自2010年以来，国内领先的IT专业网站IT168联合旗下ITPUB、ChinaUnix技术社区已经连续举办了三届数据库技术大会，每届大会超过千人规模，云集了国内技术水平最高的数据架构师、DBA、数据库开发工程师、研发总监、IT经理等，是目前国内最受欢迎的数据库技术盛会。

　　在DTCC2013大会数据管理专场，捷骅技术支持中心总经理袁志永为我们带来《基于网络监听的数据库安全审计技术》演讲。

　　近年期，各种数据安全事件层出不穷，一旦发生数据泄露或者篡改，其影响和损失必将是十分巨大的，同时监管部门的处罚也会非常严厉，如何防止数据泄露和篡改已经成为了各大亟需应对的关键问题之一。

　　据来自Forrester的调查显示的有关数据库安全的数据：CISSPs (Certified Information Systems Security professionals)： 数据库安全在所有安全问题里居于第一位。所有发放信用卡的银行，必须遵守PCI-DSS (Payment Card Industry Data Security Standard) 。/IDS等对数据安全的保护有效率不到10%，90%以上的安全威胁需要数据库本身以及专业产品的防护。数据库安全威胁80%来自于内部用户的误操作和恶意操作。

　　袁志永介绍到，实现对数据库的安全审计和风险控制要做好如下的几件事情：数据库访问审计，远程连接审计，违规操作告警和响应，日志查询、统计分析，隐私数据掩码保护，高危操作审批执行，二层用户客户端连接认证，本地主机操作审计。

　　嗅探(sniffer)模式，是一种旁路模式，一般利用的端口镜像方式，或者使用TAP设备实现，将数据库的进出流量复制到审计设备的数据采集中。

　　混合模式是嗅探模式和模式的综合运用，模式，是在审计系统上配置一个代理网关，对数据库的访问强制通过网关，一般用于二层用户访问审计和控制。

　　在嗅探模式下，通过协议解析线程，对捕获包数据进行解析还原，能够准确定位到连接的来源、用户信息、时间、操作的类型、操作语句、返回结果，以及响应时间和返回行数等信息。

　　3 Tier WAS end user：对于通过应用系统进行的数据访问，在通常的审计记录中，像IP地址，会被显示为应用的IP地址。如果我们需要获取终端用户信息，例如终端IP，用户名等，通常的实现方式有两种：

　　对于极特殊的情况下，用户直接在数据库服务器主机上进行的操作，通过在数据库服务器上安装一个本地操作日志记录的代理插件，记录用户的行为。