数据库审计风险监控

数据库审计系统的“风险监控能力”，是企业安全部门关注的重点，包括是否存在对数据资产的攻击、口令猜测、数据泄露、第三方违规操作、不明访问来源等安全风险。因此，系统需要支持更加、灵活的策略规则配置，准确的规则触发与及时告警的能力，从而在时间发现并解决风险问题，避免事件规模及危害的进一步扩大。此外，数据库审计系统应具备自动化、智能化的学习能力，通过对重要数据资产访问来源和访问行为等的“学习”，建立起访问来源和访问行为的基线，并以此作为进一步发现异常访问和异常行为的基础。

外置旁路模式的数据库审计系统

外置旁听模式的数据库审计系统是一个独立于生产数据库的系统，其工作原理是通过网络旁听模式并收集所有客户端发送到生产数据库中的网络包，然后在审计系统内部将这些网络包进行解包还原里面的操作命令（即SQL语句）。将SQL语句捕获下来后，存入到数据库审计系统中，然后再根据用户设置条件进行告警或生成报告。

数据库审计调整黑白名单

仅仅是设置审计告警策略还是不够的，因为在实际运维过程中，满足告警条件的审计记录是非常多的。对于一个普通的医院，每天对于关键表的查询操作可能有几千条之多。这些告警信息中绝大多数都是业务程序产生的。因此，审计系统都会提供黑白名单机制以进一步缩小告警范围。数据库管理员需要人工鉴别哪些告警信息是属于正常业务程序产生的，然后将其加入到白名单中。由于正常业务程序产生的数据库操作指令虽多，但是基本上都会是重复的SQL指令。