数据库审计

一、概念

数据库审计服务是一款专业、主动、实时监控数据库安全的审计产品，可用于审计阿里云原生数据库和自建数据库。

数据库审计服务将数据库监控、审计技术与公共云环境相结合，针对数据库SQL注入、风险操作等数据库风险行为进行记录与告警，形成对核心数据的安全防护，为您的云端数据库提供完善的安全诊断、维护、管理功能。

数据库审计服务符合等级保护三级标准，帮助您满足合规性要求，包括但不限于：

• 中国银监会、工业和信息化部、公安部、国家互联网信息办公室制定的《网络借贷信息中介机构业务活动管理暂行办法》中第十八条指出需要进行信息安全检查和审计。
• 网络安全法
  • 第二十一条 （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。
  • 第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

应用场景

数据库审计服务可以帮助您解决以下问题：

• 助力企业顺利通过等保合规审计，提供等保三级及其他行业合规审计依据。
• 支持审计数据增量备份，满足等保规范对审计数据保存期限要求。
• 具备风险状况、运行状况、性能状况、语句分布的实时监控能力。
• 帮助您记录、分析、追查数据库安全事件。
• 通过数据库性能诊断，追踪危险事件和不安全操作。
• 有效发现程序后门，降低数据泄密风险。
• 提供数据库实时风险告警能力，及时防护数据库攻击。

工作原理

数据库审计服务通过旁路监听模式，支持完全独立于数据库的部署。在不影响数据库日常运行效能的前提下，实现灵活的审计与监控。

• 基于数据库操作语句进行审计，监视数据库登录、访问行为，有效地实施审计策略。数据库审计服务还具备强大的数据库活动审计分析能力，从多个角度灵活呈现数据库的活动状态，帮助您有效执行安全策略。
• 采用全新的人机交互操作模式，基于人性化、专业化和可用性三个层面设计产品界面。在审计日志统计分析方面，数据库审计服务采用综合性统计分析报表，基于日报、周报、月报等基础型业务报表（可设置自动定时发送），并结合专项性的模式分析类报表，开启数据库审计产品报表展现形式的新纪元。
• 审计查询方式支持单库（单个数据库）级和全库（所有数据库）级两个层面进行审计查询。采用多重页面钻取功能，逐层递进地引导您完成审计日志的查询分析。同时，为方便您定制审计规则，采用优先级由上而下的规则命中机制，从多个层面定义数据库审计规则。

二、功能特性

数据库审计提供用户行为发现审计、多维度分析、实时报警和报表功能。

用户行为审计

• 支持关联应用层和数据库层的访问操作，您可以在C/S架构和B/S架构中使用应用身份识别功能。
• 支持溯源应用者的身份和行为。

多维度线索分析

• 风险和危害线索

  支持分析高中低等级的风险、SQL注入、黑名单语句、违反授权策略等SQL行为。

• 会话线索

  支持根据时间、客户端IP、客户端端口、服务端IP、服务端端口、数据库账号、资产信息、数据库实例、客户端工具、数据库类型、主机名等多角度分析会话。

• 详细语句线索

  支持根据时间、报文检索、资产信息、数据库账号、SQL模板、客户端IP、客户端端口、服务端IP、服务端端口、数据库实例、影响行数、执行时长、操作类型、执行成功与否等多种检索条件。

多维度告警机制

• 安全规则

  内置900+安全规则，覆盖常见的应用场景，并且在不断的丰富内置规则。支持自定义安全规则。

  内置安全规则包含已发现的不安全SQL语句的特征信息。数据库审计服务通过将审计到的SQL语句和安全规则进行匹配从而判断SQL语句中是否包含可疑行为。

• 异常操作风险

  支持通过IP、用户、数据库客户端工具、时间、敏感对象、返回行数、系统对象、高危操作等多种元素细粒度定义要求监控的风险访问行为。

• SQL注入

  提供系统性的SQL注入库，以及基于正则表达式或语法抽象的SQL注入描述，发现数据库异常行为立即告警。

• 黑白名单

  通过准确而抽象的方式，对系统中的特定访问SQL语句进行描述，在这些SQL语句出现时立即告警。

精细化报表

• 综合分析报表

  从SQL语句执行情况分析、会话连接分析、风险事件分析和SQL性能分析四个角度对数据库态势进行综合分析。

• 性能分析报表

  从性能变化趋势、性能最差的数据库/SID、耗时最久的SQL、性能最差的SQL、执行最多的SQL五个方面对数据库的性能做出分析。

• 等保参考分析报表

  结合当前信息安全技术网络安全等级保护评测要求GB/T 28448-2019（简称等级保护2.0）的要求，针对等级保护2.0里关注的安全审计中的入侵防范、恶意代码监测、安全审计监控等进行针对性的分析和展示。

• 语句分析类报表

  从SQL语句分析、失败语句分析、SQL语句变化趋势、审计趋势分析和执行次数最多SQL模板分析5个维度分析和展示当前语句类的信息。

• 会话分析类报表

  包含新增会话分析、失败会话分析、并发会话分析和会话数量变化趋势分析4张报表。

• 告警分析类报表

  从告警变化趋势、告警来源分析、告警对象分析、规则命中分析4个维度分析当前告警的情况。

• 其他报表

  主要分为：客户端工具分析、数据库账号分析、数据库或SID分析、数据库访问来源IP分析4张报表。