完整性:的多層業(yè)務關(guān)聯(lián)審計,可針對web層,、應用中間層,、數(shù)據(jù)層各層次進行關(guān)聯(lián)審計
細粒度:細粒度的審計規(guī)則、化的行為檢索及回溯、的風險控制。
有效性:---技術(shù)實現(xiàn)對數(shù)據(jù)庫安全的各類攻擊風險和管理風險的有效控制,;靈活的、可自定義的審計規(guī)則滿足了各類內(nèi)控和外審的需求有效控制誤操作,、越權(quán)操作、---操作等-行為
公正性:基于獨立審計的工作模式,,實現(xiàn)了數(shù)據(jù)庫管理與審計的分離,,---了審計結(jié)果的真實性、完整性,、公正性
需求所謂合規(guī)性,,就好比開一家酒店一定要符合衛(wèi)生條件,拿到衛(wèi)生---才可以經(jīng)營,,才可以向用戶出售餐飲食物,。信息安全行業(yè)及金融、---,、等細分行業(yè)領(lǐng)域的信息系統(tǒng)同樣需要符合行業(yè)規(guī)范及標準,。因此,及主管機構(gòu)---了一系列的的相關(guān)---,,對應信息系統(tǒng)安全等級保護的相關(guān)配套標準,,等保二級以上對安全審計均提出了明確要求,審計記錄應包括事件的日期和時間,、用戶,、事件類型、事件是否成功及其他與審計相關(guān)的信息,。數(shù)據(jù)庫審計產(chǎn)品因部署簡單,,且不會對系統(tǒng)產(chǎn)生太多影響,數(shù)據(jù)庫審計軟件,,在合規(guī)性驅(qū)動下,,---數(shù)據(jù)庫審計軟件,成為數(shù)據(jù)庫安全審計的,。
屬于注冊代理程序的“侵入式”審計,,利用數(shù)據(jù)庫的自審計插件如oracle的fgac插件,讀取數(shù)據(jù)庫自審計日志,,依賴的是數(shù)據(jù)庫自身審計能力,,這里有一個很大的問題,如果數(shù)據(jù)庫自身不具備審計能力,,那么這類數(shù)據(jù)庫審計產(chǎn)品就無法支持對此類型數(shù)據(jù)庫的審計,;并且,數(shù)據(jù)庫自審計功能一般只提供增、刪,、改,、查語句和部分數(shù)據(jù)定義語句,無法提供全操作類型的審計,,也無法完整審計結(jié)果集,。不過從另一個角度來看,植入方式也有其亮點——本地操作的審計,,醫(yī)院數(shù)據(jù)庫審計軟件,,這些不通過網(wǎng)絡的流量,傳統(tǒng)的流量鏡像方式捕獲不到,,金融數(shù)據(jù)庫審計軟件,,不過旁路式的審計,也可以通過增加rmagent,,實現(xiàn)這項功能,。
|
登錄后臺
滇公網(wǎng)安備 53011202000392