醫(yī)院數(shù)據(jù)庫審計運維

醫(yī)院數(shù)據(jù)庫審計運維

在醫(yī)院數(shù)據(jù)庫系統(tǒng)運行期間，需要對現(xiàn)有的數(shù)據(jù)庫進行審計，確保對現(xiàn)有

數(shù)據(jù)庫系統(tǒng)的敏感操作都有記錄。為了保證審計系統(tǒng)的正常高效運行，數(shù)據(jù)庫

審計系統(tǒng)的日常運維工作是必不可少的。

目錄

1.六大常見數(shù)據(jù)庫安全漏洞.....................................................1

1.1.概述.....................................................................1

1.2.數(shù)據(jù)庫安全重要性上升....................................................2

1.3.常見數(shù)據(jù)庫漏洞..........................................................2

1.3.1.部署問題...........................................................2

1.3.2.離線服務(wù)器數(shù)據(jù)泄露.................................................2

1.3.3.錯誤配置的數(shù)據(jù)庫....................................................2

1.3.4.SQL注入.............................................................3

1.3.5.權(quán)限問題............................................................3

1.3.6.存檔數(shù)據(jù)............................................................3

1.4.常見后果.................................................................3

2.數(shù)據(jù)庫審計系統(tǒng)分類.........................................................4

2.1.數(shù)據(jù)庫內(nèi)置的審計功能...................................................4

2.2.外置旁路模式的數(shù)據(jù)庫審計系統(tǒng)...........................................4

3.內(nèi)置式數(shù)據(jù)庫審計運維.......................................................5

4.旁路式數(shù)據(jù)庫審計運維.......................................................5

4.1.監(jiān)控系統(tǒng)運行狀態(tài)........................................................6

4.2.設(shè)定審計告警策略........................................................6

4.3.調(diào)整黑白名單.............................................................6

4.4.分析審計結(jié)果.............................................................7

1.六大常見數(shù)據(jù)庫安全漏洞

1.1.概述

總有大批創(chuàng)意百出的黑客不斷搗鼓出超狡猾的新方法染指各類數(shù)據(jù)。然

后，更多不那么聰明的黑客不斷重復(fù)老舊套路一一因為同樣老舊的漏洞一直在

全球各個企業(yè)里涌現(xiàn)。

第1頁共7頁

無論如何，數(shù)據(jù)泄露總是破壞性的；但更糟的是，要怎么向受影響的用

戶、投資人和證監(jiān)會交代呢？一家公司上千萬用戶的個人數(shù)據(jù)，總不會自己長

腳跑到黑市上躺著被賣吧？于是，在各種監(jiān)管機構(gòu)找上門來問一些很難堪的問

題之前，我們還是來看看這幾個最常見的數(shù)據(jù)庫安全漏洞吧。

1.2.數(shù)據(jù)庫安全重要性上升

只要存儲了任何人士的任意個人數(shù)據(jù)，無論是用戶還是公司員工，數(shù)據(jù)庫

安全都是重中之重。然而，隨著黑市對數(shù)據(jù)需求的上升，成功數(shù)據(jù)泄露利潤的

上漲，數(shù)據(jù)庫安全解決方案也就變得比以往更為重要了。尤其是考慮到2016

年堪稱創(chuàng)紀(jì)錄的數(shù)據(jù)泄露年的情況下。

身份盜竊資源中心的數(shù)據(jù)顯示，美國2016年的數(shù)據(jù)泄露事件比上一年增

長了40%,高達(dá)L093起。商業(yè)領(lǐng)域是重災(zāi)區(qū)，緊隨其后的是醫(yī)療保健行業(yè)。

政府和教育機構(gòu)也是常見目標(biāo)。

1.3.常見數(shù)據(jù)庫漏洞

1.3.1.部署問題

這就是數(shù)據(jù)庫安全版的博爾特一蹬出起跑器就被鞋帶絆倒。數(shù)據(jù)庫經(jīng)過廣

泛測試以確保能勝任應(yīng)該做的所有工作，但有幾家公司肯花時間保證數(shù)據(jù)庫不

干點兒什么不應(yīng)該干的事兒呢？

解決辦法：這個問題的解決辦法十分明顯：部署前做更多的測試，找出可

被攻擊者利用的非預(yù)期操作。

1.3.2.離線服務(wù)器數(shù)據(jù)泄露

公司數(shù)據(jù)庫可能會托管在不接入互聯(lián)網(wǎng)的服務(wù)器上，但這并不意味著對基

于互聯(lián)網(wǎng)的威脅完全免疫。無論有沒有互聯(lián)網(wǎng)連接，數(shù)據(jù)庫都有可供黑客切入

的網(wǎng)絡(luò)接口。

解決辦法：首先，將數(shù)據(jù)庫服務(wù)器當(dāng)成聯(lián)網(wǎng)服務(wù)器一樣看待，做好相應(yīng)的

安全防護。其次，用SSL或TSL加密通信平臺加密其上數(shù)據(jù)。

1.3.3.錯誤配置的數(shù)據(jù)庫

有太多太多的數(shù)據(jù)庫都是被老舊未補的漏洞或默認(rèn)賬戶配置參數(shù)出賣的。

個中原因可能是管理員手頭工作太多忙不過來，或者因為業(yè)務(wù)關(guān)鍵系統(tǒng)實在承

第2頁共7頁

受不住停機檢查數(shù)據(jù)庫的損失。無論原因為何，結(jié)果就是這么令人唏噓。

解決辦法：在整個公司中樹立起數(shù)據(jù)庫安全是首要任務(wù)的氛圍，讓數(shù)據(jù)庫

管理員有底氣去花時間恰當(dāng)配置和修復(fù)數(shù)據(jù)庫。

1.3.4.SQL注入

SQL注入不僅僅是最常見的數(shù)據(jù)庫漏洞，還是開放網(wǎng)頁應(yīng)用安全計劃

(OWASP)應(yīng)用安全威脅列表上的頭號威脅。該漏洞可使攻擊者將SQL查詢注入

到數(shù)據(jù)庫中，達(dá)成讀取敏感數(shù)據(jù)、修改數(shù)據(jù)、執(zhí)行管理操作乃至向操作系統(tǒng)發(fā)

出指令等目的。

解決辦法：開發(fā)過程中，對輸入變量進行SQL注入測試。開發(fā)完成后，用

防火墻保護好面向Web的數(shù)據(jù)庫。

1.3.5.權(quán)限問題

涉及訪問權(quán)限，數(shù)據(jù)庫面臨兩大主要問題：

員工被賦予超出工作所需的過多權(quán)限；

合法權(quán)限被未授權(quán)或惡意使用。

解決辦法：權(quán)限分發(fā)時遵循最小權(quán)限原則，僅給員工賦予完成工作所需最

小權(quán)限。數(shù)據(jù)庫訪問也要受到嚴(yán)格監(jiān)視，確保員工權(quán)限僅用于經(jīng)授權(quán)的操作。

員工離職時需立即撤銷分發(fā)給他/她的權(quán)限。

1.3.6.存檔數(shù)據(jù)

與上一條相關(guān)，無論出于報復(fù)還是利益，員工通過盜取數(shù)據(jù)庫備份獲得大

量個人資料的事屢見不鮮。

解決辦法：加密存檔數(shù)據(jù)，嚴(yán)密監(jiān)視存檔數(shù)據(jù)訪問和使用情況，可以大幅

減少內(nèi)部人威脅。

1.4.常見后果

這個無比繁忙的數(shù)據(jù)泄露年的全部影響尚未真正顯現(xiàn)。最初的傷害作用在

受影響企業(yè)身上，包括公關(guān)災(zāi)難、負(fù)面報道和用戶及員工信譽損失。監(jiān)管處罰

和集體訴訟的賠款會在更晚些時候兌現(xiàn)。最終，企業(yè)會損失千百萬美元的罰金

和賠款，還有更巨量的收益損失，所有這一切都源于最常見的數(shù)據(jù)庫安全漏

洞。是時候把常見轉(zhuǎn)變?yōu)樯僖娏?，而第一步，就是意識。

第3頁共7頁

2.數(shù)據(jù)庫審計系統(tǒng)分類

因為所有的數(shù)據(jù)操作都是在數(shù)據(jù)庫中進行的，所以要想審計業(yè)務(wù)操作的具

體情況，必須做數(shù)據(jù)庫層面的操作審計。常用的數(shù)據(jù)庫審計系統(tǒng)有兩類：

2.1.數(shù)據(jù)庫內(nèi)置的審計功能

這種審計系統(tǒng)利用數(shù)據(jù)庫本身內(nèi)置的審計功能，能夠?qū)徲嫿^大多數(shù)數(shù)據(jù)庫

操作。但是審計的細(xì)粒度很低，而且也很難還原SQL操作本身。比如：對于一

個數(shù)據(jù)刪除操作：DELETEFROMEMPWHEREDEPTNO=10；假設(shè)表EMP滿足

條件DEPTNO=10的記錄數(shù)有100條，那么在數(shù)據(jù)庫審計系統(tǒng)中會有100條

DELETE操作，而不是真正的SQL語句：DELETEFROMEMPWHERE

DEPTNO=10o并且大多數(shù)現(xiàn)有的數(shù)據(jù)庫無法準(zhǔn)確審計DDL語句，如：ALTER

TABLEXXXADD(col...),個別數(shù)據(jù)庫產(chǎn)品可以審計DDL語句，但是那都是靠創(chuàng)

建數(shù)據(jù)庫級別的觸發(fā)器實現(xiàn)的。

總之，這類基于數(shù)據(jù)庫產(chǎn)品本身的審計功能的審計系統(tǒng)的審計顆粒度和準(zhǔn)

確性都有限。而且由于數(shù)據(jù)庫產(chǎn)品本身的審計功能是基于數(shù)據(jù)庫引擎之上的，

所以會消耗生產(chǎn)數(shù)據(jù)庫系統(tǒng)本身的資源。如果全部打開所有會話的所有數(shù)據(jù)庫

操作審計，其生產(chǎn)數(shù)據(jù)庫系統(tǒng)的CPU資源會有15%?30%的額外消耗。所以，

如果是使用這類數(shù)據(jù)庫審計系統(tǒng)，通常只是有S的地針對個別數(shù)據(jù)或操作進行

審計，不會審計整個業(yè)務(wù)數(shù)據(jù)庫中所有的操作。

2.2.外置旁路模式的數(shù)據(jù)庫審計系統(tǒng)

外置旁聽模式的數(shù)據(jù)庫審計系統(tǒng)是一個獨立于生產(chǎn)數(shù)據(jù)庫的系統(tǒng)，其工作

原理是通過網(wǎng)絡(luò)旁聽模式監(jiān)聽并收集所有客戶端發(fā)送到生產(chǎn)數(shù)據(jù)庫中的網(wǎng)絡(luò)

包，然后在審計系統(tǒng)內(nèi)部將這些網(wǎng)絡(luò)包進行解包還原里面的操作命令(即SQL

語句)。將SQL語句捕獲下來后，存入到數(shù)據(jù)庫審計系統(tǒng)中，然后再根據(jù)用戶

設(shè)置條件進行告警或生成報告。相對于基于數(shù)據(jù)庫產(chǎn)品自帶的審計功能，外置

旁聽模式的數(shù)據(jù)庫審計系統(tǒng)有以下幾點優(yōu)勢：不占用生產(chǎn)系統(tǒng)的任何系統(tǒng)資

源，由于是基于網(wǎng)絡(luò)旁聽的模式，所有的審計操作均是在審計系統(tǒng)上進行的，

所以不會占用生產(chǎn)數(shù)據(jù)庫系統(tǒng)的系統(tǒng)資源；能夠準(zhǔn)確還原SQL語句，因為所有

的從客戶端發(fā)往數(shù)據(jù)庫服務(wù)器的SQL語句都是通過TCP/IP網(wǎng)絡(luò)發(fā)出的，如果

第4頁共7頁

把這些TCP/IP網(wǎng)絡(luò)包捕獲下來，按照相應(yīng)的數(shù)據(jù)庫產(chǎn)品網(wǎng)絡(luò)包格式進行解

析，原則上可以得到所有的SQL語句代碼。所以，網(wǎng)絡(luò)旁聽模式的數(shù)據(jù)庫審計

產(chǎn)品不僅能夠?qū)徲婦ML操作，還能夠很好地審計數(shù)據(jù)查詢操作以及DDL操

作；有良好的用戶界面，能夠根據(jù)用戶需求定制告警條件，并且可以通過黑白

名單方式減少日常告警數(shù)量。

目前，在醫(yī)院信息系統(tǒng)中，多數(shù)使用的是這類網(wǎng)絡(luò)旁聽模式的數(shù)據(jù)庫審計

產(chǎn)品。不過，需要注意的是，如果用戶直接登錄上數(shù)據(jù)庫系統(tǒng)所在的操作系

統(tǒng)，或者直接在數(shù)據(jù)庫系統(tǒng)主機的控制臺上進行數(shù)據(jù)庫操作的話，是不會產(chǎn)生

數(shù)據(jù)庫網(wǎng)絡(luò)包的，此類網(wǎng)絡(luò)旁聽模式的數(shù)據(jù)庫審計系統(tǒng)是無法審計這些數(shù)據(jù)庫

操作的。因此，如果要很好地針對生產(chǎn)數(shù)據(jù)庫做全面的審計，不僅要部署網(wǎng)絡(luò)

旁聽模式的審計系統(tǒng)，還要結(jié)合堡壘機系統(tǒng)、桌面管理系統(tǒng)等。

3.內(nèi)置式數(shù)據(jù)庫審計運維

雖然內(nèi)置式的數(shù)據(jù)庫審計系統(tǒng)存在諸多不足，但是對于一些特定場景，比

如：僅僅監(jiān)控數(shù)據(jù)庫超級管理員的操作，或只想審計某個數(shù)據(jù)庫對象（表、序

列號等）的使用情況時，還是可以開啟數(shù)據(jù)庫產(chǎn)品內(nèi)置的審計功能的。對于內(nèi)

置式數(shù)據(jù)庫審計系統(tǒng)，要做好審計策略、審計對象、審計操作、審計范圍的取

舍，確保在不影響系統(tǒng)性能的前提下實現(xiàn)審計目標(biāo)。在日常運維時需要定期查

詢審計結(jié)果，及時發(fā)現(xiàn)敏感操作。

對于內(nèi)置式數(shù)據(jù)庫審計系統(tǒng)，由于審計結(jié)果是存放在數(shù)據(jù)庫主機中的，故

需要定時清理審計結(jié)果所占用的存儲空間。這個過程容易被數(shù)據(jù)庫管理員忽

視，無論是把審計記錄存放在數(shù)據(jù)庫中，還是存放在文件系統(tǒng)中，審計記錄占

用的空間往往會比數(shù)據(jù)庫管理員預(yù)想的要大。如果把審計記錄放在文件系統(tǒng)

中，當(dāng)審計的范圍大、顆粒度小，會產(chǎn)生大量的審計記錄小文件。這些數(shù)以萬

計的小文件會極大地影響文件系統(tǒng)的性能。如果對這些空間不加以清理，不僅

會因為空間爆滿而不再記錄新的審計記錄，而且可能會影響生產(chǎn)系統(tǒng)的文件系

統(tǒng)性能。所以必須定期清理存放審計記錄的空間。

4.旁路式數(shù)據(jù)庫審計運維

第5頁共7頁

4.1.監(jiān)控系統(tǒng)運行狀態(tài)

旁路數(shù)據(jù)庫審計系統(tǒng)是獨立于生產(chǎn)數(shù)據(jù)庫之外的系統(tǒng)，如果該審計系統(tǒng)出

現(xiàn)故障，不會影響生產(chǎn)數(shù)據(jù)庫的正常運行，但是不會再記錄客戶端發(fā)往生產(chǎn)數(shù)

據(jù)庫的SQL指令了。如果在此期間發(fā)生了數(shù)據(jù)庫安全事件，將無法查詢相應(yīng)時

間段的審計記錄。因此，要確保旁路審計系統(tǒng)處于正常工作狀態(tài)。按以下過程

確認(rèn)審計系統(tǒng)是正常的：

首先，登錄審計系統(tǒng)，檢查系統(tǒng)的運行情況。然后從自己的客戶端發(fā)出一

條SQL指令給生產(chǎn)數(shù)據(jù)庫。最后檢查審計系統(tǒng)是否檢查并記錄下剛剛發(fā)出的測

試SQL指令。如果最終能夠在審計系統(tǒng)上看到剛剛發(fā)出的測試用的SQL指令，

說明審計系統(tǒng)是運行正常的。

4.2.設(shè)定審計告警策略

網(wǎng)絡(luò)旁聽模式的審計系統(tǒng)會記錄所有的客戶端發(fā)往生產(chǎn)數(shù)據(jù)庫系統(tǒng)的SQL

代碼，并且不會對生產(chǎn)數(shù)據(jù)庫產(chǎn)生任何影響，所以不必設(shè)定審計范圍。但是需

要設(shè)定審計告警策略，即：針對哪些數(shù)據(jù)庫對象的哪些操作，審計系統(tǒng)會主動

發(fā)出告警信息。主動發(fā)送告警信息是網(wǎng)絡(luò)旁聽模式數(shù)據(jù)庫審計系統(tǒng)的一個重要

功能，這個功能使得數(shù)據(jù)庫管理員能夠在安全事件發(fā)生后較短時間內(nèi)被通知。

數(shù)據(jù)庫管理員需要在審計系統(tǒng)中設(shè)置需要對什么數(shù)據(jù)庫對象/表的何種操作（查

詢、修改、刪除）進行主動告警。

另外，還需要設(shè)置主動告警的方式。一般地，審計系統(tǒng)提供郵件和短信告

警。如果要設(shè)置郵件告警，需要在郵件系統(tǒng)中專門開通一個用以發(fā)送告警郵件

的信箱，然后設(shè)定SMTP的各種設(shè)置：SMTP服務(wù)器、端口以及接收方的郵件

地址等。短信告警設(shè)置比較簡單，只需要把接收方的手機號碼設(shè)好即可。

4.3.調(diào)整黑白名單

僅僅是設(shè)置審計告警策略還是不夠的，因為在實際運維過程中，滿足告警

條件的審計記錄