伴隨互聯網的技術發展和新信息安全時代的來臨，企業數據庫的信息價值和可訪問性逐步提升，使得數據庫面臨的來自內部及外部的安全風險急劇增加。惡意入侵、違規越權操作等風險將會導致機密信息被竊取、泄露，但事后卻無法有效追溯和審計，企業信息資產面臨嚴峻的挑戰。

在此背景之下，數據庫審計功能越顯重要，越來越多的場景需要使用審計功能。

數據庫審計方式主要分兩類，一類是旁路方式審計，通過“外圍”的抓包，對數據庫網絡流量進行采集，根據數據庫協議進行解析與還原，收集數據庫的行為數據，生成審計記錄。另一類是數據庫內核級審計，數據庫內部直接分析語句，根據預先定義的審計規則，生成審計記錄。

金倉數據庫KingbaseES提供數據庫內核級、實時、準確、高性能的審計功能，通過完善的審計機制，為數據庫牢筑安全防護之盾!

近期，一客戶就對金倉數據庫KingbaseES提出如下數據庫審計需求：

背景

兩張數據表，存儲有敏感數據，更新較頻繁。

需求

在確保安全性和穩定性，同時性能不明顯下降的前提下，對這兩張表開啟DML操作審計。

金倉KES數據庫審計簡介

審計功能介紹

數據庫審計（簡稱DBAudit）以安全事件為中心，以全面審計和精確審計為基礎，實時記錄網絡上的數據庫活動，對數據庫操作進行細粒度審計的合規性管理，對數據庫遭受到的風險行為進行實時告警。

金倉數據庫KingbaseES支持三種類型的審計：

1.事件審計

審計數據庫服務器發生的事件，包含以下幾種：數據庫服務器的啟動、數據庫服務器的停止、數據庫服務器配置文件的重新加載、用戶登錄、用戶登出。

2.語句級別審計

也稱為“STATEMENT AUDITING”，指在DBMS 范圍內，對DBMS 擁有的結構或模式對象進行操作時引發的事件進行審計，此類結構或模式對象并不指具體的某個結構或模式對象，而是一類結構或模式對象的泛稱。通常，包括DBMS 提供的DDL、DML、DQL、DCL、TCL 等語句引發的事件。

3.模式對象級別審計

也稱為“SCHEMA OBJECT AUDITING”，指在某個確定的模式對象上，對進行SELECT 或DML 操作時引發的事件進行審計。模式對象包括表、視圖、物化視圖、過程、函數、序列等。

金倉數據庫KingbaseES支持風險行為進行實時告警：

基于審計的實時入侵檢測分析，當用戶的操作行為，達到入侵檢測規則設定的閥值后，數據庫將通過告警提示、斷開連接、發送email的方式阻斷用戶行為，通知系統管理員。

審計的部署架構

金倉數據庫KingbaseES審計支持兩種部署架構。

1、審計日志直接保存在生產數據庫中的審計部署架構：

優點：架構簡單。

缺點：安全性不足。若生產數據庫的硬盤損壞，審計日志可能丟失。

 

審計日志保存在生產數據庫中

2、審計日志保存在第三方審計數據庫中的審計部署架構：

優點：審計日志安全性提高；支持多臺數據庫的審計日志集中管理。

缺點：架構復雜。

 

審計日志保存在第三方審計數據庫中

實現原理

旁路方式實現的數據庫審計功能，一般由數據庫流量采集、審計數據還原和分析、審計數據存儲等三部分構成，需要相應的軟件和硬件支持。

內核級實現的數據庫審計功能，不需要額外的軟件和硬件，審計數據可直接在用戶連接進程中產生，同步在用戶進程中生成審計記錄，也可把審計記錄發送至專門處理進程或線程中，異步生成審計記錄。

金倉數據庫KingbaseES的審計功能在實現的過程中，為滿足在審計數據量極大時“實時記錄、審計信息不丟失、對于用戶應用影響小”等需求， 采取類似于生產者和消費者模型，采用了多生產者多消費者模型，m對n的模型，生產者和消費者之間的通訊采用共享內存。

金倉KES審計安全解決方案的特點

審計功能自身的安全性

1、結合三權分立，實現交叉審計

金倉數據庫KingbaseES中，安全管理員對普通用戶和審計管理員進行審計，審計管理員對數據庫管理員和安全管理員進行審計。這種權限劃分方式，可以有效防止“既是裁判員，又是運動員”狀況的出現，全面提升審計的安全性。

2、內核級的防刪除和防篡改

金倉數據庫KingbaseES支持內核級別的審計，可在代碼層次，限制管理員和普通用戶對審計記錄的insert、update、delete，防止審計記錄被惡意的刪除或篡改。

審記記錄的安全性

1、審計記錄自動脫敏，保證安全性

對于審計記錄中的敏感數據，例如用戶的口令，進行自動脫敏，保證審計記錄不會泄露用戶的敏感信息。

可通過配置參數，關閉記錄執行的SQL語句，提高安全性，同時提升性能。

2、審計記錄存儲的安全性

審計記錄保存在數據庫的系統表。

通過國密SM4算法實現存儲透明加密，非法用戶無法解密。

通過國密SM3算法保證完整性，防止非法篡改。

3、審計記錄轉儲的安全性

當數據庫保存的審計記錄過多時，可通過轉儲功能，把審計記錄備份到外部文件。

通過國密SM4算法實現存儲加密，非法用戶無法解密。

通過國密SM3算法保證完整性，防止非法篡改。

審記的高可用性

在單機、集群等多種部署情況下，金倉數據庫KingbaseES審計功能都能做到只要數據庫服務不斷，審計的服務就不能中斷，審計數據不丟！

金倉數據庫KingbaseES從如下3個方面保證審計的高可用。

 

金倉KES數據庫審計性能實測

測試目標

國外知名數據庫對審計性能提出如下建議：

As auditing is a transactional activity with typical ACID properties to guarantee record of database activities, we recommend that you fine-tune your audit policies to collect audit data that is targeted to your needs. collecting unnecessary audit information impacts database performance, increases storage costs, and may make it more difficult to spot malicious database activity。

由此可見，審計規則對審計的性能影響頗大。因此實際使用中，為達到良好的性能體驗，應對所需審計的對象有所取舍，不應全部審計。

本次我們將模擬用戶真實使用環境，測試審計功能開啟時對數據庫性能的影響。驗證金倉數據庫KingbaseES在審計功能開啟時，能否確保性能的合理衰減？

測試環境

采用的測試環境、測試工具和測試版本如下：

 

測試的軟件版本及采用的測試工具

 

測試內容|使用模擬場景測試審計 性能損耗

模擬實際使用場景驗證審計的性能：

1.構造10張數據表，表上創建Btree索引，并對每張表，初始灌數10000000條記錄。

2.構造對表的操作，select和dml(包括insert、update、delete)的比例為7：3。

3.對所有表設置select、insert、update、delete審計規則。

使用JMeter啟動2000個連接，進行2列出的操作，接續運行15分鐘。

審計日志本地存儲測試結果：

 

采用審計日志直接保存在生產數據庫中的審計部署架構時，每秒大約產生9.9萬條審計記錄，而性能損耗僅5.4%。

審計日志存儲在第三方審計數據庫測試結果：

 

采用審計日志存儲在第三方審計數據庫中的審計部署架構時，每秒大約產生9.8萬條審計記錄，性能損耗僅5.8%。

在模擬的測試場景下，KingbaseES能夠在每秒近10萬條審計記錄的同時，確保性能損耗在6%以內。若減少審計的對象或減少審計的語句類型，性能損耗將會縮減，性能將會持續提高，完全滿足各類客戶日常場景的使用。

測試內容|使用TPCC測試審計 性能損耗

使用最經典權威的TPCC測試參數配置，驗證性能損耗：

 

審計日志本地存儲測試結果：

 

采用審計日志直接保存在生產數據庫中的審計部署架構時，在TPCC測試的極限情況下，當我們對所有表進行所有操作的審計時，性能損耗不到20%。

審計日志存儲在第三方審計數據庫測試結果：

 

在TPCC測試下，當采用審計日志存儲在第三方審計數據庫中的審計部署架構時，由于網絡傳輸將會增加損耗，性能下降1%左右。由此可見，審計在增強安全性的同時，性能損耗有些上升，但卻能夠全方位確保用戶對于審計安全性和審計性能的需求！

測試小結

本次審計性能實測，在模擬用戶使用場景，且大并發的情況下，當金倉數據庫KingbaseES開啟審計功能后，性能極限值僅下降6%。在TPCC大壓力測試場景下，金倉數據庫KingbaseES開啟審計功能后，性能極限值僅下降20%以內，完全能夠滿足絕大部分用戶的需求。

結語

面對層出不窮的安全威脅，我們需要不斷革新、進化的防御技術來達到攻防平衡，讓數據更安全。在當下的審計市場中，審計的部署方案各有不同，有第三方審計軟件，也有第三方審計服務器，其能力各有優劣。而金倉數據庫KingbaseES 提供基于數據庫庫內核的審計能力。毫無疑問，數據庫內部的審計對用戶行為將會審計地更加全面，粒度更豐富，對應用的性能影響小。

通過驗證測試，KingbaseES審計功能，其可用性高、性能穩定、運行流暢，可支撐用戶在實際業務場景下的不同審計操作。

要問國產數據庫到底行不行？金倉數據庫KingbaseES審計，一定行！