数据库审计和数据库防火墙的区别

我认为数据库防火墙不同于大家更为熟悉的数据库审计，根本区别在于两者防护原理有本质区别，数据库审计更像是摄像头，旁路监控数据库访问，发现威胁进行告警，但不做实质上的防御，实际上更偏向事后的追溯。而防火墙则更为直接，可以通过直接串联或旁路部署的方式，对应用与数据库之间的访问进行阻断拦截等 *** 作 ，拦截阻断安全威胁，起到事中防护的作用。

数据库防火墙是串联部署，串联模式部署在应用系统与数据库之间，所有SQL语句必须经过数据库防火墙的审核后才能到达数据库，发起访问、 *** 作。基于漏洞特征库、SQL注入特征库、黑白名单等的细粒度安全策略制定，结合访问源、访问对象、访问行为、影响行数等准确解析结果，识别恶意数据库指令，及时采取中断会话或准确拦截语句的防御行为，串联部署最大的风险在于不能出现误判断，影响正常语句通过，这就要求数据库防火墙的语句解析能力足够精准，并且能够建立非常完善的行为模型，在发现危险语句时，能够在不中断会话的基础上，准确拦截风险语句，放行正常访问。因此，要想真正发挥防护效果，数据库防火墙必须串联在数据库的前端，可以是物理的（透明串接）或逻辑的（代理）串联。

数据库审计是旁路部署，是一款面向数据库可提供安全、审计、监控能力的一体化工具。能对数据库遭受到的风险行为进行告警，如：数据库漏洞攻击、SQL注入攻击、高危风险 *** 作等，旁路分析识别后再发出阻断请求。两者的区别还是很大的，安华金和专注数据安全行业，推荐你找他们了解下。更多内容可以百度一下。

数据库审计技术是目前数据库安全中应用最广泛的数据库安全技术，同时也是目前数据库安全市场上品牌、种类最多的数据库安全产品。

数据库审计技术能够实时记录网络上的访问数据库行为，对数据库 *** 作进行细粒度审计。除此之外，数据库审计还能对数据库遭受到的风险行为进行告警，如：数据库漏洞攻击、SQL注入攻击、高危风险 *** 作等。

具体机制有很多，我列出一些：

数据库访问行为记录，数据库访问行为全记录是数据库审计技术的基本功能，此技术应能捕获数据库所有访问行为，包括通过数据库服务器访问数据库的本地访问行为。

数据库异常行为监测，数据库审计技术应具有异常访问行为监控、入侵行为监控、违规访问监控能力。

数据库异常行为告警，数据库审计发现数据库的异常访问行为后，应具备告警功能，能够在发觉异常行为的第一时间，通过企业微信、短信、邮件、SNMP、Syslog等多种方式进行告警。

数据库审计产品除了具有上面提到的基本技术外，还具备一些扩展功能，例如：

数据库发现，可基于流量识别技术，自动发现、添加数据库并快速进行审计。

账号权限监控，账号权限监控技术，是指对监控数据库所有账号的权限变化情况，包括账号的增加、减少以及账户权限的提升与降低。

数据库性能监控，系统的审计内容全面，可以对数据库的SQL吞吐量、会话并发量进行实时监控，从而评估数据库运行状态和资源使用情况。

数据库审计报表，报表功能是将审计日志进行数据化分析的具体表现形式。数据库审计产品中应内置常用审计报表，例如等保报表等，并可根据用户具体需求生成不同的审计报表。

数据库审计技术采用旁路部署，通过镜像流量或探针的方式采集流量，并基于语法语义的解析技术提取出SQL中相关的要素（用户、SQL *** 作、表、字段等）进而实时记录来自各个层面的所有数据库活动，包括：普通用户和超级用户的访问行为请求，以及使用数据库客户端工具执行的 *** 作。

安华金和数据库审计，是基于丰富的数据库研发能力，实现SQL语句全解析与准确解析，并将细粒度规则管控等能力融入审计产品中，在与用户交互中不断提高产品性能和易用性，实现了交付用户可以免实施、免维护、免培训的成熟数据库审计产品，有不明白的可以继续追问或者百度搜索。

个人推荐国都兴业的，传统数据库审计产品对数据库安全风险的监控都是通过安全 *** 作员手工设置安全监控策略实现的。但是数据库应用的专业程度较高，业务数据表内容繁杂，数据库安全人员既要熟悉数据库技术又要全面了解数据库承载的应用，制定审计策略对于安全人员来说是一项艰巨的挑战，手工设置对应每个用户的完备的安全策略是几乎不可能完成的任务，大多数用户往往是只配置了少量的规则。另外由于SQL语句的灵活性，安全策略很难跟上SQL语句的变化，导致审计策略无法及时更新。而没有完备的安全策略，数据库审计产品只能起到记录器的作用，仅用作进行事后查证的工具，无法对风险进行实时监控和预警。可申请测试试试。

第一节 电子数据的获取 审计人员采用审计软件进行审计，须先取会计电子数据。如何取得电子数据，应根据不同的网络环境和工作平台，采取不同的方式来处理。 1 、确定客户是单机还是网络型数据库。客户使用的是单机或网络数据库是由客户所使用的会计软件所决定，会计软件有单机版和网络版之分，一般来讲大中型企业，应用网络版较多，中小企业使用单机版较多，审计人员可以通过询问了解，确定该客户使用会计软件是单机版还是网络版。 2 、确认客户的工作平台。工作平台一般有三种，常见平台有：第一种 DOS 环境，第二种 WINDOWS 系列，第三种 UNIX 系统。 3 、会计数据库指定。 DOS 或 WINDOWS 环境下的单机版，首先找到数据库文件，确定数据库文件名，将该文件拷贝到审计工作区即可。如何找到数据库文件呢？一般来讲，单机数据库是以文件形式存的，确定该文件的位置，将其拷贝至审计工作区即完成会计数据的指定。 方法一：根据数据库的后缀可确定数据库的类型，如，后缀和数据库类型对照如下表。 后缀名 数据库类型 DBF DBASE 或 FOXPRO DB PARADOX ， SYBASE 单机版 MDB ACCESS TXT 文本类型 方法二：审计人员也可以通过输入几张凭证来查找出存放会计数据的数据库，有可能根据文件更新的时间来确定数据库。 方法三：主要通过和会计人员交谈，来确定数据库的位置，也可通过询问软件公司或软件设计人员来确定其位置。 4 、网络型数据的获取数据方法。 方法一：通过 ODBC 连接，用数据库所提供的终端驱动来直接连接至数据库，读取数据。 用友V-80 采集 doc 方法二：大型数据库一般具有输出成其它数据库格式的功能，能将所需数据表转换为其它数据库格式文件。 如： SQLSEVER 中输出数据的功能项为 Import and Export Data 执行 ， 待出现 Data transformation Servies Wizard 第一， Source 选择界面中最底行 database 选所要访问的数据库。第二， 执行下一步会出现 Destination 界面与 Source 界面相似。只是 Destination 数据而已。选择所导出的数据库类型。注：若选择 Access 等需是已建立的空库如 DB1MDB 随后一步步执行即可。 Sqlserver 数据库导出介绍 doc 5 、 UNIX *** 作系统下数据库的利用。装有 WINDOWS 终端时或可装 WINDOWSNT 终端，通过数据库所提供的终端驱动来直接连接至数据库，读取数据。转成单机数据库，首先在该 UNIX *** 作系统下将数据转换成单机数据库。然后，在 UNIX *** 作系统下可用命令 ‘ DOSCOPY ' 或’ DSCOPY '来将数据拷贝成 DOS 文件格式。 第二节 数据获取案例 一。数据获取举例： 1 用友 6 用友V6 采集 doc 2 用友 7 3 用友 8 用友V-80 采集 doc Sqlserver 数据库导出介绍 doc 4 金蝶 6 5 金蝶 8 类似用友 8 6 天翼。软件本身有 exchangeexe， 可将数据导出为 DBF 型 数据。 7 邮政。软件本身有导出为 DBF 数据库的功能。 8 远光， SQLSEVER 数据库。 9 金算盘 ， 单机板数据库为 ACCESS 型 mdb， 口令为“ gold ”。网络版本为 Oracle 输出为文本文件。 10 安易财务软件单机版为 DBASE ，网络版为 SQLSEVER 11 以浪潮软件为例，在软件中有数据导出功能，可将帐务数据导出为文本文件。 12 通用财务软件为 ACCESS97 数据库 ， 但其数据文件后缀为 ，DB 其它各类软件，不外乎以下各类数据库，现归纳如下。 第三节 各类数据库导数方法 1 Access ACCESS 数据的导入 doc 1）。 导入其它数据库 2 ）导入文本文件 3 ） ODBC 导入 2 Execl 如何运用 EXCEL 读取文本文件 doc 1 ）打开 DBASE 文件 2 ）导入文本文件 3 SQLSEVER 4 Oracle 1） ODBC 设置ODBC 用 ACCESS 导出较为常用 ， 参见 ACCESS 数据导入。 2） 文本文件 由系统管理员用 SQLPLUS 引出数据为文本文件。 5 Sybase 1 ） ODBC 2 ） 导出为文本文件如，浪潮软件系列。 6 Db2 1 ） ODBC 2 ）文本文件 7 BDE 第四节 数据转移方法 1 软盘。压缩工具 rar 、 zip 、 arj 等工具。在光盘工具目录下有各压缩工具。 1） 在 windows 环境下推荐使用 winzip，rar 来压缩和解压，要求在客户机上能使用 winzip 或 rar 审计人员应掌握以上软件的用法，特别是文件较大时，压缩至多张盘的用法。选项中注意明确文件名为长文件名，文件类型为 win95/98， 多张盘压缩时可直接压缩至 A 盘。 2） 用软件拷贝，如， dos 环境下可用 ARJ 先将数据压缩成一张软盘大小可容纳的文件，然后拷贝至软盘。具体 *** 作命令： ARJ a test 解释：将该目录下所有文件压缩至 testarj （压缩好的文件名） 若数据较大，需压缩至多张软盘，具体 *** 作命令： ARJ a – r – v1440 test 解释：将该目录下的所有文件，包括下级目录下的文件，压缩至 testarj， testa01， …。然后将压缩好的文件 testarj， testa01， …分别拷贝至软盘。 解压命令为： ARJ x testarj 多张盘解压命令为： ARJ x – vv testarj 2 双机互连线，前提是双机须有网卡 ， 用特制网线连接，双机域名，工作组名相同，双机可看见，若看不见，须互相查找以传递数据。特制网线的制作和一般网线稍有不同， A 机的端口中的第 1 和 2 根线对应 B 机的第 3 和 6 根线，同样 B 机的第 1 和 2 根线对应 A 机的第 3 和 6 根线。 3 网络传送。将该机设为网络终端，以终端身份访问网络中的服务器或其它机器。 4 优盘。大小为 32M ， 64M ， 128M 5 USB 连线。须安装驱动程序。 6 移动硬盘。 取得会计电子数据后，即可对其进行审计分析相关热词：审计人员获取审计数据

随着大数据潮流的涌进，加强数据安全也越来越重要。下面从以下4点解释一下问什么要数据库审计：

(1)安全事故的权责追查，可通过审计到的客户端IP、数据库用户、会话、sql语句、业务用户等多个维度去捕获事件信息，快速定位发生来源。

(2)数据库性能诊断，实时观察数据库的运行状况、访问流量、并发吞吐量、sql的相应速度，以便运维人员进行数据库性能的优化。

(3)发现程序后门，可实现对业务系统的sql建模，通过合法行为的规则制定，当触发这些规则时，推送实时的告警能力，大幅降低数据泄露损失

(4)数据库漏洞攻击的相应，可实现对数据库漏洞攻击的、sql的注入、危险sql语句指定防护策略，提供实时告警功能。

(5)制定数据库的防护措施，通过对数据库 *** 作行为的发现，有效的观察出行为基准，指定出相关的基准策略，一旦超出基准则可划为异常行为，及时发现危险行为。

关于审计产品您可以百度搜索看下安华金和CEO写的《纵论数据库安全审计产品的三代演进》这篇文章，相信对您也会有帮助。

现在很重要了，因为很多合规性要求之外，各企业自身也越来越看重数据安全，像《网络安全法》第四十条规定网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。第四十一条规定网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。数据库审计就成为刚需。

推荐你了解下安华金和的数据库审计产品，在业界做的很不错，目前支持数据库类型最全。

法规控制在一些领域起了关键性的作用，例如在业务变更、业务流程验证、系统故障、人为违规 *** 作等方面。因为数据库作为各项资产或者业务的核心，所以数据库审计在各类标准法规中非常重要。

《萨班斯法案》强调加强与财务报表相关的IT系统内部控制，其中，IT系统内部控制是紧密围绕信息安全审计这一核心的。

巴赛尔新资本协定(Basel II)要求全球银行必须做好风险控管(risk management)，而这项“金融作业风险”的防范正需要业务信息安全审计为依托。

《企业内部控制具体规范》明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性。

《等级保护数据库管理技术要求》 第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应：建立独立的安全审计系统；定义与数据库安全相关的审计事件；设置专门的安全审计员；设置专门用于存储数据库系统审计数据的安全审计库；提供适用于数据库系统的安全审计设置、分析和查阅的工具。

《ISO15408-2 安全功能要求》明确要求数据库安全审计应包括：识别、记录、存储和分析 那些与安全相关活动（即由TSP 控制的活动）有关的信息；检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。

以上就是关于数据库审计和数据库防火墙的区别全部的内容，包括:数据库审计和数据库防火墙的区别、数据库安全审计系统提供了一种什么样的的安全机制、数据库审计厂商有哪些等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！