数据库审计的主要功能？

数据库审计作为目前用户接受度最高，使用最为广泛的数据安全产品，如果只是单纯的具有日志记录和审计功能已经不能完全满足用户的需求，其功能必须得到进一步的扩展：

一 加密协议解析

数据库有时会采用加密协议通讯，为审计解析带来了困难，但这也是数据库审计产品必须解决的问题，否则将无法实现数据库访问完全审计的任务。例如针对SQL Server默认的数据库用户加密或者更深层次的加密协议，都需要数据库审计产品提供相应的解决办法。

二 复杂环境的数据采集

数据库审计产品除了常规的旁路部署通过交换机镜像数据库访问流量的审计方法外，还应具备适用于复杂网络的数据采集方式，例如在复杂的虚拟化网络环境下，通过“探针”方式捕获数据库流量。但是无论哪种部署方式，都需要在不影响数据库原有性能，无需应用、网络环境改造的前提下，提供可靠的数据库审计服务。

三 应用关联审计与监控

数据库审计产品除了具备常规的客户端一层的审计信息：客户端IP、数据库用户、主机名、操作系统、用户名等，还应具备应用侧风险行为审计与监控的能力，例如对应用账户、应用IP等关联审计信息。

四 数据库入侵行为监测

数据库暴露于内外网络，且数据库各版本都有安全漏洞问题，因此数据库审计产品应提供针对数据库漏洞攻击的“检测”功能，并对这些漏洞攻击实时监控、有效记录，发现风险后及时告警，且能够有效追溯风险来源。

五 数据库异常行为监测

数据库审计产品的主体价值是帮助用户高效的完成风险行为的定责追溯，这需要数据库审计产品针对数据库通讯协议进行完全解析；并具备针对SQL语句的学习、归类形成模板的能力；最终结合会话信息、应用关联信息，实现数据库行为建模。基于访问模型，当数据库访问行为异常时，系统可提供实时的告警能力，降低数据泄露的损失。

六 数据库违规行为监测

数据库审计产品还应具备针对数据库的违规访问、登录等行为检测告警的能力。例如利用审计到的数据库账号和客户端IP信息，针对指定周期内，同一IP或账号的频次性失败登录行为进行监控并形成告警。

七 报表展现

数据库审计产品应具备将审计日志进行数据化分析并以个性化报表展示的能力，以便帮助安全管理人员更加便捷、深入的剖析数据库运行风险。例如：综合报表、合规性报表、专项报表、自定义报表等。

安华金和数据库审计产品不但完全具备以上7种能力，还具备更多的且具有用户价值的扩展功能，具体可以咨询他们~

网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后”安全保障措施，保存网络安全事件及行为信息，为网络安全事件分析提供线索及证据，以便于发现潜在的网络安全威胁行为，开展网络安全风险分析及管理。

常见的网络安全审计方式，采用日志记录服务器统一集中存储系统、设备产生的日志信息，本期就日志记录服务器中的syslog协议向各位小伙伴分享一篇文章。

参考依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》，网络安全审计日志需集中收集存储，即：应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求。

《中华人民共和国网络安全法》 第三章 第二十一条明确规定：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。

堡垒机，又称运维人员的安全审计系统，主要有以下功能：

1、访问控制

运维人员合法访问操作时，堡垒机可以很好的解决操作资源的问题。通过对访问资源的严格控制，堡垒机可以确保运维人员在其账号有效权限、期限内合法访问操作资源，降低操作风险，以实现安全监管目的，保障运维操作人员的安全、合法合规、可控制性。

2、账号管理

当运维人员在使用堡垒机时，无论是使用云主机还是局域网的主机，都可以同步导入堡垒机进行账号集中管理与密码的批量修改，并可一键批量设置SSH密匙。

3、资源授权

堡垒机可以支持云主机、局域网主机等多种形式的主机资源授权，并且堡垒机采用基于角色的访问控制模型，能够对用户、资源、功能作用进行细致化的授权管理，解决人员众多、权限交叉、资产繁琐、各类权限复制等众多运维人员遇到的运维难题。

4、指令审核

堡垒机具有安全审计功能，主要对审计运维人员的账号使用情况，包括登录、资源访问、资源使用等。针对敏感指令，堡垒机可以对非法操作进行阻断响应或触发审核的操作情况，审核未通过的敏感指令，堡垒机将进行拦截。

5、审计录像

堡垒机除了可以提供安全层面外，还可以利用堡垒机的事前权限授权、事中敏感指令拦截外，以及堡垒机事后运维审计的特性。运维人员在堡垒机中所进行的运维操作均会以日志的形式记录，管理者即通过日志对微云人员的操作进行安全审计录像。

6、身份认证

堡垒机可以为运维人员提供不同强度的认证方式，既可以保持原有的静态口令方式，还可以提供微信、短信等认证方式。堡垒机不仅可以实现用户认证的统一管理，还能为运维人员提供统一一致的认证门户，实现企业的信息资源访问的单点登录。

7、操作审计

堡垒机可以将运维人员所有操作日志集中管理与分析，不仅可以对用户行为进行监控与拦截，还可以通过集中的安全审计数据进行数据挖掘，以便于运维人员对安全事故的操作审计认定。

数据库审计的功能有很多以及为什么要审计功能，我说几点重要的：

1、合规性审计

数据库审计系统能否满足国家数据安全相关法律法规以及各行业监管的“合规性要求”，是各单位风控部门关注的重点。近几年，针对个人隐私和敏感数据保护的要求不断提高，包括金融、教育、医疗、政务等等以及互联网在内的各个行业纷纷加强了对个人信息保护的关注和投入力度，一系列面向个人信息保护的法律、规范和要求也相继推出。在此背景下，数据库审计系统需要根据“合规性要求”，形成具有针对性的监测与审计报告，帮助各单位全面了解合规风险与合规状况。

2、风险监控

数据库审计系统的“风险监控能力”，是各单位安全部门关注的重点，包括是否存在对数据资产的攻击、口令猜测、数据泄露、第三方违规操作、不明访问来源等安全风险。因此，系统需要支持更加全面、灵活的策略规则配置，准确的规则触发与及时告警的能力，从而在第一时间发现并解决风险问题，避免事件规模及危害的进一步扩大。此外，数据库审计系统应具备自动化、智能化的学习能力，通过对重要数据资产访问来源和访问行为等的“学习”，建立起访问来源和访问行为的基线，并以此作为进一步发现异常访问和异常行为的基础。

3、系统检测

数据库审计系统的“系统监测能力”，是企业运维部门关注的重点，包括数据资产是否存在异常访问、失败访问或异常操作，以及数据访问详情和系统性能等运维管理问题。因此，需要通过审计系统的监测告警能力，及时发现系统风险或异常运行状况，从而进一步规范运维过程、提升运维效率。

纯属个人意见，希望采纳~安华金和的数据库审计不错，推荐你咨询下他们。你可以采纳我的建议，不懂的可以继续追问哦

多层业务关联审计：

通过应用层访问和数据库操作请求进行多层业务关联审计，实现访问者信息的完全追溯，包括：操作发生的URL、客户端的IP、请求报文等信息，通过多层业务关联审计更精确地定位事件发生前后所有层面的访问及操作请求，使管理人员对用户的行为一目了然，真正做到数据库操作行为可监控,违规操作可追溯。

细粒度数据库审计：

通过对不同数据库的SQL语义分析，提取出SQL中相关的要素（用户、SQL操作、表、字段、视图、索引、过程、函数、包…） 实时监控来自各个层面的所有数据库活动，包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录服务器后的操作请求等 通过远程命令行执行的SQL命令也能够被审计与分析，并对违规的操作进行阻断 系统不仅对数据库操作请求进行实时审计，而且还可对数据库返回结果进行完整的还原和审计，同时可以根据返回结果设置审计规则。

精准化行为回溯：

一旦发生安全事件，提供基于数据库对象的完全自定义审计查询及审计数据展现，彻底摆脱数据库的黑盒状态。

全方位风险控制：

灵活的策略定制：根据登录用户、源IP地址、数据库对象（分为数据库用户、表、字段）、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件 多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警等方式通知数据库管理员。

职权分离：

《计算机信息系统安全等级保护数据库管理技术要求》、《企业内部控制规范》、SOX法案或PCI中明确提出对工作人员进行职责分离，系统设置了权限角色分离。

友好真实的操作过程回放：

对于客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏幕显示内容。 对于远程操作实现对精细内容的检索，如执行删除表、文件命令、数据搜索等。

安全管理与审计系统主要作用有：

1、制约作用。对单位、部门及个人的行为进行制约，保护国家和本部门、本单位的利益。

2、防护作用。通过对本部门、本单位的经济活动及财务收支情况进行事前、事中和事后审计，防止有关部门的合法权益受到侵害。

3、鉴证作用。4、参谋作用。

而且它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能，实现运维过程的“事前预防、事中控制、事后审计”，在简化运维操作的同时，全面解决各种复杂环境下的运维安全问题，提升企业IT 运维管理水平。

另外，2017年6月份颁布新法，原文摘录如下：“第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）不相关，此处略去；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月； （四）采取数据分类、重要数据备份和加密等措施；”

可以考虑专业的日志分析产品日志易，因为按照新法规的要求，传统的运维做法及日志分析方式很难满足合规要求。