（11）：84-86.

[6] 陶然，张苏炯.大数据技术下安全审计系统的研究分析[J].中国信息化，2020（4）：90-91.

【通联编辑：唐一东】