云上数据安全，初识数据库审计

云环境是一个开放的、多租户的环境，企业在获得便利高效的同时，同样面临着本地数据安全面临的外部SQL注入攻击、拖库，内部安全隐患等风险，并且更加突出。而伴随着网络安全法的出台，及国家信息安全等级保护制度的全面实施，云上用户一方面需要对云平台进行安全防范，一方面考虑多租户之间的安全隔离，因此不得不面对如何保护云上数据安全的问题。

就像所有安防从安装监控开始，用户云上数据安全的认知最初也是从审计开始。根据今年出台的《网络安全法》第二十一条要求，“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；”采用数据库审计，从数据安全层面一方面符合法律法规要求，同时通过数据库审计日志分析，可以精准审计用户来源及行为，针对高危操作报警，降低数据泄密损失，解决保存证据方便后期追责等问题。

云上安全挑战

合规要求不可抵触

国家信息安全等级保护中要求云服务方和云租户应根据职责划分，收集各自控制的部分的审计的数据，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；因此，仅仅依赖云平台的安全措施，是不足以应对等保要求的。

数据泄密事件时有发生

云上一般都是很多用户共同使用一个共享存储区，如果其中有一个用户防护被攻破，很有可能造成整个存储区内的数据泄露，这对于云上用户而言是无法接受的。且考虑到使用云平台人员和环境的复杂性，需要对每个用户的行为进行监控，以发现各种可疑操作，及时进行告警通知；同时，对操作记录进行全面分析，监控自身审计进程，以防止恶意删除。

事后追责证据说话

以某P2P平台为例，在被洗钱的个人或者团伙等不法分子盯上前未做任何准备，直到警察找上门来，才意识到危险已经发生。该P2P平台积极配合警察调查取证工作，但调查开始后，才切身意识到由于平台安全防护方面的缺失，并无任何功能在担任操作行为记录这样的事。只能通过数据库本身的Log日志来取证，难度之大令该P2P平台张目结舌。费了九牛二虎之力，提交了一份信息不完整，毫无价值的证据。

解决方案

安华金和云数据库审计基于对数据库精确协议解析能力的掌握，将数据库监控与审计技术与公有云环境相结合，形成对云环境下核心数据的安全防护，以及对云端数据库提供安全诊断、安全维护、安全管理等价值。安华金和云数据库安全审计，对于云平台提供的数据库服务和用户云端自建数据库，均能满足，帮助用户满足合规性要求。

1. 帮助用户进行数据安全事件的分析、追查、定责

提供语句、会话、IP、数据库用户、业务用户、响应时间、影响行等多种维度的数据库操作记录和事后分析能力，成为安全事件后最为可靠的追查依据和来源。

通过SQL行为与业务用户的准确关联，使数据库访问行为有效定位到业务工作人员，可有效追责、定责。

2. 帮助用户监控诊断数据库运行性能

实时显示数据库的运行状况、数据库访问流量、并发吞吐量、SQL语句的响应速度；提供最慢语句、访问量最大语句的分析，帮助运维人员进行性能诊断。

3. 帮助用户发现程序后门，降低数据泄密的损失

系统提供SQL学习和SQL白名单能力，实现对业务系统的SQL建模；通过合法系统行为的建模，使隐藏在软件系统中的后门程序在启动时，提供实时的告警能力，降低数据泄漏损失。

4. 帮助用户提供数据库实时风险告警能力，及时响应数据库攻击

系统提供数据库风险告警能力，对于SQL注入、数据库漏洞攻击、过量数据下载、危险SQL语句（如No where delete)等风险行为的策略制定能力，提供实时告警能力。

方案价值

独立于云平台的第三方身份，全面进行数据库审计

安华金和站独立于各大云平台的第三方视角，关注数据安全，作为独立的专业云数据安全服务商，给用户提供最好的数据安全服务体验。

实现100%准确应用用户关联审计

安华金和云数据库审计通过在WEB服务器上部署JDBC TAP插件的方式实现，连接时自动采集WEB客户端的信息，不会对数据库有任何影响、不影响应用业务逻辑、能够100%的匹配准确，并且能够满足任何并发压力。提升云端数据库安全防御效果。同时为用户解决了自身数据库运维人员或安全管理人员分析能力不足的短板。

维护和提升企业形象和公信力

云端部署实施数据库审计，除了满足等保合规要求，也能确保有效取证，时候追溯，提高企业安全决断公信力，进而提升企业专业形象，避免名誉经济损失；

关于云上安全的话题，安华云安全将于17年12月12日在北京3W咖啡举办线下沙龙活动欢迎各位报名参加：

了解详情：http://www.dbscloud.cn/cloudsecurity.html