1 概述：

1.1 数据库面临的威胁

    数据库做为企业的核心资产，承载企业重要信息，时时刻刻都面临着各类风险，如下所示的风险一直威胁着数据库安全：

威胁 1 - 滥用过高权限

    当用户（或应用程序）被授予超出了其工作职能所需的数据库访问权限时，这些权限可能会被恶意滥用。例如，一个大学管理员在工作中只需要能够更改学生的联系信息，不过他可能会利用过高的数据库更新权限来更改分数。

威胁 2 - 滥用合法权

    用户还可能将合法的数据库权限用于未经授权的目的。假设一个恶意的医务人员拥有可以通过自定义 Web 应用程序查看单个患者病历的权限。通常情况下，该 Web应用程序的结构限制用户只能查看单个患者的病史，即无法同时查看多个患者的病历并且不允许复制电子副本。但是，恶意的医务人员可以通过使用其他客户端（如MS-Excel）连接到数据库，来规避这些限制。通过使用 MS-Excel 以及合法的登录凭据，该医务人员就可以检索和保存所有患者的病历。

威胁 3 - 权限提升

    攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权限。漏洞可以在存储过程、内置函数、协议实现甚至是 SQL语句中找到。例如，一个金融机构的软件开发人员可以利用有漏洞的函数来获得数据库管理权限。使用管理权限，恶意的开发人员可以禁用审计机制、开设伪造的帐户以及转帐等。

威胁 4 - SQL 注入

    在SQL注入攻击中，入侵者通常将未经授权的数据库语句插入（或“注入”）到有漏洞的SQL数据信道中。通常情况下，攻击所针对的数据信道包括存储过程和Web应用程序输入参数。然后，这些注入的语句被传递到数据库中并在数据库中执行。使用SQL注入，攻击者可以不受限制地访问整个数据库。

威胁 5 – 日志记录不完善

    自动记录所有敏感的和/或异常的数据库事务应该是所有数据库部署基础的一部分。如果数据库审计策略不足，则组织将在很多级别上面临严重风险。

威胁 6 - 身份验证不足

    薄弱的身份验证方案可以使攻击者窃取或以其他方法获得登录凭据，从而获取合法的数据库用户的身份。攻击者可以采取很多策略来获取凭据。

威胁 7 - 备份数据暴露

    经常情况下，备份数据库存储介质对于攻击者是毫无防护措施的。因此，在若干起著名的安全破坏活动中，都是数据库备份磁带和硬盘被盗。防止备份数据暴露所有数据库备份都应加密。实际上，某些供应商已经建议在未来的 DBMS产品中不应支持创建未加密的备份。建议经常对联机的生产数据库信息进行加密，但是由于性能问题和密钥管理不善问题，这一加密方法通常是不现实的，并且一般被公认为是上文介绍的细化的权限控制的不理想的替代方法。

1.2 数据库审计介绍

    数据库设计是指对审计和事务日志进行审查，从而跟踪各种对数据库操作的行为。一般审计主要记录对数据库的操作、对数据库的改变、执行该项目操作的人以及其他的属性。这些数据库一般被记录到独立的平台中，并且具备较高的准确性和完整性。针对数据库活动或状态进行取证检查时，审计可以准确的反馈数据库的各种变化，对我们分析数据库的各类正常、异常、违规操作提供证据。

1.3 数据库审计法规要求

    法规控制在一些领域起了关键性的作用，例如在业务变更、业务流程验证、系统故障、人为违规操作等方面。因为数据库作为各项资产或者业务的核心，所以数据库审计在各类标准法规中非常重要。

《萨班斯法案》强调加强与财务报表相关的IT系统内部控制，其中，IT系统内部控制是紧密围绕信息安全审计这一核心的。

巴赛尔新资本协定(Basel II)要求全球银行必须做好风险控管(risk management)，而这项“金融作业风险”的防范正需要业务信息安全审计为依托。

《企业内部控制具体规范》明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性。

《ISO15408-2 安全功能要求》明确要求数据库安全审计应包括：识别、记录、存储和分析 那些与安全相关活动（即由TSP 控制的活动）有关的信息；检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。

《等级保护数据库管理技术要求》 第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应：建立独立的安全审计系统；定义与数据库安全相关的审计事件；设置专门的安全审计员；设置专门用于存储数据库系统审计数据的安全审计库；提供适用于数据库系统的安全审计设置、分析和查阅的工具。

2 主要功能：

2.1 全面的数据库审计

    昂楷AAS能够针对目前主流的数据库（ORACLEMSSQLMYSQLPOSTGRESQLCache….）的各种操作进行详细的、实时的记录，并以报表和数据库列表的形式呈现给客户！能够审计的内容包括：

    Ø 审计用户对数据库的登陆、注销；

    Ø 审计用户到数据库表的查询、插入、修改、删除、创建……；

    Ø 能够监控各类数据库的连接客户的操作；

    Ø 审计数据库返回值；

支持的数据库类型包括：

    ▶ MSSQL  2000/2005/2008

    ▶ ORACLE 8i/9i/10g/11g

    ▶ Postgresql 8

    ▶ Mysql各版本

2.2 远程服务器操作审计

    昂楷AAS支持主流的远程服务器访问操作，包括对Telnet、FTP、Rlogin、X11等操作的审计，能够全程记录远程访问用户的各种操作。

2.3 丰富的报警设置

    用户可以自定义各种报警事件，并设置报警事件的类别。当数据库遭遇到攻击、定制报警策略促发时，系统会自动的告警出来！目前报警分为高级、较高、中级、低级四个级别。

2.4 全面的报表功能

    昂楷AAS可以针对多个模块进行报表统计，可根据网络流量、数据库操作的次数、报警时间进行统计报表。审计人员可以根据不同类型，输出符合自己要求的报表。

2.5 灵活的审计策略

    ANKKI-AAS使用审计引擎对所有的数据库活动、数据库服务器远程操作进行实时的、动态的审计，并根据审计到客户端（ip、mac、用户名……）、中间件（操作语句）、服务端（返回值、响应时间……）信息，自定义策略，实现审计可视化、可管理行。

2.6 系统管理 

    昂楷AAS的管理控制台集中管理应用审计系统，审计人员可以通过管控平台是实时监控应用审计设备的各种状态，包括：

    Ø 系统运行状态，CPU、内存、硬盘的消耗等。

    Ø 系统自身运行的各种日志信息。

    Ø 用户管理，管理各种用户的权限，以及用户对审计设备的操作状况。

3 产品特点：

3.1 全独立审计模式

    ANKKI-AAS审计数据通过网络完全独立地采集，这使得数据库维护或开发小组，安全审计小组的工作进行适当的分离。而且，审计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于ANKKI-AAS自带的存储空间中，避免了数据库特权用户或恶意入侵数据库服务器用户，干扰审计信息的公正性。

3.2 全跟踪细腻度审计

    全面性：针对业务层、应用层、数据库等各个层面的操作进行跟踪定位，包括数据库SQL执行情况、数据库返回值等。

    细粒度：精确到表、对象、记录内容的细粒度审计策略，实现对敏感信息的精细监控；

    独立性：基于独立监控审计的工作模式，实现了数据库管理与审计的分离，保证了审计结果的真实性、完整性、公正性。

3.3 权限分离

    ANKKI-AAS设置了权限角色分离，如系统管理员负责设备的运行设置；审计员负责查看相关审计记录及规则违反情况；日志员负责查看整体设备的操作日志及规则的修改情况等。

3.4 事件准确定位

    传统的数据库审计定位往往局限于IP地址和MAC地址，很多时候不具备可信性。昂楷AAS可以对IP、MAC、用户名、服务端等一系列进行关联分析，从而追踪到具体人。

3.5 独特报表功能

3.5.1 合规性报表

    ANKKI-AAS报表和根据合规性要求，输出不同类型的报表。例如，可根据等级保护三级要求，输出符合等保相关项目满足的度的报表。

3.5.2 策略定制化报表

    根据审计人员关系的主要稳定，定制符合需求的策略规则输出报告，使审计人员能够迅速的得到自己需要去审计信息。

3.6 完备的自身安全

    ANKKI-AAS全方位确保设备本身的高可用性，主要包括：硬件级安全冗余、系统级防攻击策略、告警措施等。

4 产品部署：

    为了完全不影响数据库系统自身运行与性能，数据库安全审计系统应支持采用旁路监听或模式，具体可分为核心交换机网络监听模式、网桥模式和数据库系统主机上实施监听模式。

4.1 交换机网络监听模式

    通过在核心交换机上设置端口镜像模式或采用TAP分流监听模式，使安全审计引擎能够监听到所有用户通过交换机与数据库进行通讯的全部操作。

4.2 数据库系统主机网络监听模式

    通过在数据库系统主机上部署网络监听的审计接入模块，审计接入模块能够监听所有用户与数据库系统进行的全部通信，获得对数据库系统的所有访问操作，审计接入模块发送给审计系统，并记录在审计系统中。

    网络监听模式最大的优点就是与现有数据库系统无关，部署过程不会给数据库系统带来性能上的负担，即使数据库安全审计系统出现故障也不会影响数据库系统的正常运行，具备易部署、无风险的特点；但是，其部署的实现原理决定了网络监听技术在针对加密协议时，只能实现到会话级别审计(即可以审计到时间、源IP、源端口、目的IP、目的端口等信息)，而没法对内容进行审计。