为什么需要数据库安全审计系统

一、法律法规要求：

在CC标准（信息技术通用评估准则，Common Criteria for Information Technology Security Evaluation）中，安全审计是安全功能要求中最重要的组成部分，同时也是信息系统安全体系中必备的一个措施，它是评判一个系统是否真正安全的重要尺码。

国家对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统实施信息系统安全等级保护制度，对于等级为2级（保护指导级）及其以上的信息系统的网络系统、主机系统和数据库系统都必须具有安全审计。

国家颁布的分级保护技术要求中也规定，在3级及以上涉密信息系统中，专门包括了关于数据库安全审计的条文。

二、数据库自身日志审计的缺陷

严重影响数据库服务器的性能：在数据库系统中，当启用其自带的日志审计模块时，会占用大量的系统CPU、内存资源和硬盘资源，进而严重影响数据库访问的性能，严重时甚至会影响用户对业务系统的正常访问，大大降低系统的效率。

 审计日志信息不全：自带的审计工具提供的日志审计信息缺乏网络层的信息（如IP、MAC地址等），也没有具体的数据库操作命令，并且难以区分真正的用户（大多数系统中，不同用户采用的是同一个数据库用户名），因此无法分析安全事件发生的真正原因，无法追溯到真正的操作发起源，在安全事件事后的取证分析中发挥的作用很有限，也无法评估造成的影响和后果。

日志信息不安全：自带的日志审计信息存储在一个特定文件或是一个表中且为明文存储，恶意攻击者或是具有权限的合法用户都可以随意修改和删除这些日志文件，从而将记录毁灭。

查询、分析不方便：由于自带的日志审计功能仅仅是简单的日志记录，在真正的安全事件发生时，查询和分析将极为困难，很难帮助管理者及时发现问题，快速定位问题；另外，它也不提供监测报警功能，不能在第一时间将异常信息报告给数据库管理者。其实际作用有限。

三、传统安全设备的不足

传统的安全设备，如：防火墙、IPS等都是针对于边界或者外部的防护，防护的方向

一般只对外而不对内。可实际情况是：从世界各地报道发生的安全事故中，外泄的事件只占不到30％，大量重要信息的泄露是由内部人员造成的，这基本上是传统安全设备的盲点。

四、实际工作的需要

如果信息系统在日常运行过程中无审计机制，对于单位的管理层来讲无法对建立和维护内部控制系统及相应控制程序做出充分有效的评价；更为严重的是，一旦发生安全事故，将导致安全事件难于追溯、安全事件难于定位、无法追溯事故责任人等问题。对单位造成的损失将难以挽回。