完整性:的多層業(yè)務關(guān)聯(lián)審計,,可針對web層、應用中間層,、數(shù)據(jù)層各層次進行關(guān)聯(lián)審計
細粒度:細粒度的審計規(guī)則,、化的行為檢索及回溯,、的風險控制,。
有效性:---技術(shù)實現(xiàn)對數(shù)據(jù)庫安全的各類攻擊風險和管理風險的有效控制;靈活的,、可自定義的審計規(guī)則滿足了各類內(nèi)控和外審的需求有效控制誤操作,、越權(quán)操作、---操作等-行為
公正性:基于獨立審計的工作模式,,實現(xiàn)了數(shù)據(jù)庫管理與審計的分離,,---了審計結(jié)果的真實性、完整性,、公正性
需求所謂合規(guī)性,,就好比開一家酒店一定要符合衛(wèi)生條件,拿到衛(wèi)生---才可以經(jīng)營,,才可以向用戶出售餐飲食物,。信息安全行業(yè)及金融、---,、等細分行業(yè)領(lǐng)域的信息系統(tǒng)同樣需要符合行業(yè)規(guī)范及標準,。因此,及主管機構(gòu)---了一系列的的相關(guān)---,,對應信息系統(tǒng)安全等級保護的相關(guān)配套標準,,等保二級以上對安全審計均提出了明確要求,審計記錄應包括事件的日期和時間,、用戶,、事件類型、事件是否成功及其他與審計相關(guān)的信息,。數(shù)據(jù)庫審計產(chǎn)品因部署簡單,,且不會對系統(tǒng)產(chǎn)生太多影響,,數(shù)據(jù)庫審計軟件,在合規(guī)性驅(qū)動下,,---數(shù)據(jù)庫審計軟件,,成為數(shù)據(jù)庫安全審計的。
屬于注冊代理程序的“侵入式”審計,,利用數(shù)據(jù)庫的自審計插件如oracle的fgac插件,,讀取數(shù)據(jù)庫自審計日志,依賴的是數(shù)據(jù)庫自身審計能力,,這里有一個很大的問題,,如果數(shù)據(jù)庫自身不具備審計能力,那么這類數(shù)據(jù)庫審計產(chǎn)品就無法支持對此類型數(shù)據(jù)庫的審計,;并且,,數(shù)據(jù)庫自審計功能一般只提供增、刪,、改,、查語句和部分數(shù)據(jù)定義語句,無法提供全操作類型的審計,,也無法完整審計結(jié)果集,。不過從另一個角度來看,植入方式也有其亮點——本地操作的審計,,醫(yī)院數(shù)據(jù)庫審計軟件,,這些不通過網(wǎng)絡(luò)的流量,傳統(tǒng)的流量鏡像方式捕獲不到,,金融數(shù)據(jù)庫審計軟件,,不過旁路式的審計,也可以通過增加rmagent,,實現(xiàn)這項功能,。
|
登錄后臺
滇公網(wǎng)安備 53011202000392