在《数据安全法》草案审议通过后,数据库安全已提升到国防安全的重要层面,成为像水电
一样的重要生产要素。保证数据的安全开发与利用,是各级生产、监管单位的重要职责。数据
库安全能力建设也重点围绕数据资料这一关键要素的产品生命周期展开,由此造成的UDMM框
架逐渐成为主流的建设规范。由于数据库是数据资料的核心载体,其安全防护工作至关重要,
而数据库审计工作是数据库安全防护工作的重要组成部分。本论文试图从“以数据资料为中心”
的角度对数据库审计技术发展方向进行重新梳理。
第二,数据库审核的重要性。
在YortsSia咨询管理公司今年公布的网络安全产品超产品生命周期图里,数据库审计与数据库
加密等产品划线进入成熟产品。作为一个指向性很强,基本不容易偏袒的网络安全产品,它的
开发环节经历了数据库运维审计、数据库数据流量审计、数据库业务审计和数据库防护等阶段
。它在数据库安全防护中扮演着核心角色,也是构建保守性架构的“基础款”。资料库审核已发
展成熟,已成为完整且基本满足客户需求的单品,正如汤姆生在20世纪初所说,实体大厦已建
成,天空一片明媚,只有那两朵乌云遮蔽。2年来,在数据库安全发展的新形势下,这两朵乌
云逐渐扩大、蔓延,我们从业人员对它已持高度重视的态度。
加密等产品划线进入成熟产品。作为一个指向性很强,基本不容易偏袒的网络安全产品,它的
开发环节经历了数据库运维审计、数据库数据流量审计、数据库业务审计和数据库防护等阶段
。它在数据库安全防护中扮演着核心角色,也是构建保守性架构的“基础款”。资料库审核已发
展成熟,已成为完整且基本满足客户需求的单品,正如汤姆生在20世纪初所说,实体大厦已建
成,天空一片明媚,只有那两朵乌云遮蔽。2年来,在数据库安全发展的新形势下,这两朵乌
云逐渐扩大、蔓延,我们从业人员对它已持高度重视的态度。
重在个人行为,重在数据资料的审计思想。
基本数据库审计重视上行下行数据流量审计,关注客户的个人行为和个人行为方式。这不仅仅
是一个安全企业的实现思路问题,在相关安全审计国标要求中也是对运营个人行为审计的大量
描述。可理解的是,在传统网络安全中,重视操作的合规性,而这种侧重与以数据资料为中心
的核心理念背道而驰。本文以盗窃案为例,立案登记主要记录盗窃案是否立案、使用何种工具
、何时何地盗窃案等个人行为,然后重点记录盗窃案盗窃量。在数据库安全理念的基础上,备
案应优先关注家中物品是否丢失,包括被盗、被窃、被窃、被毁等导致个人财产损失的资产信
息。这一观点的不同将导致案情定义的不一致。对数据库操作来说也是如此,数据库审计能够
很容易地判断sql语句是否有害,但是对于同样的操作语句,如“select*fromAA,它缺乏判断
基础,而且它本身在个人行为上对数据库没有危害,但是如果AA是一个存储用户帐号的表,
那么执行该语句可能会导致敏感数据泄漏事故。因此必须依靠查询的表对象和字段表来判断,
而这种偏重业务的信息靠人工梳理,效率很低,也很难实现。由于采用了轻数据资料的设计
思想,很难发挥数据库审计的最佳效果。
是一个安全企业的实现思路问题,在相关安全审计国标要求中也是对运营个人行为审计的大量
描述。可理解的是,在传统网络安全中,重视操作的合规性,而这种侧重与以数据资料为中心
的核心理念背道而驰。本文以盗窃案为例,立案登记主要记录盗窃案是否立案、使用何种工具
、何时何地盗窃案等个人行为,然后重点记录盗窃案盗窃量。在数据库安全理念的基础上,备
案应优先关注家中物品是否丢失,包括被盗、被窃、被窃、被毁等导致个人财产损失的资产信
息。这一观点的不同将导致案情定义的不一致。对数据库操作来说也是如此,数据库审计能够
很容易地判断sql语句是否有害,但是对于同样的操作语句,如“select*fromAA,它缺乏判断
基础,而且它本身在个人行为上对数据库没有危害,但是如果AA是一个存储用户帐号的表,
那么执行该语句可能会导致敏感数据泄漏事故。因此必须依靠查询的表对象和字段表来判断,
而这种偏重业务的信息靠人工梳理,效率很低,也很难实现。由于采用了轻数据资料的设计
思想,很难发挥数据库审计的最佳效果。
