CQ Tech | 解析 CloudQuery 审计分析功能

什么是数据库审计

数据库审计是对数据库访问行为进行监管，记录下数据库的所有访问和操作行为，例如访问数据的用户（IP、账号、时间）、操作（增、删、改、查）、对象（表、字段）等。它通过对用户访问数据库行为的记录、分析，帮助事后生成合规报告、追根溯源，提高数据资产安全。

为什么一定要进行审计分析

现在我们进入一个公司，但凡工作内容涉及到数据，必然会被要求签订保密协议，由此可见数据对于企业的重要性，可以说是企业的核心资产，对于互联网企业来说更是命脉所在。

在企业内部，DBA 、外包/运维人员、业务人员都有访问数据库的需求，而数据库存储了各种账号权限，万一被恶意使用，后果严重。并且对于数据库使用，很难制定细化的操作规程，同一账号多人使用、多地登录、非业务时间访问，各种不规范行为的发生，都有可能成为安全漏洞，最终发生数据泄露。

而数据库管理工具审计分析功能的价值就在于此，为数据库安全事件追责、定责提供依据，与此同时也可以对数据库的攻击和非法操作等行为起到震慑作用。且数据库自身携带的审计功能会拖慢数据库的性能，而通过数据库管理工具则可以有效避免这个问题。

当前 CloudQuery 审计分析功能

目前 CloudQuery 的审计分析功能主要包含审计分析图和审计明细，提供数据库多方面的内容审计、行为审计、流量审计和其他审计项。

1.审计分析图

审计分析图主要对行为进行审计，展示各种数据操作行为的执行次数和执行占比。如语句执行次数，语句执行错误次数。执行占比则包含了查询、更新、新增及删除操作行为的占比。

2.审计明细

审计明细记录了所有用户在平台上的所有操作行为。包括操作在哪个数据源中执行、数据源版本、执行语句明细、执行时间、耗时多久等详细信息内容。用户还可以选择指定用户，查询该用户在指定时间段内的操作行为明细。

CloudQuery 审计分析功能后期完善计划

目前 CloudQuery 的版本为 v 1.1.1，审计分析功能还较为简单，但 CloudQuery 规划了完善的审计分析功能，将在每次版本更新中逐步增加。

1. 用户行为排行榜。通过用户排行榜可对用户活跃度进行排名，了解每个用户的高频行为，能够快速定位到异常行为用户。

2. 异常行为检测，多样报警方式。CloudQuery 将对数据库异常访问、登录、查询进行检测告警，多途径发送通知：短信、邮件、站内信，用户可根据自身需求进行选择。

3. 审计规则设置。CloudQuery 将增加敏感信息审计、危险活动审计，实现更细粒度的审计，以满足多样审计需求。

4. 精确定位，多种审计报表输出。审计功能的主要作用就是在发生安全事件时，能够有确凿的“证据”。精确定位不仅审计到用户账号，还可跟踪到客户 IP，且 CloudQuery 将提供多种审计报表：固定报表、图表、自定义报表等，用户可根据自身需求输出不同格式的报告以获取确凿“证据”。

5. 安全事件回放。在发生数据库安全事件后，CloudQuery 可实现对该事件的完整细节回放。

6. 基于应用的审计分析功能。除了平台常规层面的审计分析，CloudQuery 还可结合应用授权功能，基于应用，对应用上的各类用户行为进行审计分析。

欢迎关注公号：Cloud Query
产品官网：http://cloudquery.club/