醫(yī)院數(shù)據(jù)庫(kù)審計(jì)運(yùn)維

醫(yī)院數(shù)據(jù)庫(kù)審計(jì)運(yùn)維

在醫(yī)院數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行期間，需要對(duì)現(xiàn)有的數(shù)據(jù)庫(kù)進(jìn)行審計(jì)，確保對(duì)現(xiàn)有

數(shù)據(jù)庫(kù)系統(tǒng)的敏感操作都有記錄。為了保證審計(jì)系統(tǒng)的正常高效運(yùn)行，數(shù)據(jù)庫(kù)

審計(jì)系統(tǒng)的日常運(yùn)維工作是必不可少的。

目錄

1.六大常見數(shù)據(jù)庫(kù)安全漏洞.....................................................1

1.1.概述.....................................................................1

1.2.數(shù)據(jù)庫(kù)安全重要性上升....................................................2

1.3.常見數(shù)據(jù)庫(kù)漏洞..........................................................2

1.3.1.部署問題...........................................................2

1.3.2.離線服務(wù)器數(shù)據(jù)泄露.................................................2

1.3.3.錯(cuò)誤配置的數(shù)據(jù)庫(kù)....................................................2

1.3.4.SQL注入.............................................................3

1.3.5.權(quán)限問題............................................................3

1.3.6.存檔數(shù)據(jù)............................................................3

1.4.常見后果.................................................................3

2.數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)分類.........................................................4

2.1.數(shù)據(jù)庫(kù)內(nèi)置的審計(jì)功能...................................................4

2.2.外置旁路模式的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)...........................................4

3.內(nèi)置式數(shù)據(jù)庫(kù)審計(jì)運(yùn)維.......................................................5

4.旁路式數(shù)據(jù)庫(kù)審計(jì)運(yùn)維.......................................................5

4.1.監(jiān)控系統(tǒng)運(yùn)行狀態(tài)........................................................6

4.2.設(shè)定審計(jì)告警策略........................................................6

4.3.調(diào)整黑白名單.............................................................6

4.4.分析審計(jì)結(jié)果.............................................................7

1.六大常見數(shù)據(jù)庫(kù)安全漏洞

1.1.概述

總有大批創(chuàng)意百出的黑客不斷搗鼓出超狡猾的新方法染指各類數(shù)據(jù)。然

后，更多不那么聰明的黑客不斷重復(fù)老舊套路一一因?yàn)橥瑯永吓f的漏洞一直在

全球各個(gè)企業(yè)里涌現(xiàn)。

第1頁(yè)共7頁(yè)

無論如何，數(shù)據(jù)泄露總是破壞性的；但更糟的是，要怎么向受影響的用

戶、投資人和證監(jiān)會(huì)交代呢？一家公司上千萬用戶的個(gè)人數(shù)據(jù)，總不會(huì)自己長(zhǎng)

腳跑到黑市上躺著被賣吧？于是，在各種監(jiān)管機(jī)構(gòu)找上門來問一些很難堪的問

題之前，我們還是來看看這幾個(gè)最常見的數(shù)據(jù)庫(kù)安全漏洞吧。

1.2.數(shù)據(jù)庫(kù)安全重要性上升

只要存儲(chǔ)了任何人士的任意個(gè)人數(shù)據(jù)，無論是用戶還是公司員工，數(shù)據(jù)庫(kù)

安全都是重中之重。然而，隨著黑市對(duì)數(shù)據(jù)需求的上升，成功數(shù)據(jù)泄露利潤(rùn)的

上漲，數(shù)據(jù)庫(kù)安全解決方案也就變得比以往更為重要了。尤其是考慮到2016

年堪稱創(chuàng)紀(jì)錄的數(shù)據(jù)泄露年的情況下。

身份盜竊資源中心的數(shù)據(jù)顯示，美國(guó)2016年的數(shù)據(jù)泄露事件比上一年增

長(zhǎng)了40%,高達(dá)L093起。商業(yè)領(lǐng)域是重災(zāi)區(qū)，緊隨其后的是醫(yī)療保健行業(yè)。

政府和教育機(jī)構(gòu)也是常見目標(biāo)。

1.3.常見數(shù)據(jù)庫(kù)漏洞

1.3.1.部署問題

這就是數(shù)據(jù)庫(kù)安全版的博爾特一蹬出起跑器就被鞋帶絆倒。數(shù)據(jù)庫(kù)經(jīng)過廣

泛測(cè)試以確保能勝任應(yīng)該做的所有工作，但有幾家公司肯花時(shí)間保證數(shù)據(jù)庫(kù)不

干點(diǎn)兒什么不應(yīng)該干的事兒呢？

解決辦法：這個(gè)問題的解決辦法十分明顯：部署前做更多的測(cè)試，找出可

被攻擊者利用的非預(yù)期操作。

1.3.2.離線服務(wù)器數(shù)據(jù)泄露

公司數(shù)據(jù)庫(kù)可能會(huì)托管在不接入互聯(lián)網(wǎng)的服務(wù)器上，但這并不意味著對(duì)基

于互聯(lián)網(wǎng)的威脅完全免疫。無論有沒有互聯(lián)網(wǎng)連接，數(shù)據(jù)庫(kù)都有可供黑客切入

的網(wǎng)絡(luò)接口。

解決辦法：首先，將數(shù)據(jù)庫(kù)服務(wù)器當(dāng)成聯(lián)網(wǎng)服務(wù)器一樣看待，做好相應(yīng)的

安全防護(hù)。其次，用SSL或TSL加密通信平臺(tái)加密其上數(shù)據(jù)。

1.3.3.錯(cuò)誤配置的數(shù)據(jù)庫(kù)

有太多太多的數(shù)據(jù)庫(kù)都是被老舊未補(bǔ)的漏洞或默認(rèn)賬戶配置參數(shù)出賣的。

個(gè)中原因可能是管理員手頭工作太多忙不過來，或者因?yàn)闃I(yè)務(wù)關(guān)鍵系統(tǒng)實(shí)在承

第2頁(yè)共7頁(yè)

受不住停機(jī)檢查數(shù)據(jù)庫(kù)的損失。無論原因?yàn)楹?，結(jié)果就是這么令人唏噓。

解決辦法：在整個(gè)公司中樹立起數(shù)據(jù)庫(kù)安全是首要任務(wù)的氛圍，讓數(shù)據(jù)庫(kù)

管理員有底氣去花時(shí)間恰當(dāng)配置和修復(fù)數(shù)據(jù)庫(kù)。

1.3.4.SQL注入

SQL注入不僅僅是最常見的數(shù)據(jù)庫(kù)漏洞，還是開放網(wǎng)頁(yè)應(yīng)用安全計(jì)劃

(OWASP)應(yīng)用安全威脅列表上的頭號(hào)威脅。該漏洞可使攻擊者將SQL查詢注入

到數(shù)據(jù)庫(kù)中，達(dá)成讀取敏感數(shù)據(jù)、修改數(shù)據(jù)、執(zhí)行管理操作乃至向操作系統(tǒng)發(fā)

出指令等目的。

解決辦法：開發(fā)過程中，對(duì)輸入變量進(jìn)行SQL注入測(cè)試。開發(fā)完成后，用

防火墻保護(hù)好面向Web的數(shù)據(jù)庫(kù)。

1.3.5.權(quán)限問題

涉及訪問權(quán)限，數(shù)據(jù)庫(kù)面臨兩大主要問題：

員工被賦予超出工作所需的過多權(quán)限；

合法權(quán)限被未授權(quán)或惡意使用。

解決辦法：權(quán)限分發(fā)時(shí)遵循最小權(quán)限原則，僅給員工賦予完成工作所需最

小權(quán)限。數(shù)據(jù)庫(kù)訪問也要受到嚴(yán)格監(jiān)視，確保員工權(quán)限僅用于經(jīng)授權(quán)的操作。

員工離職時(shí)需立即撤銷分發(fā)給他/她的權(quán)限。

1.3.6.存檔數(shù)據(jù)

與上一條相關(guān)，無論出于報(bào)復(fù)還是利益，員工通過盜取數(shù)據(jù)庫(kù)備份獲得大

量個(gè)人資料的事屢見不鮮。

解決辦法：加密存檔數(shù)據(jù)，嚴(yán)密監(jiān)視存檔數(shù)據(jù)訪問和使用情況，可以大幅

減少內(nèi)部人威脅。

1.4.常見后果

這個(gè)無比繁忙的數(shù)據(jù)泄露年的全部影響尚未真正顯現(xiàn)。最初的傷害作用在

受影響企業(yè)身上，包括公關(guān)災(zāi)難、負(fù)面報(bào)道和用戶及員工信譽(yù)損失。監(jiān)管處罰

和集體訴訟的賠款會(huì)在更晚些時(shí)候兌現(xiàn)。最終，企業(yè)會(huì)損失千百萬美元的罰金

和賠款，還有更巨量的收益損失，所有這一切都源于最常見的數(shù)據(jù)庫(kù)安全漏

洞。是時(shí)候把常見轉(zhuǎn)變?yōu)樯僖娏?，而第一步，就是意識(shí)。

第3頁(yè)共7頁(yè)

2.數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)分類

因?yàn)樗械臄?shù)據(jù)操作都是在數(shù)據(jù)庫(kù)中進(jìn)行的，所以要想審計(jì)業(yè)務(wù)操作的具

體情況，必須做數(shù)據(jù)庫(kù)層面的操作審計(jì)。常用的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)有兩類：

2.1.數(shù)據(jù)庫(kù)內(nèi)置的審計(jì)功能

這種審計(jì)系統(tǒng)利用數(shù)據(jù)庫(kù)本身內(nèi)置的審計(jì)功能，能夠?qū)徲?jì)絕大多數(shù)數(shù)據(jù)庫(kù)

操作。但是審計(jì)的細(xì)粒度很低，而且也很難還原SQL操作本身。比如：對(duì)于一

個(gè)數(shù)據(jù)刪除操作：DELETEFROMEMPWHEREDEPTNO=10；假設(shè)表EMP滿足

條件DEPTNO=10的記錄數(shù)有100條，那么在數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)中會(huì)有100條

DELETE操作，而不是真正的SQL語(yǔ)句：DELETEFROMEMPWHERE

DEPTNO=10o并且大多數(shù)現(xiàn)有的數(shù)據(jù)庫(kù)無法準(zhǔn)確審計(jì)DDL語(yǔ)句，如：ALTER

TABLEXXXADD(col...),個(gè)別數(shù)據(jù)庫(kù)產(chǎn)品可以審計(jì)DDL語(yǔ)句，但是那都是靠創(chuàng)

建數(shù)據(jù)庫(kù)級(jí)別的觸發(fā)器實(shí)現(xiàn)的。

總之，這類基于數(shù)據(jù)庫(kù)產(chǎn)品本身的審計(jì)功能的審計(jì)系統(tǒng)的審計(jì)顆粒度和準(zhǔn)

確性都有限。而且由于數(shù)據(jù)庫(kù)產(chǎn)品本身的審計(jì)功能是基于數(shù)據(jù)庫(kù)引擎之上的，

所以會(huì)消耗生產(chǎn)數(shù)據(jù)庫(kù)系統(tǒng)本身的資源。如果全部打開所有會(huì)話的所有數(shù)據(jù)庫(kù)

操作審計(jì)，其生產(chǎn)數(shù)據(jù)庫(kù)系統(tǒng)的CPU資源會(huì)有15%?30%的額外消耗。所以，

如果是使用這類數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，通常只是有S的地針對(duì)個(gè)別數(shù)據(jù)或操作進(jìn)行

審計(jì)，不會(huì)審計(jì)整個(gè)業(yè)務(wù)數(shù)據(jù)庫(kù)中所有的操作。

2.2.外置旁路模式的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)

外置旁聽模式的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是一個(gè)獨(dú)立于生產(chǎn)數(shù)據(jù)庫(kù)的系統(tǒng)，其工作

原理是通過網(wǎng)絡(luò)旁聽模式監(jiān)聽并收集所有客戶端發(fā)送到生產(chǎn)數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)

包，然后在審計(jì)系統(tǒng)內(nèi)部將這些網(wǎng)絡(luò)包進(jìn)行解包還原里面的操作命令(即SQL

語(yǔ)句)。將SQL語(yǔ)句捕獲下來后，存入到數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)中，然后再根據(jù)用戶

設(shè)置條件進(jìn)行告警或生成報(bào)告。相對(duì)于基于數(shù)據(jù)庫(kù)產(chǎn)品自帶的審計(jì)功能，外置

旁聽模式的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)有以下幾點(diǎn)優(yōu)勢(shì)：不占用生產(chǎn)系統(tǒng)的任何系統(tǒng)資

源，由于是基于網(wǎng)絡(luò)旁聽的模式，所有的審計(jì)操作均是在審計(jì)系統(tǒng)上進(jìn)行的，

所以不會(huì)占用生產(chǎn)數(shù)據(jù)庫(kù)系統(tǒng)的系統(tǒng)資源；能夠準(zhǔn)確還原SQL語(yǔ)句，因?yàn)樗?/p>

的從客戶端發(fā)往數(shù)據(jù)庫(kù)服務(wù)器的SQL語(yǔ)句都是通過TCP/IP網(wǎng)絡(luò)發(fā)出的，如果

第4頁(yè)共7頁(yè)

把這些TCP/IP網(wǎng)絡(luò)包捕獲下來，按照相應(yīng)的數(shù)據(jù)庫(kù)產(chǎn)品網(wǎng)絡(luò)包格式進(jìn)行解

析，原則上可以得到所有的SQL語(yǔ)句代碼。所以，網(wǎng)絡(luò)旁聽模式的數(shù)據(jù)庫(kù)審計(jì)

產(chǎn)品不僅能夠?qū)徲?jì)DML操作，還能夠很好地審計(jì)數(shù)據(jù)查詢操作以及DDL操

作；有良好的用戶界面，能夠根據(jù)用戶需求定制告警條件，并且可以通過黑白

名單方式減少日常告警數(shù)量。

目前，在醫(yī)院信息系統(tǒng)中，多數(shù)使用的是這類網(wǎng)絡(luò)旁聽模式的數(shù)據(jù)庫(kù)審計(jì)

產(chǎn)品。不過，需要注意的是，如果用戶直接登錄上數(shù)據(jù)庫(kù)系統(tǒng)所在的操作系

統(tǒng)，或者直接在數(shù)據(jù)庫(kù)系統(tǒng)主機(jī)的控制臺(tái)上進(jìn)行數(shù)據(jù)庫(kù)操作的話，是不會(huì)產(chǎn)生

數(shù)據(jù)庫(kù)網(wǎng)絡(luò)包的，此類網(wǎng)絡(luò)旁聽模式的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是無法審計(jì)這些數(shù)據(jù)庫(kù)

操作的。因此，如果要很好地針對(duì)生產(chǎn)數(shù)據(jù)庫(kù)做全面的審計(jì)，不僅要部署網(wǎng)絡(luò)

旁聽模式的審計(jì)系統(tǒng)，還要結(jié)合堡壘機(jī)系統(tǒng)、桌面管理系統(tǒng)等。

3.內(nèi)置式數(shù)據(jù)庫(kù)審計(jì)運(yùn)維

雖然內(nèi)置式的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)存在諸多不足，但是對(duì)于一些特定場(chǎng)景，比

如：僅僅監(jiān)控?cái)?shù)據(jù)庫(kù)超級(jí)管理員的操作，或只想審計(jì)某個(gè)數(shù)據(jù)庫(kù)對(duì)象（表、序

列號(hào)等）的使用情況時(shí)，還是可以開啟數(shù)據(jù)庫(kù)產(chǎn)品內(nèi)置的審計(jì)功能的。對(duì)于內(nèi)

置式數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，要做好審計(jì)策略、審計(jì)對(duì)象、審計(jì)操作、審計(jì)范圍的取

舍，確保在不影響系統(tǒng)性能的前提下實(shí)現(xiàn)審計(jì)目標(biāo)。在日常運(yùn)維時(shí)需要定期查

詢審計(jì)結(jié)果，及時(shí)發(fā)現(xiàn)敏感操作。

對(duì)于內(nèi)置式數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，由于審計(jì)結(jié)果是存放在數(shù)據(jù)庫(kù)主機(jī)中的，故

需要定時(shí)清理審計(jì)結(jié)果所占用的存儲(chǔ)空間。這個(gè)過程容易被數(shù)據(jù)庫(kù)管理員忽

視，無論是把審計(jì)記錄存放在數(shù)據(jù)庫(kù)中，還是存放在文件系統(tǒng)中，審計(jì)記錄占

用的空間往往會(huì)比數(shù)據(jù)庫(kù)管理員預(yù)想的要大。如果把審計(jì)記錄放在文件系統(tǒng)

中，當(dāng)審計(jì)的范圍大、顆粒度小，會(huì)產(chǎn)生大量的審計(jì)記錄小文件。這些數(shù)以萬

計(jì)的小文件會(huì)極大地影響文件系統(tǒng)的性能。如果對(duì)這些空間不加以清理，不僅

會(huì)因?yàn)榭臻g爆滿而不再記錄新的審計(jì)記錄，而且可能會(huì)影響生產(chǎn)系統(tǒng)的文件系

統(tǒng)性能。所以必須定期清理存放審計(jì)記錄的空間。

4.旁路式數(shù)據(jù)庫(kù)審計(jì)運(yùn)維

第5頁(yè)共7頁(yè)

4.1.監(jiān)控系統(tǒng)運(yùn)行狀態(tài)

旁路數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是獨(dú)立于生產(chǎn)數(shù)據(jù)庫(kù)之外的系統(tǒng)，如果該審計(jì)系統(tǒng)出

現(xiàn)故障，不會(huì)影響生產(chǎn)數(shù)據(jù)庫(kù)的正常運(yùn)行，但是不會(huì)再記錄客戶端發(fā)往生產(chǎn)數(shù)

據(jù)庫(kù)的SQL指令了。如果在此期間發(fā)生了數(shù)據(jù)庫(kù)安全事件，將無法查詢相應(yīng)時(shí)

間段的審計(jì)記錄。因此，要確保旁路審計(jì)系統(tǒng)處于正常工作狀態(tài)。按以下過程

確認(rèn)審計(jì)系統(tǒng)是正常的：

首先，登錄審計(jì)系統(tǒng)，檢查系統(tǒng)的運(yùn)行情況。然后從自己的客戶端發(fā)出一

條SQL指令給生產(chǎn)數(shù)據(jù)庫(kù)。最后檢查審計(jì)系統(tǒng)是否檢查并記錄下剛剛發(fā)出的測(cè)

試SQL指令。如果最終能夠在審計(jì)系統(tǒng)上看到剛剛發(fā)出的測(cè)試用的SQL指令，

說明審計(jì)系統(tǒng)是運(yùn)行正常的。

4.2.設(shè)定審計(jì)告警策略

網(wǎng)絡(luò)旁聽模式的審計(jì)系統(tǒng)會(huì)記錄所有的客戶端發(fā)往生產(chǎn)數(shù)據(jù)庫(kù)系統(tǒng)的SQL

代碼，并且不會(huì)對(duì)生產(chǎn)數(shù)據(jù)庫(kù)產(chǎn)生任何影響，所以不必設(shè)定審計(jì)范圍。但是需

要設(shè)定審計(jì)告警策略，即：針對(duì)哪些數(shù)據(jù)庫(kù)對(duì)象的哪些操作，審計(jì)系統(tǒng)會(huì)主動(dòng)

發(fā)出告警信息。主動(dòng)發(fā)送告警信息是網(wǎng)絡(luò)旁聽模式數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的一個(gè)重要

功能，這個(gè)功能使得數(shù)據(jù)庫(kù)管理員能夠在安全事件發(fā)生后較短時(shí)間內(nèi)被通知。

數(shù)據(jù)庫(kù)管理員需要在審計(jì)系統(tǒng)中設(shè)置需要對(duì)什么數(shù)據(jù)庫(kù)對(duì)象/表的何種操作（查

詢、修改、刪除）進(jìn)行主動(dòng)告警。

另外，還需要設(shè)置主動(dòng)告警的方式。一般地，審計(jì)系統(tǒng)提供郵件和短信告

警。如果要設(shè)置郵件告警，需要在郵件系統(tǒng)中專門開通一個(gè)用以發(fā)送告警郵件

的信箱，然后設(shè)定SMTP的各種設(shè)置：SMTP服務(wù)器、端口以及接收方的郵件

地址等。短信告警設(shè)置比較簡(jiǎn)單，只需要把接收方的手機(jī)號(hào)碼設(shè)好即可。

4.3.調(diào)整黑白名單

僅僅是設(shè)置審計(jì)告警策略還是不夠的，因?yàn)樵趯?shí)際運(yùn)維過程中，滿足告警

條件的審計(jì)記錄