数据库审计调整黑白名单

仅仅是设置审计告警策略还是不够的，因为在实际运维过程中，满足告警条件的审计记录是非常多的。对于一个普通的医院，每天对于关键表的查询操作可能有几千条之多。这些告警信息中绝大多数都是业务程序产生的。因此，审计系统都会提供黑白名单机制以进一步缩小告警范围。数据库管理员需要人工鉴别哪些告警信息是属于正常业务程序产生的，然后将其加入到白名单中。由于正常业务程序产生的数据库操作指令虽多，但是基本上都会是重复的SQL指令。

数据库审计SQL操作定义

假设用户设置规则为对B表进行查询的SQL操作定义为风险操作，代系统的正则表达式配置规则思路是：语句中包含select、b关键字；第二代系统基于数据库协议语法、语义的解析技术思路是：语句操作终执行意思是查询（select），且作用表对象为b表，此时，数据库接收到一条访问请求：DELETE FROM a WHERE a.rowid > (SELECT MIN(b.rowid) FROM b WHERE a.sno=b.sno)。

数据库审计数审系统逐渐成熟

数审系统逐渐成熟，越来越多的用户开始使用数审产品，特别是在等级保护的助推下，数审产品掀起了一股小热潮。这一阶段的用户只是愿意买、敢于买，并未有人太去关注真正的使用效果如何，以及出了安全事件能不能快速溯源、能不能快速完成突发事件的排查等。因为场景并未出现，金融、电信等业务量较大的企业用户仍未登场。