【正文】 靠。[4, 5]隨著企業(yè)和政府組織對(duì)數(shù)據(jù)庫(kù)安全意識(shí)的提高，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)也必然會(huì)由專業(yè)性、復(fù)雜性向易用性轉(zhuǎn)變，在滿足用戶需求的同時(shí)提高系統(tǒng)的友好性，降低系統(tǒng)操作的難度系數(shù)，以簡(jiǎn)潔直觀的方式展現(xiàn)審計(jì)結(jié)果。使用戶不必具備專門的數(shù)據(jù)庫(kù)和操作系統(tǒng)只是就能很好地操作審計(jì)系統(tǒng)。根據(jù)調(diào)查，市場(chǎng)上現(xiàn)有的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)大多不能很好的滿足這些條件，要么策略配置不夠靈活，要么自身安全性不高，要么在易用性和用戶友好性方面不盡人意等等。本文在調(diào)研了最終用戶對(duì)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的需求之后詳細(xì)分析了數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)應(yīng)該具有的功能，設(shè)計(jì)并實(shí)現(xiàn)了既滿足安全性要求又具有良好用戶體驗(yàn)的數(shù)據(jù)庫(kù)審計(jì)管理系統(tǒng)。 文獻(xiàn)綜述1980年P(guān). Anderson 在技術(shù)報(bào)告中提出安全審計(jì)蹤跡可以在計(jì)算機(jī)安全機(jī)制中發(fā)揮重要作用[6]，安全審計(jì)技術(shù)開始得到重視。1990年，Heberlein開發(fā)了一套網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)，該系統(tǒng)將網(wǎng)絡(luò)數(shù)據(jù)流作為審計(jì)數(shù)據(jù)的來(lái)源[7]，由此而衍生出了網(wǎng)絡(luò)旁聽技術(shù)。通過(guò)網(wǎng)絡(luò)旁聽收集審計(jì)源數(shù)據(jù)成為安全審計(jì)系統(tǒng)廣泛采用的途徑。此后數(shù)據(jù)庫(kù)審計(jì)迅速發(fā)展到通過(guò)解析SQL語(yǔ)句檢測(cè)入侵行為的階段，數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)等技術(shù)在入侵檢測(cè)領(lǐng)域得到了大量的應(yīng)用。Valeuret等人通過(guò)引入機(jī)器學(xué)習(xí)的方法，提出了利用機(jī)器學(xué)習(xí)的方法來(lái)檢測(cè)SQL攻擊的方法[8]，但是他們使用的方法針對(duì)的是WEB應(yīng)用程序這一特定的數(shù)據(jù)庫(kù)使用者，提出的框架和算法也都只能用于特定的WEB環(huán)境。其后，Kamra等人擴(kuò)展了Valeuret的方法，提出了用于一般環(huán)境的SQL攻擊檢測(cè)框架，通過(guò)利用貝葉斯極大似然估計(jì)來(lái)訓(xùn)練無(wú)指導(dǎo)的異常檢測(cè)模型[9]。他們對(duì)語(yǔ)法級(jí)數(shù)據(jù)庫(kù)的異常訪問(wèn)進(jìn)行了研究，他們將SELECT語(yǔ)句按語(yǔ)法解析成一個(gè)五元組（SQL命令，映射關(guān)系信息，映射屬性信息，選擇的關(guān)系信息，選擇的屬性信息），然后定義了三級(jí)粒度對(duì)日志文件進(jìn)行分析：第一級(jí)稱為Cquiplet，統(tǒng)計(jì)每條查詢對(duì)應(yīng)五元組中各項(xiàng)的參與數(shù)目；第二級(jí)稱為mquiplet，它除了統(tǒng)計(jì)出五元組中各項(xiàng)的個(gè)數(shù)，還進(jìn)一步統(tǒng)計(jì)了參與的關(guān)系和參與的屬性的個(gè)數(shù)；第三級(jí)稱為fquiplet，粒度進(jìn)一步細(xì)化，標(biāo)識(shí)出了各個(gè)屬性的參與情況。在現(xiàn)代關(guān)系數(shù)據(jù)庫(kù)中角色成為數(shù)據(jù)庫(kù)管理員對(duì)用戶進(jìn)行管理的主要手段，因此Kamra等人根據(jù)是否可以識(shí)別用戶角色建立了兩種檢測(cè)方法。對(duì)基于用戶角色的異常檢測(cè)，首先使用分類算法將日志中記錄的SQL語(yǔ)句進(jìn)行分類，建立分類器。當(dāng)新來(lái)一條查詢時(shí)，判斷查詢屬于哪一個(gè)分類，如果該分類的包含角色與用戶的角色不一致，則認(rèn)為是異常訪問(wèn)。對(duì)于基于用戶個(gè)體的異常檢測(cè)，首先使用聚類算法對(duì)日志中的SQL語(yǔ)句進(jìn)行聚類并作為分類器。當(dāng)新來(lái)一條查詢時(shí)判斷用戶屬于哪一個(gè)聚類，如果用戶執(zhí)行的SQL語(yǔ)句不在該聚類的范圍內(nèi)則認(rèn)為是異常訪問(wèn)。2010年，Sunu Mathew等人在此基礎(chǔ)上從語(yǔ)義層面對(duì)異常檢測(cè)進(jìn)行了研究[10]。他們根據(jù)查詢的關(guān)系和屬性建立語(yǔ)義向量，采用機(jī)器學(xué)習(xí)的方法對(duì)語(yǔ)義向量進(jìn)行分類或聚類建立檢測(cè)模型。在該方法中建立語(yǔ)義向量需要執(zhí)行查詢獲得結(jié)果集，這會(huì)在一定程度上加重?cái)?shù)據(jù)庫(kù)負(fù)擔(dān)，影響性能。Yi Hu等人提出基于數(shù)據(jù)庫(kù)事物日志挖掘數(shù)據(jù)更改過(guò)程中的數(shù)據(jù)讀寫的依賴關(guān)系的思想[11]，例如SQL語(yǔ)句UPDATE TABLE1 set x = a+b+c where d=90。在更改x屬性時(shí)需要讀取a、b、c和d四個(gè)屬性的值。Yi Hu首先利用規(guī)則挖掘的算法(AprioriAll等)挖掘事物日志中讀寫操作的依賴關(guān)系和支持度，然后過(guò)濾掉只有單一操作和只包含一系列讀操作的事物，最后生成數(shù)據(jù)依賴規(guī)則并計(jì)算相應(yīng)的信度，當(dāng)信度達(dá)到設(shè)置的閾值時(shí)則加入正常規(guī)則庫(kù)，入侵檢測(cè)階段當(dāng)對(duì)數(shù)據(jù)庫(kù)更新的事物不符合正常規(guī)則庫(kù)中的規(guī)則就認(rèn)為是惡意事務(wù)。Amlan Kundu等人[12]通過(guò)建立不同粒度的輪廓（用戶級(jí)、角色級(jí)、組織級(jí)）分析事務(wù)日志提高了檢測(cè)系統(tǒng)的靈活性，并提出使用序列比對(duì)的方法進(jìn)行基于異常的入侵檢測(cè)，可以有效地檢測(cè)事務(wù)內(nèi)和事務(wù)間的入侵特征。由于數(shù)據(jù)庫(kù)的正常行為和異常行為的界限往往是不夠清晰的，Panigrahi等人建立了使用“兩階段模糊系統(tǒng)”的數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)[13]，他們利用模糊邏輯收集來(lái)實(shí)現(xiàn)靈活的信度計(jì)算和平滑區(qū)分真實(shí)用戶的突發(fā)行為與入侵行為。系統(tǒng)首先使用序列比對(duì)和時(shí)空異常檢測(cè)兩種方法來(lái)選擇當(dāng)前事務(wù)與正常模式距離的度量規(guī)則，然后使用兩階段模糊系統(tǒng)計(jì)算信度，系統(tǒng)中還引入了貝葉斯推理進(jìn)行動(dòng)態(tài)學(xué)習(xí)，模糊邏輯的使用使系統(tǒng)達(dá)到了較高的實(shí)驗(yàn)結(jié)果(低于5%的誤報(bào)率)。Lee等人提出了一種實(shí)時(shí)數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)的方法[14]，通過(guò)觀察事務(wù)級(jí)數(shù)據(jù)庫(kù)行為來(lái)檢測(cè)入侵，他們使用一種需要定時(shí)更新的臨時(shí)數(shù)據(jù)對(duì)象，當(dāng)更新過(guò)程中出現(xiàn)不匹配的情況時(shí)就產(chǎn)生報(bào)警。曹忠升等人提出并行的結(jié)構(gòu)來(lái)同步進(jìn)行數(shù)據(jù)庫(kù)誤用和異常的檢測(cè)[15]，一旦發(fā)現(xiàn)數(shù)據(jù)庫(kù)行為是入侵行為則退出本次行為的檢測(cè)活動(dòng)，這樣可以在一定程度上提高檢測(cè)系統(tǒng)的性能。為了解決信息隊(duì)列動(dòng)態(tài)遞增的問(wèn)題，他們使用的滑動(dòng)窗口的思想。陳月璇在她的數(shù)據(jù)審計(jì)系統(tǒng)中提出了基于啟發(fā)式分析的入侵檢測(cè)模型[16]，在模型中首先對(duì)SQL語(yǔ)句進(jìn)行標(biāo)準(zhǔn)化處理，去掉注釋、空白符等不必要的符號(hào)。并定義公式：F = A1 * EndComment + A2 * UNION + A3 * ORTautology + A4 * TSQC + A5 * Shellcode + A6* VulnerabilitySP + A7 * GrantDBA + A8 * NASP + A9 * NSNUP + A10 *SensitiveField，其中Ai滿足A1 + A2 + … + A10 = 1。并設(shè)定A1到A2的值以及判斷正常行為模式的閾值，當(dāng)F值超過(guò)閾值時(shí)則認(rèn)為是正常行為，添加到正常用戶行為的規(guī)則庫(kù)中。一個(gè)完整的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)需要有兩部分組成：數(shù)據(jù)收集和入侵檢測(cè)。作為入侵檢測(cè)的數(shù)據(jù)來(lái)源，數(shù)據(jù)收集的途徑、格式、結(jié)構(gòu)等也有了大量的研究。Huang Qiang提出了一個(gè)應(yīng)用于數(shù)據(jù)庫(kù)審計(jì)的日志采集框架[17]，其通過(guò)數(shù)據(jù)包抓取、協(xié)議解析和語(yǔ)義分析得到用戶訪問(wèn)數(shù)據(jù)庫(kù)的語(yǔ)義級(jí)日志，為入侵檢測(cè)提供了方便有效的數(shù)據(jù)來(lái)源。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)除了能夠?qū)χ付〝?shù)據(jù)庫(kù)進(jìn)行安全審計(jì)，及時(shí)發(fā)現(xiàn)入侵行為，還需要保證自身安全。根據(jù)國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法》[18]中對(duì)審計(jì)系統(tǒng)自身安全的要求，系統(tǒng)應(yīng)該提供基于角色的訪問(wèn)控制?；诮巧脑L問(wèn)控制（RoleBased Access Control, RBAC）的核心思想是將權(quán)限賦給角色，而不是直接賦給用戶。通過(guò)對(duì)用戶賦予不同的角色而使用戶獲得該角色所擁有的權(quán)限。角色是根據(jù)任務(wù)的不同需要而設(shè)定的，角色限定了能夠訪問(wèn)的對(duì)象的范圍，與權(quán)限之間通常是多對(duì)多的關(guān)系。基于角色的訪問(wèn)控制具有較低的管理復(fù)雜度，能夠提供更多的訪問(wèn)控制策略的制定。David K. 早在1992年就提出了基于角色的訪問(wèn)控制的概念[19]。定義了用戶、角色和權(quán)限之間的關(guān)系，并提出了“最少權(quán)限”和“任務(wù)獨(dú)立”的原則。根據(jù)顏學(xué)雄的研究，RBAC模型可以分為四種級(jí)別：FlatRBAC、分層RBAC、受限RBAC、對(duì)稱RBAC，[20]這四種級(jí)別在1996年 Sandhu, R S 建立了基于角色的訪問(wèn)控制模型[21]中首次提出，在Sandhu的模型中，以用戶集、角色集、權(quán)限集以及會(huì)話之間的關(guān)系構(gòu)成了基本的訪問(wèn)控制模型（RBAC0）：每個(gè)會(huì)話都有一個(gè)用戶發(fā)起，一個(gè)用戶可以擁有多個(gè)角色，用戶只能訪問(wèn)這些角色擁有的權(quán)限。在第二個(gè)模型（RBAC1）中，作者定義了角色等級(jí)，不同等級(jí)的角色之間可以存在繼承關(guān)系。例如，在一個(gè)項(xiàng)目中，測(cè)試工程師和開發(fā)工程師都是項(xiàng)目成員，他們既有相同的一部分權(quán)限，也有不同的權(quán)限。把相同權(quán)限賦給項(xiàng)目成員，而測(cè)試工程師和開發(fā)工程師都繼承項(xiàng)目成員的角色，構(gòu)成了基本的角色等級(jí)。這既保證了“最少權(quán)限”原則，又增加了角色管理的靈活性。在第三個(gè)模型(RBAC2)中，作者定義了約束條件，對(duì)用戶、角色甚至權(quán)限增加控制，可以控制權(quán)限濫用。最后作者提出了陣對(duì)RBAC的管理模型，為管理人員維護(hù)RBAC模型提供了方便。在管理模型中，內(nèi)置了授權(quán)約束：普通權(quán)限只能授給普通角色；管理權(quán)限只能授予管理角色。實(shí)現(xiàn)了系統(tǒng)角色和管理角色的權(quán)力分立，通過(guò)內(nèi)置的授權(quán)約束避免了管理角色的權(quán)限濫用。Moyer 等人提出了一種泛化的角色訪問(wèn)控制模型[22]，將角色分為目標(biāo)角色、對(duì)象角色和環(huán)境角色。目標(biāo)角色與傳統(tǒng)角色訪問(wèn)控制中的角色相同，對(duì)象角色根據(jù)訪問(wèn)對(duì)象的屬性劃分，用以根據(jù)訪問(wèn)對(duì)象的屬性控制用戶的訪問(wèn)權(quán)限。環(huán)境角色則是根據(jù)系統(tǒng)環(huán)境（比如系統(tǒng)時(shí)間等）劃分的角色這三類角色可以提供更加靈活、豐富的權(quán)限管理策略。 國(guó)內(nèi)外產(chǎn)品概述2009年11月IBM收購(gòu)數(shù)據(jù)庫(kù)安全軟件Guardium，并在2010年首度發(fā)布升級(jí)產(chǎn)品InfoSphere Guardium 8[23]。Guardium通過(guò)安裝在數(shù)據(jù)庫(kù)服務(wù)器上的輕量軟件探測(cè)器連續(xù)的監(jiān)視數(shù)據(jù)庫(kù)事務(wù)，并轉(zhuǎn)發(fā)給Collector探測(cè)違規(guī)訪問(wèn)。Guardium使用統(tǒng)一的Web控制臺(tái)和工作流自動(dòng)化系統(tǒng)管理數(shù)據(jù)庫(kù)安全性。提供的功能包括數(shù)據(jù)庫(kù)掃描與評(píng)估、檢測(cè)數(shù)據(jù)庫(kù)事務(wù)、跟蹤用戶活動(dòng)、監(jiān)控敏感數(shù)據(jù)、審計(jì)用戶行為、非法訪問(wèn)自動(dòng)阻斷、復(fù)雜但靈活的審計(jì)報(bào)表等功能。Guardium支持網(wǎng)絡(luò)端口鏡像SPAN方式和在數(shù)據(jù)庫(kù)服務(wù)器安裝軟件STAP（STAP/SGATE，SGATE可以對(duì)非法訪問(wèn)進(jìn)行實(shí)時(shí)阻斷）方式部署，以網(wǎng)絡(luò)旁路的方式工作于數(shù)據(jù)庫(kù)主機(jī)所在的網(wǎng)絡(luò)。Guardium具有自主學(xué)習(xí)能力，能夠分析用戶的訪問(wèn)習(xí)慣，根據(jù)訪問(wèn)習(xí)慣發(fā)現(xiàn)異常行為。除了發(fā)現(xiàn)入侵行為，它還能夠根據(jù)指定的訪問(wèn)源或用戶行為進(jìn)行阻斷。它采用獨(dú)立的硬件平臺(tái)，避免了影響數(shù)據(jù)庫(kù)本身的性能。此外提供相關(guān)配套上市法律法規(guī)（如SOX薩班斯法案、DATA PRIVACY隱私保護(hù)法規(guī)、HIPPA、PCI、Basel II、ISO1779ISO25001等）遵從的審計(jì)模塊，可以生成各種合規(guī)性報(bào)告。Imperva SecureSphere 是全球數(shù)據(jù)安全的領(lǐng)導(dǎo)廠商Imperva推出的數(shù)據(jù)安全和法規(guī)遵從解決方案[24]。Imperva支持非在線網(wǎng)絡(luò)監(jiān)控、透明的在線保護(hù)、基于代理的監(jiān)控三種部署方式。非在線網(wǎng)絡(luò)監(jiān)控采用旁路監(jiān)聽技術(shù)，提供對(duì)數(shù)據(jù)庫(kù)性能和可用性零影響的活動(dòng)監(jiān)控。透明的在線保護(hù)采用嵌入式部署，可以適時(shí)過(guò)濾和阻斷非法互動(dòng)?；诖淼谋O(jiān)控以軟件代理的形式監(jiān)控特許的活動(dòng)和網(wǎng)絡(luò)流量。Imperva通過(guò)Web控制臺(tái)對(duì)系統(tǒng)進(jìn)行控制，從而實(shí)現(xiàn)跨平臺(tái)、跨地域的數(shù)據(jù)庫(kù)安全管理。提供的主要功能有：1）數(shù)據(jù)庫(kù)評(píng)估，檢測(cè)數(shù)據(jù)庫(kù)漏洞，并以虛擬方式進(jìn)行修補(bǔ)。評(píng)估數(shù)據(jù)庫(kù)用戶權(quán)限，統(tǒng)計(jì)數(shù)據(jù)庫(kù)用戶對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)情況；2）數(shù)據(jù)庫(kù)監(jiān)控和審計(jì)：詳細(xì)記錄審計(jì)結(jié)果，以及審計(jì)系統(tǒng)運(yùn)行狀態(tài)，采用大量的過(guò)濾條件提供靈活的審計(jì)結(jié)果分析報(bào)表；3）數(shù)據(jù)庫(kù)安全報(bào)表：提供靈活的模板控制，生成合規(guī)性審計(jì)報(bào)告等。DBProtect是Application Security公司推出的數(shù)據(jù)庫(kù)安全保護(hù)解決方案[25]。Application Security公司建立了龐大的知識(shí)庫(kù)SHATTER，用于支持?jǐn)?shù)據(jù)庫(kù)脆弱性檢測(cè)和非法訪問(wèn)監(jiān)控。DBProtect能夠自動(dòng)發(fā)現(xiàn)域內(nèi)的所有數(shù)據(jù)庫(kù)服務(wù)器，掃描數(shù)據(jù)庫(kù)漏洞，并通過(guò)最小的訪問(wèn)權(quán)限分析數(shù)據(jù)庫(kù)的用戶權(quán)限。以此評(píng)估數(shù)據(jù)庫(kù)的安全性。DBProtect通過(guò)用戶定義的策略配置需要監(jiān)控和審計(jì)的數(shù)據(jù)庫(kù)安全規(guī)則，分析并生成審計(jì)報(bào)告。DBProtect采用Web控制臺(tái)對(duì)系統(tǒng)進(jìn)行控制，主要功能有：資產(chǎn)管理，自動(dòng)掃描域內(nèi)的數(shù)據(jù)庫(kù)服務(wù)器；脆弱性管理，利用知識(shí)庫(kù)SHATTER定時(shí)掃描數(shù)據(jù)庫(kù)漏洞，并自動(dòng)發(fā)送掃描結(jié)果報(bào)告；權(quán)限管理，分析數(shù)據(jù)庫(kù)用戶的權(quán)限授予情況和特權(quán)用戶分布情況等，協(xié)助管理員判斷數(shù)據(jù)庫(kù)權(quán)限分配是否安全；審計(jì)和風(fēng)險(xiǎn)管理，定制審計(jì)策略、報(bào)警管理、適時(shí)監(jiān)控、系統(tǒng)設(shè)置等；分析和報(bào)告，對(duì)審計(jì)結(jié)果進(jìn)行分析并提供豐富的選項(xiàng)靈活生成審計(jì)報(bào)告。杭州安恒信息技術(shù)有限公司的明御174。數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)（簡(jiǎn)稱：DASDBAuditor）是安恒信息自主研發(fā)的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品[26]。系統(tǒng)提供細(xì)粒度的數(shù)據(jù)庫(kù)行為審計(jì)，能夠準(zhǔn)確回溯數(shù)據(jù)庫(kù)行為，全方位地控制數(shù)據(jù)庫(kù)業(yè)務(wù)安全。系統(tǒng)使用旁路監(jiān)聽的方式記錄數(shù)據(jù)庫(kù)用戶對(duì)數(shù)據(jù)庫(kù)服務(wù)器所做的各種操作。通過(guò)對(duì)操作日志庫(kù)的查詢、分析、統(tǒng)計(jì)，實(shí)現(xiàn)對(duì)目標(biāo)數(shù)據(jù)庫(kù)系統(tǒng)的用戶操作的監(jiān)控和審計(jì)。系統(tǒng)使用C/S架構(gòu)，用戶必須通過(guò)在終端安裝客戶端使用系統(tǒng)，使系統(tǒng)的跨平臺(tái)、跨地域管理性受到限制。另外，系統(tǒng)只提供內(nèi)置的審計(jì)報(bào)告。北京思福迪(SAFETY) 信息技術(shù)有限公司的“LOGBASE 日志管理綜合審計(jì)系統(tǒng)”，是其擁有自主知識(shí)產(chǎn)權(quán)的國(guó)內(nèi)唯一的數(shù)據(jù)庫(kù)運(yùn)行安全與合規(guī)性管理的整體解決方案[27]。其客戶包括政府機(jī)關(guān)、電信運(yùn)營(yíng)商、金融機(jī)構(gòu)、安全評(píng)測(cè)機(jī)構(gòu)等。LOGBASE采用旁路監(jiān)聽的模式記錄所有的數(shù)據(jù)庫(kù)行為，并對(duì)其進(jìn)行審計(jì)，生成合規(guī)性報(bào)告。記錄所有的數(shù)據(jù)庫(kù)行為造成巨大的數(shù)據(jù)存儲(chǔ)壓力，而且記錄的數(shù)量受到存儲(chǔ)設(shè)備空間的限制。當(dāng)存儲(chǔ)空間不足時(shí)系統(tǒng)不再記錄新的數(shù)據(jù)庫(kù)行為成為L(zhǎng)OGBASE的硬傷。另外，LOGBASE自行分析各個(gè)數(shù)據(jù)庫(kù)協(xié)議，尤其對(duì)Oracle數(shù)據(jù)庫(kù)的SQL語(yǔ)句中的綁定變量不能很好地支持，也是LOGBASE的一個(gè)重大缺陷。在下表中，我們對(duì)Imperva、LOGBASE和明御三個(gè)產(chǎn)品進(jìn)行了詳細(xì)比較： 數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品比較表LOGBASE明御Imperva系統(tǒng)平臺(tái)Linux/Linux 數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品比較表LOGBASE明御Imperva工作模式旁路監(jiān)聽旁路監(jiān)聽旁路監(jiān)聽、網(wǎng)絡(luò)串聯(lián)記錄方式記錄全部行為根據(jù)用戶需要查找全部記錄設(shè)置審計(jì)規(guī)則，只記錄符合規(guī)則的內(nèi)容協(xié)議來(lái)源自行分析自行分析數(shù)據(jù)庫(kù)廠商提供數(shù)據(jù)庫(kù)漏洞評(píng)估無(wú)無(wú)有權(quán)限評(píng)估無(wú)無(wú)有規(guī)則配置選擇內(nèi)置規(guī)則選擇內(nèi)置規(guī)則+用戶定義配置策略+用戶自定義記錄數(shù)量受存儲(chǔ)限制至少保持3個(gè)月7千萬(wàn)條/規(guī)則記錄內(nèi)容粗粒度細(xì)粒度細(xì)粒度數(shù)據(jù)庫(kù)性能監(jiān)控不支持不支持支持分析功能不能進(jìn)行分類分析不能進(jìn)行分類分析可進(jìn)行詳細(xì)分析報(bào)告內(nèi)置內(nèi)置內(nèi)置+