在大眾眼里，數(shù)據(jù)庫審計(jì)（簡稱“數(shù)審”）系統(tǒng)是數(shù)據(jù)安全領(lǐng)域的入門級產(chǎn)品，不過，歷經(jīng)近20年的發(fā)展，數(shù)據(jù)庫審計(jì)技術(shù)路線和產(chǎn)品定位不斷革新和演變，如今，已經(jīng)從入門產(chǎn)品，發(fā)展為進(jìn)階產(chǎn)品，甚至在未來有可能成為終極產(chǎn)品之一。

　　原因有以下幾點(diǎn)：

　　首先，無論是國家級的法律或標(biāo)準(zhǔn)，還是等保以及行業(yè)級的安全標(biāo)準(zhǔn)都對使用數(shù)據(jù)庫審計(jì)有明確要求，是所有網(wǎng)絡(luò)運(yùn)營者必須建設(shè)的基礎(chǔ)能力之一。

　　其次，數(shù)據(jù)庫作為數(shù)據(jù)資產(chǎn)的存儲載體，其重要性無需贅述。如此重要的對象，必須要掌握誰在用、怎么用、何時(shí)用、何地用、用了哪些基礎(chǔ)信息。這些基礎(chǔ)信息幾乎是我們判斷是否出現(xiàn)泄密事件、是否需要調(diào)整安全策略、是否需要追責(zé)定責(zé)的唯一支撐。數(shù)審系統(tǒng)發(fā)揮的作用就是回答以上這些追問?？梢哉f，如果沒有數(shù)據(jù)庫審計(jì)，數(shù)據(jù)安全的管理和建設(shè)將舉步維艱、寸步難行。

　　再次，核心數(shù)據(jù)資產(chǎn)所在的數(shù)據(jù)庫，必定是惡意人員最頻繁入侵的領(lǐng)地，它面臨多重威脅，既有外部入侵威脅，又不得不防范層出不窮的內(nèi)部惡意行為。身為管理者，一定希望在數(shù)據(jù)庫受到威脅時(shí)能夠第一時(shí)間獲取風(fēng)險(xiǎn)信息。如何實(shí)現(xiàn)？靠人工24小時(shí)監(jiān)控?cái)?shù)據(jù)庫的一切訪問行為幾乎難以實(shí)現(xiàn)，因此，借助工具的力量，引入數(shù)審產(chǎn)品才是成熟的做法。

　　數(shù)據(jù)庫審計(jì)不僅具備識別風(fēng)險(xiǎn)的能力，而且還可以發(fā)出告警，方便管理者和運(yùn)維工程師及時(shí)處理風(fēng)險(xiǎn)。建立數(shù)審體系，無論是外部還是內(nèi)部，只要出現(xiàn)了針對數(shù)據(jù)庫的惡意操作，數(shù)據(jù)庫審計(jì)就能夠第一時(shí)間識別并發(fā)出告警，讓管理者第一時(shí)間進(jìn)行處理，能夠有效降低甚至避免損失。所以，數(shù)據(jù)庫審計(jì)對于數(shù)據(jù)安全防護(hù)來說是必要一環(huán)。

　　最后，對于已知風(fēng)險(xiǎn)可以通過內(nèi)置規(guī)則和模型，第一時(shí)間進(jìn)行告警通知，但對于特別復(fù)雜的風(fēng)險(xiǎn)模型或新型安全攻擊方法造成的安全事件，風(fēng)險(xiǎn)預(yù)警未必來得及或未必能全部處理。這時(shí)候，就需要對安全事件進(jìn)行倒追溯源。溯源的前提一定是建立在完整的數(shù)據(jù)庫訪問日志的基礎(chǔ)上，全量的、訪問要素齊全的、準(zhǔn)確地記錄所有SQL日志，讓數(shù)審系統(tǒng)成為數(shù)據(jù)庫溯源小能手。

　　當(dāng)然，幾乎所有優(yōu)秀產(chǎn)品的發(fā)展都是由用戶需求驅(qū)動和技術(shù)環(huán)境支撐的，數(shù)審產(chǎn)品也不例外。從最初解決有無逐步發(fā)展到智能分析，數(shù)審產(chǎn)品歷經(jīng)至少四代演進(jìn)，可以說每一代產(chǎn)品的發(fā)展史就是用戶的需求進(jìn)化史。

　　第一代：解決有無

　　時(shí)間：2003年前后

　　用戶需求：能夠?qū)ｉT審計(jì)數(shù)據(jù)庫活動

　　此前的3-5年，網(wǎng)絡(luò)安全在國內(nèi)迅速發(fā)展。除了網(wǎng)絡(luò)防火墻、IPS等邊界防護(hù)產(chǎn)品，在旁路技術(shù)領(lǐng)域，網(wǎng)絡(luò)審計(jì)系統(tǒng)已經(jīng)嶄露頭腳。用戶此階段的關(guān)注點(diǎn)在于：數(shù)據(jù)庫端能不能有一類專門的旁路產(chǎn)品，能做到在全量訪問行為記錄的同時(shí)，還能風(fēng)險(xiǎn)告警。

　　眾所周知，在Oracle、MySQL、SQLServer等大型數(shù)據(jù)庫產(chǎn)品中，均自帶了審計(jì)服務(wù)模塊，具備完整準(zhǔn)確記錄SQL日志的能力。然而，數(shù)據(jù)庫自身的審計(jì)受限于自身的管理體系，DBA用戶可根據(jù)需要隨時(shí)停掉審計(jì)服務(wù)，干壞事時(shí)甚至可以不審計(jì)，或人工刪除日志消除痕跡，不符合安全審計(jì)的第三方獨(dú)立性原則；加之自身與數(shù)據(jù)庫服務(wù)器本地部署，往往消耗30%以上性能，因此也需要引入第三方審計(jì)產(chǎn)品。

　　在此背景下，2003年左右，國內(nèi)第一代數(shù)審產(chǎn)品誕生，主要功能設(shè)計(jì)為針對數(shù)據(jù)庫活動行為的監(jiān)控，變黑盒為白盒，變未知為已知，解決用戶的數(shù)據(jù)庫安全管理焦慮。實(shí)際上，這一代的數(shù)審產(chǎn)品是由網(wǎng)絡(luò)審計(jì)簡單變形而來，針對數(shù)據(jù)庫的流量包進(jìn)行基于正則表達(dá)式匹配的審計(jì)技術(shù)，解決的是有無問題，但無法對數(shù)據(jù)庫操作全量，進(jìn)行精準(zhǔn)審計(jì)，特別是復(fù)雜語句超長語句等等，更別談執(zhí)行的結(jié)果類要素信息。

　　對于數(shù)據(jù)庫審計(jì)來說，正則表達(dá)式是一種簡易的通用字符串匹配方法，通常用于簡單場景下對指定字符的匹配。一旦面對超長、多層嵌套、多表關(guān)聯(lián)等復(fù)雜的SQL語句，使用正則表達(dá)式很容易造成誤識別或漏識別，更無法有效區(qū)別數(shù)據(jù)庫品牌不同導(dǎo)致的差異。

　　第一代數(shù)審產(chǎn)品給人的總體印象： 具備基本SQL語句的記錄能力，復(fù)雜類的操作往往審不到。無法做到精準(zhǔn)告警，無效告警、誤報(bào)頻頻發(fā)生。

　　第一代數(shù)審總體生存狀況：合規(guī)性用戶勉強(qiáng)使用，需求性用戶輕易還不用。

　　第一代數(shù)審總體評分：●●○○○

　　第一代數(shù)審廠商數(shù)量：3家左右。

　　正是這樣的局限性，推動了數(shù)審產(chǎn)品的繼續(xù)進(jìn)化。

　　第二代：準(zhǔn)確性需求

　　時(shí)間：2009年前后

　　用戶需求：能否審計(jì)得更準(zhǔn)一點(diǎn)、不添亂

　　第一代數(shù)審產(chǎn)品推向市場并接受檢驗(yàn)，各種性能問題逐漸暴露，產(chǎn)品服務(wù)提供商修修補(bǔ)補(bǔ)進(jìn)行完善，使得產(chǎn)品日漸成熟穩(wěn)定。但產(chǎn)品穩(wěn)定了，用戶群同時(shí)也不斷擴(kuò)大，審計(jì)日志不準(zhǔn)確的問題也逐漸顯露出來，漏審、誤審、漏報(bào)、誤報(bào)現(xiàn)象成了家長便飯，導(dǎo)致用戶基于審計(jì)日志所作的判斷，常常是錯(cuò)的，從而誤導(dǎo)了對安全事件的追蹤、溯源和響應(yīng)。

　　隨著用戶的不斷反饋，產(chǎn)品廠商逐漸意識到第一代數(shù)審產(chǎn)品存在的原理缺陷，僅靠修修補(bǔ)補(bǔ)無法從根本上解決問題，產(chǎn)品的設(shè)計(jì)必須推翻重建。2009年前后，廠商推出第二代數(shù)審系統(tǒng)，摒棄第一代架構(gòu)重新設(shè)計(jì)，采用了基于數(shù)據(jù)庫協(xié)議的語法、語義的解析技術(shù)。此種解析技術(shù)采用準(zhǔn)確“翻譯”的方式，不受限于SQL語句的長度或復(fù)雜度等因素，能夠精確定義每一條SQL語句，準(zhǔn)確理解其真正的含義，從而實(shí)現(xiàn)精準(zhǔn)審計(jì)和告警。

　　讓我們舉例對比兩代數(shù)審系統(tǒng)的差距：

　　假設(shè)用戶設(shè)置規(guī)則為對B表進(jìn)行查詢的SQL操作定義為風(fēng)險(xiǎn)操作，第一代系統(tǒng)的正則表達(dá)式配置規(guī)則思路是：語句中包含select、b關(guān)鍵字；第二代系統(tǒng)基于數(shù)據(jù)庫協(xié)議語法、語義的解析技術(shù)思路是：語句操作最終執(zhí)行意思是查詢（select），且作用表對象為b表，此時(shí)，數(shù)據(jù)庫接收到一條訪問請求：DELETE FROM a WHERE a.rowid > （SELECT MIN（b.rowid） FROM b WHERE a.sno=b.sno）。

　　若通過正則表達(dá)式匹配SQL后，發(fā)現(xiàn)該語句中包括select和b關(guān)鍵字，誤判其為風(fēng)險(xiǎn)操作——進(jìn)行告警；若通過語法、語義解析后，理解該語句為一個(gè)刪除操作（delete），刪除數(shù)據(jù)的條件是rowid大于某個(gè)值，而該值是通過嵌套的sql查詢語句獲得，因而準(zhǔn)確判定其為非風(fēng)險(xiǎn)操作——不予告警。

　　從上述例子可以直觀的看出兩代審計(jì)產(chǎn)品的差距，第二代數(shù)據(jù)庫審計(jì)技術(shù)幫助用戶真正掌握了完整且準(zhǔn)確的數(shù)據(jù)庫活動。為數(shù)據(jù)庫層出現(xiàn)的違規(guī)、惡意事件提供準(zhǔn)確判斷、溯源和定責(zé)的證據(jù)支撐，避免了誤判。

　　隨著第二代數(shù)審系統(tǒng)逐漸成熟，越來越多的用戶開始使用數(shù)審產(chǎn)品，特別是在等級保護(hù)的助推下，數(shù)審產(chǎn)品掀起了一股小熱潮。這一階段的用戶只是愿意買、敢于買，并未有人太去關(guān)注真正的使用效果如何，以及出了安全事件能不能快速溯源、能不能快速完成突發(fā)事件的排查等。因?yàn)楦叨藞鼍安⑽闯霈F(xiàn)，金融、電信等業(yè)務(wù)量較大的企業(yè)用戶仍未登場。

　　第二代審計(jì)產(chǎn)品給人的總體印象： 復(fù)雜類的操作能解析記錄，準(zhǔn)確度大幅提升。但往往是偏向政府類或中小企業(yè)客戶，這些客戶的等級保護(hù)政策要求較高，性能要求往往不太高。

　　第二代數(shù)審總體生存狀況：合規(guī)性用戶大幅增加，需求性用戶基本愿意購買，但高端用戶暫時(shí)無人問津。

　　第二代數(shù)審總體評分：●●●○○

　　第二代數(shù)審廠商數(shù)量：10家左右。

　　第三代：高質(zhì)量要求開始登場

　　時(shí)間：2014年前后

　　用戶需求：能否審計(jì)得更多、更久一點(diǎn)

　　隨著用戶數(shù)據(jù)庫訪問規(guī)模的逐步增加，需要審計(jì)系統(tǒng)單位時(shí)間內(nèi)執(zhí)行的入庫量迅速增多，存儲日志量也相應(yīng)增加，此時(shí)，數(shù)據(jù)庫審計(jì)記錄的日志可以用“海量”日志來形容，在海量日志中高效檢索就成為極大挑戰(zhàn)。此時(shí)，第二代數(shù)審系統(tǒng)開始出現(xiàn)性能瓶頸問題，已經(jīng)完全無法支撐對大型和超大型業(yè)務(wù)系統(tǒng)的審計(jì)需求，尤其是高端行業(yè)的審計(jì)需求。

　　隨著國家和政府對網(wǎng)絡(luò)安全的重視，特別要求金融等關(guān)鍵基礎(chǔ)信息行業(yè)在安全領(lǐng)域鼓勵使用國產(chǎn)自主產(chǎn)品，給予國產(chǎn)安全軟件以最大的門檻開放度。至此，國產(chǎn)數(shù)審產(chǎn)品拉開了性能上追逐國際大牌的序幕。在突破高性能階段，擺在國內(nèi)廠商面前的實(shí)際挑戰(zhàn)相當(dāng)大。高性能意味著高入庫性能、高查詢性能、高存儲效能。

　　直到2017年，才有若干優(yōu)秀廠商，憑借全文檢索、列存儲數(shù)據(jù)庫、多進(jìn)程并發(fā)等技術(shù)，完成了高性能產(chǎn)品的突破，真正開始在大銀行、大保險(xiǎn)公司的重要業(yè)務(wù)系統(tǒng)上應(yīng)用。

　　第三代審計(jì)產(chǎn)品給人的總體印象： 性能大幅提升，已經(jīng)可以滿足很多政企、教育、醫(yī)療等行業(yè)用戶的海量日志檢索性能需求。不過，在更高端的場景下，滿足需求的優(yōu)質(zhì)產(chǎn)品仍然鳳毛麟角、寥寥無幾。

　　第三代數(shù)審總體生存狀況：合規(guī)性用戶暴增，需求性用戶也大幅增加，有的廠商甚至靠一款優(yōu)秀的數(shù)審產(chǎn)品就能解決生存問題。

　　第三代數(shù)審總體評分：●●●●○

　　第三代數(shù)審廠商數(shù)量：30家左右。

　　第四代：智能化需求

　　時(shí)間：2017年前后

　　用戶需求：能否有“今日頭條”款的智能數(shù)審產(chǎn)品

　　如果從單純做“審計(jì)”來說，第三代數(shù)審系統(tǒng)已經(jīng)基本夠用，但是，隨著數(shù)據(jù)庫審計(jì)逐漸成為保障數(shù)據(jù)安全的“剛需”，其扮演的角色越來越重要，加之?dāng)?shù)據(jù)資產(chǎn)暴增和數(shù)據(jù)安全事件呈幾何級增長，用戶必然對其提出更高要求。

　　用戶需求這幾年間進(jìn)一步升級：管理的數(shù)據(jù)庫品牌類型能否越來越多；能否自動識別數(shù)據(jù)庫類型，而非人工指定數(shù)據(jù)庫IP和類型，因?yàn)橛械挠脩魟虞m幾百個(gè)庫，上千個(gè)庫，實(shí)在連自己都不清楚臺賬；數(shù)據(jù)庫的策略能否給出智能的配置建議，而非全開全關(guān)，難以掌握；能否做到精準(zhǔn)指導(dǎo)，因?yàn)橛脩粲泻芏鄶?shù)據(jù)庫，買了很多數(shù)據(jù)庫審計(jì)設(shè)備，但審計(jì)的核心目標(biāo)畢竟是敏感數(shù)據(jù)的行為，所以希望能夠做到不浪費(fèi)資源，實(shí)現(xiàn)精準(zhǔn)指導(dǎo)。

　　此時(shí)，第三代數(shù)審產(chǎn)品的不足表現(xiàn)為：第一，對數(shù)據(jù)庫類型的支持非常被動，往往被用戶牽著走；第二，欠缺自動化識別數(shù)據(jù)庫類型的能力，眾多數(shù)據(jù)庫需要一一指定IP和數(shù)據(jù)庫類型，非但不準(zhǔn)確還易手工出錯(cuò)、不是累死客戶就是累死廠商自己；第三，缺少通過基線學(xué)習(xí)智能地給用戶推送策略的能力；第四，沒有真正與敏感數(shù)據(jù)的定位相結(jié)合。

　　2017年，第四代數(shù)審系統(tǒng)逐漸開始研發(fā)，主攻“智能發(fā)現(xiàn)”、“主動推送”等智能技術(shù)方向。第四代數(shù)審產(chǎn)品通過機(jī)器自學(xué)，聚類訪問來源、操作行為特征、資產(chǎn)信息，全面掌握每個(gè)數(shù)據(jù)庫被訪問的基礎(chǔ)情況，有效建立基線，形成高密度可信邊界。當(dāng)訪問來源發(fā)生變化或訪問來源的操作行為發(fā)生變化時(shí)，自動伸縮基線，同時(shí)輔以通用型的輕量級策略，輕松建立防護(hù)圈。人工參與極大降低，安全策略可落地。

　　核心功能如下：

　　資產(chǎn)梳理：深入梳理網(wǎng)絡(luò)中的數(shù)據(jù)資產(chǎn)，形成數(shù)據(jù)臺賬；

　　分級打標(biāo)：導(dǎo)入分級策略，對梳理出的數(shù)據(jù)進(jìn)行分級打標(biāo)；

　　主動推送：通過對數(shù)據(jù)位置、數(shù)據(jù)級別及數(shù)據(jù)流動等信息的掌握，自動分析風(fēng)險(xiǎn)并主動推送防護(hù)策略建議，降低使用難度，提高安全效果；

　　智能發(fā)現(xiàn)：持續(xù)監(jiān)視數(shù)據(jù)庫結(jié)構(gòu)變化，與安全防護(hù)策略形成聯(lián)動調(diào)整，一旦防護(hù)目標(biāo)出現(xiàn)結(jié)構(gòu)變化，防護(hù)策略會跟隨變化，確保防護(hù)的針對性及防護(hù)效果始終處于正確基線。

　　第四代審計(jì)產(chǎn)品給人的總體印象： 聰明、智能，由原來的體力活，變成真正高科技。

　　第四代數(shù)審總體生存狀況：生存體面，需求性用戶面前贏得尊重，且量大價(jià)高。

　　第四代數(shù)審總體評分：●●●●？

　　第四代數(shù)審廠商數(shù)量：10家左右。

　　未來的路

　　數(shù)據(jù)庫審計(jì)或?qū)⒊蔀閿?shù)據(jù)安全的神經(jīng)網(wǎng)絡(luò)觸點(diǎn)

　　技術(shù)的發(fā)展是無止境的，對安全的需求也沒有盡頭。只要威脅在演變，技術(shù)在革新，防御手段就需要不斷進(jìn)化以至平衡。近年來，越來越多的用戶已經(jīng)不僅僅滿足于對執(zhí)行操作的精準(zhǔn)審計(jì)，還要對結(jié)果集數(shù)據(jù)進(jìn)行保存用于日后取證追溯等。

　　也許不久之后，第四代數(shù)審產(chǎn)品，除了自身要具備高智能、高性能的氣質(zhì)之外，還可能成為數(shù)據(jù)安全集中管控和安全大數(shù)據(jù)分析的神經(jīng)網(wǎng)絡(luò)觸點(diǎn)，所有安全防護(hù)核心能力交由平臺型產(chǎn)品進(jìn)行統(tǒng)一調(diào)度、防御和分析，而數(shù)據(jù)庫審計(jì)作為數(shù)據(jù)和行為的采集端，形成“樹”和“根”的強(qiáng)關(guān)聯(lián)結(jié)構(gòu)。

　　此時(shí)審計(jì)將不再是獨(dú)立系統(tǒng)，不再獨(dú)立工作，而是為平臺提供數(shù)據(jù)的輸入。這樣更能與KAFkA、FLUME、ELK等先進(jìn)的大數(shù)據(jù)分析和流式處理等分析技術(shù)結(jié)合，真正解決超大數(shù)據(jù)規(guī)模日志的利用問題，這可能也是未來數(shù)據(jù)安全的發(fā)展方向之一，我們拭目以待。