等保2.0下,安全審計技術大起底
1等保2.0關于安全審計的規定
等保2.0標準在2019年5月正式發布,將于2019年12月開始實施。等保2.0標準中對安全審計做了詳細要求,下面表格中列出了等保2.0對安全審計的技術要求,黑色字體表示是針對上一安全級別增強的要求。
在等級保護體系中,級別越高,對安全性要求
越高。在“附錄C(規范性附錄)等級保護安全框架和關鍵技術使用要求”中,特殊強調應在較高級別等級保護對象的安全建設和安全整改中注重使用一些關鍵技術,其中包含審計追查技術:“應立足于現有的大量事件采集、數據挖掘、智能事件關聯和基于業務的運維監控技術,解決海量數據處理瓶頸,通過對審計數據快速提取,滿足信息處理中對于檢索速度和準確性的需求;同時,還應建立事件分析模型,發現高級安全威脅,并追查威脅路徑和定位威脅源頭,實現對攻擊行為的有效防范和追查。”
等保2.0中主要在安全區域邊界、安全計算環境和安全管理中心的要求中提到審計要求。安全區域邊界的審計內容主要指網絡和設備的重要安全事件、用戶行為等;安全計算環境的審計內容主要是用戶行為、安全事件、主客體的訪問行為等;管理中心的審計內容主要指管理員的各種操作日志。在“工業控制系統安全擴展要求”中,專門指出:“控制設備自身應實現相應級別安全通用要求提出的身份鑒別、訪問控制和安全審計等安全要求,如受條件限制控制設備無法實現上述要求,應由其上位控制或管理設備實現同等功能或通過管理手段控制”。安全審計是我們大多數人都很熟悉的安全技術,平常大家耳熟能詳的權限分配時的“三權分立”原則,通常就是指系統管理員、業務操作員、審計管理員。很多廠家關于“三權分立”的實現和解釋都不一致,但是審計員的角色和職責都相對比較明確。等保2.0的“安全管理機構”中,明確要求:“應設立系統管理員、審計管理員和安全管理員等崗位,并定義部門及各個工作崗位的職責。……應配備一定數量的系統管理員、審計管理員和安全管理員等”。
2安全審計的基本概念
在討論信息領域的安全審計之前,我們先來了解一下審計的歷史和概念。審計的歷史非常悠久,我國從西周時期就存在專門從事審計工作的部門,一直延續至今,現在各個體制的國家機構中都存在審計部門。我國審計部門的歷史發展如下表所示:
審計的主要目的是檢查人的行為、資源的分配、事情的發展是否符合規范要求。按照現代偵查學理論,“犯罪必留痕跡”——這也從另一方面論證了審計的價值,只要違反了法律或規范,一定會留下相關證據,就應該可以審計出來。合規性檢查也隱藏著審計的一個潛在前提,即審計必須基于預定的規范標準,如果沒有規范標準,也就無從審計。審計的核心特征是獨立性,主要表現為機構獨立、人員獨立、工作獨立、經濟獨立。獨立性是審計工作順利開展的基礎,有了獨立性,才能保證審計的權威性、公正性。審計的過程就是收集、整理和分析審計證據的過程,審計證據可能是過往文件、書信、賬薄、人員名單等各種材料。審計的證據必須真實可靠、完整充分,證據是審計的基石,審計的整個過程就是圍繞著證據展開,首先根據審計的目的,選擇合適的證據;然后整理分析所有采集的證據,找出其中的關聯和脈絡;最后給出分析結論。審計的職能是監督、鑒證和評價。監督,即監控某個項目或某個人的運作行為是否合法合規,可及時提醒告誡;鑒證,即為某種目的提供事實證據或證明,鑒證結果可能是一個證明報告;評價,即對某件事、某個部門或某個人進行評價,評價結果可能是合格、優秀、不合規等。前一段時間熱播的電視劇《長安十二時辰》中,靖安司(這是小說中虛構的一個機構)的徐賓發明的“大案牘術”很是火了一把。靖安司匯聚了唐朝全國的卷宗,“大案牘術”就是利用這些卷宗中的各種記錄和數字,通過對紛繁復雜的文卷進行分析,從蛛絲馬跡中抽絲剝繭,能找到矛盾點,準確推斷事情的真相,成為處理事務的殺手锏。比如通過對懷遠坊的人員戶籍對比,發現有一個人數據異常。他是新來的租戶,名叫龍波,還帶來了一個女人。而這個龍波,恰恰是恐怖行動的關鍵人物。所以本質上講,“大案牘術”就是基于大數據的審計系統。
現在我們回頭再來看等保2.0中提到的安全審計,其本質是針對信息系統的審計,和傳統的審計概念一脈相承,主要體現在:◇ 主要目的不變,仍然是合規性檢查。具體講就是通過數據分析,檢查用戶行為、進程行為、通信行為、系統運行等是否符合相關規范要求。◇ 核心特征不變,仍然是獨立性。具體講就是審計角色獨立、審計賬號獨立、審計工作獨立、審計設備/系統獨立。◇ 審計過程不變,仍然是收集、整理和分析審計證據的過程,區別在于審計證據變為數字證據,即日志、事件、報文等。信息系統的發展導致了大量的信息數據,包括各種操作日志、流量日志、原始報文、會話日志等,證據收集相對比較簡單。因為這些證據來源不同、格式不同、用途不同、數量巨大,所以針對信息系統的安全審計,核心難點和關鍵技術是大數據的整理和分析技術。◇ 審計職能不變,仍然是監督、鑒證和評價。具體講,監督就是實時監控系統運行或人員行為等,及時發現異常狀況產生告警,比如;鑒證就是提供數字證據,防止抵賴,比如提供入侵攻擊事件的證據;評價就是分析研判系統運行和用戶行為的合規性,提供審計報表。隨著技術的發展,預測也逐漸發展成為審計的輔助職能。
所以,安全審計就是收集和記錄信息系統的各種日志、事件和流量信息,對這些信息進行比較分析,檢查用戶或系統是否按照要求正常運行的工作過程。
3安全審計主要技術
3.1 安全審計通用架構
安全審計系統本質是一個數據采集處理系統,包括采集、處理、分析、存儲、查詢等過程,其中審計數據分析是核心功能點。
3.2 數據采集與處理技術
數據采集技術有多種形式,每種技術都有其優缺點,很多審計場景是綜合采用多種技術來采集數據。數據采集技術的分析如下表所示:
數據處理也分多個步驟,一般順序是數據過濾、數據去重、數據范化。數據過濾是接收到審計數據后的第一步工作,主要目的是基于審計要求和審計目的,去除不相干的數據,保留必要的數據。比如日志上報和原始報文解析,一般都會有大量無關的數據信息,這些數據如果進入后續的處理流程,將極大的增加后續的處理壓力。數據過濾一般使用的技術:1、按某個字段過濾,比如某個IP地址;2、按某個類型過濾,比如某種日志類型;3、按正則表達式過濾,適用于字符串類型的文本信息。數據去重是指去重重復的數據,一般方案是對重復數據計數后只記錄統計數字,不需要記錄原始的大量重復數據,也是為了減少后續流程的處理壓力。數據去重一般使用內存計算、哈希校驗等相關計數。數據范化是指對數據進行規范化處理,同類數據格式統一、含義一致。原始采集的數據來自各個不同的設備和系統,數據格式多種多樣,為了方便后續的存儲和統計分析,才需要進行數據范化的工作。數據范化一般使用內存計算,采用字段映射、字段拆分、字段合并等方法使得數據格式統一、含義一致。
3.3 數據存儲與備份技術
審計數據格式多種多樣,可能是文件(比如圖片、或其他上傳的文件)、結構化數據、非結構數據,需要采樣不同的存儲技術。早期的審計產品主要以文件和關系數據庫為存儲載體,近些年隨著非關系數據庫和大數據技術的發展,大部分審計產品都會融合使用這些技術。
存儲技術如下表說明:
數據備份不等同于雙機熱備或容災系統,這些概念一定要區分開。雙機熱備或容災系統的目的在于保證系統數據和業務服務的“在線性”,即當系統發生故障時,仍然能夠正常地向網絡系統提供數據和服務,以使系統業務不致停頓。雙機熱備和容災系統中,但是如果一個節點誤刪除了數據,也會同步到另一個節點,即大家一起犯錯,無法恢復。數據備份則可以糾正這種錯誤,數據備份按照一定的策略,定期把數據存儲到獨立的設備或介質上,比如硬盤或磁帶、光盤等,能確保這些數據的可靠性。如果系統的數據存儲發生故障,可以恢復到某一個歷史時間點。數據備份的根本目的是歷史留存和重新利用,所以對于審計系統來說,數據備份是必不可少的重要組成部分。數據備份都會涉及三種備份策略:全量備份、增量備份、差量備份,一般需要綜合使用。三種策略的主要區別如下:
3.4 數據快速查詢技術
快速準確檢索到符合要求的數據是審計系統的基本要求,直接對應審計三大職能中的“鑒證”,也是“監督”和“評價”的基礎。隨著數據量的增大,查詢性能一般都會越來越慢,甚至急劇下降,各個廠商的審計產品在使用過程中都會遇到查詢性能問題。大家知道,計算機體系結構中,數據主要保存在硬盤上,而硬盤的存取速度要遠遠落后于內存,內存的存取速度又遠遠落后于高速緩存。所以數據快速查詢技術的關鍵點都在于減少硬盤操作時間,盡量使用內存操作。目前查詢性能優化方案可以分為2類:1、硬件方案,即更換機械硬盤為SSD固態硬盤,增加內存。機械硬盤的主要結構是一個高速旋轉的盤片和在盤片上來回讀寫數據的磁頭,而固態硬盤則是以電子存儲的方式來儲存數據的,完全減去了旋轉尋道的操作,也就極大的減少了硬盤操作時間。另外,目前主流的64位操作系統和數據庫都支持幾乎無限的內存,增大內存后,就可以把大批的數據轉移到內存進行處理,速度會有明顯提升。這個方案主要是花錢,然后調整一下數據庫的參數配置,但是效果非常好,可以立竿見影看到成效。2、軟件方案,即優化數據結構和算法。這是最體現碼農價值的方案,好的數據結構和算法,能達到事半功倍的效果。下面我們主要討論這一類的查詢優化技術。前面提到,所有查詢技術的關鍵點都在于“減少硬盤操作時間,盡量使用內存操作”,但是數據量這么大,又不可能都放到內存中,怎么解決這個問題呢?答案就是“索引”——目前所有的數據庫在數據查詢方面最主要的武器都是索引。數據庫索引就類似一本書的目錄,能幫助我們快速找到相應的數據,是加速查詢操作的輔助文件結構。傳統的查詢方法,是按照表的順序遍歷的,不論查詢幾條數據,都需要將表的數據從頭到尾遍歷一遍。添加完索引之后,一般通過Hash、B-Tree或其他算法生成一個索引文件,在查詢數據庫時,首先通過索引文件進行查找,哈希或折半查找等算法可以大幅提升查詢效率,找到相應的鍵從而獲取數據。比如,MySQL支持的2種主要的索引結構如下圖所示:
從該圖中可以看到,InnoDB引擎支持的聚簇索引,依靠索引找到主鍵Key,再根據Key找到對應的原始數據;MyISAM引擎支持的非聚簇索引,則直接依靠索引就找到了原始數據。
數據文件很大,但是索引相對就小很多。但是,索引并不像大家想象那么小,下圖就是一個實驗表(MySQL數據庫,InnoDB引擎)的數據和索引的實際大小:
所以,不能因為索引能提升查詢效率就猛建索引,索引在提升查詢性能的同時,也會帶來一些問題:◇ 索引會降低更新表的速度,如對表進行INSERT、UPDATE和DELETE。因為更新表時,MySQL不僅要保存數據,還要保存一下索引文件。◇ 索引會占用磁盤空間,一般情況這個問題不太嚴重,但如果你在一個大表上創建了多種組合索引,索引文件的會膨脹很快。另外,即使建立了索引,也不能保證就可以提升查詢性能,索引必須和SQL語句正確配合才能發揮應有的作用。有些場景下索引會失效,主要失效場景如下:◇ 如果列的值為NULL,或者SQL語句使用IS NULL或者IS NOT NULL,將導致索引失效。◇ 在一個SQL語句中,索引只能使用一次,如果在Where中使用了,那么在Order By中就會失效。◇ 在LIKE操作中,'%aaa%'匹配不會使用索引,但是‘aaa%’可以使用索引。◇ 在索引的列上使用表達式或者函數會使索引失效。◇ 在查詢條件中使用<、>和!=會導致索引失效。◇ 在查詢條件中使用OR連接多個條件會導致索引失效,除非OR鏈接的每個條件都加上索引,這時應該改為兩次查詢,然后用UNION ALL連接起來。◇ 在Order By中不要多列排序。
上述所講的索引主要是針對關系數據庫,審計系統的數據很多是非結構化數據,很多文檔和日志都屬于長字符串,字符串模糊匹配是數據查詢很常見的場景,同時也是查詢效率最低的查詢類型。針對這種長字符串的搜索,很多關系數據庫廠商推出了全文搜索引擎,其核心技術是“倒排索引”(inverted index)。倒排索引是一種索引方法,其基本原理是建立單詞到文檔的索引。倒排索引并不是關系數據庫廠商的發明,最早應用于搜索引擎,目前所有的搜索引擎都采用了這種技術,可以稱為搜索引擎的基石。倒排索引結構示例圖如下:
有了倒排索引,就可以根據用戶輸入的查詢詞快速找到對應的文檔,而不需要在文檔中遍歷查找,極大的加快了查詢速度。倒排索引非常適合信息系統安全審計方面的數據查詢,主要原因:◇ 審計數據量大、格式多樣,很難統一格式化。這意味著傳統的關系數據庫索引不足以支撐審計數據的查詢。◇ 審計數據的屬性有限,即經過數據范化后的數據,字段種類有限,主要信息包括:基于TCP/IP協議的網絡通信信息、賬號密碼信息、主體客體操作信息等。這意味著倒排索引相對容易構建,索引數量不至于太龐大。ElasticSearch就是典型的采用倒排索引技術的文檔數據庫,它的前身是一個搜索引擎,現在也經常被用來作為NoSQL數據庫,存儲非結構化的數據。ElasticSearch與Logstash(數據收集和日志解析引擎)以及Kibana(數據分析和可視化平臺)一起被稱為“ELK”,是一套成熟的數據采集分析解決方案,可以用來搭建審計系統的基礎框架。
3.5 數據智能分析技術
審計的三大職能中,“監督”和“評價”都需要依靠數據分析技術,主要區別是:“監督”重點關注事中的實時監測反饋,“評價”重點關注事后的總結分析。原始審計數據只能發現少量明顯的違規或異常數據,只有對大量數據做關聯分析,建立安全事件分析模型,才可能發現那些潛在的威脅和違規行為,追查威脅路徑和源頭,并幫助進行安全預防。梳理數據分析技術的歷史,大致經歷了這么幾個過程: 
>>> 關聯查詢
關聯查詢這是關系數據庫時代重點采用的分析技術,SQL語句可以方便的支持多表的關聯查詢,從而可以把相關的數據篩選出來,這樣就比較方便找到多種數據一起來作為分析評價的證據。關聯查詢依賴數據庫的數據,主要用于事后分析取證,基本無法用于事中監督。
>>> 關聯分析
這里專指用于流數據的事件關聯分析技術,屬于事中分析的技術。關聯分析主要通過定制關聯規則,對采集的數據進行實時分析,在內存中進行規則匹配。如果匹配成功,就按照規則產生相應的動作,比如生成告警等。 不管是外部違規還是內部違規,從來都不是獨立的行為,都會有時序或者邏輯上的聯系,單看某個設備的日志可能無法發現問題,但是將所有這些信息合到一起,就可能發現其中的隱患,而這正是關聯分析的目的所在。例如,一個簡單的典型的關聯規則可能是這樣的:“在5分鐘內,事件A發生3次,并且事件B發生2次,則生成C告警”。這些關聯分析的規則就是審計中所說的已知的規范要求。
>>> 數據挖掘
數據挖掘是針對大量數據的深層次關聯分析,直接用于事后分析,挖掘出來的規則模型也可以用于事前預測和事中監督,屬于事后分析的技術。數據挖掘是按既定業務目標,對大量數據進行挖掘分析,揭示隱藏的、未知的規律或驗證已知的規律性,并進一步將其模型化的方法。
前面我們講過,審計的一個基本前提是基于已知規范或要求,因為沒有評價標準就沒辦法監督和評價。但是數據挖掘卻可能揭示未知的規律,這和審計的概念是有矛盾的。所以,數據挖掘最初并不能直接應用于審計的監督和評價。那么數據挖掘是怎么成為安全審計領域重要的數據分析技術呢?
傳統的技術手段無法勝任現代信息系統的安全審計工作,主要原因在于,現在的入侵和攻擊手段越來越高明、越來越隱蔽,而且在不斷發生變化,人們已經無法準確定義信息系統里面安全行為或異常行為,傳統的安全規則也很難清晰描述對應的規范,基于傳統安全規則或異常規則的判斷往往產生大量的誤報。數據挖掘的主要功能是從大量數據中挖掘規律,尋找數據之間的關系和模式,即大家常說的數據建模或知識發現。數據挖掘技術可以幫助我們學習或挖掘一個系統在正常工作時的潛在規律,也就是建立數據模型,然后再基于這個模型判斷和評價實時的網絡行為或用戶行為。數據挖掘本質是統計學的范疇,統計學要想獲得比較理想的結果,就必須有大量的統計樣本。所以數據挖掘首先依賴數據量,數據越豐富、數據量越大,越有可能獲得更合理的判斷。而現代信息系統的安全審計工作剛好為數據挖掘提供了良好的數據基礎,有了海量的、質量也比較高的數據。所以,數據挖掘技術就發展成為安全審計的拳頭武器了。數據挖掘技術的主要能力包括:分類、估值、關聯分析、聚類、預測。(1)分類:首先根據已經分好類的數據集進行訓練,建立分類的數據模型,然后利用該模型對于其他數據進行分類。該能力可以用于審計監督和評價。(2)估值:估值與分類相似,主要區別在于分類描述的是確定的離散型變量,而估值則是不確定的連續變量。該能力可以用于審計監督和評價。(3)關聯分析:通過分析數據或記錄間的關系,決定哪些事情將一起發生(橫向關聯),哪些事情將先后發生(縱向關聯),從而發現異常行為。該能力可以用于審計監督。(4)聚類:聚集是對數據分組,把相似的數據放在一個聚集里。聚集和分類的區別是聚類不依賴于預先定義好的類,不需要訓練集。該能力可以用于審計監督和評價。(5)預測:預測一般通過分類或估值的模型,預測未來趨勢。預測已經逐漸成為審計系統的輔助職能。因為數據挖掘是基于統計學的技術,所以其最后分析的結論更多是以概率的形式體現,比如,根據當前信息檢測到服務器A對服務器B發起網絡攻擊的概率為80%。這也決定了數據挖掘更適合承擔審計的“監督”和“評價”職能,而不是“鑒證”。另外,數據挖掘和基于規則的關聯分析可以結合起來使用,數據挖掘根據大量數據發現異常點,然后再依靠規則或者人工排查確認,可以用來幫忙尋找“鑒證”。現代科技的發展已經證實,現實世界本身就是一個概率世界,當概率足夠大時也可以作為證據,比如DNA鑒定就是基于概率的,但是現在DNA鑒定已經屬于我國刑事訴訟法上的法定七種證據之一。隨著數據挖掘技術的發展、數據模型的逐步細化,最后得出的結論的準確度也可能逐漸增加,最后達到“鑒證”的要求。
>>> 人工智能
人工智能是一個比較寬泛的概念,包括多種技術,現在還沒有一個精確的定義。該領域的研究內容包括:語音識別、文字識別、機器視覺、自然語言理解、知識推理、智能控制、人機博弈、數據挖掘等。該領域的數據基礎包括:微積分、線性代數、概率統計、博弈論、信息論、集合論、圖論等。
人工智能的應用范圍很廣,我們單從審計角度看,人工智能其實是數據挖掘的進一步發展延伸。人工智能的技術可以用于數據挖掘,比如機器學習技術可以用于數據挖掘的模式發現。機器學習的主要任務是設計和分析一些讓計算機可以從大量數據自動“學習”的算法,是人工智能的核心研究領域之一。學習能力是人工智能的一個重要特征,不具有學習能力的系統很難稱之為一個真正的智能系統。機器學習算法需要從數據中自動分析獲得規律,并利用規律對未知數據進行判斷和預測,所以機器學習和數據挖掘有不少交集。機器學習算法中也涉及了大量的統計學理論,也被稱為統計學習理論。機器學習領域現在很火的技術是基于神經網絡的深度學習。深度學習的靈感來源于人類大腦的工作方式,是利用深度神經網絡來解決特征表達的一種學習過程。深度神經網絡本身并不是一個全新的概念,可理解為包含多個隱含層的神經網絡結構,是建立、模擬人腦進行分析學習的神經網絡,模仿人腦的機制來解釋數據。神經網絡的計算量非常大,在很長時間里由于基礎設施技術的限制,計算能力達不到要求,進展并不大。GPU的出現造就了深度學習的蓬勃發展。傳統的機器學習模式特別依賴工程,特征提取構造是機器學習的重要環節。特征提取很大程度依賴行業專家,而且非常耗時間,需要不斷驗證優化。深度學習算法則可以自動挖掘提取特征,極大的降低特征提取的工作量。但是深度學習挖掘的特征和學習算法有一個非常嚴重的問題,就是不可解釋性。不可解釋性在審計領域是很難被接納應用的。審計結論不能說“就是說不清楚為什么,反正機器就是判斷你違法了!”,這也是深度學習還需要深入研究的難題。但是深度學習在有些領域效果非常好,單從最終效果看已經超過人類的專家。所以深度學習技術可以結合規則或人類輔助驗證用于審計系統,即深度學習技術用于發現異常,再由人類專家驗證確認。知識圖譜則不需要很高的硬件性能要求,不像深度學習需要大量GPU運算,而且知識圖譜的評判結論可以解釋的很清楚。因為知識圖譜的主要依據是人類已知的經驗和知識。知識圖譜的本質是充分利用人類的先驗知識,用圖來表示知識的結構化方式,通過不同知識的關聯性形成一個網狀的知識結構,涉及知識提取、表達、存儲、檢索、推理一系列技術。在支付寶的風控審計應用中,知識圖譜產品已經被應用于揭露金融欺詐、中介造假、洗錢和其他復雜的欺詐手法,獲得很好的效果。在安全審計領域,知識圖譜可以用于根據已有的安全知識,及時發現入侵攻擊等異常行為,進行監督、評價和預測。安全審計系統應用知識圖譜的關鍵點在于構建包含多方面安全知識的圖譜和利用圖譜進行知識推理判斷。知識圖譜的構建以及后續的不斷完善,可以融合機器學習、深度學習等技術,即機器學習得到知識,人工確認后用于構建知識圖譜。安全審計和人工智能的結合還在逐漸發展中,根據審計的根本要求,結合各項技術的特點和發展,未來安全審計的智能分析技術架構應該是“海量數據做支撐、機器學習來建模、知識推理做評判”。
“處理知識是人類所擅長的,而處理數據是計算機所擅長的,如果能夠將二者結合起來,一定能夠構建出比人類更加智能的系統。AI未來的科學突破是建立一種同時基于知識和數據的AI系統。”——清華大學張鈸院士。
4安全審計主要分類
4.1 主機安全審計
主機安全審計,顧名思義就是對單臺主機的安全審計。這是最基礎的審計也是最復雜的審計,因為主機幾乎是所有業務系統的承載體,主機安全關系重大,同時主機也是最通用的計算單元,功能最復雜,接口最多,需要審計的內容和格式也多種多樣。等保2.0要求的安全計算環境的審計,大部分可以算作主機安全審計的范疇。為了拿到最可靠的審計證據,主機安全審計一般需要在主機上安裝代理軟件來采集數據進行審計。主機安全審計的內容很多,但是又需要嚴格控制對主機系統資源(CPU、內存、硬盤等)的占用,避免影響正常業務運行。和主機相關的所有信息都可以納入審計的范圍,不同廠家的產品可能實現其中一部分。總體看,主機安全審計包括但不限于下列內容: 
4.2 網絡安全審計
網絡安全審計是針對網絡訪問或網絡通信的審計。現在幾乎所有的業務系統都要使用網絡,幾乎沒有基于單機的業務系統了,所以網絡安全審計也是非常重要的一個審計類別。等保2.0要求的安全網絡邊界的審計,可以算作網絡安全審計的范疇。網絡安全審計的數據采集方式如下表所示:
和網絡相關的所有信息都可以內納入審計的范圍,審計內容如下表所示:
4.3 數據庫安全審計
數據庫安全審計的概念相對比較新,近幾年因為數據安全相關問題被頻繁暴露出來,大家開始重視數據庫的安全審計工作。數據庫安全審計主要針對常見數據庫(比如:SQL Server、Oracle、MySQL、MongoDB等)的各項操作進行審計,比如增、刪、改、查等操作。數據庫安全審計的數據采集方式如下表所示: 
數據庫服務器相關的內容都可以列入審計范圍,具體內容如下表所示: 
4.4 業務安全審計
業務安全審計是對業務系統應用過程的審計。業務系統一般包括服務器、網絡設備、應用系統、數據庫系統、客戶端等,所以業務安全審計需要融合主機安全審計、網絡安全審計、數據庫安全審計和運維安全審計等功能,一般需要定制開發,針對業務系統用戶在系統中的操作行為進行記錄和審計。另外,為減少應用系統因審計而產生的性能降低,可以配合第三方審計系統(比如日志審計)來完成審計工作。等保2.0關于安全管理中心的審計內容,可以算作業務安全審計的范疇。業務安全審計的數據采集方式如下表所示: 
業務安全審計是融合多種內容的審計工作,具體審計內容如下表所示: 
4.5 運維安全審計
運維安全審計是一種特殊的業務審計,主要包括2種:堡壘機接入審計和KVM接入審計。堡壘機是運維人員通過網絡遠程接入的代理,KVM則適用于運維人員在機房直接操作其他服務器。運維審計以應用層代理的方式運行,獲取應用層網絡協議,進行還原分析,在重新打包提交給目標主機。運維安全審計的數據采集方式比較直接,作為代理,可以獲得加密前的數據,所以運維安全審計可以獲得更多的審計證據。運維安全審計的審計內容如下表所示: 
以上信息來源于:威努特工控安全