解密！数据审计为什么只有六元组能定位到“人”？

数据库审计是通过对数据库活动行为的记录分析，帮助用户对数据库安全进行事前预防、事中监控、事后追根溯源，并生成合规报表，快速合规，同时防范黑客对数据库的攻击，提高数据资产安全。数据库审计的核心思想是定位到“人”，包括是谁操作了数据库，进行了什么操作，这类操作是否合规。

五元组的缺陷是什么?

行业内一般只能支持“五元组”来进行标识，并不能支持应用层账号(即当前用户登录应用程序的工号)，在复杂环境下难以定位到“人”。特别是一机多人使用时，通过IP没法锁定最终的操作者。

传统五元组主要有客户端Mac、客户端IP、客户端主机名、操作系统用户名、数据库账号，其缺陷总结起来主要有：

1、客户端Mac有可能更改，或者一机多用，难以准确定位责任人。

2、客户端IP有可能是自动分配，难以准确定位责任人。

3、客户端主机名可能未配置，也无法准确定位。

4、操作系统用户名可能未配置，都是超级管理员。

5、数据库账号可能为实例账号，所有访问者都转换为一个实例账号，难以准确定位。

六元组是如何定位到“人”?

在数据库审计领域，昂楷科技独创了“六元组”来标识用户访问数据库的属性。“六元组”具体是指应用层账号、数据库账号、操作系统用户名、客户端主机名、客户端IP、客户端Mac。

应用层账号：指终端用户登录应用系统的账号，如医疗HIS系统的登录工号。

数据库账号：用户与数据库进行数据交互时使用的账号，需要在数据库中进行账号的配置。

操作系统用户名：用户终端操作系统的用户名，如未修改一般为超级账户Administrator。

客户端主机名：用户终端的主机名称，用于标识终端以便管理。

客户端IP：用户终端当前访问数据库的IP地址。

客户端Mac：用户终端的Mac地址。

可以看出，六元组与五元组的不同之处在于，能否提取应用层账号，进而准确定位到“人”，有效知道是谁进行了不合规操作。

由以上分析可知，传统的“五元组”标识存在定位不准确的问题，因此，“六元组”才是数据库审计领域中准确定位到“人”的最直接证据。