数据库审计只是事后审计？

随着信息泄露事件的频发，

数据库安全产品逐渐进入大众视野

然而

对数据库审计产品仍然有很多误解

有人认为数据库审计系统只能做事后审计

数据库审计宝宝表示不同意！

昂楷数据库安全专家解释，数据库审计只是事后防护，这种看法并不是很专业。

首先需要清楚的是，什么是“事后”？ 如果针对一个孤立的，或者什么意义都没有的数据库一次性访问来说，那确实是事后检测，因为这个时候才有数据才有流量可检测；如果针对的是一次完整的数据库访问行为(也就是我们说的“事件”，这是业界忽略的关于“事”的真正定义)，则就有可能做到事前检测、事中响应及事后举证。

那么，什么样的行为或者事件可以做到事前检测呢？

一个完整的行为或事件具备两个特点：一是事件往往由多个动作组合形成，从数据库访问来看，一个孤立的指令往往是没有意义的，而多个组合在一起时，就形成了事件或带有明显倾向性的行为;二是事件从开始到结束往往有一定的持续时间。

通过监控带有明显倾向性的行为，在违规事件未完成时及时发出告警，具体来讲可通过以下方式，对数据库进行监控：

1、监控第三方和数据库有交互的行为，提高核心数据库访问权限，减少接触核心数据的人员等，对于非企业内部的人员在企业环境中进行的数据库操作或是信息获取是重点监控之一；

2、监控核心数据，如涉及姓名、电话等敏感信息，即使有合法权限进行访问也会在第一时间进行报警，让安全人员进行事件的确认；

3、监控异常工具的连接，当发现非法IP、非法工具与数据库进行连接时，立刻发出告警；

数据库审计给人“只能事后审计”的印象，最大的原因可能是在于，数据库审计系统能够通过定向行为分析，明确出某指定客户端在某段时间内所有的操作记录，从而进行现场重建，录像回放，真实再现完成的操作过程，进行电子取证，为溯源和取证提供有力的证据。

数据库审计系统可通过实时监控谁操作过数据库、对哪个数据库在什么时候做了哪些操作、操作属于什么类型、操作是否成功等一系列横向与纵向的对比分析，做出事前预防、事中防范、事后取证。

以上不是给数据库审计“平反”

只是简单介绍一下数据库审计的作用

您对数据库审计还有什么疑问？

欢迎留言！