各政企單位隨著安全防禦建設由防外為主逐漸轉向以防內為主，內外兼顧，對於安全審計的需求會越來越多。再有隨著國家、社會對資訊保護的愈加重視，各行業對審計要求愈加嚴格，可以看出未來幾年對資料庫審計產品的需求會越來越多。那麼政企單位如何選擇一款好的資料庫審計產品呢？

資料庫審計產品部署圖

首先，我們要看清未來資料庫審計在技術層面的發展趨勢，選擇一款具有領先技術理念的產品。

（1）由於大企業、金融和電信客戶需求走強，審計的範圍和規模越來越大，對審計產品的處理效能提出了更好的要求。因此，未來高效能審計技術是發展的必然，例如高效能的日誌採集技術、海量日誌儲存技術、藉助硬體加速的高效能網路協議分析功能。

（2）未來的審計產品會有兩種發展發向，單一審計產品會更加精細化，並滿足特定行業使用者的特定需求；綜合審計產品將能夠同時審計多種物件、多種協議。

（3）從審計的實效性上，當前的安全審計產品偏重於事中、事後審計，未來將會出現針對事前的產品，例如配置基線稽核、系統策略稽核等。

（4）安全審計與一體化安全集中管理產品的融合。對於較大規模的客戶而言，未來大型客戶的安全審計系統將逐步與企業的一體化安全集中管理系統融合，成為管理系統的一個組成部門。

選擇未來的資料庫審計產品，安華金和資料安全專家建議優選資料庫訪問協議解析準、大規模日誌採集和海量儲存技術強、有行業使用者特定功能、有大資料傳輸支援的kafka功能，同時具備資料安全管控運營平臺進行多臺資料庫審計產品配置和管理的廠商。

再有，選擇什麼樣的資料庫審計，要透過產品功能看合規本質，資料庫審計產品在國內標準合規性方面是很關鍵的能力，2019年12月1日等保2。0正式實施，GB/T 22239-2019 《資訊保安技術 網路安全等級保護基本要求》中對資料庫安全審計做出的要求是政客戶選擇的關鍵視角。

（1）審計範圍應覆蓋到伺服器的每個資料庫使用者；

（2）審計內容應包括重要使用者行為、系統資源的異常使用和重要系統命令的使用等系統內重要安全相關事件；

（3）審計記錄應包括事件的日期、時間、型別、主體標識（賬號）、客體標識（資料庫表級、資料庫欄位級）和結果等；

（4）應能夠根據記錄資料進行分析，並生成審計報表；

（5）應保護審計程序，避免未受到未預期的中斷；

（6）應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等；

選擇合規的資料庫審計產品，安華金和資料安全專家建議優選在合規性遵從方面產品細節做得更好的廠商，比如：應對第（5）條，產品裡實現了一個功能，當資料庫審計產品出現斷網的時候，立即發出告警記錄，這樣事後可以查到何時出現了斷網以便進行追責定責。應對第（6）條，資料庫審計產品可以設計更好的儲存管理方式，線上記錄庫儲存近期審計下來的資料庫操作語句，超過一段時間的語句儲存到歷史分析庫，長期日誌採用檔案壓縮儲存，更久的壓縮檔案可以備份到FTP伺服器上等等。

最後，越來越多的中國企業走向國際，選擇什麼樣的資料庫審計，要從國際法律法規遵從的視角來選擇。國際資訊系統審計與控制協會ISACA制定和頒佈了資訊及其相關技術控制目標（Control Objectives for Information and related Technology，COBIT），在SOX法案中，依據COBIT建立企業資訊科技內部控制，其中對資料庫安全審計做出了明確的要求：

（1）對企業內部敏感資料的存取行為審計；

（2）對資料的DML操作行為審計；

（3）對資料表的DDL操作行為審計；

（4）出現的賬號登入失敗、SQL訪問關鍵錯誤等異常情況審計；

（5）對賬號和角色的操作行為，例如Grant、Revoke等命令的審計。

選擇國際化的資料庫審計產品，安華金和資料安全專家建議，首先要對資料進行分級分類，發現和梳理企業內部敏感資料，然後針對敏感資料的儲存行為進行審計。比如：之前我們做過的全國保險公司排名前十的客戶，提出保險客戶的個人隱私資訊在所有保險相關係統（車險、財險、壽險等）中都是敏感資料，要配置審計策略，對這些資料的存取行為要進行審計，那就意味著要對審計的400-500個數據庫配置這個安全策略，這裡資料安全運營管控平臺就能發揮重要作用，先透過資料資產梳理系統做好敏感資料發現，然後在這些審計資料庫統一配置有針對性的安全策略。

總之，選擇什麼樣的資料庫審計產品，需要從未來技術發展趨勢、產品合規遵從細節設計和國際法律法規遵從能力三個方面進行選擇，只有這樣，政企客戶才能採購到更高性價比的資料庫審計產品。