是辔头还是利器？数据库审计应用初探

数据库审计是一把双刃剑

数据库审计包括观察数据库以了解数据库用户的行为。例如，数据库管理员和顾问通常为了安全目的进行审计，以确保那些没有权限访问信息的用户不能访问它。同时，数据库审计还是上市公司披露自身真实信息的必要环节。美国《萨班斯（SOX）法案》的实施，给上市公司在IT方面带来的最大影响之一就是数据库审计。

信息技术审计，是一个信息技术（ IT ）基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。

数据库审计作为信息安全审计的重要组成部分，同时也是数据库管理系统安全性重要的一部分。通过审计功能，凡是与数据库安全性相关的操作均可被记录下来。只要检测审计记录，系统安全员便可掌握数据库被使用状况。

例如，检查库中实体的存取模式，监测指定用户的行为。审计系统可以跟踪用户的全部操作，这也使审计系统具有一种威慑力，提醒用户安全使用数据库。数据库审计既可以记录公司组织内外部被访问的真实状况，在公司机密遭到泄露或者破坏的时候，提供有效的法律依据。同时，为了公司对外披露信息的真实性，数据库审计已经成为监督企业日常信息真实性的手段。

从上面来看，作为一种信息安全防护手段，数据库审计具有其受用户喜爱的一面，但是作为一种外界强制企业披露信息环节的时候，我想大部分企业是不乐意的。无论你是乐意不乐意，如果企业想在美国上市，还是要遵行美国的萨班斯法案，也就是要有这么一种让外界信得过的数据库审计技术，才能顺利通过这一关口。

企业部署数据库审计系统势在必行

从功能上来说，数据库审计可以实时监测并智能地分析、还原各种数据库操作。根据规则设定及时阻断违规操作，保护重要的数据库表和视图。实现对数据库系统漏洞、登录帐号、登录工具和数据操作过程的跟踪，发现对数据库系统的异常使用。支持对登录用户、数据库表名、字段名及关键字等内容进行多种条件组合的规则设定，形成灵活的审计策略。提供包括记录、报警、中断和向网管系统报警等多种响应措施。具备强大的查询统计功能，可生成专业化的报表。

可以看到，数据库审计主要还是用来保护企业的数据安全。无论是从自身数据安全的角度考虑，还是从企业长远正规发展来看，数据库审计都是一个不可或缺的环节。考量一种数据库审计手段的要求有很多，比较重要的有性能、精细程度、系统影响和权限控制等。

作为一种辅助的手段，无论采取哪种部署方式，数据库审计都不能对原有的系统造成性能的明显影响。在精细化这方面，可以说越精细越好，在保证自身运转性能的基础上，能够记录的细节越多，越能够给用户带来便利。而在缺陷控制方面，这套系统需要有合理、有效的权限控制，保证正确的人访问合适的数据，无权限的人不能访问数据。

数据库审计系统的部署方式有以下几种，按照审计对象可以分为主机监听、网络监听和组合部署三种方式。从结构上分，有集中部署、分布式部署和混合部署这三种方式，还有一种部署是多路部署方式。通过记录数据审计行为，严防舞弊、违规操作、财务欺诈等行为，因此数据的保存和管理是保证审计结果准确可靠的基石。

编辑点评：

近来，世界知名的网络笔记应用Evernote发生数据库泄露，导致所有用户的密码需要重置。回想近两年，这种现象频发，国内国外都出现了几次大规模的数据库账户泄露事件。账户是用户信息的重要入口，保护用户账户数据库安全是一个企业的责任。企业只有部署合理的数据库审计系统，才能更加强力的防止数据库泄露，同时，在发生数据泄露的时候能够通过审计系统找到元凶。