數(shù)據庫審計作為目前用戶接受度最高，使用最為廣泛的數(shù)據安全產品，如果只是單純的具有日志記錄和審計功能已經不能完全滿足用戶的需求，其功能必須得到進一步的擴展：

一. 加密協(xié)議解析

數(shù)據庫有時會采用加密協(xié)議通訊，為審計解析帶來了困難，但這也是數(shù)據庫審計產品必須解決的問題，否則將無法實現(xiàn)數(shù)據庫訪問完全審計的任務。例如針對SQL Server默認的數(shù)據庫用戶加密或者更深層次的加密協(xié)議，都需要數(shù)據庫審計產品提供相應的解決辦法。

二. 復雜環(huán)境的數(shù)據采集

數(shù)據庫審計產品除了常規(guī)的旁路部署通過交換機鏡像數(shù)據庫訪問流量的審計方法外，還應具備適用于復雜網絡的數(shù)據采集方式，例如在復雜的虛擬化網絡環(huán)境下，通過“探針”方式捕獲數(shù)據庫流量。但是無論哪種部署方式，都需要在不影響數(shù)據庫原有性能，無需應用、網絡環(huán)境改造的前提下，提供可靠的數(shù)據庫審計服務。

三. 應用關聯(lián)審計與監(jiān)控

數(shù)據庫審計產品除了具備常規(guī)的客戶端一層的審計信息：客戶端IP、數(shù)據庫用戶、主機名、操作系統(tǒng)、用戶名等，還應具備應用側風險行為審計與監(jiān)控的能力，例如對應用賬戶、應用IP等關聯(lián)審計信息。

四. 數(shù)據庫入侵行為監(jiān)測

數(shù)據庫暴露于內外網絡，且數(shù)據庫各版本都有安全漏洞問題，因此數(shù)據庫審計產品應提供針對數(shù)據庫漏洞攻擊的“檢測”功能，并對這些漏洞攻擊實時監(jiān)控、有效記錄，發(fā)現(xiàn)風險后及時告警，且能夠有效追溯風險來源。

五. 數(shù)據庫異常行為監(jiān)測

數(shù)據庫審計產品的主體價值是幫助用戶高效的完成風險行為的定責追溯，這需要數(shù)據庫審計產品針對數(shù)據庫通訊協(xié)議進行完全解析；并具備針對SQL語句的學習、歸類形成模板的能力；最終結合會話信息、應用關聯(lián)信息，實現(xiàn)數(shù)據庫行為建模。基于訪問模型，當數(shù)據庫訪問行為異常時，系統(tǒng)可提供實時的告警能力，降低數(shù)據泄露的損失。

六. 數(shù)據庫違規(guī)行為監(jiān)測

數(shù)據庫審計產品還應具備針對數(shù)據庫的違規(guī)訪問、登錄等行為檢測告警的能力。例如利用審計到的數(shù)據庫賬號和客戶端IP信息，針對指定周期內，同一IP或賬號的頻次性失敗登錄行為進行監(jiān)控并形成告警。

七. 報表展現(xiàn)

數(shù)據庫審計產品應具備將審計日志進行數(shù)據化分析并以個性化報表展示的能力，以便幫助安全管理人員更加便捷、深入的剖析數(shù)據庫運行風險。例如：綜合報表、合規(guī)性報表、專項報表、自定義報表等。

安華金和數(shù)據庫審計產品不但完全具備以上7種能力，還具備更多的且具有用戶價值的擴展功能，筆者也將在下一篇內容中分享給大家。