让数据库运维审计安全无死角

是谁修改了我的数据，动了我那些数据？

什么时候操作的？都有那些资产被修改了？

登录和修改得到批准了吗？如何获取到这个权限账号的？

针对以上问题，光有日志审计是完全不够的，无法及时定位故障点和追溯。而使用专业的数据库审计产品又缺乏对运维人员的审计，于是数据库运维审计产品成为最佳选择。

一、 行为监管与记录

数据库运维审计是针对管理员、操作员访问数据库的行为进行监管与记录，包括操作行为所对应的操作对象、操作账户、操作时间、操作内容等相关信息，用以监控操控行为，并对发生的威胁事件进行溯源与追责。

数据库审计有多种方法，如报表审计、命令审计、语句审计、对象审计等，审计日志对不同审计人员的价值不同，针对不同用户的权限制定相对应的审计策略，同时从特定角度呈现相关信息才能输出高效的审计结果，降低系统的潜在风险。

二、 五个关键点

1、 账号统一管理

首先采集数据中心所有数据库内账号密码，通过尚思特权系统PAM进行统一管理，定期改密巡检来消除账号风险。

2、 访问控制

相关人员在维护数据库前必须申请自己的访问对象（数据库实例/端口/账号/…），批准之后方可通过数据库运维审计系统进行访问，以此对维护行为进行记录，避免越权访问、权限滥用等风险。

3、 单点登录

维护不同的数据库需要用到不同的客户端，理论上使用人员禁止直接登录系统后台访问。以MySQL为例，有些人员在维护时习惯使用Nait工具，有的则习惯在命令行直连。因此，在使用人员选择要维护的数据库实例后，数据库运维审计自动完成客户端或者命令行工具的登录过程。

4、 操作完整审计

通过独有的技术手段，在不影响性能的情况下解析出流量中的SQL语句。针对目标用户行为、系统命令等事件，进行细粒度的语句解析，并根据审计人员需求生成审计报表。

5、 运维过程中的访问控制

在运维过程中，存在绕过访问权限的风险。以Oracle为例，通常使用人员习惯用PL/SQL工具进行运维，在连接上目标数据库实例后，使用人员理论上可以通过PL/SQL工具二次连接到其他的数据库实例，从而绕过。诸如此类的安全风险问题，通过权限上收、账号密码上收，不给使用人员下发数据库账号密码，只分配运维审计系统账号，这样使用人员只能通过运维审计系统登陆从而实现访问控制。

数据库审计过程中，一方面需要保证审计的完整性和准确性，另一方面，也需要确保数据本身的安全性。在诸如医院收银系统等存取敏感信息的数据库中，安全要求非常严格。运维安全审计产品满足网络安全法、等保2.0以及其它政策法规，剔除繁琐的操作和降低维护成本的同时，保证数据的可靠性和安全性。