什么叫三层审计?
三层审计是数据库审计领域的业界难题之一。
所谓三层审计,是将应用层区域的审计数据与数据库层区域的审计数据综合起来进行“关联分析”,从而将应用层操作准确对应到数据库层的操作。当发生安全事件时,根据关联审计记录的日志信息,可快速定位到网络中的责任人。所以,通过三层审计即可实现应用与数据库的有效关联,追踪到最终用户端。
正常情况下,应用层跑的是URL行为,在数据库层则走的是数据库命令,两者的表现形式截然不同,但有了“关联分析”,就可以从技术上穿透两个区域,从而将访问的资源帐号和相关的数据库操作关联起来,从而能够追查到真正的访问者。
三层审计的难点在哪?
三层审计的难点在于审计技术的选择。
业界传统的做法是采取“模糊匹配”方法来实现“关联分析”,即:审计系统首先分别审计出浏览器到Web服务器,Web服务器到数据库服务器两类的事件,前者是HTTP事件,后者是SQL事件,然后需将这两条事件关联起来,进行时间系列方面的“模糊匹配”,从而将访问的资源帐号和相关的数据库操作关联起来。
这种传统做法的优缺点是:
优点:可以应用于任何的三层架构审计;
缺点:在高并发时简直是一个灾难,有20%的失真率,造成业务用户与SQL语句的错误关联。