纵论数据库安全审计产品的三代演进

目前，数据库审计产品无疑已成为 *** 、企业、事业单位在信息安全方面的新宠。它是信息安全建设的标准，几乎所有的安全集成都有。市场上有数十种数据库安全审计产品，可分为四种类型：

1、在 *** 审计产品的基础上，通过简单包装推出数据库审计产品

2、针对数据库通讯协议的特点开发出专门的数据库审计产品

3、国外数据库审计产品，如Imperva、Guardium等;

4、OEM第三方数据库审计产品，OEM对象可能来自国内或国外，如Imperva或韩国的DBInsight。

追溯源头，我们可以将数据库安全审计产品分为三代：

***代为入门级数据库安全审计，这一代产品解决了是否存在问题；

第二代是专业数据库安全审计，解决了准确性和易用性问题；

第三代是业务数据库安全审计，解决了数据价值问题。

入门级数据库安全审计产品

我们将一代定义为入门级，这是在数据库安全审计产品在国外成功，外国投资者进入中国实施这一概念后，一些传统的 *** 安全企业迅速跟进，基于传统的 *** 审计产品简单改造或产品不改造只是概念包装到市场产品。

这一代产品的典型特征是“三不管”：

(1) 不管审查是否准确，先审查再说

(2) 不管审查完全不完整，先吧

(3) 不管好不好理解，都有数据。

这一代产品的本质是利用传统的 *** 审计能力，加上一些正则匹配能力和一些简单的特征跟踪。基本上，数据库安全审计的管理融入了原有的 *** 管理界面。这一代产品的主要缺陷如下：

(1)长SQL语句漏审

(2)多语句不能有效分割

(3)复杂语句对象分析错误

(4)参数值与SQL句子匹配错误

(5)错误的响应结果，特别是影响行数分析不正确

(6)充满失真率的用户关联

(7)未专业审计界面

(8)存储过度冗余的审计信息

其中，上述缺陷的前六个与准确性和全面性有关，用户难以验证；通常有两种简单的 *** 来判断该产品是否属于该产品：一种 *** 是界面。如果界面上有很多协议，数据库只是其中之一，通常是 *** 审计改变的产品；另一种 *** 是招标参数。现在一个非常奇怪的现象是，招标数据库安全审计产品，结果列出了一堆 *** 审计产品的要求。以下是一个典型的招标案例：

与数据库审计产品无关的参数

第二代专业数据库安全审计产品

第二代数据库安全审计产品主要由新兴安全制造商开发。在研发过程中，我们将参考一些国外数据库安全产品的设计理念和产品界面，结合自身的创新，生产纯数据库安全审计产品。这一代产品有三个典型的特点：

(1)高度聚焦产品概念

产品取代传统 *** 审计的概念，不会有类似的MAIL、FTP、Telnet在协议中，用户很容易找到数据库审计信息。

(2)数据库包深度分析SQL语法解析

二代数据库安全审计产品的基本功在于对数据库的包能够进行精确分析，并且根据上下文语境进行追踪(这需要模拟数据库的行为)。

(3)数据库界面组织清晰

完全采用数据库界面组织，如数据库、对话、陈述、表格、存储过程等。；这样的产品概念，对于数据库审计产品的直接用户，一般是操作和维护人员和安全管理人员，非常清题定位的线索组织也非常清晰。以下是两代数据库审计产品的比较：

典型的数据库审计产品界面示例1

典型的数据库审计产品界面示例2

从图中不难看出，数据库的信息很难在界面菜单的组织结构中找到，数据库也很难在审计记录中看到SQL语句、数据库用户、数据库会话等信息。

第二代数据库审计的典型界面组织

相比之下，第二代数据库安全审计产品界面具有较强的数据库元素；“数据库”作为最基本的信息组织单位，“会话”、“语句”数据库中的基本要素是线索；在审计记录中，直观SQL语句、数据库用户、会话信息等，立即将单调的 *** 协议还原为数据库信息。

第二代产品也有高低之分，主要体现在三个方面：

(1) DDPI技术的准确性

由于数据库通信包的复杂性，即使按照深度包的分析思路，也无法保证分析的完全准确性。能否高精度、高兼容性取决于各厂商的技能。分析不准确，要么丢失数据，要么审计错误。

(2)协议识别的智能化

正是由于这种包装分析技术的复杂性，为了准确识别协议的类型，一些产品通常需要人工辅助来帮助输入解释数据库的版本、操作系统的类型、编码 *** 等。在第二代产品中，哪家制造商能够实现数据库协议的智能识别将是产品易用性的另一个重要考虑因素。

(3) 三层关联的准确性

从审计的角度来看，由于业务系统经常使用数据库用户，因此无法区分哪些业务人员触发了哪些数据库操作，因此无法真正满足追踪的需要。为了满足这一需求，启明星最早注册了http协议与数据库协议相关的专利；后来，安恒也实现了类似的技术。然而，由于链接池的存在，该技术的准确性不超过50%作为审计是无法忍受的。新兴数据库安全制造商安华金和率先在中国推出web在上面安装插件以实现100%审计的准确性

(4) 数据的相关分析

在第二代数据库安全审计产品中，许多仍然是单个数据库访问信息的显示风格， 但在实际使用中，用户往往需要了解发现某些高风险的风险IP来源，什么用户登录，登录后在整个会话中执行什么句子。当你发现峰值性能瓶颈时，你可以同时知道当时的会话量和句子量。这些会话来自什么？IP，什么句子的性能消耗主要占什么？***，这些消费比例***语句使用什么样的参数？

综上所述，第二代数据库安全审计产品具有以下特点：

(1) 用数据库的原始概念组织软件的界面框架和界面元素，大大提高“数据库”的专业性;

(2) 通过 ‘会话’、‘语句’、‘风险’界面交互和线索关联实现了内部联系，大大提高了“审计追踪”能力和便利性；

(3) 通过访问数据库IP、统计用户、句子（操作）、对象、响应等不同维度，梳理数据库运行状态，大大提高数据库运行状态和性能的掌握能力。

目前，评估数据库审计产品的质量，最重要的是看上述三点。这三点使数据库审计产品实现了高度专业的审计功能，延长了其使用价值，成为数据库运维和管理人员监控数据库状态和性能优化的重要工具。

三代商业数据库安全审计产品

二代数据库审计产品的专业度勿用置疑，但依然是一个技术型产品，是DBA与运维人员有很好的帮助，但与管理人员和业务人员保持一定的距离。大量数据库审计产品上线后，无法向管理人员和业务人员说明产品的价值。其中一个重要原因是数据库是后台服务和数据库SQL语言是一种高度专业化的语言，数据库对象无法与直接业务映射。DBA管理者和业务部门无法理解与运维人员生成的报告；因此，许多数据库审计产品成为装饰品，或者只发挥其应有价值的10%。

三代数据库安全审计产品的关键是如何通过商业语言访问数据库；传统数据库中的要素IP、数据库用户，SQL 操作类型、数据库表名称、列表名称、过滤条件已成为业务人员熟悉的要素：办公地点、员工名称、业务操作、业务对象、业务元素、某一类别的业务信息。为了更清楚地解释这个问题，我们比较了三代演变前后数据库安全的审计记录：

图 3.1 三代以前的数据库安全审计记录

三代数据库安全审计记录

三代数据库安全审计不仅是审计记录的显示，也是如何分散这些数据的组织SQL句子，然后组织成一个业务操作，此时向业务人员展示的不是每秒有多少个SQL操作，但每秒有多少业务操作。如图所示3.3当前会话中的多个审计记录组织成业务操作后，如图所示3.4，不仅是审计记录的展示，还有性能、类型统计、成功与失败、检索条件和报表。

多个审计记录

业务操作示例

根据第二代数据库安全审计产品的统计和跟踪SQL语言类型的划分可以看到一些管理者和业务人员很难理解SQL语句。三代数据库安全审计产品统计和追踪按照业务的行为和分类来进行信息的组织和展现，而查询到的语句也是业务化的语言展现。当达到这样的程度，数据库安全审计产品对于业务人员和管理人员的价值将大大提升。但要达到这样的程度，需要依赖很好的数据分析处理，在这一阶段能否完成一个好的业务化产品的关键在于大数据的分析处理能力，特别是对数据流的处理能力。

目前，至少中国所有的数据库安全审计产品都远离第三代数据库审计产品的目标；只有真正掌握数据库核心技术能力的安全制造商和真正具有用户意识的安全制造商才能生产第三代产品。