五行不行，六脉在即 | 论数据库审计的升阶与转变 – 作者:wolaijiangliangju

企业生产、经营、财务数据泄露事件频发，公司也对此提高了数据安全意识，计划完善数据安全体系，管理监控公司的数据库安全，目前在寻找一系列相关产品。

但是问题来了，测试了很多产品，都只能发现有人在违规操作数据库，不能定位到具体的人。

为什么审计到“业务端”成了难题?

传统的软件架构大多采用二层架构，应用层直接到数据库。在信息化发展越来越迅速的今天，二层架构可维护性低并且高耦合已经无法满足业务需求。三层架构提高了信息系统的效率，具有高内聚，低耦合的特点已经被广泛应用于目前的软件架构设计上。但是也因此，增加了审计的难度。三层架构导致信息割裂，一般数据库审计系统只能审计到应用服务器的信息，无法准确定位到“业务端”访问应用系统的身份信息。

三层架构模式已成为当前信息系统的主流框架，但是也因此，增加了审计的难度。三层架构导致信息割裂，一般数据库审计系统只能审计到应用服务器的信息，无法准确定位到“业务端”访问应用系统的身份信息。

一般来说，业务人员可以通过CRM、ERP、电子政务等软件，正常的登录到系统中访问数据库，但从监管层面讲，第一要知道业务员是否有不该做的操作;第二要及时接到通知以便做出反应;第三则要能够溯源追踪，知道谁在什么时间做了什么。

由于涉及到软件架构、三层架构——客户端、应用服务器端，中间的中间件以及复杂的应用服务器组件，再到数据库，这三者之间并没有穿透，因此通常只知道前端某个应用服务器在做坏事，但不知道这个人是谁。

这也是数据库安全行业的一个行业难题。

传统数据库审计“五行”：主要有客户端Mac、客户端IP、客户端主机名、操作系统用户名、数据库账号，其缺陷总结起来主要有：

1、客户端Mac有可能更改，或者一机多用，难以准确定位责任人。

2、客户端IP有可能是自动分配，难以准确定位责任人。

3、客户端主机名可能未配置，也无法准确定位。

4、操作系统用户名可能未配置，都是超级管理员。

5、数据库账号可能为实例账号，所有访问者都转换为一个实例账号，难以准确定位。

观安独创“六脉审计”：来标识用户访问数据库的属性。“六脉审计”具体是指应用层账号、数据库账号、操作系统用户名、客户端主机名、客户端IP、客户端Mac。

应用层账号：指终端用户登录应用系统的账号，如运营商CRM、VGOP、经分等系统的登录工号。

数据库账号：用户与数据库进行数据交互时使用的账号，需要在数据库中进行账号的配置。

操作系统用户名：用户终端操作系统的用户名，如未修改一般为超级账户sysadmin。

客户端主机名：用户终端的主机名称，用于标识终端以便管理。

客户端IP：用户终端当前访问数据库的IP地址。

客户端Mac：用户终端的Mac地址。

在数据库审计领域，观安独创了“六脉审计”来标识用户访问数据库的属性。“六脉审计”具体是指应用层账号、数据库账号、操作系统用户名、客户端主机名、客户端IP、客户端Mac。

可以看出，“六脉审计”与“五行”的不同之处在于，能否提取应用层账号，进而准确定位到“人”，有效知道是谁进行了不合规操作。

由以上分析可知，传统的“五行”标识存在定位不准确的问题，因此，“六脉审计”才是数据库审计领域中准确定位到“人”的最直接证据。