跟踪审计有什么好方法

‍

审计跟踪提供了实现多种安全相关目标的一种方法，这些目标包括个人职能、事件重建、入侵探测和故障分析。

个人职能

审计跟踪架构个人职能（individual accountability）

审计跟踪是管理人员用来维护个人职能的技术手段。通过告知用户应该为自己的行为负责，通过审计跟踪记录用户的活动，管理人员可以改善用户的行为方式。如果用户知道他们的行为被记录在审计日志中，他们就不太会违反安全策略和绕过安全控制措施。

逻辑访问控制是用于限制对系统资源的访问，允许用户访问特定资源意味着用户通常要通过这种访问完成他们的工作。当然，被授权的访问也会被滥用，这种情况下审计跟踪就能发挥作用。当无法阻止用户通过其合法身份访问资源时，审计跟踪就可以用于检查他们的活动。比方说人事部的某员工需要访问他们所负责的员工的人事记录，通过审计跟踪发现该员工对人事记录的超常打印，这也许意味着盗卖人事数据。再比方说某工程师需要通过使用计算机来设计新产品，通过审计跟踪发现在该工程师在设计结束前通过调制解调器进行了可疑的对外通信，这可以用来协助调查公司的专利数据被非法泄漏给其它公司的事件。

事件重建

事件重建（reconstruction of events）

在故障发生后，审计跟踪可以用于重建事件。通过审查系统活动的审计跟踪可以比较容易地评估故障损失，确定故障发生的时间、原因和过程。通过对审计跟踪的分析通常可以辨别故障是 *** 作引起的还是系统引起的。例如，当系统失败或文件的完整性受到质疑时，通过对审计跟踪的分析就可以重建系统、用户或应用程序的完整的 *** 作步骤。在对诸如系统崩溃这样的故障的发生条件有清晰认识的前提下，就能够避免未来发生此类系统中断的情况。而且，在发生技术故障（如数据文件损坏）时，审计跟踪可以协助进行恢复（通过更改记录可以重建文件）。

入侵探测

入侵探测（intrusion detection）

如果用审计跟踪记录适当的信息，也可以用来协助入侵探测工作。如果在审计记录产生时就进行检查（通过使用某种警告标志或提示），就可以进行实时的入侵探测，不过事后检查（定时检查审计记录）也是可行的。

实时入侵探测主要用于探测外部对系统的非法访问。也可以用于探测系统性能指标的变化以发现病毒或蠕虫攻击。但是实时审计可能会降低系统性能。

事后鉴别可以标示出非法访问的企图（或事实）。这样就可以提醒人们对损失进行评估或重新检查受攻击的控制方式。

故障分析

故障分析（problem analysis）

在线的审计跟踪还可以用于鉴别入侵以外的故障。这常被称为实时审计或监控。如果 *** 作系统或应用系统对公司的业务非常重要，可以使用实时审计对这些进程进行监控。

系统可以同时维护多个审计跟踪。有两种典型的审计记录（1）所有键盘敲击的记录，通常称为击键监控，和（2）面向事件的审计日志。这些日志通常包括描述系统事件、应用事件或用户事件的记录。

审计跟踪应该包括足够的信息，以确定事件的内容和引起事件的因素。通常，事件记录应该列有事件发生的时间、和事件有关的用户识别码、启动事件的程序或命令以及事件的结果。日期和时间戳可以帮助确定用户到底是假冒的还是真实的。

击键监控

击键监控（keystroke monitoring）

击键监控用于对计算机交互过程中的用户键盘输入和计算机的反应数据进行检查或记录。击键监控通常被认为是审计跟踪的一种特殊应用。击键监控的例子包括检查用户敲入的字符，阅读用户的电子邮件以及检查用户敲入的其它信息。

有些系统维护功能会记录用户的击键。如果这些记录保存与之相关的用户鉴别码就可以协助管理员确定击键人从而达到击键监控的目的。击键监控致力于保护系统和数据免遭非法入侵和合法用户的滥用。入侵者的击键记录可以协助管理员评估和修复入侵造成的损失。

审计日志

面向事件的审计日志（event-oriented audit logs）

系统审计日志一般用于监控和微调系统性能。应用审计跟踪可以用于辨别应用程序中的错误和对安全策略的违背。用户审计记录通常用于将用户的行为和职能联系起来。分析用户审计记录可以发现各种不安全的事件，如安装木马或获取非法权限。

系统本身都会有诸如文件和系统访问的约束性的策略。对用于实施这些策略的系统配置文件更改的监控非常重要。如果特定的访问（如安全管理员的访问）用于修改配置文件，那么系统应该在这种访问发生时产生相应的审计记录。

有时比系统审计跟踪更详细的记录也是需要的。应用审计跟踪就可以提供更详细的记录。如果应用是很关键的，那么就不但要记录应用的发起者，还要记录每一个用户的具体细节。例如电子邮件应用，可能要记录发件人、收件人和信息长度。再比如数据库应用，应该记录数据库的访问者以及其具体读取（或更改、删除）哪个表的哪个行或列，而不是仅仅记录数据库程序的执行。

用户审计跟踪通过记录用户启动的事件（如访问文件、记录和字段；使用调制解调器）来监控和记录系统或应用中该用户的活动。

适应性是审计跟踪的关键特性。理想（从安全角度看）的情况是系统管理员能够监控所有的系统和用户活动，又能有选择地记录系统和应用的特定功能。至于日志记录的数量和需要审查的数量取决于相关应用或数据敏感性，应该由职能部门经理或应用所有者在系统管理员和计算机安全管理人的指导下根据日志的性价比确定。通常审计日志包含隐私内容。用户应该熟悉使用环境下和隐私相关的现行法律、法规和政策。

（A）系统级审计跟踪

系统级审计要求审计跟踪至少要能够记录登录（成功和失败）、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容（如用户启动应用的尝试，无论成功或失败）。典型的系统级日志还包括和安全无关的信息，如系统 *** 作、费用记帐和网络性能。

系统级审计跟踪应该能够鉴别登录的成功和失败，在系统不能限制失败登录的尝试次数时尤其需要这样。遗憾的是，有些系统级审计跟踪无法探测登录尝试，所以无法进行记录以便日后检查。这样的审计跟踪只能监控和记录成功的登录及其登录后的活动。记录失败的登录尝试对于有效的入侵探测是必须的。

（B）应用级审计跟踪

系统级审计跟踪可能无法跟踪和记录应用中的事件，也可能无法提供应用和数据拥有者需要的足够的细节信息。通常，应用级审计跟踪监控和记录诸如打开和关闭数据文件，读取、编辑和删除记录或字段的特定 *** 作以及打印报告之类的用户活动。有些应用会对数据的可用性、机密性和完整性比较敏感，这些应用的审计跟踪应该记录数据修改前后的数据快照。

（C）用户审计跟踪

用户审计跟踪通常记录（1）用户直接启动的所有命令，（2）所有的鉴别和认证尝试，和（3）所访问的文件和资源。

如果连同命令的选项和参数一同记录将会更有用。因为知道用户想要删除日志文件（以掩盖非法访问）比仅仅知道用户使用了删除命令更有价值。

无论是自建数据库还是云数据库，都有可能面临来自内外网络的蓄意攻击，以及内部人员各类误 *** 作导致的数据损失。当这些危险 *** 作发生时，数据库审计能够立刻检测出攻击源、攻击目标、攻击事件、 *** 作的库表字段内容、所用语句等信息，并且及时产生告警，确保管理员第一时间能够掌控威胁信息，从容应对数据安全问题。同时，数据库审计还能够将危险 *** 作进行分类，按照影响范围、威胁程度分为高中低三级，让管理员在海量威胁告警中精准定位最紧急的事务，确保高威胁事件得到充分处理。同时，数据库审计还能审计日志备份，支持将审计日志备份到OBS桶，实现高可用容灾。用户可以根据需要备份或恢复数据库审计日志；保护敏感数据，提供内置或自定义隐私数据保护规则，防止审计日志中的隐私数据（例如，账号密码）在控制台上以明文显示，完美解决数据库风险问题。

打开Oracle数据库路径的代码主要是通过使用SQLPlus或SQL Developer工具来实现的，具体步骤如下：

1 使用SQLPlus登录Oracle数据库：

```sql

sqlplus username/password@//hostname:port/servicename

```

其中，`username`为数据库用户名，`password`为用户密码，`hostname`为数据库服务器主机名或IP地址，`port`为数据库端口号（默认为1521），`servicename`为数据库服务名。

2 进入Oracle数据库路径：

使用以下命令可以查询当前数据库路径：

```sql

show parameter db_file_name_convert;

```

或者可以直接使用以下命令进入Oracle数据库路径：

```sql

cd <路径名称>

```

其中，`路径名称`为你想要进入的数据库路径。

3 使用SQL Developer登陆Oracle数据库：

打开SQL Developer工具，输入数据库用户名、密码及连接信息，点击“连接”，即可成功连接到Oracle数据库并进入相应的路径。

以上就是打开Oracle数据库路径的常用方法，具体 *** 作方式还需要根据实际情况来确定。

数据库审计作为目前用户接受度最高，使用最为广泛的数据安全产品，如果只是单纯的具有日志记录和审计功能已经不能完全满足用户的需求，其功能必须得到进一步的扩展：

一 加密协议解析

数据库有时会采用加密协议通讯，为审计解析带来了困难，但这也是数据库审计产品必须解决的问题，否则将无法实现数据库访问完全审计的任务。例如针对SQL Server默认的数据库用户加密或者更深层次的加密协议，都需要数据库审计产品提供相应的解决办法。

二 复杂环境的数据采集

数据库审计产品除了常规的旁路部署通过交换机镜像数据库访问流量的审计方法外，还应具备适用于复杂网络的数据采集方式，例如在复杂的虚拟化网络环境下，通过“探针”方式捕获数据库流量。但是无论哪种部署方式，都需要在不影响数据库原有性能，无需应用、网络环境改造的前提下，提供可靠的数据库审计服务。

三 应用关联审计与监控

数据库审计产品除了具备常规的客户端一层的审计信息：客户端IP、数据库用户、主机名、 *** 作系统、用户名等，还应具备应用侧风险行为审计与监控的能力，例如对应用账户、应用IP等关联审计信息。

四 数据库入侵行为监测

数据库暴露于内外网络，且数据库各版本都有安全漏洞问题，因此数据库审计产品应提供针对数据库漏洞攻击的“检测”功能，并对这些漏洞攻击实时监控、有效记录，发现风险后及时告警，且能够有效追溯风险来源。

五 数据库异常行为监测

数据库审计产品的主体价值是帮助用户高效的完成风险行为的定责追溯，这需要数据库审计产品针对数据库通讯协议进行完全解析；并具备针对SQL语句的学习、归类形成模板的能力；最终结合会话信息、应用关联信息，实现数据库行为建模。基于访问模型，当数据库访问行为异常时，系统可提供实时的告警能力，降低数据泄露的损失。

六 数据库违规行为监测

数据库审计产品还应具备针对数据库的违规访问、登录等行为检测告警的能力。例如利用审计到的数据库账号和客户端IP信息，针对指定周期内，同一IP或账号的频次性失败登录行为进行监控并形成告警。

七 报表展现

数据库审计产品应具备将审计日志进行数据化分析并以个性化报表展示的能力，以便帮助安全管理人员更加便捷、深入的剖析数据库运行风险。例如：综合报表、合规性报表、专项报表、自定义报表等。

安华金和数据库审计产品不但完全具备以上7种能力，还具备更多的且具有用户价值的扩展功能，具体可以咨询他们~

现在很重要了，因为很多合规性要求之外，各企业自身也越来越看重数据安全，像《网络安全法》第四十条规定网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。第四十一条规定网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。数据库审计就成为刚需。

推荐你了解下安华金和的数据库审计产品，在业界做的很不错，目前支持数据库类型最全。

以上就是关于跟踪审计有什么好方法全部的内容，包括:跟踪审计有什么好方法、业务和数据库审计系统可检测发现哪些数据库攻击行为、oracle打开路径的代码等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！