数据库安全审计系统的介绍

（一）数据库内置的审计功能

此审计系统使用数据库本身的内置审计功能来审计绝大多数数据库 *** 作。但是，审计的细粒度级别非常低，并且很难恢复SQL *** 作本身。例如，对于数据删除 *** 作：从 EMP 中删除，其中 DEPTNO=10;假设表 EMP 中有 100 条记录满足条件 DEPTNO=10，则数据库审计系统中将有 100 个 DELETE *** 作，而不是真正的 SQL 语句：从 EMP 中删除，其中 DEPTNO=10。并且大多数现有数据库无法准确审计 DDL 语句，例如：ALTER TABLE XXX ADD （col单个数据库产品可以审计 DDL 语句，但这是通过创建数据库级触发器来完成的。

总之，这种基于数据库产品本身审计功能的审计系统的审计粒度和准确性是有限的。而且由于数据库产品本身的审计功能是基于数据库引擎的，所以消耗了生产数据库系统本身的资源。如果开启所有会话的所有数据库 *** 作审计，生产数据库系统的CPU资源将消耗15%~30%。因此，如果使用这样的数据库审计系统，通常只是有目的地审计单个数据或 *** 作，而不审计整个业务数据库中的所有 *** 作。

（二）外置旁路模式的数据库审计系统

外部审计模式的数据库审计系统是独立于生产数据库的系统，其工作原理是通过网络审计模式监听并收集所有客户端发往生产数据库的网络报文，然后在审计系统内部解包这些网络报文并恢复 *** 作命令（即 SQL 语句）里面。SQL语句捕获后，存储在数据库审计系统中，然后根据用户设置的条件生成告警或报告。与基于数据库产品的审计功能相比，外部审计模式下的数据库审计系统具有以下优点：不占用生产系统的任何系统资源，由于它基于网络审计模式，所有审计 *** 作都在审计系统上进行，因此不会占用生产数据库系统的系统资源;它可以准确地恢复SQL语句，因为所有从客户端发送到数据库服务器的SQL语句都是通过TCP/IP网络发送的，如果按照相应的数据库产品网络数据包格式对这些TCP/IP网络数据包进行捕获和解析，原则上可以得到所有的SQL语句代码。因此，网络审计模式下的数据库审计产品不仅可以审计DML *** 作，还可以审计数据查询 *** 作和DDL *** 作。具有良好的用户界面，可根据用户需求自定义报警条件，可以通过黑白名单减少每日报警次数。

目前，医院信息系统中的数据库审计产品大多采用这种网络审计模式。但需要注意的是，如果用户直接登录数据库系统所在的 *** 作系统，或者直接在数据库系统主机的控制台上执行数据库 *** 作，则不会生成数据库网络数据包，这种网络审计模式下的数据库审计系统无法审计这些数据库 *** 作。因此，如果要对生产数据库进行全面的审计，不仅要部署网络审计模式的审计系统，还要结合堡垒主机系统和桌面管理系统。

关注威翰德科技公众号解锁更多回答

触发器是数据库提供给程序员和数据分析员来保证数据完整性的一种机制，它是一种与数据表事件相关的特殊的存储过程。触发器的执行不是由程序调用，也不需要手工开启，而是由数据表上的事件来触发，当用户对一个数据表进行增、删、改 *** 作时就会激活它执行。

触发器可以查询其他表，而且可以包含复杂的SQL语句。它们主要用于强制服从复杂的业务规则或要求。触发器也可用于强制引用完整性，以便在多个表中添加、更新或删除行时，保留在这些表之间所定义的关系。

触发器功能强大，可以轻松可靠地实现许多复杂的功能，但也不能过于依赖触发器，滥用触发器会造成关系数据库及应用程序维护困难，性能、效率低下等问题的产生，在实际问题中，要根据实际需要选择合适的解决方案。触发器是一种特殊的存储过程，在插入、删除、修改特定表中的数据时触发执行，拥有比数据库本身更强大的数据控制能力，其作用有以下四大方面。

1数据安全数据安全主要是指对信息系统中的业务数据提供一种数据变更的审核机制，当其通过安全策略的审核后，允许用户变更相关数据，否则直接拒绝数据变更的请求。

安全原理：基于数据库的值使用户具有 *** 作数据库的某种权利。

（（1)可以基于时间限制用户的 *** 作。例如，不允许下班后和节假日修改数据库数据。

（2）可以基于数据库中的数据限制用户的 *** 作。例如，不允许股票价格的升幅一次超过10%。

2数据审计数据审计主要是指对数据服务器上的记录进行变更时的一种用户权限的即时审查与用户行为的全方位记录，以便事后对数据变更过程的追溯，保证数据变更的合法性。

审计原理：跟踪用户对数据库的 *** 作。

（（1)审计用户 *** 作数据库的语句。

（2）把用户对数据库的更新写入审计表。

3数据约束数据约束是指对用户的 *** 作行为将导致业务数据与实际情况相悖的行为进行检查约束，而不让其发生，从而保证数据的完整性与一致性。

约束原理：对用户 *** 作与实际逻辑的约束检查。

（（1)实现数据完整性检查和约束。例如，回退任何企图买进超过自己资金的货物。

（2）提供可变的缺省值。

4数据连环更新数据连环更新是指当对数据进行更新 *** 作时，将所有与此数据相关联的数据作联合的更新 *** 作，以保证数据的完整性与一致性。

连环更新原理：对关联数据作联合更新 *** 作。

（（1)修改或删除时级联修改或删除其他表中与之匹配的行。

（2）修改或删除时把其他表中与之匹配的行设成NULL值。

（3）修改或删除时把其他表中与之匹配的行级联设成缺省值。

安华金和数据库审计产品是一款基于数据库通讯协议分析和SQL解析技术的系统，可以通过本地审计的方式防护，产品基于“探针”方式捕获数据库流量，可以进行数据库本地行为审计，包括数据库和应用系统同机审计和远程登录后的客户端行为，可以通过应用层访问，对敏感数据的访问量、访问源是谁，访问源是哪个应用、运维；还可以通过旁路镜像，这个是目前大家采用比较多的方式，在无须插件植入数据库的前提下，实现数据库通讯流量的全量解析和审计；还有就是为适应“虚拟化”及“一体机审计”需求，提供“插件式”探针部署能力，采集虚拟化网络的数据库流量，包括虚拟交换机VDS引流，了适用于复杂的数据库网络环境。市面上安华金和数据库审计做的确实不错，实用性更强⌄

以上就是关于数据库安全审计系统的介绍全部的内容，包括:数据库安全审计系统的介绍、数据库中触发器的作用是什么、数据库审计系统是如何保护数据库吗等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！